Sodinokibi la nueva variante de los Ransomware Sodin o REvil.Desde el CSIRT Financiero se detecta una amenaza la cual podría impactar sobre el sector financiero y causar daños en su entidad, se trata del troyano catalogado como ransomware Sodinokibi, también conocido como Sodin o REvil. El ransomware utiliza una vulnerabilidad antigua de día cero de Windows para elevarse a sí mismo con el objetivo final de administrar el acceso en los dispositivos infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/sodinokibi-la-nueva-variante-de-los-ransomware-sodin-o-revilhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una amenaza la cual podría impactar sobre el sector financiero y causar daños en su entidad, se trata del troyano catalogado como ransomware Sodinokibi, también conocido como Sodin o REvil. El ransomware utiliza una vulnerabilidad antigua de día cero de Windows para elevarse a sí mismo con el objetivo final de administrar el acceso en los dispositivos infectados.
AndroMut: Nuevo descargador para el RAT FlawedAmmyy dirigido por TA505Desde CSIRT Financiero se ha identificado nueva actividad asociada al RAT FlawedAmmyy, el cual utiliza AndroMut un nuevo Dropper (Descargador) de Malware, este utiliza diferentes métodos para obtener persistencia en el sistema víctima y diversos análisis para evadir su detección, logrando mantener el sigilo y ser más difícil de ser detectado y analizado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/andromut-nuevo-descargador-para-el-rat-flawedammyy-dirigido-por-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se ha identificado nueva actividad asociada al RAT FlawedAmmyy, el cual utiliza AndroMut un nuevo Dropper (Descargador) de Malware, este utiliza diferentes métodos para obtener persistencia en el sistema víctima y diversos análisis para evadir su detección, logrando mantener el sigilo y ser más difícil de ser detectado y analizado.
Nueva actividad asociada al Troyano bancario TrickBotDesde CSIRT Financiero se ha identificado nueva actividad asociada al Troyano bancario TrickBot, el cual busca obtener información financiera de la víctima y ejecutar diferentes tipos de malware dentro de la máquina infectada. Se han identificado un total de 89 indicadores de compromiso que pueden afectar las operaciones en la región.Estos indicadores identificados tienen la capacidad de comprometer la confidencialidad y disponibilidad de la información, generando una brecha de seguridad dentro de la entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-al-troyano-bancario-trickbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se ha identificado nueva actividad asociada al Troyano bancario TrickBot, el cual busca obtener información financiera de la víctima y ejecutar diferentes tipos de malware dentro de la máquina infectada. Se han identificado un total de 89 indicadores de compromiso que pueden afectar las operaciones en la región.Estos indicadores identificados tienen la capacidad de comprometer la confidencialidad y disponibilidad de la información, generando una brecha de seguridad dentro de la entidad.
Nueva variante de Gozi podría afectar a usuarios del sector financiero.Desde el CSIRT Financiero, se ha detectado una nueva variante del troyano Gozi la cual busca capturar información bancaria como también convierte las máquinas de los usuarios en zombies de una red Botnet.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-gozi-podria-afectar-a-usuarios-del-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero, se ha detectado una nueva variante del troyano Gozi la cual busca capturar información bancaria como también convierte las máquinas de los usuarios en zombies de una red Botnet.
Nueva variante del troyano BianLian permite utilizarse para actividades de robo bancarioDesde el CSIRT Financiero se ha detectado una nueva variante del troyano bancario BianLian, el cual busca afectar a usuarios del sector bancario con sus nuevas herramientas de Socks5 y ScreenRecoder.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-bianlian-permite-utilizarse-para-actividades-de-robo-bancariohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha detectado una nueva variante del troyano bancario BianLian, el cual busca afectar a usuarios del sector bancario con sus nuevas herramientas de Socks5 y ScreenRecoder.
Campaña de Phishing la cual se distribuye en URL’s legitimas y falsasDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-la-cual-se-distribuye-en-urls-legitimas-y-falsashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.
