Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
DSA-4420-1 thunderbird - actualización de seguridadLas vulnerabilidades en Thunderbird pueden conllevar a ejecución de código maligno e incluso a la denegación de servicio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/dsa-4420-1-thunderbird-actualizacion-de-seguridadhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dtrack, backdoor utilizado por grupos APTDtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado que el grupo APT denominado Lazarus patrocinados por el estado de Corea del Norte, continúan desplegando campañas maliciosas en varios países, donde en esta ocasión se observaron varios ataques a una corporación de Energía Nuclear de India.http://csirtasobancaria.com/Plone/alertas-de-seguridad/dtrack-backdoor-utilizado-por-grupos-apthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado que el grupo APT denominado Lazarus patrocinados por el estado de Corea del Norte, continúan desplegando campañas maliciosas en varios países, donde en esta ocasión se observaron varios ataques a una corporación de Energía Nuclear de India.
DuplexSpy RAT Permite Vigilancia Total y Control Remoto Encubierto en Equipos con WindowsDurante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad asociada a la distribución de DuplexSpy RAT, un troyano de acceso remoto para Windows que permite el control completo de los equipos comprometidos y presenta mecanismos de evasión frente a herramientas de seguridad. Este software malicioso, desarrollado en C#, cuenta con una interfaz gráfica limpia, opciones personalizables y funciones avanzadas que facilitan su adopción por parte de cibercriminales con conocimientos técnicos limitados. Aunque fue publicado con fines educativos en GitHub, su arquitectura modular y sus capacidades ofensivas lo convierten en una herramienta atractiva para actividades de ciberespionaje y control remoto no autorizado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/duplexspy-rat-permite-vigilancia-total-y-control-remoto-encubierto-en-equipos-con-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad asociada a la distribución de DuplexSpy RAT, un troyano de acceso remoto para Windows que permite el control completo de los equipos comprometidos y presenta mecanismos de evasión frente a herramientas de seguridad. Este software malicioso, desarrollado en C#, cuenta con una interfaz gráfica limpia, opciones personalizables y funciones avanzadas que facilitan su adopción por parte de cibercriminales con conocimientos técnicos limitados. Aunque fue publicado con fines educativos en GitHub, su arquitectura modular y sus capacidades ofensivas lo convierten en una herramienta atractiva para actividades de ciberespionaje y control remoto no autorizado.
Ejecución de código remoto en cajeros automáticos con versiones de Opteva 4.xSe detecta amenaza global que podría impactar sobre el sector financiero. Diebold Nixdorf, empresa especializada con el suministro de cajeros automáticos a nivel mundial, informa sobre una amenaza, la cual podría terminar en ejecución remota de código malicioso en terminales Opteva v4.x, con el objetivo principal de robo de dinero a los ATM de las entidades financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ejecucion-de-codigo-remoto-en-cajeros-automaticos-con-versiones-de-opteva-4.xhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta amenaza global que podría impactar sobre el sector financiero. Diebold Nixdorf, empresa especializada con el suministro de cajeros automáticos a nivel mundial, informa sobre una amenaza, la cual podría terminar en ejecución remota de código malicioso en terminales Opteva v4.x, con el objetivo principal de robo de dinero a los ATM de las entidades financieras.
Ejecución de múltiples códigos arbitrarios en múltiples productos de CiscoSe han reportado múltiples vulnerabilidades en productos de Cisco, que podrían ser explotados por atacantes y comprometer a un sistema vulnerable.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ejecucion-de-multiples-codigos-arbitrarios-en-multiples-productos-de-ciscohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El actor de amenaza CoralRaider distribuye RotBot y Xclient Stealer en sus campañas maliciosas.Durante el monitoreo realizado por el equipo del Csirt Financiero en búsqueda de nuevas amenazas o campañas maliciosas que puedan generar impactos en el sector financiero y la infraestructura de los asociados, se observó un nuevo actor de amenazas (APT) identificado como “CoralRaider” con motivaciones financieras, que utiliza un loader conocido como RotBot para distribuir e infectar el sistema con la carga útil de XClient Stealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-actor-de-amenaza-coralraider-distribuye-rotbot-y-xclient-stealer-en-sus-campanas-maliciosashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo del Csirt Financiero en búsqueda de nuevas amenazas o campañas maliciosas que puedan generar impactos en el sector financiero y la infraestructura de los asociados, se observó un nuevo actor de amenazas (APT) identificado como “CoralRaider” con motivaciones financieras, que utiliza un loader conocido como RotBot para distribuir e infectar el sistema con la carga útil de XClient Stealer.
