Lima, 04 de octubre de 2020

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional
de Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información
que los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 Contenido
Ataques de phishing alojados en: atvenvivo.pe .......................................................................................... 3
Ataque de ransomware al Hospital Universitario de Nueva Jersey ............................................................. 4
Vulnerabilidad de omisión de autenticación en IBM Maximo Asset Management ..................................... 5
Vulnerabilidades en computadoras a través de controladores NVIDIA ....................................................... 6
Nuevo ransomware “Egregor”, amenaza a las empresas con pagar rescate. .............................................. 7
Detección del troyano de acceso remoto denominado LodaRAT................................................................ 8
Índice alfabético ........................................................................................................................................ 10

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 04-10-2020
SEGURIDAD DIGITAL N° 183 Página: 3 de 10
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Ataques de phishing alojados en: atvenvivo.pe
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Aplicaciones de mensajería, redes sociales, mensajes de texto
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte sobre una campaña de “phishing” que
se está difundiendo a través de aplicaciones de mensajería, redes sociales y mensajes de texto con contenido falso.
2. Detalles:
Durante monitoreo de fraude, descubrimos un sitio web
comprometido (atvenvivo.pe) que se está utilizando para atacar a
clientes.
Re direccionamiento: Este ataque redirige a los visitantes a contenido
malicioso. Aunque el destino de re direccionamiento puede haberse
desconectado, es importante eliminar la URL de re direccionamiento
para que el estafador no pueda actualizarla para apuntar a un nuevo
ataque.
3. Indicadores de compromiso:
URL:
 hXXps://atvenvivo.pe/account/wells?id=wells
 hXXps://atvenvivo.pe/account/wells/Contact_information
 hXXps://atvenvivo.pe/account/wells/Email_verification
 hXXps://atvenvivo.pe/account/wells/Security_Question
 hXXps://atvenvivo.pe/account/wells/Success
 hXXps://atvenvivo.pe/account/wells/loginmobile?country=United+States&iso=US&wells_id=e7583eb41aed8e677
907ae79d
 hXXps://atvenvivo.pe/account/wells/?id=wells
 hXXps://atvenvivo.pe/account/wells/credit_verification
 hXXps://atvenvivo.pe/account/wells/loginmobile
IP: [94.242[.]61.30]
4. Recomendaciones:
 Actualizar aplicaciones web, incluidos CMS, blogs, comercio electrónico y otras aplicaciones (y todos los módulos /
componentes / complementos adicionales).
 Buscar archivos sospechosos en todos sus directorios web, ya que los atacantes suelen dejar puertas traseras.
 Escanear la computadora desde la que inicia sesión en su panel de control de alojamiento web o servidor ftp con
software antivirus.
 Evaluar el bloqueo preventivo de los indicadores de compromisos.
 Ante correos sospechosos no abrir ficheros adjuntos y tampoco pulsar sobre enlaces incluidos.
 Actualizar el sistema operativo del dispositivo móvil.
 Realizar concientización constante a los usuarios sobre este tipo de amenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 03-10-2020
SEGURIDAD DIGITAL N°183 Página: 4 de 10
COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS
Componente que reporta
FUERZAS ARMADAS
Nombre de la alerta Ataque de ransomware al Hospital Universitario de Nueva Jersey
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia C Código de subfamilia C09
Clasificación temática familia Código malicioso
Descripción

