Lima, 15 de julio de 2020

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 Contenido
Vulnerabilidades en la suite SAP BusinessObjects. .......................................................................................3
Robo masivo de cuentas de usuario de twitter .............................................................................................4
Operaciones Cibernéticas Ofensivas CIA .......................................................................................................6
Falla de secuencias de comandos entre sitios (XSS) en WordPress ..............................................................7
Nueva falla día cero en Zoom permite hackear cualquier computadora Windows......................................8
Spam en página web de la dirección regional de agricultura de Madre de Dios ..........................................9
Spam en página web de la municipalidad distrital de Pacanga ..................................................................10
Dispositivos en riesgo por botnet ................................................................................................................11
Páginas web vulnerables a complementos de Java Script ..........................................................................12
Nueva variante de malware MIRAI..............................................................................................................13
Detección del malware Mirai, dirigido a equipos IoT ..................................................................................14
Índice alfabético ..........................................................................................................................................16

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 15-07-2020
SEGURIDAD DIGITAL N° 102 Página: 3 de 16
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Vulnerabilidades en la suite SAP BusinessObjects.
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red e internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que especialistas en ciberseguridad han
detectado cuatro (4) vulnerabilidades en la suite SAP BusinessObjects. Estas fallas de seguridad podrían permitir el
despliegue de múltiples escenarios maliciosos, como la ejecución de scripts entre sitios.
2. Detalles de la alerta:
SAP BusinessObjects es una empresa de software en
inteligencia empresarial (BI), también ofrece servicios de
consultoría y educación para ayudar a los clientes a
implementar sus proyectos de inteligencia empresarial
Especialistas en ciberseguridad encontraron múltiples
vulnerabilidades en la suite SAP BusinessObjects, una
plataforma de inteligencia dirigida a usuarios
empresariales. Esta solución consiste en una serie de
aplicaciones de informes que permiten a los usuarios descubrir datos, realizar análisis para obtener información y crear
informes sobre los planes empresariales.
Las vulnerabilidades identificadas se detallan a continuación:
 CVE-2020-6222: La desinfección insuficiente de los datos proporcionados por el usuario dentro de la interfaz HTML
de Web Intelligence permite el despliegue de ataques Cross-site scripting (XSS, siglas en ingles). Los atacantes
remotos sólo deben engañar al usuario objetivo para ejecutar HTML arbitrario y completar el ataque. La falla de
seguridad recibió un puntaje de 5.3/10 en la escala CVSS.
 CVE-2020-628: Una insuficiente depuración desinfección de los datos proporcionados por el usuario dentro del
componente “BI Launchpad”, permitiría a los actores de amenazas realizar ataques de scripts entre sitios (XSS)
mediante el uso de HTML arbitrario en el contexto del navegador del usuario vulnerable. Esta es una falla de
severidad baja que recibió un puntaje de 5.3/10 en la escala CVSS.
 CVE-2020-6276: Una insuficiente desinfección de los datos proporcionados por el usuario dentro del componente
“bipodata”, permitiría a los hackers maliciosos desplegar ataques XSS en el contexto de un sitio web vulnerable. La
explotación exitosa de esta falla conduciría al robo de información confidencial del sistema objetivo, modificación
de la apariencia del sitio web, despliegue de ataques de phishing, entre otras variantes de ataque. La falla de
seguridad recibió un puntaje de 5.3/10 en la escala CVSS.
 CVE-2020-6278: Esta falla existe debido a la desinfección insuficiente de los datos proporcionados por el usuario
dentro de los componentes de BI Launchpad y CMC, lo que conduciría a ataques XSS en el contexto de un sitio web
vulnerable. La falla de seguridad recibió un puntaje 5.3/10 en la escala CVSS.
Cabe precisar, SAP ha corregido los fallos de seguridad y están disponibles, por lo que los usuarios de implementaciones
afectadas sólo deben verificar su instalación. Detalles adicionales se encuentran disponibles en las plataformas oficiales
de la empresa.
3. Recomendaciones:
 Descargar y actualizar los parches de seguridad del sitio web oficial de proveedor.
 Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 15-07-2020
SEGURIDAD DIGITAL N° 102 Página: 4 de 16
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Robo masivo de cuentas de usuario de twitter
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Red, internet
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que la compañía Twitter Inc, ha sufrido
un ataque de forma masiva algunas cuentas personales e institucionales.
2. Detalles de la alerta
Twitter es una plataforma de microblogging en el cual los ciberdelincuentes se apoderaron de varias cuentas de twitter
de gran cantidad de seguidores como Barack Obama, Joe Biden, Jeff Bezos Elon Musk, Bill Gates, Uber, Apple y muchos
más.
El bitcoin es una criptomoneda o moneda virtual. Es una unidad de pago autorregulada sin referencia física ni respaldo
de un país, que preserva el anonimato de sus propietarios y cuyas transacciones se realizan a través de internet
mediante códigos cifrados
Tras apoderarse de las cuentas los ciberdelincuentes tuitearon un mensaje similar en las múltiples cuentas prometiendo
“devolver 5000 BTC ($ 45,889,950) a la comunidad” así como otro mensaje prometiendo duplicar el monto transferido
a la cuenta BTC del ciberdelincuente.
Dicho mensaje en promedio estuvo 30 minutos hasta que fue eliminado por los dueños de las cuentas o por twitter.
Hasta las 4pm de hoy los ciberdelincuentes habrían recibido unas 288 transacciones por más de 11 bitcoins, unos 110
mil dólares.
Un claro ejemplo de una estafa inminente utilizando plataformas de redes sociales, de los cuales la ciudadanía
recomendamos saber reconocer.
Twitter escribió a las 18:45 en su cuenta, reconociendo que existe un problema, dijo “Somos conscientes de un
incidente de seguridad que afecta las cuentas en Twitter. Estamos investigando y tomando medidas para solucionarlo.
Actualizaremos a todos en breve”.
Hasta el cierre de esta alerta no tenemos más detalles al respecto, se sugiere hacer caso a las recomendaciones
planteadas líneas abajo.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ¿Qué podrían hacer si acceden a mis cuentas de redes sociales?
 Si consiguen acceder a tus cuentas de correo electrónico podrían tener acceso a fotografías, mensajes personales o
claves y accesos a sitios web.
 Si suplantan una cuenta de redes sociales: podrían insultar, calumniar en tu nombre sin que nadie supiera que
realmente no eres tú.
 En los casos más graves podrían cometer delitos en tu nombre.
¿Las redes sociales, puede traer problemas?
 El uso muy frecuente de las redes sociales, puede traer los siguientes problemas:
 Desconexión del mundo real: el abuso de las redes sociales puede llegar a desconectarte del mundo real.
 Uso indebido de tus fotos: puede llegar a robar tus fotografías personales realizar ediciones, comercializarlo o
utilizarlo en actividades no acorde a nuestros valores.
 Malware: puede ser víctima de algún malware oculto en un link aparentemente inofensivo.
 Fake news: puede ser víctima de falsas noticias, y sin conocer la fuente original caer en la propagación del mismo.
3. Recomendaciones:
 Uso moderado de las redes sociales, manteniendo su alto nivel de seguridad personal.
 A los administradores (Community Manager) de las entidades públicas y privadas que tomen las previsiones
cambiando de contraseña periódicamente.
 Acceder las cuentas de las redes sociales desde un equipo seguro bajo los protocolos de seguridad de la entidad.

Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional; Twitter, Centro de

Fuentes de información
noticias

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 15-07-2020
SEGURIDAD DIGITAL N° 102 Página: 6 de 16
COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS
Componente que reporta
ARMADAS
Nombre de la alerta Operaciones Cibernéticas Ofensivas CIA
Tipo de ataque Ciber Ops Abreviatura CIA Ops
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Vulnerabilidades
Descripción

1. El 15 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que
el presidente de los Estados Unidos, Donald Trump, otorgó amplios poderes a la Agencia Central de Inteligencia (CIA)
en 2018 para llevar a cabo operaciones cibernéticas ofensivas en todo el mundo. La CIA ya estaba autorizada para
realizar vigilancia silenciosa y recopilación de datos, pero los nuevos poderes le permiten ir aún más lejos
2. Tales operaciones nunca habrían sido aprobadas en las administraciones anteriores, que siempre han sido muy
cautelosas al atacar a adversarios extranjeros, por temor a la reacción.
3. Sin embargo, en 2018, el presidente Trump se apartó de la postura clásica de la Casa Blanca sobre el asunto y firmó
un documento, que le otorga a la CIA la capacidad de planificar y ejecutar operaciones cibernéticas ofensivas
encubiertas bajo su criterio, en lugar de bajo la supervisión de la Consejo de Seguridad Nacional.

4. La supervisión del NSC mantuvo a las agencias de inteligencia de EE.UU. como la CIA bajo control cuando se trataba
de orquestar y aprobar operaciones cibernéticas en tierra extranjera, asegurándose de que agencias como la NSA y la
CIA pasaran por un debido proceso que en algún momento llevaría años desde la fase de planificación hasta la fase de
ejecución.
5. Se recomienda:
Para mitigar los problemas de seguridad, se recomienda actualizar a la versión más reciente, una vez más se demuestra
la gran importancia de contar siempre con las últimas versiones. Es vital que tengamos actualizados los equipos con los
parches de seguridad disponibles. En muchas ocasiones pueden surgir vulnerabilidades que son aprovechadas por
piratas informáticos para llevar a cabo sus ataques. Es vital que tengamos siempre las últimas actualizaciones y
corrijamos así esos problemas.

Fuentes de información https[:]//blog.segu-info.com.ar/2020/07/trump-autorizo-la-cia-las-operaciones.html?m=1

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 15-07-2020
SEGURIDAD DIGITAL N° 102 Página: 7 de 16
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Falla de secuencias de comandos entre sitios (XSS) en WordPress
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet.
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. El 15 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se obtuvo información del
especialista de seguridad en aplicativos ‘Wordfence’, el cual es un complemento de WordPress que se encuentra
instalado con más de 100,000 sitios de WordPress que se encuentran vulnerables a los scripts de sitios cruzados
reflejados.
2. El atacante puede explotar la vulnerabilidad engañando a la víctima para que haga clic en un enlace malicioso, que
envía a la víctima al sitio web vulnerable junto con la carga útil.
3. La vulnerabilidad reside en la acción AJAX que el complemento ya no usa activamente, "pero aún podría usarse
enviando una solicitud POST a wp-admin / admin-ajax.php con el parámetro de acción establecido en
kc_install_online_preset ".
4. Se puede rastrear como CVE-2020-15299 y recibir el puntaje CVSS: 6.1. la versión anterior a 2.9.5 está afectada por la
vulnerabilidad.
5. La vulnerabilidad puede explotarse utilizando la codificación base64 en una carga maliciosa y engañar a la víctima para
que envíe una solicitud a través de un parámetro kc-online-preset-data, que permitiría que la carga maliciosa se ejecute
en el navegador de la víctima.

6. Se recomienda:
Actualizar con la última versión del complemento para mitigar la vulnerabilidad.

Fuentes de información https[:]//gbhackers.com/100000-wordpress-sites/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 15-07-2020
SEGURIDAD DIGITAL N° 102 Página: 8 de 16
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Nueva falla día cero en Zoom permite hackear cualquier computadora Windows
Tipo de ataque Exploits Abreviatura Exploits
Medios de propagación USB, disco, red, correo, navegación de internet.
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. El 15 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró información
sobre la detección de una vulnerabilidad día cero en Zoom, según empresa de ciberseguridad, es una de las
herramientas más utilizadas durante la pandemia, aunque esto ha permitido el hallazgo de múltiples errores de
seguridad, que podría permitir la ejecución remota de código en la aplicación para sistemas Windows.
2. Esta falla afecta cualquier versión del cliente de Zoom para Windows y no había sido identificada, ya fuese por la
comunidad de la ciberseguridad o por los hackers. Cabe mencionar que la falla solo es explotable en sistemas Windows
7 y anteriores; debido a que estos sistemas se aproximan al final de su vida útil, el alcance de la explotación se ve
reducido considerablemente.
3. Un actor de amenazas requiere de interacción con la víctima potencial, mencionan los expertos de la empresa de
ciberseguridad. Los usuarios atacados deberán realizar algunas acciones rutinarias, como abrir un archivo que funciona
como exploit, aunque es poco probable que las víctimas pudieran notar algún indicio de actividad sospechosa. Zoom
revela cómo puede ser activado un exploit haciendo clic en el botón “Iniciar video” de la aplicación.

4. Se recomienda:
 Tener cuidado con la aplicación de Zoom, evitar ingresar información confidencial.
 Estar pendientes a la actualización de la aplicación.
 Evitar manipular la configuración de la aplicación Zoom.

https[:]//noticiasseguridad.com/vulnerabilidades/nueva-falla-dia-cero-en-zoom-
Fuentes de información
permite-hackear-cualquier-computadora-windows/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe

Componente que reporta
Nombre de la alerta
Tipo de ataque
Medios de propagación
Código de familia
Clasificación temática familia
ALERTA INTEGRADA DE Fecha: 15-07-2020
SEGURIDAD DIGITAL N° 102 Página: 9 de 16
COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Spam en página web de la dirección regional de agricultura de Madre de Dios
SPAM Abreviatura SPAM
Navegación de internet.
J Código de subfamilia J01
Reconocimiento de información.
Descripción

1. El 14 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que los
ciberdelincuentes vienen aprovechándose del acceso libre y sin restricciones de comentarios a las páginas webs como de
la Dirección Regional de Agricultura de Madre de Dios, recibiendo más de 8487 comentarios con links que redireccionan
a páginas con contenido inapropiado, drogas, casas de apuestas online, etc. Su vector de ataque es utilizado para robar
información, robo de identidad y estafas.

Fecha URL Hacker Referencia

https[:]//www.dramdd.gob.pe/minagri-capacita-en-manejo-
Dirección Regional de
levantamiento-de-campo-y-post-proceso-con-equipos-gps-submetricos-
13/07/2020 - Agricultura (Madre
en-el-sistema-de-validacion-de-predios-rusticos-y-territorios-de-
de Dios)
comunidades-nativas/

2. Capturas de pantalla:

3. Se recomienda:
 Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de
prevención de intrusos, Firewall, Firewall para Aplicaciones Web y base de datos).
 Adquirir un certificado de seguridad para proteger el sitio web.
 Contratar un escáner de seguridad para el sitio web.
 Realizar copias de seguridad del sitio web con frecuencia.
 Tener softwares actualizados.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe

Componente que reporta
Nombre de la alerta
Tipo de ataque
Medios de propagación
Código de familia
Clasificación temática familia
ALERTA INTEGRADA DE Fecha: 15-07-2020
SEGURIDAD DIGITAL N° 102 Página: 10 de 16
COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Spam en página web de la municipalidad distrital de Pacanga
SPAM Abreviatura SPAM
Navegación de internet.
J Código de subfamilia J01
Reconocimiento de información.
Descripción

1. El 14 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que los
ciberdelincuentes vienen aprovechándose del acceso libre y sin restricciones de comentarios a las páginas webs como de
la Municipalidad Distrital de Pacanga, recibiendo más de 650670 comentarios con links que redireccionan a páginas con
contenido inapropiado, casas de apuestas online, etc. Su vector de ataque es utilizado para robar información, robo de
identidad y estafas.

Fecha URL Hacker Referencia

http[:]//www.munipacanga.gob.pe/web/index.php/noticias/item/91- Municipalidad
14/07/2020 entrega-de-juguetes-a-ninos-y-ninas-del-distrito-de- - Distrital de Pacanga
pacanga?limit=10&limitstart=0 (Chepén -La Libertad)

2. Capturas de pantalla:

3. Se recomienda:
 Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de
prevención de intrusos, Firewall, Firewall para Aplicaciones Web y base de datos).
 Adquirir un certificado de seguridad para proteger el sitio web.
 Contratar un escáner de seguridad para el sitio web.
 Realizar copias de seguridad del sitio web con frecuencia.
 Tener softwares actualizados.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRAL DE Fecha: 15-07-2020
SEGURIDAD DIGITAL N° 102 Página: 11 de 16
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Dispositivos en riesgo por botnet
Tipo de ataque Botnet Abreviatura Virus
Medios de propagación IRC, USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción

1. El 15 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un botnet
denominado “Mirai”, que está diseñado para atacar a múltiples dispositivos (Internet de las Cosas) y dañar su
funcionamiento.

A lo largo de estos años han ido apareciendo diferentes variantes de esta botnet. Siempre el objetivo es el mismo:
atacar dispositivos conectados a la red. Esta nueva variante de Mirai, permite explotar una serie de vulnerabilidades
que hay presentes en routers, cámaras IP, reproductores de vídeo y televisiones inteligentes, entre otros dispositivos.
Son en total nueve las vulnerabilidades que puede explotar esta nueva variante de Mirai. Una de ellas consiste en un
fallo de ejecución remota de código, que ha sido registrado como CVE-2020-10173, que afecta a routers Comtrend y
que permitiría a un atacante tomar el control total de la red.

Otra vulnerabilidad, explotada por la última versión de Mirai, es un problema de ejecución remota de código en el
router Netlink GPON 1.0.11.

2. Se recomienda:
Los usuarios, encargado de las áreas de soporte técnico, administrador red, entre otros, deberán tener sus equipos
actualizados hasta la versión más reciente a fin de evitar problemas en un futuro sobre incidencias en robo de
información, fuga de información, entre otros.

Fuentes de información https[:]//www.redeszone.net/noticias/seguridad/nueva-variante-mirai-camaras-routers/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRAL DE Fecha: 15-07-2020
SEGURIDAD DIGITAL N° 102 Página: 12 de 16
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Páginas web vulnerables a complementos de Java Script
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción

1. El 15 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que la compañía
“Tala Security”, realizó un estudio donde identifico que en un sitio web tiene aproximadamente 32 programas
JavaScript diferentes de terceros, se trata de una gran cantidad de complementos que podrían ser explotados y exponer
la web Magecart, formjacking y otras amenazas, que permitirían el robo de tarjetas bancarias.

2. La compañía en mención, asegura que los tipos de ataques se basan en vulnerabilidades presentes en JavaScript y que
se ejecutan en el 99% de los sitios web, de los cuales un 30% de los sitios analizados implementaron nuevas medidas
de seguridad para contrarrestar este problema. Cabe resaltar, que el 1,1% de los sitios web tenían una seguridad
realmente efectiva.
3. Se recomienda:
Los administradores de páginas web, deberán de realizar un test de vulnerabilidad a sus páginas web, donde puedan
mitigar brechas ocasionadas por complementos escritos en java script.

Fuentes de información https[:]//www.redeszone.net/noticias/seguridad/mayoria-webs-ataques-javascript/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 15-07-2020
SEGURIDAD DIGITAL N° 102 Página: 13 de 16
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nueva variante de malware MIRAI
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
Recientemente se ha detectado una nueva variante del malware Mirai que explota múltiples vulnerabilidades que
afectan a Cámaras IP, televisores inteligentes y routers.
2. Detalles:
Esta nueva variante de Mirai combina vulnerabilidades antiguas y nuevas, que le permiten afectar a diferentes
dispositivos conectados. Estas afectan a cámaras IP, televisores inteligentes y enrutadores, entre otros.
La vulnerabilidad más notable que explota Mirai es la CVE-2020-10173, esta vulnerabilidad permite la inyección de
comandos en el router Comtrend VR-3033. Lo cual permite a los atacantes comprometer la red administrada por el
router afectado. Esta nueva amenaza también se aprovecha de otras vulnerabilidades de ejecución de código remoto,
los cuales se encuentran en productos de distintas marcas de routers, cámaras IP y televisores.
Una característica distintiva de las variantes de Mirai es el uso de ataques de fuerza bruta Telnet y Secure Shell (SSH).
En la muestra analizada se observa que se utiliza el cifrado XOR para ocultar las credenciales que usa para atacar
dispositivos vulnerables, algunas de estas son: 1001chin, 1111, 1234, 12345, 123456, 5up, anko, cat1029, dreambox,
gm8182, hg2x0, huigu309, ipcam_rt5350, iwkb, entre otros.
El uso de la vulnerabilidad CVE-2020-10173 en el código de esta variante muestra cómo los desarrolladores de botnets
actualizan sus herramientas para infectar tantos objetivos como sea posible aprovechándose de dispositivos
vulnerables. Posterior a la infección de la computadora de la víctima, está podría ser usada en un ataque distribuido de
denegación de servicio (DDoS).
3. Indicadores de compromiso (COI):
 IP
91[.]234[.]62[.]21
184[.]68[.]253[.]202
 Dominios
methcnc[.]duckdns[.]org
methscan[.]duckdns[.]org
 Hash
MD5: 10feb5a36c7bddc5f5a9b71da0bde08b
SHA-256: 66545fffeed4f413827f9dc51d2444aaa772adf4d44f65662356b1301e45390d
4. Recomendaciones:
 Segmentar la red para evitar que la amenaza se desplace libremente.
 Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se
ejecutan en ellos.
 Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.
 No descargar o abrir archivos adjuntos de dudosa procedencia.
 Bloquear los indicadores de compromisos (IoC) mostrados, en los dispositivos de seguridad de su infraestructura.
 Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

Fuentes de información hXXp://securitysummitperu.com/articulos/nueva-variante-mirai/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 15-07-2020
SEGURIDAD DIGITAL N° 102 Página: 14 de 16
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del malware Mirai, dirigido a equipos IoT
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. El 15 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio
web redeszone.net, se informa sobre la detección del malware Mirai, software malicioso perteneciente a la familia de
las botnets destinada a infectar los equipos conformantes del IoT (internet de las cosas), el objetivo principal de este
malware es infectar la mayor cantidad posible de productos electrónicos conectados a una misma red, como routers,
cámaras IP, DVR y televisores inteligentes entre otros, que al ser infectados son utilizados por los ciberdelincuentes
para realizar ataques distribuidos de tipo DDoS (denegación de servicio), distribuir otros tipos de malware o realizar
otras actividades maliciosas.

 Para su propagación el malware Mirai, explota un conjunto de vulnerabilidades presentes en equipos electrónicos
o IoT como routers, cámaras, reproductores de videos, televisores inteligentes, etc. Alguna de las fallas de seguridad
consiste en un fallo de ejecución remota de código, las cuales permiten a los actores de amenazas tomar el control
total de la red.

 Mirai realiza escaneos frecuentes en toda la red en busca de dispositivos vulnerables, una vez que los encuentra los
infecta utilizando telnet y las credenciales por defecto para cada uno de los dispositivos encontrados, los cuales
formarán parte de la botnet hasta que el equipo sea reiniciado.

 El malware cuenta con diferentes máscaras de red, las cuales son utilizadas para evitar que se infecten equipos que
formen parte de redes privadas, direcciones del servicio postal, entes gubernamentales, General Electric y HP.

 La botnet cuenta con una licencia de software libre, que le permite a cualquiera poder utilizarlo y modificarlo, por
lo que pueden generar millones de derivados alrededor del mundo. Si esto se combina con un poder computacional,
se pueden infectar millones de equipos en muy poco tiempo, quizás en minutos, permitiendo un ataque masivo
coordinado de consecuencias graves.

o Imagen:

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
  Indicadores de compromiso.

 Archivos analizados:
Nombre: Meth.x86
Tipo: ELF
Tamaño: 40.88 KB (41856 bytes)
Máquina de destino: Intel 80386
MD5: 10feb5a36c7bddc5f5a9b71da0bde08b
SHA-1: e8440d31f747a9f446988ef7ed6686cde0d8cf47
SHA-256: 66545fffeed4f413827f9dc51d2444aaa772adf4d44f65662356b1301e45390d

Nombre: elf
Tipo: ELF
Tamaño: 36.77 KB (37648 bytes)
Máquina de destino: Intel 80386
MD5: f039096427f6201abc12ca02b2a80b84
SHA-1: af7527d850ab50259df5d74f295061403991db77
SHA-256: 5ab9f019af34c1bb512634aeb1f530672f3d66cf825b6c8ba229d8fe8b800b1c

2. Algunas Recomendaciones:
 No abra archivos sospechosos.
 No siga instrucciones de desconocidos.
 Mantenga su antivirus actualizado.
 Descargar aplicaciones de fuentes confiables.
 Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https://www.redeszone.net/noticias/seguridad/nueva-variante-mirai-camaras-routers/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 Página: 16 de 16

Índice alfabético

botnet .................................................................................................................................................................... 2, 11, 14

botnets....................................................................................................................................................................... 13, 14
Código malicioso .............................................................................................................................................. 8, 11, 13, 14
DDoS .......................................................................................................................................................................... 13, 14
Exploits .............................................................................................................................................................................. 8
Explotación de vulnerabilidades conocidas ............................................................................................................. 3, 7, 12
Fraude ................................................................................................................................................................................ 4
fuerza bruta ..................................................................................................................................................................... 13
Intento de intrusión ................................................................................................................................................. 3, 7, 12
internet .......................................................................................................................................................... 3, 4, 9, 10, 14
IoT ................................................................................................................................................................................ 2, 14
IRC, USB, disco, red, correo, navegación de internet ...................................................................................................... 11
malware ............................................................................................................................................................. 2, 5, 13, 14
Malware ................................................................................................................................................................. 5, 13, 14
phishing ............................................................................................................................................................................. 3
Phishing ............................................................................................................................................................................. 4
Reconocimiento de información ................................................................................................................................. 9, 10
Red, internet ........................................................................................................................................................ 4, 6, 7, 12
redes sociales............................................................................................................................................................. 1, 4, 5
software ....................................................................................................................................................................... 3, 14
Spam ........................................................................................................................................................................ 2, 9, 10
URL ............................................................................................................................................................................... 9, 10
USB, disco, red, correo, navegación de internet ................................................................................................... 8, 13, 14
Vulnerabilidades ........................................................................................................................................................ 2, 3, 6

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe