Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Bootkit ESPecter afecta al arranque de sistemas operativos WindowsEn el monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios o el sector, el Csirt Financiero ha identificado un Bootkit denominado ESPecter el cual ha presentado actividad desde el 2012 y presentando actualizaciones a sus mecanismos, permitiendo afectar a un equipo comprometiendo los controladores de arranque empleados por el sistema operativo Windows en sus sistemas ya sean Heredado (Legacy) o UEFI (Unified Extensible Firmware Interface).http://csirtasobancaria.com/Plone/alertas-de-seguridad/bootkit-especter-afecta-al-arranque-de-sistemas-operativos-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios o el sector, el Csirt Financiero ha identificado un Bootkit denominado ESPecter el cual ha presentado actividad desde el 2012 y presentando actualizaciones a sus mecanismos, permitiendo afectar a un equipo comprometiendo los controladores de arranque empleados por el sistema operativo Windows en sus sistemas ya sean Heredado (Legacy) o UEFI (Unified Extensible Firmware Interface).
Indicadores de compromiso asociados al troyano GroooboorEn el monitoreo realizado a fuentes abiertas de información el equipo de analistas del Csirt Financiero ha observado indicadores de compromiso (IoC) asociados a Groooboor un troyano de puerta trasera (backdoor trojan) que es distribuido principalmente a través de documentos ofimáticos infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-al-troyano-groooboorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información el equipo de analistas del Csirt Financiero ha observado indicadores de compromiso (IoC) asociados a Groooboor un troyano de puerta trasera (backdoor trojan) que es distribuido principalmente a través de documentos ofimáticos infectados.
Actividad de FIN12 para distribuir ransomwareEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada al actor de amenaza FIN12 también conocido como UNC1878, para distribuir ransomware a múltiples entidades en todo el mundo. En esta oportunidad han enfocado sus objetivos al sector salud.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-fin12-para-distribuir-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada al actor de amenaza FIN12 también conocido como UNC1878, para distribuir ransomware a múltiples entidades en todo el mundo. En esta oportunidad han enfocado sus objetivos al sector salud.
Nuevos indicadores de compromiso asociados al troyano bancario QbotEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario Qbot, también conocido como Qakbot o Quackcbot, amenaza que ha presentado actividad maliciosa desde el año 2007, actualizando constantemente sus técnicas de persistencia, ofuscación y vector de infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-al-troyano-bancario-qbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario Qbot, también conocido como Qakbot o Quackcbot, amenaza que ha presentado actividad maliciosa desde el año 2007, actualizando constantemente sus técnicas de persistencia, ofuscación y vector de infección.
Revil Ransomware compromete la cadena de suministros de Kaseya VSAEn el monitoreo a fuentes abiertas de información, se ha identificado una campaña en proceso del grupo cibercriminal REvil ransomware el cual ha comprometido a la plataforma de gestión de servicios TI de forma remota Kaseya VSA.http://csirtasobancaria.com/Plone/alertas-de-seguridad/revil-ransomware-compromete-la-cadena-de-suministro-de-kaseya-vsa-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, se ha identificado una campaña en proceso del grupo cibercriminal REvil ransomware el cual ha comprometido a la plataforma de gestión de servicios TI de forma remota Kaseya VSA.
Nueva familia de malware denominada MosaicLoaderEn el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar al sector, el equipo del Csirt Financiero ha observado una nueva familia de malware denominada MosaicLoader.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-malware-denominada-mosaicloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar al sector, el equipo del Csirt Financiero ha observado una nueva familia de malware denominada MosaicLoader.
Nueva campaña de FIN7 para la distribución de JSSLoaderEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva campaña de malspam realizada por el grupo APT FIN7 para la distribución de una variante del troyano de acceso remoto (RAT) JSSLoader.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-fin7-para-la-distribucion-de-jssloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva campaña de malspam realizada por el grupo APT FIN7 para la distribución de una variante del troyano de acceso remoto (RAT) JSSLoader.
Kaseya obtiene un descifrador universal para el Ransomware REvilEl Csirt Financiero dentro del seguimiento al compromiso en la cadena de suministro que sufrió Kaseya en su plataforma VSA el pasado 02 de julio de 2021 y que afectó a más de 200 organizaciones a nivel global, informa a nuestros asociados que recientemente Kaseya cuenta con una herramienta para el descifrado de la información víctima del Ransomware REvil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/kaseya-obtiene-un-descifrador-universal-para-el-ransomware-revilhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero dentro del seguimiento al compromiso en la cadena de suministro que sufrió Kaseya en su plataforma VSA el pasado 02 de julio de 2021 y que afectó a más de 200 organizaciones a nivel global, informa a nuestros asociados que recientemente Kaseya cuenta con una herramienta para el descifrado de la información víctima del Ransomware REvil.
AvosLocker, nuevo ransomware que afecta sistemas operativos WindowsEn el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado un nuevo ransomware denominado AvosLocker.http://csirtasobancaria.com/Plone/alertas-de-seguridad/avoslocker-nuevo-ransomware-que-afecta-sistemas-operativos-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado un nuevo ransomware denominado AvosLocker.
Troyano XLoader afecta a sistemas Windows y MacEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad reciente del troyano XLoader, anteriormente conocido como Formbook. Este troyano ha evolucionado para convertirse en un malware multiplataforma que afecta a sistemas operativos Windows y MacOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-xloader-afecta-a-sistemas-windows-y-machttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad reciente del troyano XLoader, anteriormente conocido como Formbook. Este troyano ha evolucionado para convertirse en un malware multiplataforma que afecta a sistemas operativos Windows y MacOS.
Nueva versión del troyano bancario EventBot para Android.En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva muestra del troyano bancario dirigido a dispositivos Android, denominado EventBot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-del-troyano-bancario-eventbot-para-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva muestra del troyano bancario dirigido a dispositivos Android, denominado EventBot.
NUEVA VARIANTE DEL MALWARE PLOUTUS AFECTA A MÁQUINAS ATM EN LATINOAMÉRICAEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado una nueva variante del malware Ploutus, utilizado para vaciar los cajeros automáticos a través de la técnica denominada Jackpotting.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-malware-ploutus-afecta-a-maquinas-atm-en-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado una nueva variante del malware Ploutus, utilizado para vaciar los cajeros automáticos a través de la técnica denominada Jackpotting.
Vulnerabilidad de ejecución remota de código en VMware View PlannerEn el monitoreo realizado por el Csirt financiero a fuentes abiertas de información, se ha identificado una vulnerabilidad de ejecución remota de código sobre View Planner de VMware identificada con el CVE-2021-21978 y la cual cuenta con una calificación de 8.6 de severidad en la escala CVSSv3.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-ejecucion-remota-de-codigo-en-vmware-view-plannerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt financiero a fuentes abiertas de información, se ha identificado una vulnerabilidad de ejecución remota de código sobre View Planner de VMware identificada con el CVE-2021-21978 y la cual cuenta con una calificación de 8.6 de severidad en la escala CVSSv3.
Exploits Zero day dirigidos a servidores ExchangeEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado ataques mediante exploits dirigidos a Microsoft Exchange Server, con el propósito de acceder a los servidores de Exchange locales. De esta manera, se exfiltran cuentas de correo electrónico, además de instalar malware adicional para establecer persistencia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/exploits-zero-day-dirigidos-a-servidores-exchangehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado ataques mediante exploits dirigidos a Microsoft Exchange Server, con el propósito de acceder a los servidores de Exchange locales. De esta manera, se exfiltran cuentas de correo electrónico, además de instalar malware adicional para establecer persistencia.
Campaña de distribución de Bazar Loader que emplea a Anchor_DNSEn el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado nueva actividad del backdoor Bazar Loader, el cual utiliza al módulo de Trickbot denominado Anchor_DNS para facilitar la intrusión a una red comprometida. Ambos backdoors son asociados al grupo detrás del troyano Trickbot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-bazar-loader-que-emplea-a-anchor_dnshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado nueva actividad del backdoor Bazar Loader, el cual utiliza al módulo de Trickbot denominado Anchor_DNS para facilitar la intrusión a una red comprometida. Ambos backdoors son asociados al grupo detrás del troyano Trickbot.
Actividad Cibercriminal de HelloKitty RansomwareEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad cibercriminal de Hello Kitty Ransomware, el cual surgió a finales del año 2020. Aún no está confirmado el vector de ataque que utiliza este ransomware, pero se tiene la hipótesis de que se distribuye a través de mensajes de correo malspam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-cibercriminal-de-hellokitty-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad cibercriminal de Hello Kitty Ransomware, el cual surgió a finales del año 2020. Aún no está confirmado el vector de ataque que utiliza este ransomware, pero se tiene la hipótesis de que se distribuye a través de mensajes de correo malspam.
Nuevos indicadores de compromiso asociados a Quasar RATEn el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se han identificado indicadores de compromiso relacionados con el troyano de acceso remoto QuasarRAT. Herramienta que suele ser utilizada por los ciberdelincuentes para finalidades maliciosas y que permiten obtener beneficios económicos a los ciberdelincuentes a través de exfiltración de la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-quasar-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se han identificado indicadores de compromiso relacionados con el troyano de acceso remoto QuasarRAT. Herramienta que suele ser utilizada por los ciberdelincuentes para finalidades maliciosas y que permiten obtener beneficios económicos a los ciberdelincuentes a través de exfiltración de la información.
Nueva campaña para distribuir Mekotio, haciendo uso de AutoHotkeyEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva campaña de distribución de malware, la cual desencadena la ejecución del troyano bancario Metamorfo más conocido como Mekotio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-para-distribuir-mekotio-haciendo-uso-de-autohotkeyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva campaña de distribución de malware, la cual desencadena la ejecución del troyano bancario Metamorfo más conocido como Mekotio.
Deathstalker implementa nuevo backdoor denominada PowerpepperEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha detectado a DeathStalker, un grupo de amenaza persistente (APT), el cual tiene una nueva BackDoor que destaca por sus tácticas de evasión. La puerta trasera recién descubierta, utiliza el protocolo DNS para establecer comunicación cifrada con el Comando y Control (C2).http://csirtasobancaria.com/Plone/alertas-de-seguridad/deathstalker-implementa-nuevo-backdoor-denominada-powerpepperhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha detectado a DeathStalker, un grupo de amenaza persistente (APT), el cual tiene una nueva BackDoor que destaca por sus tácticas de evasión. La puerta trasera recién descubierta, utiliza el protocolo DNS para establecer comunicación cifrada con el Comando y Control (C2).
Crutch, nuevo backdoor asociado a TurlaEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero identificó un nuevo backdoor asociado al APT Turla, denominada Crutch por sus desarrolladores. Crutch es un backdoor que se comunica con una cuenta de Dropbox, la cual a través del API HTTP oficial, puede ejecutar comandos básicos de escritura y lectura.http://csirtasobancaria.com/Plone/alertas-de-seguridad/crutch-nuevo-backdoor-asociado-a-turlahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero identificó un nuevo backdoor asociado al APT Turla, denominada Crutch por sus desarrolladores. Crutch es un backdoor que se comunica con una cuenta de Dropbox, la cual a través del API HTTP oficial, puede ejecutar comandos básicos de escritura y lectura.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}