1. El 03 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó

información sobre un ataque de ransomware que sufrió el Hospital Universitario de Nueva Jersey en Newark de los
Estado Unidos.
2. Este ataque ocurrió a principios de setiembre, donde un grupo de ciberdelincuentes atacaron con un ransomware
conocido como SunCrypt, que se infiltra en una red, para robar archivos no cifrados y posteriormente cifra todos los
datos.
3. Según el informe de seguridad remitido por el hospital, este hecho habría ocurrido después de que un empleado
cayera en una estafa de phishing y proporcionara sus credenciales de red, el cual produjo que la red de este hospital
se vea comprometida.
4. Según BleepingComputer, después que se publicara datos privados en el sitio de SunCrypt, el hospital se puso en
contacto con los ciberdelincuentes a través de su portal de pago de la web oscura (Tor), en donde los
ciberdelincuentes solicitaron un restare de 1,7 millones de dólares. Sin embargo, luego de varias negociaciones
realizadas con los atacantes acordaron en un pago de 61,90 bitcoins es decir $ 672,744, a fin de evitar la publicación
de los datos robados, incluida la información de los pacientes. Asimismo, el pago se habría concretado el 19 de
setiembre del presente año.
5. Cabe señalar que, durante esta pandemia, los ciberdelincuentes han aprovechado la crisis sanitaria para poder
realizar todo tipo de estafas, por lo que se recomienda implementar medidas de seguridad para prevenir posibles
riesgos; así como, concientizar y capacitar a los usuarios en temas de ciberseguridad.

6. Se recomienda:
 Mantener actualizado el antivirus y el sistema operativo.
 Activar el filtrado y escaneo de cada uno de los correos electrónicos ingresantes.
 Contar con una Red Privada Virtual (VPN) confiable, cuando se acceda a cualquier punto de Wi-Fi pública.
 Mantener actualizado todos los software de la computadora como herramientas, navegadores, etc.
https[:]//www.bleepingcomputer.com/news/security/new-jersey-hospital-paid-
Fuentes de información
ransomware-gang-670k-to-prevent-data-leak/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 04-10-2020
SEGURIDAD DIGITAL N°183 Página: 5 de 10
COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS
Componente que reporta
FUERZAS ARMADAS
Nombre de la alerta Vulnerabilidad de omisión de autenticación en IBM Maximo Asset Management
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción

1. El 04 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento
de la publicación, sobre una vulnerabilidad de omisión de autenticación en IBM Maximo Asset Management. El
identificador asignado a esta vulnerabilidad es CVE-2020-4493.
2. La vulnerabilidad en IBM máximo Asset Management, este sistema se utiliza para realizar el mantenimiento y las
reparaciones en industrias de uso intensivo de activos que incluyen fabricación de automóviles, productos
farmacéuticos, ferrocarriles, aeropuertos, puertos marítimos, entre otros. Tiene una vulnerabilidad de omisión de
autenticación, un atacante podría aprovechar esta vulnerabilidad para omitir la autenticación y ejecutar comandos
HTTP específicamente diseñados.

3. Recursos afectados:
 IBM Maximo Asset Management, versions 7.6.0 y 7.6.1.
 Productos de soluciones industriales afectados en caso de utilizar una versión core afectada:
 Maximo para aviación.
 Maximo para ciencias.
 Maximo para energía nuclear.
 Maximo para petróleo y gas.
 Maximo para transporte.
 Maximo para utilidades.
 Productos IBM Control Desk afectados en caso de utilizar una versión core afectada:
 SmartCloud Control Desk.
 IBM Control Desk.
 Tivoli Integration Composer.
4. Se recomienda:
Instalar los parches de la página oficial del proveedor.

Fuentes de información https[:]//www.ibm.com/support/pages/node/6340281

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe

Componente que reporta
Nombre de la alerta
Tipo de ataque
Medios de propagación
Código de familia
Clasificación temática familia
ALERTA INTEGRADA DE Fecha: 03-10-2020
SEGURIDAD DIGITAL N° 183 Página: 6 de 10
CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Vulnerabilidades en computadoras a través de controladores NVIDIA
Explotación de vulnerabilidades conocidas Abreviatura EVC
Red, internet
H Código de subfamilia H01
Intento de intrusión
Descripción

