Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Indicadores análisis sobre Malware de ATMLos indicadores identificados pueden generar un incidente de seguridad adentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-dirigidos-al-sector-financiero-sobre-plataformas-atmhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los indicadores identificados pueden generar un incidente de seguridad adentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.
ATM Boostwrite, descargador de múltiples variantes de malwareDesde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite, el cual está asociado al grupo de amenazas APT FIN7; el malware Boostwrite es un dropper (descargador de malware) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/atm-boostwrite-descargador-de-multiples-variantes-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite, el cual está asociado al grupo de amenazas APT FIN7; el malware Boostwrite es un dropper (descargador de malware) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.
Aukill: la nueva hacktool que deshabilita la seguridad de los sistemas y despliega ransomware en ataques BYOVDLa seguridad cibernética sigue siendo un tema crítico a medida que los actores de amenazas continúan encontrando nuevas formas de comprometer los sistemas. Recientemente, se descubrió una nueva hacktool denominada AuKill, que los actores malintencionados están utilizando para deshabilitar la detección y respuesta de punto final (EDR) en los sistemas de sus objetivos antes de implementar backdoor y ransomware en ataques BYOVD.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aukill-la-nueva-hacktool-que-deshabilita-la-seguridad-de-los-sistemas-y-despliega-ransomware-en-ataques-byovdhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad cibernética sigue siendo un tema crítico a medida que los actores de amenazas continúan encontrando nuevas formas de comprometer los sistemas. Recientemente, se descubrió una nueva hacktool denominada AuKill, que los actores malintencionados están utilizando para deshabilitar la detección y respuesta de punto final (EDR) en los sistemas de sus objetivos antes de implementar backdoor y ransomware en ataques BYOVD.
Aumenta la amenaza Lokibot: Nuevos indicadores de compromisoSe ha identificado actividad reciente relacionada con el troyano LokiBot, también conocido como Loki PWS. Esto ha impulsado la recopilación de nuevos Indicadores de Compromiso (IoC) asociados a diversos grupos de ciberdelincuentes con el objetivo de obtener información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aumenta-la-amenaza-lokibot-nuevos-indicadores-de-compromisohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado actividad reciente relacionada con el troyano LokiBot, también conocido como Loki PWS. Esto ha impulsado la recopilación de nuevos Indicadores de Compromiso (IoC) asociados a diversos grupos de ciberdelincuentes con el objetivo de obtener información confidencial.
Aumento de actividad cibercriminal de Agent TeslaEl equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemiahttp://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-cibercriminal-de-agent-teslahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemia
Aumento de actividad de botnet Lemon DuckEn el mes de agosto de 2020 el equipo del Csirt Financiero notificó sobre LemonDuck, una botnet de criptominería considerada como una de las más avanzadas, ya que los ciberdelincuentes mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Este criptominero ha estado activo desde diciembre de 2018 aumentando su actividad maliciosa en los últimos dos meses.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-de-botnet-lemon-duckhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mes de agosto de 2020 el equipo del Csirt Financiero notificó sobre LemonDuck, una botnet de criptominería considerada como una de las más avanzadas, ya que los ciberdelincuentes mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Este criptominero ha estado activo desde diciembre de 2018 aumentando su actividad maliciosa en los últimos dos meses.
Aumento de actividad de cibercriminales y explotación de vulnerabilidades en LATAMDurante los últimos meses, el equipo de analistas del Csirt Financiero ha observado un incremento de publicaciones sobre accesos iniciales a entidades bancarias. Estas publicaciones se han creado en foros asociados con el cibercrimen, donde se venden accesos a diferentes bancos mediante vulnerabilidades descubiertas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-de-cibercriminales-y-explotacion-de-vulnerabilidades-en-latamhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos meses, el equipo de analistas del Csirt Financiero ha observado un incremento de publicaciones sobre accesos iniciales a entidades bancarias. Estas publicaciones se han creado en foros asociados con el cibercrimen, donde se venden accesos a diferentes bancos mediante vulnerabilidades descubiertas.
Aumento de actividad del malware tipo botnet denominado XorDdosEn el constante monitoreo a diferentes fuentes de información para la detección de posibles amenazas que afecten el sector, el equipo de analistas del Csirt Financiero ha identificado la actividad creciente de XorDdos, un botnet destinado principalmente a sistemas operativos Linux, cabe destacar que además tiene características de otras familias de malware en particular las de troyano.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-del-malware-tipo-botnet-denominado-xorddoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a diferentes fuentes de información para la detección de posibles amenazas que afecten el sector, el equipo de analistas del Csirt Financiero ha identificado la actividad creciente de XorDdos, un botnet destinado principalmente a sistemas operativos Linux, cabe destacar que además tiene características de otras familias de malware en particular las de troyano.
Aumento de actividad del ransomware 8BaseSe ha detectado una creciente amenaza de ransomware conocida como 8Base, que ha estado operando en secreto durante más de un año. Durante los meses de mayo y junio de 2023, se ha observado un aumento significativo en su actividad. El grupo detrás de 8Base utiliza técnicas de cifrado y "name-and-shame" para obligar a sus víctimas a pagar rescates.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-del-ransomware-8basehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado una creciente amenaza de ransomware conocida como 8Base, que ha estado operando en secreto durante más de un año. Durante los meses de mayo y junio de 2023, se ha observado un aumento significativo en su actividad. El grupo detrás de 8Base utiliza técnicas de cifrado y "name-and-shame" para obligar a sus víctimas a pagar rescates.
Aumento del uso de RAT en dispositivos móviles.En los últimos meses el panorama de amenazas a los dispositivos móviles se ha visto afectado por el uso de troyanos de acceso remoto afectando directamente a la banca móvil. De acuerdo a los análisis del equipo del Csirt Financiero se proyecta un aumento de casos de infección de malware con RAT a dispositivos móviles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-del-uso-de-rat-en-dispositivos-movileshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos meses el panorama de amenazas a los dispositivos móviles se ha visto afectado por el uso de troyanos de acceso remoto afectando directamente a la banca móvil. De acuerdo a los análisis del equipo del Csirt Financiero se proyecta un aumento de casos de infección de malware con RAT a dispositivos móviles.
Aumento en los ataques de Smishing a nivel globalEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el incremento de ataques conocidos como Smishing. Frente a este tipo de ataques, los ciberdelincuentes realizan el envío de mensajes de SMS en el que incluyen falsos enlaces a sitios web que redirigen a sitios maliciosos para captura de credenciales, descarga o propagación de malware. Aunque este tipo de ataques viene en un constante incremento, la situación mundial de la pandemia a causa del Covid-19 generó un aumento del 29% entre los meses de marzo y julio del presente añohttp://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-en-los-ataques-de-smishing-a-nivel-globalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el incremento de ataques conocidos como Smishing. Frente a este tipo de ataques, los ciberdelincuentes realizan el envío de mensajes de SMS en el que incluyen falsos enlaces a sitios web que redirigen a sitios maliciosos para captura de credenciales, descarga o propagación de malware. Aunque este tipo de ataques viene en un constante incremento, la situación mundial de la pandemia a causa del Covid-19 generó un aumento del 29% entre los meses de marzo y julio del presente año
Aviso de seguridad de Amazon Linux 2Gnupg es una implementación gratuita del estándar OpenPGP. Permite cifrar y firmar los datos y comunicaciones, cuenta con administración de claves junto con módulos de acceso para todo tipo de directorios de clave pública.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aviso-de-seguridad-de-amazon-linux-2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gnupg es una implementación gratuita del estándar OpenPGP. Permite cifrar y firmar los datos y comunicaciones, cuenta con administración de claves junto con módulos de acceso para todo tipo de directorios de clave pública.
Aviso de seguridad DebianSe descubrieron nuevas vulnerabilidades en el sistema Debianhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/aviso-de-seguridad-debianhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
AvosLocker, nuevo ransomware que afecta sistemas operativos WindowsEn el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado un nuevo ransomware denominado AvosLocker.http://csirtasobancaria.com/Plone/alertas-de-seguridad/avoslocker-nuevo-ransomware-que-afecta-sistemas-operativos-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado un nuevo ransomware denominado AvosLocker.
BabbleLoader una amenaza con sofisticadas técnicas de evasiónDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificaron nuevos detalles relacionados con BabbleLoader, un loader que se destaca por sus avanzadas capacidades de evasión, dificultando la detección basada en firmas, inteligencia artificial (IA) y análisis de comportamiento.http://csirtasobancaria.com/Plone/alertas-de-seguridad/babbleloader-una-amenaza-con-sofisticadas-tecnicas-de-evasionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificaron nuevos detalles relacionados con BabbleLoader, un loader que se destaca por sus avanzadas capacidades de evasión, dificultando la detección basada en firmas, inteligencia artificial (IA) y análisis de comportamiento.
Backdoor con capacidades para realizar inteligentes capturas de pantallaEs muy frecuente evidenciar que diversas familias de malware implementen funcionalidades para amplificar el impacto de afectación sobre el sistema informático objetivo, no solo eso, en la gran mayoría de las mencionadas, tienen como propósito recopilar data sensible como credenciales de acceso, bancarias, etc. Donde utilizan diversas técnicas tipo spyware para llevar a cabo su objetivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-con-capacidades-para-realizar-capturas-inteligentes-de-pantallahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es muy frecuente evidenciar que diversas familias de malware implementen funcionalidades para amplificar el impacto de afectación sobre el sistema informático objetivo, no solo eso, en la gran mayoría de las mencionadas, tienen como propósito recopilar data sensible como credenciales de acceso, bancarias, etc. Donde utilizan diversas técnicas tipo spyware para llevar a cabo su objetivo.
Backdoor denominado SessionManager se encuentra afectando a servidores Exchange de MicrosoftA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó recientemente una puerta trasera de nombre SessionManager; implementada por los ciberdelincuentes en servidores Exchange expuestos hacia Internet y que afectan al servicio web Internet Information Services (IIS).http://csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-denominado-sessionmanager-se-encuentra-afectando-a-servidores-exchange-de-microsofthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó recientemente una puerta trasera de nombre SessionManager; implementada por los ciberdelincuentes en servidores Exchange expuestos hacia Internet y que afectan al servicio web Internet Information Services (IIS).
Backdoor distribuido mediante sitios web legítimosMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una actualización falsa de Google Chrome que conlleva a la instalación de BadSpace.http://csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-distribuido-mediante-sitios-web-legitimoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una actualización falsa de Google Chrome que conlleva a la instalación de BadSpace.
Backdoor Doki infecta contenedores Docker mal configuradosEl equipo del Csirt Financiero ha detectado actividad del backdoor Doki, dirigida a las API de contenedores Docker alijadas en servidores de plataformas de nube como AWS, Azure, Alibaba Cloud entre otros. Estos contenedores funcionan empaquetando o reuniendo varias aplicaciones de software en un solo lugar, facilitando la instalación, configuración y despliegue de los servicios tecnológicos en servidores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-doki-infecta-contenedores-docker-mal-configuradoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha detectado actividad del backdoor Doki, dirigida a las API de contenedores Docker alijadas en servidores de plataformas de nube como AWS, Azure, Alibaba Cloud entre otros. Estos contenedores funcionan empaquetando o reuniendo varias aplicaciones de software en un solo lugar, facilitando la instalación, configuración y despliegue de los servicios tecnológicos en servidores.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}