Vulnerabilidad en Outlook explotada por ciberdelincuentesSe detecta una campaña de ataques cibernéticos dirigidos a entidades gubernamentales, los cuales explotan la vulnerabilidad CVE-2017-11774 de Outlook, en donde un atacante podría enviar malware a diferentes usuarios y engañarlos para que estos interactuaran con el documento infectado, y así lograr tener acceso al dispositivo. Además, puede descargar complementos de malware o diferentes troyanos que complementen su objetivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-outlook-explotada-por-ciberdelincuentes-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta una campaña de ataques cibernéticos dirigidos a entidades gubernamentales, los cuales explotan la vulnerabilidad CVE-2017-11774 de Outlook, en donde un atacante podría enviar malware a diferentes usuarios y engañarlos para que estos interactuaran con el documento infectado, y así lograr tener acceso al dispositivo. Además, puede descargar complementos de malware o diferentes troyanos que complementen su objetivo.
Ryuk RansomwareDesde el CSIRT Financiero se detecta una amenaza la cual podría impactar sobre el sector financiero, se trata de un Ransomware llamado Ryuk el cual ataca activamente a organizaciones globales, asociado a Emotet y Trickbot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ryuk-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una amenaza la cual podría impactar sobre el sector financiero, se trata de un Ransomware llamado Ryuk el cual ataca activamente a organizaciones globales, asociado a Emotet y Trickbot.
Malware CoblntCoblnt es un troyano que ha sido utilizado en diferentes campañas de phishing desde enero de 2018 hasta junio de 2019, todas ellas asociadas al grupo de amenazas Cobalt.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-coblnthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Coblnt es un troyano que ha sido utilizado en diferentes campañas de phishing desde enero de 2018 hasta junio de 2019, todas ellas asociadas al grupo de amenazas Cobalt.
Análisis Técnico de Malware ATM JaDi (JavaDispCash)Desde el CSIRT Financiero se profundiza en el modelado, actuación y variantes del malware ATM JaDi (JavaDispCash), teniendo en cuenta que puede generar impacto significativo al sector en la afectación sobre los cajeros automáticos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-malware-javadispcashhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se profundiza en el modelado, actuación y variantes del malware ATM JaDi (JavaDispCash), teniendo en cuenta que puede generar impacto significativo al sector en la afectación sobre los cajeros automáticos.
Nuevas variantes de malware utilizadas por APT-C-36El grupo APT-C-36, descubierto en abril de 2018, opera específicamente en la región de Colombia y continúa activo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-apt-c-36http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Detectada nueva campaña que distribuye el kit de exploits SpelevoLos investigadores de Cisco Talos han descubierto una campaña que distribuye un kit de exploits al que han nombrado Spelevo. Este kit se aprovecha de versiones no actualizadas de Internet Explorer y Adobe Flash, concretamente de las vulnerabilidades CVE-2018-8174, CVE-2018-15982 y CVE-2018-4878. Una vez explotadas, se procedería a la instalación de un troyano encargado, principalmente, del robo de credenciales bancarias.http://csirtasobancaria.com/Plone/alertas-de-seguridad/detectada-nueva-campana-que-distribuye-el-kit-de-exploits-spelevohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los investigadores de Cisco Talos han descubierto una campaña que distribuye un kit de exploits al que han nombrado Spelevo. Este kit se aprovecha de versiones no actualizadas de Internet Explorer y Adobe Flash, concretamente de las vulnerabilidades CVE-2018-8174, CVE-2018-15982 y CVE-2018-4878. Una vez explotadas, se procedería a la instalación de un troyano encargado, principalmente, del robo de credenciales bancarias.
