Vulnerabilidades aprovechadas por cibercriminales chinosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de 25 vulnerabilidades por parte de grupos cibercriminales patrocinados por el gobierno chino. Algunas vulnerabilidades explotadas aprovechan el acceso a internet en los productos o servicios expuestos en las entidades; las cuales pueden ser utilizadas para la intrusión inicial en la red y movimientos laterales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-aprovechadas-por-cibercriminales-chinoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de 25 vulnerabilidades por parte de grupos cibercriminales patrocinados por el gobierno chino. Algunas vulnerabilidades explotadas aprovechan el acceso a internet en los productos o servicios expuestos en las entidades; las cuales pueden ser utilizadas para la intrusión inicial en la red y movimientos laterales.
Nuevo RAT Abaddon, utiliza la plataforma Discord como C2En el monitorio a fuentes abiertas, el equipo del Csirt Financiero ha observado un nuevo troyano de acceso remoto (RAT) denominado Abaddon. Este RAT tiene la capacidad de utilizar como servidor de comando y control (C2) a la plataforma Discord para enviar y ejecutar instrucciones en equipos comprometidos. Además, se ha evidenciado que este RAT tiene un módulo en desarrollo destinado a la propagación de ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-abaddon-utiliza-la-plataforma-discord-como-c2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitorio a fuentes abiertas, el equipo del Csirt Financiero ha observado un nuevo troyano de acceso remoto (RAT) denominado Abaddon. Este RAT tiene la capacidad de utilizar como servidor de comando y control (C2) a la plataforma Discord para enviar y ejecutar instrucciones en equipos comprometidos. Además, se ha evidenciado que este RAT tiene un módulo en desarrollo destinado a la propagación de ransomware.
Ransomware Ryuk implementa nuevas técnicas de ataqueEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha constatado una nueva actividad maliciosa del ransomware Ryuk, programa malicioso conocido desde el año 2018 por ser una amenaza altamente peligrosa por su velocidad de ejecución y cifrado de los datos en la red comprometida, además de la evasión frente a herramientas de seguridad y programas antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-ryuk-implementa-nuevas-tecnicas-de-ataquehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha constatado una nueva actividad maliciosa del ransomware Ryuk, programa malicioso conocido desde el año 2018 por ser una amenaza altamente peligrosa por su velocidad de ejecución y cifrado de los datos en la red comprometida, además de la evasión frente a herramientas de seguridad y programas antimalware.
Campaña de AsyncRAT dirigida a empleados de entidad financieraEl Csirt Financiero en colaboración con uno de nuestros asociados, identificó la existencia de una nueva campaña de phishing dirigida a empleados de una entidad financiera.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-asyncrat-dirigida-a-empleados-de-entidad-financierahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero en colaboración con uno de nuestros asociados, identificó la existencia de una nueva campaña de phishing dirigida a empleados de una entidad financiera.
Ciberdelincuentes donan dinero de rescates obtenidos por ransomware Darkside.En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que los ciberdelincuentes detrás del Ransomware DarkSide ha donado $10.000 dólares a varias organizaciones sin ánimo de lucro, suma que es parte del dinero recaudado por las extorsiones a empresas víctimas del ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-donan-dinero-de-rescates-obtenidos-por-ransomware-darksidehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que los ciberdelincuentes detrás del Ransomware DarkSide ha donado $10.000 dólares a varias organizaciones sin ánimo de lucro, suma que es parte del dinero recaudado por las extorsiones a empresas víctimas del ransomware.
Vulnerabilidad dirigida a dispositivos CiscoEn el constante monitoreo que realiza el equipo del Csirt Financiero conoció una vulnerabilidad que podría afectar dispositivos tecnológicos tipos Routers que ejecutan el software Cisco IOS XR. El parche de actualización fue liberado en febrero. Sin embargo, recientemente se han conocido informes de intentos de explotación de la vulnerabilidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-dirigida-a-dispositivos-ciscohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el equipo del Csirt Financiero conoció una vulnerabilidad que podría afectar dispositivos tecnológicos tipos Routers que ejecutan el software Cisco IOS XR. El parche de actualización fue liberado en febrero. Sin embargo, recientemente se han conocido informes de intentos de explotación de la vulnerabilidad.
Troyano bancario denominado GhimobEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad de los actores detrás de la amenaza Guildma, los cuales han generado un nuevo malware denominado Ghimob. Los ciberdelincuentes han trabajado de manera activa en el desarrollo de nuevas técnicas y herramientas que les permitan afectar a un mayor número de usuarios de aplicaciones móviles financieras en América Latina, Europa y países africanos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-denominado-ghimobhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad de los actores detrás de la amenaza Guildma, los cuales han generado un nuevo malware denominado Ghimob. Los ciberdelincuentes han trabajado de manera activa en el desarrollo de nuevas técnicas y herramientas que les permitan afectar a un mayor número de usuarios de aplicaciones móviles financieras en América Latina, Europa y países africanos.
Nuevo malware vizom apunta a clientes bancarios brasileñosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo malware denominado Vizom dirigido a clientes de bancos brasileños, tiene funcionalidades que le permiten realizar la superposición de pantalla, acceso remoto y tomar el control del equipo infectado por parte del ciberdelincuente que puede utilizar las credenciales del usuario en transacciones bancarias fraudulentas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-vizom-apunta-a-clientes-bancarios-brasilenoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo malware denominado Vizom dirigido a clientes de bancos brasileños, tiene funcionalidades que le permiten realizar la superposición de pantalla, acceso remoto y tomar el control del equipo infectado por parte del ciberdelincuente que puede utilizar las credenciales del usuario en transacciones bancarias fraudulentas.
Nueva variante de GravityRAT afecta sistemas Android, Windows y MacOS.En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevas variantes del malware GravityRAT, dirigidas a dispositivos Android y equipos macOS. Malware empleado desde 2015 dirigido principalmente a Sistemas Operativos Windows. En 2018, los ciberdelincuentes encargados del desarrollo realizaron modificaciones importantes en su código, buscando disminuir su detección de las aplicaciones de seguridad y programas antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-gravityrat-afecta-sistemas-android-windows-y-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevas variantes del malware GravityRAT, dirigidas a dispositivos Android y equipos macOS. Malware empleado desde 2015 dirigido principalmente a Sistemas Operativos Windows. En 2018, los ciberdelincuentes encargados del desarrollo realizaron modificaciones importantes en su código, buscando disminuir su detección de las aplicaciones de seguridad y programas antimalware.
Inyecciones Web, principal amenaza cibernética para el sector financieroEn el monitoreo realizado por el Csirt Financiero se ha evidenciado que las inyecciones de código a los sitios web bancarios se han convertido en un gran problema para el sector financiero, debido a su gran facilidad para exfiltrar información financiera de clientes de entidades bancarias y la realización de transferencias fraudulentas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/inyecciones-web-principal-amenaza-cibernetica-para-el-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado que las inyecciones de código a los sitios web bancarios se han convertido en un gran problema para el sector financiero, debido a su gran facilidad para exfiltrar información financiera de clientes de entidades bancarias y la realización de transferencias fraudulentas.
Nuevos indicadores de compromiso asociados a la reactivación de EmotetEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a la reactivación del troyano bancario Emotet. Se propaga principalmente a través de mensajes de correo electrónico malspam que intentan persuadir a los usuarios para que hagan clic o descarguen los archivos maliciosos adjuntos al utilizar asuntos relacionados a facturas, detalles o envíos de empresas de paquetería.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-la-reactivacion-de-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a la reactivación del troyano bancario Emotet. Se propaga principalmente a través de mensajes de correo electrónico malspam que intentan persuadir a los usuarios para que hagan clic o descarguen los archivos maliciosos adjuntos al utilizar asuntos relacionados a facturas, detalles o envíos de empresas de paquetería.
Nuevo ejecutable distribuye AsyncRATEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva muestra de malware que distribuye AsyncRAT. Este software creado con propósito académico y con repositorio de código libre en GitHub, es utilizado por ciberdelincuentes para comprometer equipos de cómputo con sistema Operativo Windowshttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ejecutable-distribuye-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva muestra de malware que distribuye AsyncRAT. Este software creado con propósito académico y con repositorio de código libre en GitHub, es utilizado por ciberdelincuentes para comprometer equipos de cómputo con sistema Operativo Windows
Cargas útiles de Mirai apuntan a vulnerabilidades en dispositivos IOTEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de cargas útiles que apuntan a vulnerabilidades de dispositivos IoT. Mirai es una botnet activa desde el año 2016, conformada por diversos equipos conectados. Los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/cargas-utiles-de-mirai-apuntan-a-vulnerabilidades-en-dispositivos-iothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de cargas útiles que apuntan a vulnerabilidades de dispositivos IoT. Mirai es una botnet activa desde el año 2016, conformada por diversos equipos conectados. Los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS entre otros.
Vulnerabilidad que afecta Google ChromeEl equipo del Csirt Financiero evidenció una vulnerabilidad que afecta al navegador Google Chrome, uno de los navegadores más populares y utilizados por gran cantidad de usuarios y entidades. La brecha de seguridad podría causar la divulgación o fuga de información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-que-afecta-google-chromehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero evidenció una vulnerabilidad que afecta al navegador Google Chrome, uno de los navegadores más populares y utilizados por gran cantidad de usuarios y entidades. La brecha de seguridad podría causar la divulgación o fuga de información.
Ransomware Phobos afecta Sistema Microsoft WindowsEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, conoció del ransomware Phobos, el cual tiene como característica principal el constante cambio de la extensión de los archivos cifrados, además se ha evidenciado el incumplimiento de la liberación de los archivos, así las víctimas hayan cancelado el valor del rescate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-phobos-afecta-sistema-microsoft-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, conoció del ransomware Phobos, el cual tiene como característica principal el constante cambio de la extensión de los archivos cifrados, además se ha evidenciado el incumplimiento de la liberación de los archivos, así las víctimas hayan cancelado el valor del rescate.
Nuevas vulnerabilidades que afectan a WindowsEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevas vulnerabilidades que afectan a equipos con sistema operativo Windows 10 y Windows Server.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-vulnerabilidades-que-afectan-a-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevas vulnerabilidades que afectan a equipos con sistema operativo Windows 10 y Windows Server.
Fonix nuevo Ransomware como ServicioEn el monitoreo del panorama cibercriminal, el equipo del Csirt Financiero ha observado una nueva amenaza de ransomware denomina Fonix, una herramienta distribuida bajo la modalidad de Ransomware como Servicio (RaaS). Fonix afecta a los sistemas operativos Windows independiente de la arquitectura (32 o 64 bits).http://csirtasobancaria.com/Plone/alertas-de-seguridad/fonix-nuevo-ransomware-como-serviciohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo del panorama cibercriminal, el equipo del Csirt Financiero ha observado una nueva amenaza de ransomware denomina Fonix, una herramienta distribuida bajo la modalidad de Ransomware como Servicio (RaaS). Fonix afecta a los sistemas operativos Windows independiente de la arquitectura (32 o 64 bits).
Vulnerabilidades en Microsoft Azure App ServicesEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas se han evidenciado dos vulnerabilidades críticas presentes en el servicio App Services de Microsoft Azure con afectación en infraestructura tecnológica con distribuciones Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-en-microsoft-azure-app-serviceshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas se han evidenciado dos vulnerabilidades críticas presentes en el servicio App Services de Microsoft Azure con afectación en infraestructura tecnológica con distribuciones Linux.
Múltiples vulnerabilidades halladas en dispositivos NetGearEn el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha comprobado múltiples vulnerabilidades en los productos de NetGear.http://csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-vulnerabilidades-halladas-en-dispositivos-netgearhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
TA505 explota vulnerabilidad ZerologonDesde el monitoreo realizado por el Csirt Financiero se ha evidenciado que TA505 está realizando explotación de la vulnerabilidad Zerologon, en donde abusan del aplicativo de Windows MSBuild(.)exe para compilar Mimikatz, actualizado con la funcionalidad incorporada de ZeroLogon.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ta505-explota-vulnerabilidad-zerologonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el monitoreo realizado por el Csirt Financiero se ha evidenciado que TA505 está realizando explotación de la vulnerabilidad Zerologon, en donde abusan del aplicativo de Windows MSBuild(.)exe para compilar Mimikatz, actualizado con la funcionalidad incorporada de ZeroLogon.