Mayo | 2020 | No.

3
1. TÉCNICAS, HERRAMIENTAS Y
PROCEDIMIENTOS
1.1 PHISHING
1.2 MALWARE
1.3 RANSOMWARE
2. COVID-19 EN LA DEEP WEB II
3. APLICACIONES FALSAS
4. ACTORES DE INTERÉS
4.1 IRÁN
4.2 CHINA

BOLETÍN No. 3
CIBERINTELIGENCIA
1. TÉCNICAS , HERRAMIENTAS Y PROCEDIMIENTOS
Después de más de un mes de confinamiento en la
mayoría de países del mundo, el teletrabajo, la
telemedicina, la educación a distancia y todo aquello que
evite la cercanía social o las multitudes en lo sistemas de
transporte, han despegado como el futuro tecnológico
que fue acelerado por las circunstancias.

Los ciberdelicuentes han activado estrategias que

aprovechan la coyuntura y la multiplicación de los
objetivos, muchos de cuales son ahora más susceptibles
debido a la adaptación improvisada de sus plataformas
para el trabajo en casa.

La aplicación desbordada de técnicas como phishing y spearphishing, aprovechando como

tema la pandemia, ha llevado a los gigantes tecnológicos a tomar medidas para
contrarrestar los riesgos. Google, a través de su plataforma Gmail, ha optimizado sus
motores de spam para bloquear más de 18 millones de correos que contienen malware y
más de 240 millones con información sospechosa sobre el Covid-19 diariamente; las cifras
sobrepasan cualquier medición vista hasta ahora, para un tema específico 1.

1. imagen 1: https://www.eldiadevalladolid.com/noticia/ZDE9B1926-D5E0-1286-E6290899034ADB32/Ciberdelincuencia-la-otra-epidemia-viral
2. 1. https://cloud.google.com/blog/products/identity-security/protecting-against-cyber-threats-during-covid-19-and-beyond

P. 1
Abril | 2020 | No. 3

Esta semana se ha incrementado notablemente el uso de técnicas de phishing como vector

de entrada para intentar vulnerar sistemas de empresas en el sector energético y de
petróleos, algunos casos relevantes se presentan a continuación.

1.1 PHISHING

Investigadores de bitdefender realizaron

un estudio en medio del creciente
número de campañas de spearphishing
detectadas en las dos últimas semanas a
compañías de energía y petróleo.

Sus descubrimientos pusieron en

evidencia sofisticados métodos de
suplantación, dirigidos a compañías en
Estados Unidos, Malasia, Irán, Sudáfrica,
Omán y Turquía.

Los ciberdelincuentes utilizaron como fachada una famosa firma contratista egipcia,
Engineering for Petroleum and Process Industries (Enppi), que ofrecía servicios a todas las
compañías mencionadas. El éxito de esta campaña fraudulenta estuvo en el uso de
proyectos confidenciales y jerga especializada, que dió un manto de confianza a las
comunicaciones.

Además del robo de credenciales de los sistemas de correos de estas compañías, se

adjuntó el malware Agent Tesla; este RAT (Remote Administration Tool), es un troyano
programado en .Net que ha sido comercializado desde el 2014 y tiene capacidades para
sustraer múltiples credenciales de diversas cuentas y capturar el teclado de las víctimas.

Porlas peculiaridades y detalles del ataque, se sospecha que haya sido parte de una
campaña de espionaje industrial sobre el sector de energía.

Gráfico 1.

1. Imagen: https://www.blogbankia.es/es/blog/proteger-pyme-phishing.html
2. Gráfico 1:https://labs.bitdefender.com/2020/04/oil-&-gas-spearphishing-campaigns-drop-agent-tesla-spyware-in-advance-of-historic-opec+-deal/

P. 2
Abril | 2020 | No. 3

La campaña aprovechó un cierre para la presentación de propuestas en un proyecto

específico llamado Rosseta Sharing Facilities e hizo que las víctimas descargaran un archivo
comprimido “.zip”, que contenía varios archivos legítimos y otro malicioso que instalaba el
troyano.

Gráfico 2.

Las empresas afectadas aún no se pronuncian sobre el daño causado por esta campaña.

1.2 MALWARE

Nuevas técnicas para la implantación de malware se vienen desarrollando por los

cibercriminales; esto teniendo en cuenta que los protocolos de seguridad de muchas
empresas y gobiernos aumentan en porcentajes similares al de los ataques y de los riesgos
a los que se ven expuestos.

1. Gráfico 2: https://labs.bitdefender.com/2020/04/oil-&-gas-spearphishing-campaigns-drop-agent-tesla-spyware-in-advance-of-historic-opec+-deal/

P. 3
Abril | 2020 | No. 3

Recientemente le empresa de seguridad Karspersky descubrió un ataque del tipo “ watering

hole” o abrevadero, inspirado en la naturaleza, en donde los cazadores esperan a que sus
víctimas se abastezcan de agua para atacar. En este tipo de ataque se busca un grupo de
victimas específico a través de la visita a lugares de interés común en Internet para, a través
de algún tipo de exploit, inyectarles malware específico.

Esta campaña parece estar enfocada en un público

en particular en Hong Kong; si bien las
investigaciones no han arrojado datos concluyentes
sobre el origen del ataque, se encuentra bajo la mira
de las empresas de seguridad por la sofisticación en
la infraestructura utilizada.

Para el ataque se utiliza una cadena de exploits

sobre dispositivos Apple que afectan a
prácticamente todas las versiones de Iphone y Ipad
con soporte para todos los iOS, con excepción del
11.03. Una vez se obtienen los privilegios
suficientes, se procede a instalar un malware
modular llamado LigthSpy iOS, que dependiendo del
sistema anfitrión tiene diferentes fases de
Gráfico 3. comportamiento.

El ataque comienza con enlaces esparcidos por varios foros populares entre el público
objetivo, estos enlaces los redireccionan a sitios web previamente comprometidos donde
un Web Kit Exploit optimizado para iOS, aprovecha vulnerabilidades recientes para
implantar un payload que comienza a ejecutar código malicioso, verificando e instalando
módulos de un troyano de acuerdo a la configuración del dispositivo de la víctima.

Gráfico 4.

1. Gráfico 3 y 4: https://securelist.com/ios-exploit-chain-deploys-lightspy-malware/96407/

P. 4
Abril | 2020 | No. 3

1.3 RANSOMWARE
La tendencia en época de pandemia
continúa apuntando a ataques sobre
diferentes plataformas, que utilizan
diversas técnicas para instalar
ransomware en los clientes.

En dias anteriores, de acuerdo al blog de

seguridad bleepingcomputer, se
presentó uno de los mayores ataques
recientes de extorsión por datos.

La Empresa Portuguesa de Energia “Energias de Portugal (EDP)” sufrió el secuestro de la

información contenida en sus servidores, los ciberdelincuentes están exigiendo como
recompensa para el desbloqueo de los datos la suma de 1.580 Bitcoins, aproximadamente
10.9 millones de dólares. La multinacional energética está presente en 11 países y es la
cuarta productora mundial de energía eólica.

El ataque se efectuó por medio del ransomware “ Ragnar Locker” identificado desde
mediados de diciembre del 2019 y enfocado en ambientes MPS corporativos (Managed
Services Provider), utilizados por muchas compañias para administrar su infraestructura
tecnológica.

Los ciberdelincuentes afirman tener posesión de 10 Tb de datos sensibles los cuales harán
públicos en caso de no realizar el pago, en su sitio en la Deep Web postearon pantallazos
de dicha información como prueba, y dejaron links para descargar los arhivos . kdb
(colección de contraseñas), de algunos servidores.

Gráfico 5.

1. Imagen 2:https://www.arkalabs.cl/2020/02/ransomware-ragnar-locker-apunta-las.html
2. Gráfico 5: https://www.bleepingcomputer.com/news/security/ragnarlocker-ransomware-hits-edp-energy-giant-asks-for-10m/

P. 5
Abril | 2020 | No. 3

2. CORONAVIRUS EN LA DEEP WEB II

Continúan las decenas de ofertas fraudulentas expuestas en la Deep Web; ahora los
estafadores no sólo ofrecen vacunas sino que innovan ofreciendo en le mercado desde
ventiladores para entrega inmediata, test rápidos para Covid-19, plasma de pacientes
recuperados, hasta saliva infectada como veneno. El grupo darkowl ha identificado algunos:

Gráfico 6.

Recientemte se ha abierto una ventana peligrosa para los criminales y es poner a la venta
sangre o saliva de contagiados por el covid-19 para ser utilizados como un tipo de veneno
biológico.

Gráfico 7.

Gráfico 8.

1. Gráfico 6: http://agarthafcidkiwas.onion/item/1928602839240168493
2. Gráfico 7: http://depastedihrn3jtw.onion/show.php?md5=0a4f6c42ec79ea79f8f0984f8e6fafcf
3. Gráfico 8: http://depastedihrn3jtw.onion/show.php?md5=3e901ee29814c57c1950a0db6ca829e7
P. 6
Abril | 2020 | No. 3

También se sigue manejando material sanitario y medicinas que han sido expuestas en
algún ámbito como posibles tratamientos para el manejo del virus.

Gráfico 9.

Gráfico 10.

Gráfico 11.

1. Gráfico 9: http://agarthafcidkiwas.onion/item/3617970973411807749
2. Gráfico 10: http://agarthafcidkiwas.onion/item/8440009116205786891
3. Gráfico 11: http://coronajkkhq6dygj.onion/
P. 7
Abril | 2020 | No. 3

3. APLICACIONES Y CAMPAÑAS FALSAS

Continúa la creación de métodos de estafa aprovechando la pandemia. Cada vez más
depurados y con mayor de nivel de profesionalismo, los cibercriminales crean aplicaciones
para iOs y Android suplantando las oficiales que ya muchos gobiernos tienen
implementadas.

Gráfico 12.

La empresa de seguridad Trendmicro está tras la pista de una campaña que denominaron
ProjectSpy, con varias aplicaciones que intentan hacerse pasar por geniunas, o
actualizaciones reales formando un cluster de fraude que busca recopilar datos de las
víctimas. Utilizan íconos muy similares pero con pequeñas variaciones de color o forma para
pasar a las verificaciones de las tiendas oficiales de las diferentes plataformas.

Gráfico 13.

1. Gráfico 12 y 13 : https://blog.trendmicro.com/trendlabs-security-intelligence/coronavirus-update-app-leads-to-project-spy-android-and-ios-spyware/

P. 8
Abril | 2020 | No. 3

Trendmicro encontró similitudes en las trazas y solicitudes a servidores desde algunas

aplicaciones en específico, coincidencias en variables y métodos puntuales logrando
encontrar un punto común sobre un servicio de autenticación.

Gráfico 14.

4. ACTORES DE INTERÉS

Gráfico 15.

En el top de los países que originan el mayor número de ataques y botnets en la actualidad
se encuentran China e Irán, conocidos por sus altas inversiones y desarrollo en
ciberseguridad y cibertinteligencia; en muchas de las campañas desplegadas, si bien son
adjudicadas a grupos de hackers, se presume que la financiación para infraestructura y
capacitación viene por parte de los Estados.
1. Gráfico 14: https://thenextweb.com/security/2020/03/13/hackers-are-spreading-fake-android-coronavirus-trackers-to-steal-your-bitcoin/
2. Gráfico 15: https://www.deteque.com/live-threat-map/

P. 9
Abril | 2020 | No. 3

4.1 IRÁN
Un informe reciente de Comparitech y Bob Diachenko sobre un servidor de Elasticsearch expuesto con datos
extraídos de Telegram, fue solo uno de los numerosos informes sobre fugas que se expusieron durante marzo, con
mas de 42 millones de datos de ciudadanos iraníes.

El 29 de marzo, Under The Breach, un servicio de monitoreo y prevención de violación de datos trinó sobre una
lista expuesta en un foro ofreciendo más de 40 millones de datos telefónicos de iraníes:

Gráfico 16.

La preocupación por un posible espionaje gubernamental parecería estar bien fundada.

Los datos fueron publicados por un grupo llamado "Sistema de caza" (traducido del Farsi). Se ha sugerido desde el
momento en que se descubrieron los datos, que no eran consistentes con la estructura de Telegram, Comparitech
explicó que un portavoz de Telegram les informó que los datos parecían provenir de aplicaciones bifurcadas de
Telegram.

Gráfico 17.
1. Gráfico 16: https://twitter.com/underthebreach
2. Gráfico 17: https://www.comparitech.com/?s=Hashemloo

P. 10
Abril | 2020 | No. 3

Una investigación adicional reveló que el pull de direcciones IP vinculadas a los

repositorios de la información (46.209.20.26), estaban relacionadas con el nombre de
Manouchehr Hashemlo y también estaba conectado a "Mahanserver", que
posteriormente cambió los nombres a Ariadc. Ariadc es un centro de datos registrado por
[email protected] y vínculado en investigaciones pasadas a campañas del gobierno
Iraní.

4.1 CHINA
Hackread.com informó que el gobierno chino ha venido utilizando bases de datos de reconocimiento facial,
probablemente durante meses, para monitorear remotamente a la población Uyghurs en la región de Xinjiang.

Ahora, en un informe de investigación publicado por la empresa de cibeseguridad Volexity, se ha revelado la

existencia de una vulnerabilidad de iOS explotada para espiar a la minoría Uyghurs en China.

Apodado por los investigadores como “Insomnio”, se cree que la vulnerabilidad de iOS estuvo en su uso máximo
de enero a marzo del 2020, trabajando en las versiones de iOS 12.3, 12.3.1 y 12.3.2, mientras que Apple parchó la
vulnerabilidad en 12.4 en julio de 2019.

El grupo detrás de esta campaña se denomina “Evil Eye”, la vulnerabilidad en estos sistemas se explota para llevar
a cabo Waterholing una técnica bastante popular entre los ciberdelincuentes chinos, utilizada previamente en
ataques cibernéticos contra el centro de datos nacional.

En cuanto a los datos robados se incluyen: coordenadas GPS, números de contacto, correos electrónicos de Gmail
y Protonmail, fotos de iPhone, mensajes de numerosas plataformas de mensajería como Whatsapp, Telegram,
WeChat, iMessage, Hangouts e incluso fotos de Signal.

Gráfico 19.

1. Gráfico 18: https://www.hackread.coma//ios-vulnerability-exploited-spy-on-uyghurs-chinml

P. 11