Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Vulnerabilidades encontradas en equipos Dell Wyse Thin ClientEn el constante monitoreo que realiza el equipo de Csirt Financiero a fuentes abiertas, se evidencian vulnerabilidades halladas en los equipos Dell Wyse Thin Client, tomando en cuenta que estos son ampliamente usados en servidores centrales en lugar de un disco duro localizado; se vaticina un riesgo de alta criticidad en las entidades.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-encontradas-en-equipos-dell-wyse-thin-clienthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el equipo de Csirt Financiero a fuentes abiertas, se evidencian vulnerabilidades halladas en los equipos Dell Wyse Thin Client, tomando en cuenta que estos son ampliamente usados en servidores centrales en lugar de un disco duro localizado; se vaticina un riesgo de alta criticidad en las entidades.
SystemBC troyano de acceso remotoEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero evidenció la implementación de un malware denominado SystemBC RAT. Este malware es comercializado en sitios clandestinos con el fin infectar los equipos de los usuarios y redes corporativas, para luego permitirle a los ciberdelincuentes la instalación de ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/systembc-troyano-de-acceso-remotohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero evidenció la implementación de un malware denominado SystemBC RAT. Este malware es comercializado en sitios clandestinos con el fin infectar los equipos de los usuarios y redes corporativas, para luego permitirle a los ciberdelincuentes la instalación de ransomware.
Campaña de phishing usa mensaje de migración de OutlookEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero encontró una nueva campaña de phishing, la cual usa el mensaje de migración de Microsoft Outlook, para la recolección y exfiltración de credenciales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-usa-mensaje-de-migracion-de-outlookhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero encontró una nueva campaña de phishing, la cual usa el mensaje de migración de Microsoft Outlook, para la recolección y exfiltración de credenciales.
Soluciones de Microsoft frente a ataque contra SolarwindsEl equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar nuevas soluciones ejecutadas por Microsoft para hacerle frente a los recientes ataques contra las aplicaciones de SolarWinds; para ello Microsoft han decidido poner en cuarentena las versiones de SolarWinds Orion Platform que sospechan contienen el malware Solorigate (SUNBURST).http://csirtasobancaria.com/Plone/alertas-de-seguridad/soluciones-de-microsoft-frente-a-ataque-contra-solarwindshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar nuevas soluciones ejecutadas por Microsoft para hacerle frente a los recientes ataques contra las aplicaciones de SolarWinds; para ello Microsoft han decidido poner en cuarentena las versiones de SolarWinds Orion Platform que sospechan contienen el malware Solorigate (SUNBURST).
Fraude bancario mediante emuladores móvilesEl equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una amenaza de fraude bancario en la cual se emplean varios emuladores móviles que simulan un dispositivo de un usuario con una cuenta bancaria legítima. Cabe resaltar que el dispositivo simulado ya había sido comprometido previamente con malware móvil a través de ataques phishing o ejecución de scripts; de esta forma, los ciberdelincuentes poseen las credenciales bancarias para realizar todo tipo de transacciones fraudulentas mediante procesos totalmente automatizados gracias a botnets móviles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/fraude-bancario-mediante-emuladores-movileshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una amenaza de fraude bancario en la cual se emplean varios emuladores móviles que simulan un dispositivo de un usuario con una cuenta bancaria legítima. Cabe resaltar que el dispositivo simulado ya había sido comprometido previamente con malware móvil a través de ataques phishing o ejecución de scripts; de esta forma, los ciberdelincuentes poseen las credenciales bancarias para realizar todo tipo de transacciones fraudulentas mediante procesos totalmente automatizados gracias a botnets móviles.
Nueva campaña asociada al troyano bancario DridexEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero encontró una nueva campaña del troyano bancario Dridex, distribuido a través de correo electrónico tipo phishing con un documento Excel con macros embebidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-asociada-al-troyano-bancario-dridexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero encontró una nueva campaña del troyano bancario Dridex, distribuido a través de correo electrónico tipo phishing con un documento Excel con macros embebidas.
Malware Adrozek afecta miles de equipos al díaEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia un nuevo malware denominado Adrozek, una familia de malware, descubierta recientemente, que ha incrementado su afectación desde mayo del presente año, llegando a su punto máximo de actividad en el mes de agosto al afectar más de 30.000 equipos todos los días.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-adrozek-afecta-miles-de-equipos-al-diahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia un nuevo malware denominado Adrozek, una familia de malware, descubierta recientemente, que ha incrementado su afectación desde mayo del presente año, llegando a su punto máximo de actividad en el mes de agosto al afectar más de 30.000 equipos todos los días.
Botnet Pgminer apunta a PostgresqlEl equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una botnet denominada PgMiner, que apunta a las bases de datos PostgreSQL sobre infraestructura con distribuciones Linux con el fin de instalar un minero de criptomonedas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-pgminer-apunta-a-postgresqlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una botnet denominada PgMiner, que apunta a las bases de datos PostgreSQL sobre infraestructura con distribuciones Linux con el fin de instalar un minero de criptomonedas.
Vulnerabilidad hallada en WinzipEl equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una vulnerabilidad embebida en el software WinZip versión 24, la cual permite la entrega de malware, altera el DNS y ejecuta código malicioso de manera arbitraria.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-hallada-en-winziphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una vulnerabilidad embebida en el software WinZip versión 24, la cual permite la entrega de malware, altera el DNS y ejecuta código malicioso de manera arbitraria.
Ransomware afecta al proveedor de servicios NetgainEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la afectación al proveedor de servicios de TI y alojamiento en la nube Netgain. Esta compañía ofrece alojamiento y soluciones TI en la nube a entidades financieras y organizaciones de la salud. Se identificó que Netgain fue afectada el pasado 24 de noviembre por un ransomware el cual aún no ha sido identificado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-afecta-al-proveedor-de-servicios-netgainhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la afectación al proveedor de servicios de TI y alojamiento en la nube Netgain. Esta compañía ofrece alojamiento y soluciones TI en la nube a entidades financieras y organizaciones de la salud. Se identificó que Netgain fue afectada el pasado 24 de noviembre por un ransomware el cual aún no ha sido identificado.
Campaña de suplantación de empresa Claro ColombiaEn el monitoreo continuo que realiza el equipo de Csirt Financiero, se evidencia una nueva campaña dirigida a usuarios de la empresa Claro Colombia. En esta oportunidad los ciberdelincuentes se comunican con los usuarios a través del abonado telefónico (Se puede visualizar en la notificación); en esta interacción, solicitan al incauto descargue una aplicación maliciosa a través de un enlace remitido mediante mensaje de texto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-suplantacion-de-empresa-claro-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo que realiza el equipo de Csirt Financiero, se evidencia una nueva campaña dirigida a usuarios de la empresa Claro Colombia. En esta oportunidad los ciberdelincuentes se comunican con los usuarios a través del abonado telefónico (Se puede visualizar en la notificación); en esta interacción, solicitan al incauto descargue una aplicación maliciosa a través de un enlace remitido mediante mensaje de texto.
Yellow Cockatoo ejecuta troyano RATEl equipo del Csirt Financiero en la búsqueda de información en fuentes abiertas, ha identificado una nueva amenaza denominada Yellow Cockatoo, este es un cluster de actividad maliciosa utilizado por los ciberdelincuentes. Nombrada así por el grupo de investigadores, presentando similitudes en sus operaciones con el troyano infostealer Jupyter.http://csirtasobancaria.com/Plone/alertas-de-seguridad/yellow-cockatoo-ejecuta-troyano-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero en la búsqueda de información en fuentes abiertas, ha identificado una nueva amenaza denominada Yellow Cockatoo, este es un cluster de actividad maliciosa utilizado por los ciberdelincuentes. Nombrada así por el grupo de investigadores, presentando similitudes en sus operaciones con el troyano infostealer Jupyter.
Paquetes maliciosos agregados a NPM para distribuir NjRATEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado que los ciberdelincuentes han vuelto a vulnerar NPM, un sistema de gestión de paquetes de JavaScript para la integración de librerías, módulos y dependencias en los proyectos de programación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/paquetes-maliciosos-agregados-a-npm-para-distribuir-njrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado que los ciberdelincuentes han vuelto a vulnerar NPM, un sistema de gestión de paquetes de JavaScript para la integración de librerías, módulos y dependencias en los proyectos de programación.
Ciberdelincuentes realizan ataques de caja negra a cajeros automáticos en ItaliaEn el monitoreo realizado por el Csirt Financiero, se identificó la exfiltración de dinero de por lo menos 35 cajeros automáticos en Italia bajo la implementación de un ataque de caja negra.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-realizan-ataques-de-caja-negra-a-cajeros-automaticos-en-italiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se identificó la exfiltración de dinero de por lo menos 35 cajeros automáticos en Italia bajo la implementación de un ataque de caja negra.
Nuevos indicadores de compromiso asociados a ransomware EgregorEn el monitoreo diario que realiza el equipo de Csirt Financiero, se evidencian nuevos indicadores de compromiso asociados al ransomware Egregor que hizo su primera aparición en septiembre del 2020. Este ransomware es reconocido por las características que remarcan sus actividades ciberdelictivas alrededor del mundo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-ransomware-egregorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo diario que realiza el equipo de Csirt Financiero, se evidencian nuevos indicadores de compromiso asociados al ransomware Egregor que hizo su primera aparición en septiembre del 2020. Este ransomware es reconocido por las características que remarcan sus actividades ciberdelictivas alrededor del mundo.
Nuevos indicadores de compromiso asociados a TrickbotEn el monitoreo realizado por el Csirt Financiero, se han observado nuevos indicadores de compromiso asociados a Trickbot, un troyano identificado inicialmente en 2016 y con antecedentes de ataques a instituciones financieras para la exfiltración de información confidencial. Se han observado nuevas versiones de este troyano en las cuales se incluyeron características como el uso de una nueva infraestructura de comando y control C2 basada en enrutadores Mikrotik.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-trickbot-5http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se han observado nuevos indicadores de compromiso asociados a Trickbot, un troyano identificado inicialmente en 2016 y con antecedentes de ataques a instituciones financieras para la exfiltración de información confidencial. Se han observado nuevas versiones de este troyano en las cuales se incluyeron características como el uso de una nueva infraestructura de comando y control C2 basada en enrutadores Mikrotik.
Nuevo troyano bancario denominado BBtokEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano bancario denominado BBtok. Como la mayoría de estas familias de malware el objetivo principal de BBtok consiste en la captura y exfiltración de credenciales de diferentes entidades bancarias, afectando equipos de cómputo con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-denominado-bbtokhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano bancario denominado BBtok. Como la mayoría de estas familias de malware el objetivo principal de BBtok consiste en la captura y exfiltración de credenciales de diferentes entidades bancarias, afectando equipos de cómputo con sistema operativo Windows.
Ransomware Pysa/Mespinoza exfiltra credenciales para cifrar datosEn el constante monitoreo realizado por el equipo del Csirt Financiero, se evidenció actividad de un nuevo ransomware denominado PYSA/MESPINOZA que centra su interés en moverse lateralmente haciendo uso del protocolo RDP, con cuentas legítimas previamente comprometidas. Además de esto, hace uso de la herramienta PsExec que ejecuta scripts para recolectar credenciales como las de administrador de dominio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-pysa-mespinoza-exfiltra-credenciales-para-cifrar-datoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo realizado por el equipo del Csirt Financiero, se evidenció actividad de un nuevo ransomware denominado PYSA/MESPINOZA que centra su interés en moverse lateralmente haciendo uso del protocolo RDP, con cuentas legítimas previamente comprometidas. Además de esto, hace uso de la herramienta PsExec que ejecuta scripts para recolectar credenciales como las de administrador de dominio.
Vulnerabilidad de seguridad en productos FortinetDentro del seguimiento y la labor investigativa que realiza el equipo del Csirt Financiero se identificó en un foro clandestino la exposición de una cantidad considerable de entidades a las que podría generarse un ataque por medio de la explotación de la vulnerabilidad CVE-2018-13379.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-seguridad-en-productos-fortinethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro del seguimiento y la labor investigativa que realiza el equipo del Csirt Financiero se identificó en un foro clandestino la exposición de una cantidad considerable de entidades a las que podría generarse un ataque por medio de la explotación de la vulnerabilidad CVE-2018-13379.
Troyano bancario Qbot despliega el Ransomware EgregorEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el despliegue del ransomware Egregor a través del troyano Qbot. En esta nueva campaña se han visto afectados desde el mes de septiembre, por lo menos 69 empresas en 16 países alrededor del mundo, dentro de los cuales se incluyen Estados Unidos, Francia, Italia, Alemania y Reino Unido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-qbot-despliega-el-ransomware-egregorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el despliegue del ransomware Egregor a través del troyano Qbot. En esta nueva campaña se han visto afectados desde el mes de septiembre, por lo menos 69 empresas en 16 países alrededor del mundo, dentro de los cuales se incluyen Estados Unidos, Francia, Italia, Alemania y Reino Unido.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}