1. El 03 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por
especialistas del sitio web Ciber Tips, el hallazgo de múltiples vulnerabilidades sin corregir en los controladores
nVidia D3D10. La explotación exitosa de estas fallas permitiría la ejecución de código en un sistema vulnerable.
2. A continuación, se presentan breves descripciones de las fallas reportadas:
 Un error de límite al procesar entradas no confiables para la funcionalidad nvwg MOV_SAT permitiría a los
actores de amenazas usar un shader especialmente diseñado para activar una
escritura fuera de límites y ejecutar código arbitrario en el sistema objetivo. La
vulnerabilidad recibió un puntaje de gravedad de 7.8/10
 Un error de límite al procesar entradas no confiadas en la funcionalidad nvwg.
permitiría a los actores de amenazas usar un shader especialmente diseñado
para desencadenar la ejecución remota de código en los sistemas afectados.
Esta falla recibió un puntaje de gravedad de 7.8/10.
 Un error de límite al procesar entradas que no son de confianza en la
funcionalidad nvwg MOV2 podría permitir a los actores de amenazas activar una escritura fuera de los límites
para ejecutar código arbitrario en el sistema objetivo. La falla recibió un puntaje de gravedad de 7.8/10.
 Un error de límite al procesar la entrada que no es de confianza en la funcionalidad nvwg
DCL_CONSTANT_BUFFER permitiría a los hackers usar un shader especialmente diseñado para ejecutar código
arbitrario en el sistema objetivo. La falla recibió un puntaje de gravedad de 7.8/10.
 Un error de límite al procesar entradas que no son de confianza en la funcionalidad nvwg MOV. Un atacante
autenticado de forma remota puede utilizar un sombreador especialmente diseñado, activar la escritura fuera de
los límites y ejecutar código arbitrario en el sistema afectado. Esta vulnerabilidad recibió un puntaje de gravedad
de 7.8/10.
 Un error de límite al procesar entradas que no son de confianza en la funcionalidad nvwg MUL permitiría a los
actores de amenazas ejecutar código arbitrario usando un shader especialmente diseñado. La falla recibió un
puntaje de gravedad de 7.8/10.
3. Las fallas anteriormente mencionadas son peligrosas puesto que pueden ser explotadas de forma remota, estas
fallas no han sido corregidas, por lo que los usuarios deben permanecer alertas.
4. Se recomienda lo siguiente:
Actualiza tu sistema operativo y drivers, realizar la descarga desde los sitios web oficiales.

https[:]//www.cibertip.com/vulnerabilidades/hackear-computadoras-a-traves-de-
Fuentes de información
controladores-graficos-nvidia-6-vulnerabilidades-encontradas/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 04-10-2020
SEGURIDAD DIGITAL N° 183 Página: 7 de 10
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Nuevo ransomware “Egregor”, amenaza a las empresas con pagar rescate.
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet.
Código de familia C Código de subfamilia C02
Clasificación temática familia Código malicioso
Descripción

5. El 04 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por Los
investigadores de “Appgate”, el ransomware “Egregor”, según su análisis de código, el ransomware resultó ser el
derivado del ransomware “Sekhmet”.

6. El objetivo de los ciberdelincuentes son las empresas de todo el mundo, incluida la empresa de logística global
GEFCO, según su aviso, al menos trece empresas diferentes estaban infectadas.

7. La forma de ataque de este ransomware consiste en piratear la red de las empresas y roban los datos confidenciales,
una vez que los datos se filtraron, cifran todos los archivos. Luego ciberdelincuentes pedían pagar un rescate, de lo
contrario, si la empresa no paga el rescate en tres días, y además de filtrar parte de los datos robados, se distribuirán
a través de los medios de comunicación donde los socios y clientes de la empresa sabrán que la empresa fue atacada.

8. Se recomienda:
 Tener siempre actualizado el Sistema Operativo y las aplicaciones.
 Instalar y mantener actualizado el antivirus y tener una herramienta antiransomware.

Fuentes de información https[:]//gbhackers.com/egregor-ransomware/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 04-10-2020
SEGURIDAD DIGITAL N° 183 Página: 8 de 10
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del troyano de acceso remoto denominado LodaRAT
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. El 04 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el
sitio web “Talos Intelligence”, se informa sobre la detección de una campaña cibernética del troyano de acceso
remoto denominado LodaRAT (escrito en el lenguaje de programación AutoIT), el cual se distribuye a través de un
archivo RAR malicioso adjunto a correos electrónicos de phishing o no deseados, que dirigen a la víctima a una página
falsa administrada por los actores de la amenaza. LodaRAT al infectar la computadora objetivo establecerá una
conexión con el servidor C&C (Comando y Control) de sus operadores.

2. Detalles:
 LodaRAT al conectarse con el servidor de comando y control (C2) con éxito puede recopilar información
confidencial de la víctima como:
o Contraseñas y credenciales de inicio de sesión
o Tome capturas de pantalla del escritorio del usuario y de las ventanas activas.
o Iniciar un keylogger que recolectará pulsaciones de teclas.
o Usar el micrófono de la víctima para grabar audio.
o Escanear los procesos en ejecución en el sistema comprometido
o Detectar si hay una aplicación antivirus ejecutándose en el sistema infectado.

 LodaRAT para ganar persistencia en la computadora comprometida utiliza dos trucos comunes como:
o Utiliza el Programador de tareas de Windows para garantizar que sus componentes comenzarán con Windows.
o Inserta una nueva clave de registro de Windows de ejecución automática que ordena al sistema ejecutar
LodaRAT en el lanzamiento.

 Imagen: LodaRAT infecta todo el sistema de la víctima.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
  Indicadores de compromiso.

o Archivos analizados:
Nombre: contains-pe rar
Tipo de archivo: RAR
Tamaño: 813.24 KB (832757 bytes)
MD5: 1515a5c693145dfb8b7a81050d4ad7c1
SHA-1: ce767be0d7cdb1d6886e4c31db9cea42ad0b1d5e
SHA-256: 0d181658d2a7f2502f1bc7b5a93b508af7099e054d8e8f57b139ad2702f3dc2d

Nombre: UPDATED DRAWING.REV

Tipo de archivo: RAR
Tamaño: 811.72 KB (831204 bytes)
MD5: 010fe248f5c918cea3051df45a64b420
SHA-1: eba75f672fb234f9b5972977a168503f2a8e629b
SHA-256: fcbaf2e5ed0b1064da6a60101f231096164895328fd6c338b322b163d580b6e3

3. Algunas Recomendaciones:
 No abra archivos sospechosos.
 No siga instrucciones de desconocidos.
 Mantenga su antivirus actualizado.
 Descargar aplicaciones de sitio web confiables.
 Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https[:]//blog.talosintelligence.com/2020/09/lodarat-update-alive-and-well.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 Página: 10 de 10

Índice alfabético
Código malicioso ..................................................................................................................................................... 4, 7, 8
Correo electrónico........................................................................................................................................................... 4
Correo electrónico, redes sociales, entre otros ............................................................................................................... 4
Explotación de vulnerabilidades conocidas ................................................................................................................. 5, 6
Fraude ............................................................................................................................................................................. 3
Intento de intrusión .................................................................................................................................................... 5, 6
Malware .......................................................................................................................................................................... 7
phishing ............................................................................................................................................................... 2, 3, 4, 8
Phishing ........................................................................................................................................................................... 3
ransomware ............................................................................................................................................................ 2, 4, 7
Ransomware ................................................................................................................................................................... 4
Red, internet ............................................................................................................................................................... 5, 6
redes sociales .............................................................................................................................................................. 1, 3
servidor ....................................................................................................................................................................... 3, 8
software ...................................................................................................................................................................... 3, 4
URL .................................................................................................................................................................................. 3
USB, disco, red, correo, navegación de internet ......................................................................................................... 7, 8
Vulnerabilidad ............................................................................................................................................................. 2, 5
Vulnerabilidades.......................................................................................................................................................... 2, 6

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe