Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
RAMBleed aprovecha vulnerabilidades de hardware de MemoriaRAMBleed, nuevo ataque que permite a los ciberdelincuentes leer y robar datos almacenados en memoria, método que aprovecha fallas de hardware mediante utilización de técnicas como Rowhammer para la extracción de datos. Ciberdelincuentes podrían aprovechar este tipo de vulnerabilidades en entidades del sector Financiero afectando la Confidencialidad e integridad de la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rambleed-aprovecha-vulnerabilidades-de-hardware-de-memoriahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
RAMBleed, nuevo ataque que permite a los ciberdelincuentes leer y robar datos almacenados en memoria, método que aprovecha fallas de hardware mediante utilización de técnicas como Rowhammer para la extracción de datos. Ciberdelincuentes podrían aprovechar este tipo de vulnerabilidades en entidades del sector Financiero afectando la Confidencialidad e integridad de la información.
Filtración de datos de 900.000 usuarios de Bancos de RusiaA través de los procesos y análisis de identificación de fuga de información relacionada con tarjetas bancarias y datos personales, el CSIRT Financiero han obtenido evidencias de la filtración de datos de 900.000 usuarios de bancos de Rusia. Según lo emitido por algunos bancos de Rusia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/filtracion-de-datos-de-900-000-usuarios-de-bancos-de-rusiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de los procesos y análisis de identificación de fuga de información relacionada con tarjetas bancarias y datos personales, el CSIRT Financiero han obtenido evidencias de la filtración de datos de 900.000 usuarios de bancos de Rusia. Según lo emitido por algunos bancos de Rusia.
Vulnerabilidad Return of the WIZard.Se detecta amenaza global basada en EXIM, el cual podría afectar arquitecturas físicas financieras. Qualys, empresa estadounidense reporto una vulnerabilidad identificada como CVE-2019-10149 en servidores de correo electrónico basados en EXIM (es un agente de transferencia de mensajes MTA el cual se utiliza en sistemas UNIX) y permitiría ejecutar comando con el usuario de Exim, en el cual en muchos casos es root.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-return-of-the-wizardhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta amenaza global basada en EXIM, el cual podría afectar arquitecturas físicas financieras. Qualys, empresa estadounidense reporto una vulnerabilidad identificada como CVE-2019-10149 en servidores de correo electrónico basados en EXIM (es un agente de transferencia de mensajes MTA el cual se utiliza en sistemas UNIX) y permitiría ejecutar comando con el usuario de Exim, en el cual en muchos casos es root.
Campaña de Phishing distribuye WSH RAT.Desde CSIRT Financiero se detecta amenaza global sobre una nueva campaña de Phishing, la cual tiene como objetivo principal infectar a los clientes de la banca comercial buscando tener el control de los equipos con WSH RAT a través de Keyloggers (software que permite capturar las pulsaciones del teclado), además de visores de credenciales de navegador y correo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-distribuye-wsh-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se detecta amenaza global sobre una nueva campaña de Phishing, la cual tiene como objetivo principal infectar a los clientes de la banca comercial buscando tener el control de los equipos con WSH RAT a través de Keyloggers (software que permite capturar las pulsaciones del teclado), además de visores de credenciales de navegador y correo.
Malnet AESDDoS malwareDesde CSIRT Financiero se detecta amenaza global que podría impactar sobre el sector financiero. Un malware de red de bots de Linux AESDDoS capturado por honeypots de la empresa de seguridad de Trend Micro fue verificado, el cual aprovecha vulnerabilidades en las API de Docker que se ejecuten en host de contenedor, para establecer comandos relacionados con el contenedor Daemon con permisos de root.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malnet-aesddos-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se detecta amenaza global que podría impactar sobre el sector financiero. Un malware de red de bots de Linux AESDDoS capturado por honeypots de la empresa de seguridad de Trend Micro fue verificado, el cual aprovecha vulnerabilidades en las API de Docker que se ejecuten en host de contenedor, para establecer comandos relacionados con el contenedor Daemon con permisos de root.
Alerta de IOC usados por grupo TA505Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/alerta-sectorial-internacional-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.
La Nueva Botnet Echobot que afecta aplicaciones Oracle WebLogic y VMware SD-WanLa nueva Botnet "Echobot" agrego 26 Exploits nuevos que buscan no solo atacar a dispositivos IoT sin ultimas actualizaciones, sino tambien tiene como objetivo atacar Aplicaciones como Oracle WebLogic y VMware SD-Wan .http://csirtasobancaria.com/Plone/alertas-de-seguridad/la-nueva-botnet-echobot-que-afecta-aplicaciones-oracle-weblogic-y-vmware-sd-wanhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La nueva Botnet "Echobot" agrego 26 Exploits nuevos que buscan no solo atacar a dispositivos IoT sin ultimas actualizaciones, sino tambien tiene como objetivo atacar Aplicaciones como Oracle WebLogic y VMware SD-Wan .
Nueva variante del Troyano Dridex/Cridex roba credenciales de acceso bancarioDesde el CSIRT Financiero Se ha detectado una alerta sobre una nueva variante del Troyano Dridex/Cridex el cual se distribuye a través de Phishing, permitiendo robar información de las credenciales bancarias de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-dridex-cridex-roba-credenciales-de-acceso-bancariohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero Se ha detectado una alerta sobre una nueva variante del Troyano Dridex/Cridex el cual se distribuye a través de Phishing, permitiendo robar información de las credenciales bancarias de los usuarios.
Nueva campaña de malspam en plataforma swiftDesde el CSIRT Financiero se detecta una nueva campaña de Malspam sobre la plataforma Swift, la cual facilita una comunicación segura y un intercambio de mensajes entre entidades financieras las cuales se encuentran estandarizadas de una forma fiable en el ciberespacio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-malspam-en-plataforma-swifthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una nueva campaña de Malspam sobre la plataforma Swift, la cual facilita una comunicación segura y un intercambio de mensajes entre entidades financieras las cuales se encuentran estandarizadas de una forma fiable en el ciberespacio.
Nueva vulnerabilidad descubierta: SACK PanicSe ha descubierto una serie de vulnerabilidades con una elevada importancia que afectarían al Kernel Linux desde la versión 2.6.29. La vulnerabilidad se encontraría en la implementación del protocolo TCP/IP y su explotación con éxito podría causar una denegación de servicio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-vulnerabilidad-descubierta-sack-panichttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha descubierto una serie de vulnerabilidades con una elevada importancia que afectarían al Kernel Linux desde la versión 2.6.29. La vulnerabilidad se encontraría en la implementación del protocolo TCP/IP y su explotación con éxito podría causar una denegación de servicio.
Nueva campaña que explota servidores de Linux para implantar BackdoorDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas. Los indicadores identificados pueden generar un incidente de seguridad adentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/checkpoint-descubre-nueva-campana-que-explota-servidores-de-linux-para-implantar-backdoorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas. Los indicadores identificados pueden generar un incidente de seguridad adentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.
Nueva campaña que explota servidores de LinuxDesde el CSIRT Financiero se ha identificado una nueva campaña que explota servidores de Linux para implantar una nueva variante de Backdoor que no es detectado por los motores de antivirus de los proveedores de seguridad. Se han identificado un total de 39 indicadores de compromiso que pueden afectar las operaciones a nivel Global.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-que-explota-servidores-de-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una nueva campaña que explota servidores de Linux para implantar una nueva variante de Backdoor que no es detectado por los motores de antivirus de los proveedores de seguridad. Se han identificado un total de 39 indicadores de compromiso que pueden afectar las operaciones a nivel Global.
Propagación de múltiples Backdoors a través de red de botsEl CSIRT Financiero a través de la búsqueda de indicadores de amenazas se detecta red de bot que distribuye 4 backdoors de diferente tipos, los cuales permite lo siguiente ejecución con propiedades root para configuración de hadware Linux, apertura de archivos con propiedades de administrador en sistemas Windows, apertura de puerta trasera para acceso remoto a sitios web y apertura de archivos asociados a ransonware Dharma, estas amenazas podrían afectar la confidencialidad, disponibilidad e integridad de la información de las entidades financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/propagacion-de-multiples-backdoors-a-traves-de-red-de-botshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a través de la búsqueda de indicadores de amenazas se detecta red de bot que distribuye 4 backdoors de diferente tipos, los cuales permite lo siguiente ejecución con propiedades root para configuración de hadware Linux, apertura de archivos con propiedades de administrador en sistemas Windows, apertura de puerta trasera para acceso remoto a sitios web y apertura de archivos asociados a ransonware Dharma, estas amenazas podrían afectar la confidencialidad, disponibilidad e integridad de la información de las entidades financieras.
Actividad de APT TA505El grupo TA505, el cual lleva realizando operaciones desde los últimos cuatro años en regiones latinoamericanas, ha llevado a cabo una campaña recientemente contra entidades italianas. Algunos de sus objetivos durante su actividad más reciente corresponden a: • Sector Financiero • Retailhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-pthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo TA505, el cual lleva realizando operaciones desde los últimos cuatro años en regiones latinoamericanas, ha llevado a cabo una campaña recientemente contra entidades italianas. Algunos de sus objetivos durante su actividad más reciente corresponden a: • Sector Financiero • Retail
El malware FormBook utiliza un nuevo dropper de distribución.Desde el CSIRT Financiero, se ha detectado un nuevo dropper adjunto a documentos PDF, DOC y XLS, distribuido en campañas de spam, que es utilizado como fase inicial de infección del Keylogger FormBook. Este dropper hace aumentar la persistencia y capacidades de ofuscación del malware al ser ejecutado desde la memoria.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-malware-formbook-utiliza-un-nuevo-dropper-de-distribucionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero, se ha detectado un nuevo dropper adjunto a documentos PDF, DOC y XLS, distribuido en campañas de spam, que es utilizado como fase inicial de infección del Keylogger FormBook. Este dropper hace aumentar la persistencia y capacidades de ofuscación del malware al ser ejecutado desde la memoria.
Campaña de Spam distribuyendo Tender Quotation2Los indicadores identificados pueden generar un incidente de seguridad adentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-spam-distribuyendo-tender-quotation2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los indicadores identificados pueden generar un incidente de seguridad adentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.
Nueva variante Troyano EmotetLos indicadores de compromiso que se han identificado pueden permitir a un ciberdelincuente generar una brecha de seguridad dentro de las entidades financieras de Colombia, comprometiendo la buena imagen ante sus clientes en el momento en que se afecten los servicios ofrecidos a través de los portales bancarios, generando de la misma manera acceso no autorizado a las bases de datos, permitiendo extraer gran cantidad de información asociada a los clientes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los indicadores de compromiso que se han identificado pueden permitir a un ciberdelincuente generar una brecha de seguridad dentro de las entidades financieras de Colombia, comprometiendo la buena imagen ante sus clientes en el momento en que se afecten los servicios ofrecidos a través de los portales bancarios, generando de la misma manera acceso no autorizado a las bases de datos, permitiendo extraer gran cantidad de información asociada a los clientes.
Nueva campaña de spam distribuyendo malware NymeriaDesde el CSIRT Financiero se detecta una nueva campaña de Spam la cual distribuye el troyano bancario Nymeria (cuenta con capacidades de registrar las pulsaciones teclas, herramienta de acceso remoto (RAT), abrir el portapapeles y recuperar información borrada por el usuario, crear tareas programadas, además es persistente y evasivo.) embebido en un documento, el cual se asocia a una solicitud de cotización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-spam-distribuyendo-malware-nymeriahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una nueva campaña de Spam la cual distribuye el troyano bancario Nymeria (cuenta con capacidades de registrar las pulsaciones teclas, herramienta de acceso remoto (RAT), abrir el portapapeles y recuperar información borrada por el usuario, crear tareas programadas, además es persistente y evasivo.) embebido en un documento, el cual se asocia a una solicitud de cotización.
DanaBot Troyano Bancario que agrego un componente de Ransomware.Desde el CSIRT Financiero se detecta una campaña distribuida a través del correo electrónico mediante la técnica de phishing, con enlaces de redirección a un dropper de JavaScript o PowerShell, Adicionalmente el troyano contiene múltiples capacidades como el robo de credenciales, inyección de sitios web, control remoto de máquinas y ejecución de comando desde servidores C&C.http://csirtasobancaria.com/Plone/alertas-de-seguridad/danabot-troyano-bancario-que-agrego-un-componente-de-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una campaña distribuida a través del correo electrónico mediante la técnica de phishing, con enlaces de redirección a un dropper de JavaScript o PowerShell, Adicionalmente el troyano contiene múltiples capacidades como el robo de credenciales, inyección de sitios web, control remoto de máquinas y ejecución de comando desde servidores C&C.
Nueva variante del malware QakbotDesde el CSIRT Financiero se inicia con la alerta preventiva respecto a una nueva variante de Qakbot, esta nueva version del malware busca realizar robos a usuarios por medio de tecnicas como el keylogger de credenciales como tambien ataques de tipo men in the browser.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-malware-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se inicia con la alerta preventiva respecto a una nueva variante de Qakbot, esta nueva version del malware busca realizar robos a usuarios por medio de tecnicas como el keylogger de credenciales como tambien ataques de tipo men in the browser.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}