Nueva variante del Malware JavaDispCash busca afectar servicios de ATM en Colombia y MéxicoDesde el CSIRT Financiero se reporta una nueva variante del malware JavaDispCash, el cual está orientado a afectar cajeros automáticos de México y Colombia a través de ataques de inyección de código a las API, afectando la confidencialidad y disponibilidad de la información de las entidades financierashttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-malware-javadispcash-busca-afectar-servicios-de-atmhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se reporta una nueva variante del malware JavaDispCash, el cual está orientado a afectar cajeros automáticos de México y Colombia a través de ataques de inyección de código a las API, afectando la confidencialidad y disponibilidad de la información de las entidades financieras
Nueva vulnerabilidad de cisco data center network manager busca omitir la autenticación de accesoDesde el CSIRT Financiero se ha detectado nueva vulnerabilidad en el sistema DCNM (Data Center Network Manager) de dispositivos Cisco. Esta nueva vulnerabilidad permite al atacante realizar accesos sin autenticación y ejecución de código arbitrario sin autentificación de administradorhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-vulnerabilidad-de-cisco-data-center-network-manager-busca-omitir-la-autenticacion-de-accesohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha detectado nueva vulnerabilidad en el sistema DCNM (Data Center Network Manager) de dispositivos Cisco. Esta nueva vulnerabilidad permite al atacante realizar accesos sin autenticación y ejecución de código arbitrario sin autentificación de administrador
Campaña de malSpam distribuyendo NetWireDesde el CSIRT Financiero se ha detectado una nueva campaña de malSpam distribuyendo la RAT (herramienta de acceso remoto) NetWire.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-malspam-distribuyendo-netwirehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva variante de Wannalocker busca infectar usuarios de entidades bancariasDesde el CSIRT Financiero se ha detectado una nueva variante del Ransomware WannaLocker, con objetivo principal de infectar a los usuarios de la banca movil para robar su información personal, como credenciales y posteriormente iniciar con el proceso de cifrado de los datos del usuario y cobro.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-wannalocker-busca-infectar-usuarios-de-entidades-bancariashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha detectado una nueva variante del Ransomware WannaLocker, con objetivo principal de infectar a los usuarios de la banca movil para robar su información personal, como credenciales y posteriormente iniciar con el proceso de cifrado de los datos del usuario y cobro.
Campaña de malspam distribuyendo trickbotDesde el CSIRT Financiero se detecta actividad relacionada al malware Trickbot, el cual se cataloga como un troyano financiero que apunta a obtener credenciales de usuario, además, podría ser utilizado como dropper para ejecutar otros tipos de software maliciosos dentro del dispositivo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-malspam-distribuyendo-trickbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta actividad relacionada al malware Trickbot, el cual se cataloga como un troyano financiero que apunta a obtener credenciales de usuario, además, podría ser utilizado como dropper para ejecutar otros tipos de software maliciosos dentro del dispositivo comprometido.
Vulnerabilidad que permite la denegación de servicio en Oracle Solaris versión 10.Desde el CSIRT Financiero se reporta sobre la explotación de la vulnerabilidad CVE-2017-18258 la cual permite generar ataques de tipo DoS (denial of service) sobre los sistemas Oracle solaris 10.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-que-permite-la-denegacion-de-servicio-en-oracle-solaris-version-10http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se reporta sobre la explotación de la vulnerabilidad CVE-2017-18258 la cual permite generar ataques de tipo DoS (denial of service) sobre los sistemas Oracle solaris 10.
Nueva campaña de Malspam busca infectar a los usuarios con Nanocore y LokiBot.Desde el CSIRT Financiero, se detecta una nueva campaña de Malspam de LokiBot y Nanocore. Donde se busca engañar al usuario con archivos de tipo ISO, los cuales contienen estos dos códigos maliciosos, permitiendo al atacante robar información sensible como también conectar la máquina de la víctima a la red zombi de LokiBot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-malspam-busca-infectar-a-los-usuarios-con-nanocore-y-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero, se detecta una nueva campaña de Malspam de LokiBot y Nanocore. Donde se busca engañar al usuario con archivos de tipo ISO, los cuales contienen estos dos códigos maliciosos, permitiendo al atacante robar información sensible como también conectar la máquina de la víctima a la red zombi de LokiBot.
Riltok, troyano android dirigido al sector de banca móvil.Desde el CSIRT Financiero, se detecta un nuevo tipo de troyano bancario para dispositivos móviles Android, su objetivo principal es suplantar a la aplicación de mensajes de texto (SMS) e implementarse como aplicación por defecto en el dispositivo, de esta manera poder facilitar a los atacantes el robo de información sensible mediante phishing.http://csirtasobancaria.com/Plone/alertas-de-seguridad/riltok-troyano-android-dirigido-al-sector-de-banca-movilhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero, se detecta un nuevo tipo de troyano bancario para dispositivos móviles Android, su objetivo principal es suplantar a la aplicación de mensajes de texto (SMS) e implementarse como aplicación por defecto en el dispositivo, de esta manera poder facilitar a los atacantes el robo de información sensible mediante phishing.