Resumen de ciberataques 2020 en el Perú

César Farro    27 mayo, 2021

En este artículo listaré un conjunto de ciberataques que han ocurrido a personas, empresas y entidades del Gobierno durante el año 2020 con los siguientes objetivos:

  • Concienciar a las personas y empresas con casos reales ocurridos en el año 2020.
  • Mostrar el reto que tenemos los profesionales de ciberseguridad en plantear una estrategia de protección para las empresas.

En todos los casos he tratado de ocultar datos personales, datos de las empresas e instituciones públicas afectadas para no entrar en conflicto con la ley de datos personales y guardar la confidencialidad que amerita.

Sobre la fuente: todos los casos que tocaremos en el presente artículo guardan la confidencialidad y fueron construidos con fuente propia, participación en algunos proyectos, foros y redes sociales.

1. Ransomware: extorsión con los datos de tu empresa

Más del 50% de incidentes reportados han sido de tipo Ransomware, en muchos casos aprovechando vulnerabilidades a través de ingeniería social usando el correo electrónico con archivos adjuntos o enlaces dentro del correo. En su gran mayoría, el Ransomware es masivo dirigido tanto a empresas privadas como a instituciones del Estado. Sin embargo, también han ocurrido ataques de Ransomware dirigidos.

Ejemplo: Banjo

  • Afectación: Servidores Microsoft Windows
  • Formato de encriptación de archivos:
    • NOMBRE DEL ARCHIVO ORIGINAL.docx.id[CODIGO-XXXX].[furas@airmail.cc].banjo
    • NOMBRE DEL ARCHIVO ORIGINAL.xlsx.id[CODIGO–XXXX].[furas@airmail.cc].banjo
  • Contacto de los atacantes:
    • Correo: furas@airmail.cc
    • Correo: krasume@tutanota.com
    • Telegram: @krasume
  • info.hta:
  • info.txt:

2. Phishing Bancario y Gobierno

Los ciberdelincuentes están aprovechándose las acciones del Gobierno para el Covid-19 como el cobro del Bono Universal o el cobro de la AFP. Los perjudicados han sido bancos locales como Interbank, BBVA o Banco de la Nación.

Ejemplo: Phishing suplantando webs de instituciones bancarias locales

3. Hacktivismo: ciberataque a la Aplicación Web y Publicación de datos

Este hacking a los servicios web de un canal de televisión lo podemos comentar ya que fue un incidente público, aquí publicaron datos de la configuración de servicios públicos en la nube, datos personales de algunos trabajadores y personas que habían participado en los concursos del canal.

Este incidente se publicó por medio del grupo Lima Sangrienta.

Luego también por el grupo Anonymous, publicó.

Alrededor de 7 mil cuentas de usuario filtradas y expuestas con su contraseña (hash MD5):

4. Hacking de Central Telefónica: hacking masivos en búsqueda de centrales IP: SIP Trunk 5060/udp, SIP 5061/udp publicándose a todo Internet

Frecuentemente, las empresas publican una central telefónica IP con el protocolo SIP 5060/UDP, 5061/UDP. Por lo general, estas centrales no siguen las medidas de seguridad que recomiendan los fabricantes y proyectos de telefonía IP.

Los atacantes, utilizando el protocolo SIP, escanean las centrales desde Internet aprovechando configuraciones por default identificadas vulneradas y luego son utilizadas para llamar a diferentes destinos nacionales e internacionales generando montos elevados en la facturación.

Otro punto vulnerable es la creación de un anexo extendido utilizando un software cliente como Softphone desde Internet, los atacantes aprovechan la falta de protección de este Softphone accediendo y desde aquí haciendo llamadas nacionales e internacionales.

5. Suplantación de Identidad a través de robo de WhatsApp

Se han identificado casos de dueños de empresas que han sido víctimas de robo de su cuenta de Whastapp a través de reenvío de un mensaje SMS.

Es una práctica en la que el atacante conoce la línea móvil de la víctima, su red de contactos y tiene el convencimiento para que activen en otro equipo la cuenta del WhatsApp original.

6. Suplantación de identidad a través del correo electrónico

Ciberdelincuentes crean cuentas de correo electrónico parecidas a la empresa afectada y se comunican con sus clientes para que depositen dinero a otras cuentas bancarias.

7. Hacktivismo: Ataques de Aplicación Web, DDoS (Denegación de Servicios Distribuidos)

Hacktivismo frente a la realidad nacional de hechos del Congreso de la República en el mes de noviembre ha habido una ráfaga de ataques a diferentes entidades del estado

8. Leak de Fabricante de Seguridad: Hacking y publicación de más 50,000 UTMS vulnerables

El 24 de noviembre, en un foro en Internet, publican 50k IPs de todo el mundo de firewalls/UTMs vulnerables a CVE-2018–13379, encontrándose en Perú una lista aprox. entre 300/400 firewalls/UTMs vulnerables a noviembre 2020:

Publicación original:

Estructura del directorio:

Lista de 49k firewall / utms vulnerables:

Ejemplo de acceso a la configuración de un equipo de seguridad, donde se puede observar los siguientes datos:

  • Dirección IP desde donde se conecta el cliente VPN SSL
  • Usuario
  • Contraseña (en texto plano)
  • Grupo VPN

Ejemplo de exposición de información via web:

Ejemplo de exposición de información vía cli:

10. Defacement: Caída de la imagen de la empresa o institución pública

A continuación, mostrare algunos ejemplos de defacement realizado a algunas páginas “.pe” por sectores, la fuente es zone-h.org.

Gobiernos Regionales

Municipalidades

Universidades

Industria

Conclusiones finales

  1. Crecimiento del Ransomware. Las bandas de ciberdelincuentes cada vez están usando métodos más complejos para ingresar a las redes de las empresas, su motivación más importante es el dinero que obtienen por los datos capturados, también indicar el modelo “Ransomware as a service” que fomenta la generación de ganancias compartido.
  2. Phishing bancario vía SMS, Web y por correo electrónico. Uno de los ataques más antiguos, pero que sigue siendo efectivo ya que está dirigido a personas utilizando temas mediáticos para su convencimiento y robo de sus credenciales.
  3. Hackeo de centrales IP. También es una actividad de hackeo recurrente, ya que los ciber delincuentes están buscando centrales IP sin mecanismos de seguridad, con credenciales y configuraciones por default que permita aprovecharse del crédito de llamadas y así realizar llamadas nacionales e internacionales.
  4. Grupos Hacktivistas. Grupos organizados en respuesta a una política del gobierno o del sector privado, frecuentemente dentro de sus integrantes tienen personal que conoce técnicamente y cada vez que se organizan generan acciones de respuesta hacia las organizaciones del gobierno y sector privado.
  5. Filtración de datos. La más destacada se produjo el 24 de noviembre, en la que se filtraron datos de aproximadamente 49.000 equipos de seguridad en un foro en Internet por una vulnerabilidad del año 2018. Esta vulnerabilidad permite ver credenciales y contraseñas en texto plano de los usuarios conectados. Entiendo que hay responsabilidad de las empresas por no realizar el upgrade respectivo, pero también hay una responsabilidad del fabricante de seguridad de no fomentar proactivamente el upgrade en sus clientes, bloquear la filtración a tiempo y realizar una comunicación a sus clientes y partners para tomar acciones frente a esta filtración.
  6. Finalmente, quisiera concluir con tres ideas principales:
    1. La importancia del perfil del profesional de ciberseguridad en el asesoramiento independiente a la hora de establecer una estrategia de protección a la organización y también se sugiere que tenga conocimiento de “hacking” con el objetivo de identificar vulnerabilidades y establecer procesos de corrección viables.
    2. El soporte de instituciones independientes que generen contenido y mejores prácticas como por ejemplo: nomoreransomware, antiphishingworkingroup, etc.
    3. Existe la necesidad de crear entidades nacionales e internacionales con el objetivo de proteger los datos personales y defender frente a filtraciones de carácter personal, empresarial y datos del gobierno.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *