Resumen general de ciberataques 2020 en el Perú

Cesar Farro
9 min readMar 3, 2021

--

A continuación listaré un conjunto de ciberataques que han ocurrido a personas, empresas, entidades del gobierno durante el año 2020 con los siguientes objetivos:

  • Concientizar a las personas y empresas con casos reales ocurridos en el año 2020.
  • Mostrar el reto que tenemos los profesionales de ciberseguridad en plantear una estrategia de protección para las empresas.

En todos los casos he tratado de ocultar datos personales, datos de las empresas, instituciones públicas afectadas para no entrar en conflicto con la ley de datos personales y guardar la confidencialidad que amerita.

Sobre la fuente: Todos los casos que tocaremos en el presente articulo guardan la confidencialidad y fueron construidos con fuente propia, participacion en algunos proyectos, foros y redes sociales.

1 . Ransomware: Extorsión con los datos de tu empresa.

Ciberdelincuentes -> Empresas, Gobierno.

Tipo de Ataque: Ransomware

Impacto: Económico por la caída de los servicios de TI de la empresa.

Fecha: Durante todo el año.

Más del 50% de incidentes identificados han sido de tipo ransomware y en muchos casos aprovechando vulnerabilidades de los servicios que se publican a Internet vulnerables como un Terminal Server sin parchar como a través de Ing. social usando el correo electrónico con archivos adjuntos o enlaces dentro el correo. En su mayoría el ransomware es masivo a diferentes Empresas, Gobierno, Organizaciones. Sin embargo, también ha ocurrido ciberataques de ransomware dirigidos que son lo más peligrosos.

Ejemplo 1: Banjo

Afectación: Servidores Microsoft Windows

Formato de encriptación de archivos:

Contacto de los atacantes:

info.hta:

info.txt:

Ejemplo 2: Netwalker

Afectación: Servidores Microsoft Windows

Formato de encriptación:

  • NOMBRE DEL ARCHIVO ORIGINAL.EXTENSION ORIGINAL.CODIGO (LLNNNN)
  • NOMBRE DEL ARCHIVO ORIGINAL. EXTENSION ORIGINAL.CODIGO (LLNNNNN)

Contactos de los atacantes:

  • 1.Download and install tor-browser: https://torproject.org/
  • 2.Open our website: xxxx.onion
    If the website is not available, open another one: xxxxyyyyzzzzzzz.onion
  • 3.Put your personal code in the input form:
  • {code_CODIGO(LLNNNN):
    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx==}

Mensaje del atacante:

Cuadro del atacante por donde tiene diferentes opciones como un chat por donde puedes preguntar y también realizar el pago:

Ejemplo 3:

Afectación: Unidades de disco en grupos de servidores Microsoft Windows:

  • Grupo 1: Los atacantes cifraron la unidad D con la herramienta bitlocker, la cual pedía una contraseña y no afectaron la unidad C.
  • Grupo 2: Los atacantes modificaron el MBR (master boot record), instalaron diskcryptor y los atacantes colocaron el siguiente mensaje de contacto: jason.door99@protonmail.com y workworkhard@cock.li

2. Phishing:

Ciberdelincuentes -> Personas

Tipo de Ataque: Phishing Bancario y Gobierno a través de mensajes de texto SMS, correo electrónico.

Impacto: Económico por el robo de credenciales personales.

Fecha: Todo el año.

Los ciberdelincuentes están aprovechándose las acciones del Gobierno para el Covid-19, cobro del Bono Universal, cobro de la AFP. Perjudicados Bancos locales como: Interbank, BBVA, Banco de la Nación,

Phishing suplantando webs de instituciones bancarias locales:

Phishing vía mensajes de texto:

BBVA: https://continentalsms.online/ElPeruPrimero

Interbank: https://cutt.ly/jjFCZoj

Interbank: https://rebrand.ly/interbank-app

BBVA: https://chl.li/BBVA

3. Ciberataque a la Aplicación Web y Publicación de datos

Hacktivismo -> Canal de Televisión

Tipo: Ataques de Aplicación y publicación de los datos.

Impacto: Caída de imagen y legal por el incumplimiento de la ley de protección de los datos personales.

Fecha: Junio 2020

Hacking a los servicios web de un canal de televisión lo podemos comentar ya que fue un incidente público, aquí publicaron datos de la configuración de servicios públicos en la nube, datos personales de algunos trabajadores y personas que habían participado en los concursos del canal.

Este incidente se publicó por medio del grupo Lima Sangrienta: https://twitter.com/LimaSangrienta/status/1274805115417919489

Luego también por el grupo Anonymous, publicó: https://twitter.com/AnonymousPeru/status/1274842119874785281

Alrededor de 7mil cuentas de usuario filtradas y expuestas con su contraseña (hash MD5):

Hacktivismo -> Canal de Televisión

Tipo: Ataques de Aplicación y publicación de los datos

Fecha: Noviembre

Adicionalmente, otro canal de televisión es hackeado en el mes de Noviembre obteniendo los siguientes datos:

Autores Lima Sangrienta: https://twitter.com/AnonymousPeru/status/1333217014429741056

4. Hacking de Central IP

Ciberdelincuentes -> Empresas

Tipo: Hacking masivos en búsqueda de centrales IP: SIP Trunk 5060/udp, SIP 5061/udp publicándose a todo Internet.

Impacto: Económico.

Fecha: Todo el año.

Frecuentemente las empresas publican una central telefónica IP con el protocolo SIP 5060/UDP, 5061/UDP, por lo general centrales sin seguir medidas de seguridad que recomiendan los fabricantes y proyectos de telefonía IP.

Los atacantes utilizando el protocolo SIP , escanean las centrales desde Internet aprovechando configuraciones por default, identificadas, vulneradas y luego son utilizadas para llamar a diferentes destinos nacionales e internacionales generando montos elevados en la facturación.

Otro punto vulnerable es la creación de un anexo extendido utilizando un software cliente como Softphone desde Internet, los atacantes aprovechan la falta de protección de este Softphone accediendo y desde aquí haciendo llamadas nacionales e internacionales.

5. Suplantación de Identidad, WhatsApp

Ciberdelincuentes -> Personas

Tipo: Suplantación de identidad a través de robo de Whatsapp.

Impacto: Fraude por el robo de datos personales.

Fecha: Durante todo el año

Se ha identificado casos de dueños de empresas que han sido víctimas de Robo de su cuenta de Whastapp a través de reenvío de un mensaje SMS.

Es una práctica que el atacante conoce la línea móvil de la víctima, red de contactos y convencimiento para que activen en otro equipo la cuenta del WhatsApp original.

https://cesarfarro.medium.com/robo-de-t%C3%BA-whatsapp-a-trav%C3%A9s-de-mensajes-de-texto-8e67bf554a7c

6. Suplantación de Identidad, correo electrónico

Ciberdelincuentes -> Empresas.

Tipo: Suplantación de identidad a través del correo electrónico.

Impacto: Fraude por el robo de datos personales.

Fecha: Octubre 2020

Ciberdelincuentes crean cuentas de correo electrónico parecidas a la empresa afectada y se comunican con sus clientes para que depositen dinero a otras cuentas bancarias.

7. Hacktivismo

Hactivismo -> Instituciones del Gobierno,

Tipo: Ataques de Aplicación Web, DDoS (Denegación de Servicios Distribuidos).

Impacto: Caída de imagen de las instituciones públicas.

Fecha: Noviembre 2020

Hacktivismo frente a la realidad nacional de hechos del Congreso de la República en el mes de noviembre ha habido una ráfaga de ataques a diferentes entidades del estado

Tipo de Ataques de aplicación y Denegación de Servicios hacia páginas del estado.

8. Leak de Fabricante de Seguridad

Ciberdelincuentes -> Fabricante de Seguridad

Tipo: Hacking y publicación de más 50,000 UTMS vulnerables

Impacto: Afectación de la reputación de la marca.

Fecha: Noviembre 2020

El 24 de noviembre en un foro en Internet publican 50k IPs de todo el mundo de firewalls/UTMs vulnerables a CVE-2018–13379, encontrándose en Perú una lista aprox. entre 300/400 firewall/UTMs vulnerables a noviembre 2020:

Publicación original:

Estructura del directorio:

Lista de 49k firewall/utms vulnerables:

Ejemplo de acceso a la configuración de un equipo de seguridad, donde se puede observar los siguientes datos:

  • Dirección IP desde donde se conecta el cliente VPN SSL.
  • Usuario.
  • Contraseña (en texto plano).
  • Grupo VPN.

Ejemplo de exposición de información via web:

Ejemplo de exposición de información vía cli:

9. Defacement

Ciberdelincuentes -> Empresas, Gobierno, Universidades, Institutos, Organizaciones, etc.

Tipo: Cambio del contenido web

Impacto: Caída de la imagen de la empresa o institución pública.

Fecha: Todo el tiempo

A continuación mostrare algunos ejemplos de defacement realizado a algunas páginas “.pe” por sectores, la fuente es zone-h.org.

Fuente: http://www.zone-h.org/

Gobiernos Regionales:

Municipalidades:

Universidades:

Industria:

Conclusiones:

  1. Crecimiento del ransomware, las bandas de ciberdelincuentes cada vez están usando métodos más complejos para ingresar a las redes de las empresas, su motivación más importante es el dinero que obtienen por los datos capturados, también indicar el modelo ransomware as a service que fomenta la generación de ganancias compartido.
  2. Phishing bancario vía SMS, Web y por correo electrónico unos de los ataques más antiguos pero sigue siendo efectivo ya que está dirigido a personas usando temas mediáticos para su convencimiento y robo de sus credenciales.
  3. Hackeo de centrales IP también es una actividad de hackeo recurrente, ya que los ciber delincuentes están buscando centrales IP sin mecanismos de seguridad, con credenciales por default, con configuraciones por default que permita aprovecharse del crédito de llamadas y así realizar llamadas nacionales e internacionales.
  4. Grupos Hacktivistas, grupos organizados en respuesta a una política del gobierno o también del sector privado, frecuentemente dentro de sus integrantes tienen personal que conoce técnicamente y cada vez que se organizan generan acciones de respuesta hacia las organizaciones del gobierno y sector privado.
  5. La publicación del 24 de noviembre del 2020 donde se filtró datos de aproximadamente 49,000 equipos de seguridad en un foro en Internet por una vulnerabilidad del año 2018, esta vulnerabilidad permite ver credenciales, contraseñas en texto plano de los usuarios conectados. Entiendo que hay responsabilidad de las empresas por no realizar el upgrade respectivo, pero también hay una responsabilidad del fabricante de seguridad de no fomentar proactivamente el upgrade en sus clientes, bloquear la filtración a tiempo y realizar una comunicación a sus clientes y partners para tomar acciones frente a esta filtración.
  6. Finalmente, quisiera concluir con tres ideas principales:
  • La importancia del perfil del profesional de ciberseguridad en el asesoramiento independiente en establecer una estrategia de protección a la organización y también se sugiere que tenga conocimiento de “hacking” con el objetivo de identificar vulnerabilidades y establecer procesos de corrección viables.
  • El soporte de instituciones independientes que generen contenido y mejores prácticas como por ejemplo: nomoreransomware, antiphishingworkingroup, etc.
  • Existe la necesidad de crear entidades nacionales e internacionales con el objetivo de proteger los datos personales y defiendan frente a filtraciones de carácter personal, empresarial y datos del gobierno.
Ransomware
Phishing
Leak Detection
Hacking
Report

--

--

Cesar Farro

Written by Cesar Farro

220 Followers

Blog de #ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas y Personas

More from Cesar Farro

See all from Cesar Farro

Recommended from Medium

Lists

A search field with results below. In the background are book covers.

Now in AI: Handpicked by Better Programming

266 stories154 saves
See more recommendations

Help

Status

Writers

Blog

Careers

Privacy

Terms

About

Text to speech

Teams