Lima, 10 de marzo de 2021

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 Contenido
Que sabemos del ciberataque al SEPE – ESPAÑA..........................................................................................3
Ataque tipo defacement a páginas web peruanas con dominio “gob.pe” ...................................................5
Vulnerabilidades Zero-Day en Microsoft Exchange ......................................................................................6
Malware de criptomonedas UnityMiner secuestra los dispositivos de almacenamiento de QNAP .............7
Índice alfabético ............................................................................................................................................9

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 10-03-2021
SEGURIDAD DIGITAL N° 055 Página: 3 de 9
COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS
Componente que reporta
ARMADAS
Nombre de la alerta Que sabemos del ciberataque al SEPE – ESPAÑA
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia C Código de subfamilia C09
Clasificación temática familia Intento de intrusión
Descripción
1. El 10 de marzo de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un artículo que
indica que el Servicio Estatal Público de Empleo, SEPE, fue víctima de ataqué informático. El ciberataque ha dejado
inutilizadas todas sus oficinas obligándoles a bloquear sus servicios de manera temporal.

2. El causante de este caos es un virus informático que se engloba dentro de los ransomware. En opinión de Investigación
de Daniel Creus, Analista Senior del Equipo de Investigación y Análisis de Kaspersky, asegura que los primeros indicios
apuntan a la familia denominada “Ryuk” como el malware utilizado. En caso de tratarse de este, cabe destacar que
recientemente ANSSI (Agencia nacional de Seguridad Francesa) publicó un informa sobre Ryuk exponiendo una nueva
y reciente técnica añadida a este ransomware: la capacidad de propagarse por una red local de manera automática
(capacidades de “gusano”).

3. Este malware es uno de los más conocidos, identificado el 2018 y desde entonces se ha visto siendo utilizado por
diversos grupos criminales. El SEPE no es el primer afectado, los CISOs de la Cadena Ser, Prosegur o Everis ya sufrieron
las consecuencias a finales del año 2019. Como mucho del malware este proviene de uno de los países especialistas en
la creación de software malicioso: Rusia.

4. Este tipo de malware infecta ordenadores para encriptar la información que tienen dentro y hacer que su propietario
no pueda acceder a ella. Una vez realizado este proceso los hackers suelen pedir un rescate para que los dueños de la
información puedan acceder a ella de nuevo.

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 5. Según ha afirmado el director general del SEPE, Gerardo Gutiérrez, en declaraciones a la cadena SER, no les han pedido
“ningún tipo de rescate” y “los datos confidenciales están absolutamente salvados”. Además, ha indicado que el ataque
no ha afectado al “sistema de gestión de nóminas” ni ha “ninguna de los servicios de atención a la ciudadanía”.

6. Una vez detectado el ataque, los responsables de la ciberseguridad del servicio han decidido bloquear todas las
comunicaciones internas, “desconectar el servidor web e iniciar una investigación rápida, una medida normal y
preventiva”.

7. Recomendaciones:
Así como paso en esta web Española, siendo del sector estatal; nosotros no somos ajenos a este tipo de ataques, por
lo que se recomienda realizar un Análisis de Vulnerabilidades a nuestros activos, a fin de mantener la confidencialidad,
integridad y disponibilidad de nuestros activos críticos.

hxxps://revistabyte.es/ciberseguridad/ciberataque-al-sepe-ryuk/
Fuentes de información: hxxps://maldita.es/malditatecnologia/20210310/hackeo-servicio-publico-empleo-estatal-
posibles-consecuencias-datos-cientos-miles-ciudadanos/

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 10-03-2021
SEGURIDAD DIGITAL N° 055 Página: 5 de 9
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Ataque tipo defacement a páginas web peruanas con dominio “gob.pe”
Destrucción o alteración de la información de
Tipo de ataque Abreviatura DAIC
configuración
Medios de propagación Red, internet
Código de familia K Código de subfamilia K02
Clasificación temática familia Uso inapropiado de recursos.
Descripción
1. El 10 de marzo de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un ataque tipo
defacement a un sitio web con dominio “gob.pe” perteneciente a la Municipalidad Distrital Castilla (Piura). Los
ciberdelincuentes aprovechan el bajo nivel de seguridad de las páginas web para realizar este tipo de ataque.

Fecha Página atacada Hacker Referencia

Municipalidad Distrital Castilla
08/03/2021 hxxps://rentas.municastilla.gob.pe NmR.Hacker
(Piura)

2. Recomendaciones:
• Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de
prevención de intrusos, FIREWALL, Firewall para Aplicaciones Web y base de datos).
• Adquirir un certificado de seguridad para proteger el sitio web.
• Realizar copias de seguridad del sitio web con frecuencia.
• Establecer contraseñas seguras para la administración del servicio web y base de datos, así como para los usuarios.
• Tener software actualizados.

Fuentes de información: Comandancia de Ciberdefensa de la Marina, OSINT.

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRAL Fecha: 10-03-2021
DE SEGURIDAD DIGITAL N° 055 Página: 6 de 9
Componente que reporta GRUPO DE OPERACIONES EN EL CIBERESPACIO – FUERZA AÉREA DEL PERÚ
Nombre de la alerta Vulnerabilidades Zero-Day en Microsoft Exchange
Tipo de ataque Exploit Abreviatura Exploits
Medios de propagación Red, internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. El 10 de marzo de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tomó conocimiento de
diversas vulnerabilidades de tipo zero-day que afectan a Microsoft Exchange Server. En total, han sido cuatro
vulnerabilidades de día cero que, explotándolas de forma combinada, pueden dar acceso a los servidores de Microsoft
Exchange, robar las credenciales de acceso al correo electrónico e introducir malware para aumentar el acceso a la red.
A continuación, se muestran las descripciones correspondientes a cada vulnerabilidad con los detalles técnicos
conocidos:
• CVE-2021-26855: Vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange que permite
al atacante enviar solicitudes HTTP arbitrarias y ejecutarlas en el contexto de privilegio del servicio de Exchange. A
partir de esta vulnerabilidad el atacante puede llegar a obtener el control del sistema.
• CVE-2021-26857: Vulnerabilidad de deserialización en el servicio de mensajería unificada implementado en
Microsoft Exchange Server. La explotación de esta vulnerabilidad puede dar la capacidad de ejecutar código como
SYSTEM en el servidor Exchange.
• CVE-2021-26858: Vulnerabilidad que permite al atacante subir ficheros después de conseguir una autenticación
aprovechando las vulnerabilidades anteriores. Se puede utilizar este fallo para escribir un archivo en cualquier ruta
del servidor, llevar a cabo la subida de Webshell para un control más efectivo del sistema o la ejecución de scripts
que permitan múltiples acciones de exfiltración o movimientos laterales entre otros.
• CVE-2021-27065: Vulnerabilidad, que al igual que la anterior, permite al atacante subir ficheros después de
conseguir una autenticación aprovechando las vulnerabilidades anteriores. Si se consigue una autenticación válida
en el servidor de Exchange se podría escribir un archivo en cualquier ruta del servidor, comprometiendo de esta
forma todo el sistema.

2. Recomendaciones:
Realizar de forma inmediata la actualización de seguridad de las distribuciones:
• Security Update For Exchange Server 2013 CU23
• Security Update For Exchange Server 2016 CU18
• Security Update For Exchange Server 2016 CU19
• Security Update For Exchange Server 2019 CU7
• Security Update For Exchange Server 2019 CU8
Con la finalidad de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

hxxps://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/10886-ccn-cert-al-02-21-
Fuentes de información:
vulnerabilidades-zero-day-en-microsoft-exchange.html

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 10-03-2021
SEGURIDAD DIGITAL N° 055 Página: 7 de 9
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Malware de criptomonedas UnityMiner secuestra los dispositivos de almacenamiento de
Nombre de la alerta
QNAP
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “ZDNet”, se informa
sobre la detección de una nueva campaña del malware de criptomonedas denominado “UnityMiner”, de dirigida a
dispositivos de almacenamiento conectados a la red NAS de QNAP. UnityMiner, tiene como finalidad secuestrar dichos
dispositivos para implementar un minero de criptomonedas, a través de una falla de ejecución de código remoto.
2. Detalles del malware UnityMiner:
• Los actores de amenazas explotan dos vulnerabilidades de ejecución de comandos remotos no autorizadas,
rastreadas como CVE-2020-2506 y CVE-2020-2507; las fallas de seguridad afectan las versiones de firmware del NAS
de QNAP.
• Tras un ataque exitoso los actores de la amenaza o ciberdelincuentes obtendrá privilegio de root en el dispositivo y
realizar actividades de minería maliciosas.
• El programa de minería consta de dos compones unity_install.sh y Quick.tar.gz, que juntos contienen instrucciones
de descarga, carga útil y datos de configuración (Unity es un minero de criptomonedas XMRig).
• Unity_install.sh, descarga, configura e inicia el programa de minería y secuestrar el manaRequest.cgi programa en
el dispositivo original.
• Quick.tar.gz, contiene el programa minero, el archivo de configuración del minero, el script de inicio del minero y el
archivo forjado manaRequest.cgi.
• ManaRequest.cgi, Secuestra el archivo original del sistema con el mismo nombre, después de recibir solicitudes
HTTP.

Imagen

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 3. Indicadores de compromiso (IoC).
• Archivos analizados:
o NOMBRE: Quick.tar.gz
o TIPO: TAR
o TAMAÑO: 5.37 MB (5632000 bytes)
o MD5: 97015323b4fd840a40a9d40d2ad4e7af
o SHA-1: c8d45ceebbe0e2b84c6248ffb17acb4bd8015a50
o SHA-256: e1f9b523dd3e2e0ff4eb90428779fde0e8241c285c771fd90240a994b8ec739b

o URL: hxxp://c.aquamangts.tk:8080/QFS/install/unity_install.sh
o DOMINIO: c.aquamangts.tk
o IP: 85[.]17[.]31[.]82

o URL: hxxp://c.aquamangts.tk:8080/QFS/arm64/Quick.tar.gz
o DOMINIO: c.aquamangts.tk
o IP: 5[.]79[.]71[.]205

4. Recomendaciones
• Adoptar medidas de seguridad.
• Mantener el sistema operativo actualizado.
• Verificar y actualizar su firmware.

hxxps://www.zdnet.com/article/unityminer-cryptocurrency-malware-hijacks-qnap-storage-
Fuentes de información
devices

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 Página: 9 de 9

Índice alfabético

Código malicioso ............................................................................................................................................................ 6, 7

Correo electrónico ............................................................................................................................................................. 3
Correo electrónico, redes sociales, entre otros ................................................................................................................ 3
Destrucción o alteración de la información de configuración .......................................................................................... 5
Exploits .............................................................................................................................................................................. 6
hxxp ................................................................................................................................................................................... 8
Intento de intrusión ........................................................................................................................................................... 3
malware ................................................................................................................................................................. 3, 6, 7, 8
Malware ............................................................................................................................................................................. 7
ransomware ....................................................................................................................................................................... 3
Ransomware ...................................................................................................................................................................... 3
Red, internet .................................................................................................................................................................. 5, 6
redes sociales..................................................................................................................................................................... 1
servidor .......................................................................................................................................................................... 4, 6
servidores .......................................................................................................................................................................... 6
software ......................................................................................................................................................................... 3, 5
URL ..................................................................................................................................................................................... 8
USB, disco, red, correo, navegación de internet ............................................................................................................... 7
Uso inapropiado de recursos ............................................................................................................................................. 5
Vulnerabilidad.................................................................................................................................................................... 6
Vulnerabilidades ............................................................................................................................................................ 4, 6

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe