Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevas vulnerabilidades que afectan a WindowsEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevas vulnerabilidades que afectan a equipos con sistema operativo Windows 10 y Windows Server.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-vulnerabilidades-que-afectan-a-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevas vulnerabilidades que afectan a equipos con sistema operativo Windows 10 y Windows Server.
Fonix nuevo Ransomware como ServicioEn el monitoreo del panorama cibercriminal, el equipo del Csirt Financiero ha observado una nueva amenaza de ransomware denomina Fonix, una herramienta distribuida bajo la modalidad de Ransomware como Servicio (RaaS). Fonix afecta a los sistemas operativos Windows independiente de la arquitectura (32 o 64 bits).http://csirtasobancaria.com/Plone/alertas-de-seguridad/fonix-nuevo-ransomware-como-serviciohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo del panorama cibercriminal, el equipo del Csirt Financiero ha observado una nueva amenaza de ransomware denomina Fonix, una herramienta distribuida bajo la modalidad de Ransomware como Servicio (RaaS). Fonix afecta a los sistemas operativos Windows independiente de la arquitectura (32 o 64 bits).
Vulnerabilidades en Microsoft Azure App ServicesEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas se han evidenciado dos vulnerabilidades críticas presentes en el servicio App Services de Microsoft Azure con afectación en infraestructura tecnológica con distribuciones Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-en-microsoft-azure-app-serviceshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas se han evidenciado dos vulnerabilidades críticas presentes en el servicio App Services de Microsoft Azure con afectación en infraestructura tecnológica con distribuciones Linux.
Múltiples vulnerabilidades halladas en dispositivos NetGearEn el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha comprobado múltiples vulnerabilidades en los productos de NetGear.http://csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-vulnerabilidades-halladas-en-dispositivos-netgearhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
TA505 explota vulnerabilidad ZerologonDesde el monitoreo realizado por el Csirt Financiero se ha evidenciado que TA505 está realizando explotación de la vulnerabilidad Zerologon, en donde abusan del aplicativo de Windows MSBuild(.)exe para compilar Mimikatz, actualizado con la funcionalidad incorporada de ZeroLogon.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ta505-explota-vulnerabilidad-zerologonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el monitoreo realizado por el Csirt Financiero se ha evidenciado que TA505 está realizando explotación de la vulnerabilidad Zerologon, en donde abusan del aplicativo de Windows MSBuild(.)exe para compilar Mimikatz, actualizado con la funcionalidad incorporada de ZeroLogon.
Nuevo servicio web implementado por campañas para la distribución de malwareEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de un servicio web similar a Pastebin en múltiples campañas de malware a nivel global. El servicio web paste.nrecom.net es un servicio creado para la publicación de código o texto con el objetivo de compartirlo al público en general. Sin embargo, se identificó que está siendo utilizado para la descarga de diversas amenazas cibernéticas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-servicio-web-implementado-por-campanas-para-la-distribucion-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de un servicio web similar a Pastebin en múltiples campañas de malware a nivel global. El servicio web paste.nrecom.net es un servicio creado para la publicación de código o texto con el objetivo de compartirlo al público en general. Sin embargo, se identificó que está siendo utilizado para la descarga de diversas amenazas cibernéticas.
Nueva Botnet P2P se enfoca en Servicios Telnet vulnerablesEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet P2P con afectación sobre múltiples arquitecturas de CPU incluidas x86 (32/64), ARM (32/64) entre otras, capaz de propagarse a través de ataques de fuerza bruta aprovechando el protocolo de red telnet que usa los puertos 23/2323.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-p2p-se-enfoca-en-servicios-telnet-vulnerableshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet P2P con afectación sobre múltiples arquitecturas de CPU incluidas x86 (32/64), ARM (32/64) entre otras, capaz de propagarse a través de ataques de fuerza bruta aprovechando el protocolo de red telnet que usa los puertos 23/2323.
Grupo FULLZ HOUSE exfiltra tarjetas de crédito a través de skimming webEn el ejercicio del monitoreo a fuentes abiertas, por parte del equipo del Csirt financiero, se ha evidenciado actividad maliciosa del grupo FULLZ HOUSE. Estos cibercriminales son reconocidos por exfiltrar información de tarjetas de crédito mediante el compromiso de sitios web con pasarelas de pago.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-fullz-house-exfiltra-tarjetas-de-credito-a-traves-de-skimming-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo a fuentes abiertas, por parte del equipo del Csirt financiero, se ha evidenciado actividad maliciosa del grupo FULLZ HOUSE. Estos cibercriminales son reconocidos por exfiltrar información de tarjetas de crédito mediante el compromiso de sitios web con pasarelas de pago.
Extorsión ante ataques DDoS en LatinoaméricaEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas se ha evidenciado que, en las últimas dos semanas, diferentes entidades bancarias han sido objetivos de ataques de DDoS, ataques atribuidos a un grupo cibercriminal que parece suplantar a Lazarus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/extorsion-ante-ataques-ddos-en-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas se ha evidenciado que, en las últimas dos semanas, diferentes entidades bancarias han sido objetivos de ataques de DDoS, ataques atribuidos a un grupo cibercriminal que parece suplantar a Lazarus.
Nueva campaña maliciosa del Grupo TA505En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se observó una campaña a finales del mes de septiembre del 2020 basada en un script de Powershell dirigida a usuarios de América (Norte, Centro y Sur). Esta campaña es atribuida al grupo de ciberdelincuentes TA505, el cual ha utilizado anteriormente como vector de ataque el correo malspam con el objetivo de infectar equipos con el troyano bancario Dridex o con ransomware Locky, Philadelphia y GlobeImposter.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-del-grupo-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se observó una campaña a finales del mes de septiembre del 2020 basada en un script de Powershell dirigida a usuarios de América (Norte, Centro y Sur). Esta campaña es atribuida al grupo de ciberdelincuentes TA505, el cual ha utilizado anteriormente como vector de ataque el correo malspam con el objetivo de infectar equipos con el troyano bancario Dridex o con ransomware Locky, Philadelphia y GlobeImposter.
Nuevo ransomware Egregor exfiltra datos de empresas a nivel mundialEn el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se ha evidenciado un nuevo ransomware llamado Egregor derivado del ransomware Sekhmet. Esta amenaza exfiltra datos confidenciales y luego cifrar la información, la nota de rescate fija un plazo de tres días para la cancelación del rescate o de lo contrario amenazan con publicar la información de la entidad afectada.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-egregor-exfiltra-datos-de-empresas-a-nivel-mundialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se ha evidenciado un nuevo ransomware llamado Egregor derivado del ransomware Sekhmet. Esta amenaza exfiltra datos confidenciales y luego cifrar la información, la nota de rescate fija un plazo de tres días para la cancelación del rescate o de lo contrario amenazan con publicar la información de la entidad afectada.
Grupo APT TA2552 utiliza phishing para leer Información Confidencial de Office 365En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una técnica de phishing utilizada por el grupo APT TA2552 para abusar del estándar de autorización OAuth de Microsoft Office 365.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-ta2552-utiliza-phishing-para-leer-informacion-confidencial-de-office-365http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una técnica de phishing utilizada por el grupo APT TA2552 para abusar del estándar de autorización OAuth de Microsoft Office 365.
Variante del Ransomware STOP DJVU denominada KolzEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una variante del ransomware STOP Djvu denominado Kolz que puede llegar a comprometer archivos con información confidencial en equipos con sistema operativo Windows y MacOS. El accionar criminal de esta amenaza cibernética fue evidenciado en el año 2016 y hasta la fecha ha causado un gran impacto como su semejantes netwalker y sodinokibi; de la familia de STOP DJVU se conoce la distribución de al menos 160 variantes durante el mes de septiembre del año 2020.http://csirtasobancaria.com/Plone/alertas-de-seguridad/variante-del-ransomware-stop-djvu-denominada-kolzhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una variante del ransomware STOP Djvu denominado Kolz que puede llegar a comprometer archivos con información confidencial en equipos con sistema operativo Windows y MacOS. El accionar criminal de esta amenaza cibernética fue evidenciado en el año 2016 y hasta la fecha ha causado un gran impacto como su semejantes netwalker y sodinokibi; de la familia de STOP DJVU se conoce la distribución de al menos 160 variantes durante el mes de septiembre del año 2020.
Nuevas variantes de Loda RATEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nueva variante de LodaRAT. Considerado como troyano de acceso remoto RAT escrito en AutoIT que fue descubierto en el año 2016; como método de distribución los ciberdelincuentes utilizan técnicas de phishing para el envío de mensajes de correo electrónico con archivos .rev que contienen el binario del malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-de-loda-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nueva variante de LodaRAT. Considerado como troyano de acceso remoto RAT escrito en AutoIT que fue descubierto en el año 2016; como método de distribución los ciberdelincuentes utilizan técnicas de phishing para el envío de mensajes de correo electrónico con archivos .rev que contienen el binario del malware.
Nuevos Indicadores de Compromiso Asociados Al Troyano Bancario QakbotEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-bancario-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.
Ransomware Agelocker dirige sus ataques a Nas de QnapEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado una amenaza activa desde finales de julio de 2020, se denomina AgeLocker y está dirigido a sistemas operativos Mac y distribuciones Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-agelocker-dirige-sus-ataques-a-nas-de-qnaphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado una amenaza activa desde finales de julio de 2020, se denomina AgeLocker y está dirigido a sistemas operativos Mac y distribuciones Linux.
Skimmer Gstaticapi, exfiltra detalles de Pago ElectrónicoEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un nuevo skimmer denominado gstaticapi, el cual ha sido diseñado para exfiltrar procesos de pagos electronico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/skimmer-gstaticapi-exfiltra-detalles-de-pago-electronicohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un nuevo skimmer denominado gstaticapi, el cual ha sido diseñado para exfiltrar procesos de pagos electronico.
Nuevos indicadores de Compromiso de EmotetEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad cibercriminal del troyano bancario Emotet, referenciado y analizado desde el 2014. Se trata de un troyano modular enfocado a la captura y exfiltración de información financiera. Adicionalmente, cuenta con la capacidad de dropper, con la cual podría realizar la descarga y ejecución de malware adicional en el equipo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-de-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad cibercriminal del troyano bancario Emotet, referenciado y analizado desde el 2014. Se trata de un troyano modular enfocado a la captura y exfiltración de información financiera. Adicionalmente, cuenta con la capacidad de dropper, con la cual podría realizar la descarga y ejecución de malware adicional en el equipo infectado.
Vulnerabilidades en Chrome exponen a usuariosEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas vulnerabilidades en el navegador Google Chrome relacionadas con la escasa validación de políticas de seguridad de las extensiones de este.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-en-chrome-exponen-a-usuarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas vulnerabilidades en el navegador Google Chrome relacionadas con la escasa validación de políticas de seguridad de las extensiones de este.
Ransomware Mount Locker exige rescates millonariosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-mount-locker-exige-rescates-millonarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}