El actor de amenazas Zinc despliega un backdoor en su operación denominado ZetaNileLos grupos de cibersoldados que operan actividades de estado-nación, son bastante activos en la naturaleza como es el caso de Zinc, quienes han perpetrado ataques cibernéticos sofisticados y destructivos desde 2009; el éxito de sus misiones es incursionar herramientas personalizadas como troyanos de acceso remoto (RAT), en ese orden de ideas se ha visto en el ciberespacio una creciente ola de campañas de ingeniería social atribuida a este grupo, en la que utilizan versiones modificadas de software de libre acceso para comprometer los equipos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-actor-de-amenazas-zinc-despliega-un-backdoor-en-su-operacion-denominado-zetanilehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los grupos de cibersoldados que operan actividades de estado-nación, son bastante activos en la naturaleza como es el caso de Zinc, quienes han perpetrado ataques cibernéticos sofisticados y destructivos desde 2009; el éxito de sus misiones es incursionar herramientas personalizadas como troyanos de acceso remoto (RAT), en ese orden de ideas se ha visto en el ciberespacio una creciente ola de campañas de ingeniería social atribuida a este grupo, en la que utilizan versiones modificadas de software de libre acceso para comprometer los equipos.
El ataque de Ransomware obligó a la ciudad de Greenville a cerrar la mayoría de sus servidoresEl ataque de paralizo las operaciones informáticas en la ciudad de Greenville en Carolina del sur. El ataque obligo a la desconexión de la mayoría de los servidores que se alojan en la ciudad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ataque-de-ransomware-obligo-a-la-ciudad-de-greenville-a-cerrar-la-mayoria-de-sus-servidoreshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ataque de paralizo las operaciones informáticas en la ciudad de Greenville en Carolina del sur. El ataque obligo a la desconexión de la mayoría de los servidores que se alojan en la ciudad.
El auge del troyano TOITOIN y su cadena de infección sofisticada que afecta a entidades en América LatinaEn el mundo en constante cambio de las amenazas cibernéticas, ha surgido recientemente una nueva y sofisticada campaña de ataque dirigido en la región de América Latina (LATAM). Esta campaña utiliza un troyano de múltiples etapas llamado TOITOIN, con módulos diseñados específicamente en cada etapa para llevar a cabo actividades maliciosas. Este troyano se destaca por su técnica única de descifrado XOR, que utiliza para decodificar su archivo de configuración y recopilar información crucial del sistema y datos relacionados con los navegadores instalados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-auge-del-troyano-toitoin-y-su-cadena-de-infeccion-sofisticada-que-afecta-a-entidades-en-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo en constante cambio de las amenazas cibernéticas, ha surgido recientemente una nueva y sofisticada campaña de ataque dirigido en la región de América Latina (LATAM). Esta campaña utiliza un troyano de múltiples etapas llamado TOITOIN, con módulos diseñados específicamente en cada etapa para llevar a cabo actividades maliciosas. Este troyano se destaca por su técnica única de descifrado XOR, que utiliza para decodificar su archivo de configuración y recopilar información crucial del sistema y datos relacionados con los navegadores instalados.
El Bootkit UEFI denominado BlackLotus toma protagonismo en el panorama de amenazasLa orquestación de ataques cibernéticos se vuelve más sofisticado con herramientas como el bootkit de arranque UEFI conocido como BlackLotus, que omite la característica de seguridad de la plataforma UEFI Secure Boot. Los bootkits UEFI son amenazas muy poderosas que pueden controlar todo el proceso de arranque del sistema operativo y deshabilitar varios mecanismos de seguridad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-bootkit-uefi-denominado-blacklotus-toma-protagonismo-en-el-panorama-de-amenazashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La orquestación de ataques cibernéticos se vuelve más sofisticado con herramientas como el bootkit de arranque UEFI conocido como BlackLotus, que omite la característica de seguridad de la plataforma UEFI Secure Boot. Los bootkits UEFI son amenazas muy poderosas que pueden controlar todo el proceso de arranque del sistema operativo y deshabilitar varios mecanismos de seguridad.
El cargador Bumblebee está siendo empleado para impactar a los servicios de Active DirectoryRecientemente, se evidenciaron ataques cibernéticos en los cuales se involucró a Bumblebee Loader y como a través de este los ciberdelincuentes lograron comprometer la red de las organizaciones, este cargador lo utilizaron posteriormente a la explotación con la finalidad de escalar privilegios, a su vez, realizar el reconocimiento del sistema y generar la exfiltración de credenciales de acceso, con estas últimas mencionadas, los ciberdelincuentes lograron acceder de manera arbitraria al Active Directory (AD) acto seguido, con los datos recopilados realizaron actividades maliciosas sobre la red objetivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-cargador-bumblebee-esta-siendo-empleado-para-impactar-a-los-servicios-de-active-directoryhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se evidenciaron ataques cibernéticos en los cuales se involucró a Bumblebee Loader y como a través de este los ciberdelincuentes lograron comprometer la red de las organizaciones, este cargador lo utilizaron posteriormente a la explotación con la finalidad de escalar privilegios, a su vez, realizar el reconocimiento del sistema y generar la exfiltración de credenciales de acceso, con estas últimas mencionadas, los ciberdelincuentes lograron acceder de manera arbitraria al Active Directory (AD) acto seguido, con los datos recopilados realizaron actividades maliciosas sobre la red objetivo.
El cargador GuLoader es distribuido mediante facturas fiscales y hojas de ruta disfrazadas.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó una nueva actividad del cargador GuLoader el cual está siendo distribuido mediante correos electrónicos que contienen archivos adjuntos disfrazados de facturas fiscales y hojas de ruta, estas hojas acompañan al contrato de transporte de mercancías que se realiza entre un expedidor y el transportista.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-cargador-guloader-es-distribuido-mediante-facturas-fiscales-y-hojas-de-ruta-disfrazadashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó una nueva actividad del cargador GuLoader el cual está siendo distribuido mediante correos electrónicos que contienen archivos adjuntos disfrazados de facturas fiscales y hojas de ruta, estas hojas acompañan al contrato de transporte de mercancías que se realiza entre un expedidor y el transportista.
El downloader Pure crypter descarga diversas familias de malwareRecientemente el equipo de analistas del Csirt Financiero identificó nueva actividad relacionada a Pure Crypter un downloader el cual está reapareciendo y realizando afectaciones a organizaciones gubernamentales a nivel mundial, generando la descarga de diversos tipos de malware como ransomware y troyanos de acceso remoto, gracias a estas nuevas actividades se generan nuevos indicadores de compromiso relacionados a Pure Crypter.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-downloader-pure-crypter-descarga-diversas-familias-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el equipo de analistas del Csirt Financiero identificó nueva actividad relacionada a Pure Crypter un downloader el cual está reapareciendo y realizando afectaciones a organizaciones gubernamentales a nivel mundial, generando la descarga de diversos tipos de malware como ransomware y troyanos de acceso remoto, gracias a estas nuevas actividades se generan nuevos indicadores de compromiso relacionados a Pure Crypter.
El grupo APT15 lleva utilizando desde hace más de dos años un backdoor, llamada Okrum, para atacar misiones diplomáticasUn backdoor o puerta trasera llamado Okrum, detectada por primera vez a finales de 2016 por ESET, está siendo utilizada para atacar misiones diplomáticas en varios países de Europa y América Latina. Este backdoor, hasta ahora sin documentar, permite a los atacantes descargar y cargar archivos y ejecutar comandos binarios o Shell.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-apt15-lleva-utilizando-desde-hace-mas-de-dos-anos-un-backdoor-llamada-okrum-para-atacar-misiones-diplomaticashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un backdoor o puerta trasera llamado Okrum, detectada por primera vez a finales de 2016 por ESET, está siendo utilizada para atacar misiones diplomáticas en varios países de Europa y América Latina. Este backdoor, hasta ahora sin documentar, permite a los atacantes descargar y cargar archivos y ejecutar comandos binarios o Shell.
El grupo Blind Eagle utiliza un loader para difundir troyanosMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó el grupo Blind Eagle utilizando un loader llamado Ande Loader.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-blind-eagle-utiliza-un-loader-para-difundir-troyanoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó el grupo Blind Eagle utilizando un loader llamado Ande Loader.
El grupo de amenazas APT FIN8 podría estar relacionado con los ataques dirigidos a estaciones de servicio en Estados UnidosDesde el CSIRT Financiero se ha identificado una campaña de ataques dirigidos a dispensadores de combustible en estaciones de servicio [Estados Unidos], mediante el envío de correos de tipo phishing, los ciberdelincuentes lograron acceder a la red corporativa y posteriormente a través de movimientos laterales comprometieron los dispositivos POS [Punto de Venta, por sus siglas en inglés], obteniendo la información de las tarjetas de crédito de los usuarios que realizaban el pago por estos medios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-de-amenazas-apt-fin8-podria-estar-relacionado-con-los-ataques-dirigidos-a-estaciones-de-servicio-en-estados-unidoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una campaña de ataques dirigidos a dispensadores de combustible en estaciones de servicio [Estados Unidos], mediante el envío de correos de tipo phishing, los ciberdelincuentes lograron acceder a la red corporativa y posteriormente a través de movimientos laterales comprometieron los dispositivos POS [Punto de Venta, por sus siglas en inglés], obteniendo la información de las tarjetas de crédito de los usuarios que realizaban el pago por estos medios.
El grupo de amenazas Blind Eagle distribuye el troyano de acceso remoto Quasar RATEl equipo del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o campañas que puedan impactar la infraestructura tecnológica de los asociados, donde se observó actividad del grupo de amenazas conocido como Blind Eagle, distribuyendo el troyano Quasar RAT y afectando a entidades financieras de Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-de-amenazas-blind-eagle-distribuye-el-troyano-de-acceso-remoto-quasar-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o campañas que puedan impactar la infraestructura tecnológica de los asociados, donde se observó actividad del grupo de amenazas conocido como Blind Eagle, distribuyendo el troyano Quasar RAT y afectando a entidades financieras de Latinoamérica.
El grupo de amenazas Eternity y su nuevo botnet LilithLos actores de amenazas continúan propagando nuevas familias de malware en la naturaleza, por lo cual es normal frecuentar el modelo de negocio MaaS (Malware as a Service) ofrecido en distintos medios, por ejemplo, se puede encontrar la comercialización de malware en foros clandestinos de la Darknet y durante los últimos años en canales de Telegram; es así como se reconoce el grupo ruso Eternity quienes desarrollan distintos tipos de malware y recientemente adicionaron a su arsenal un nuevo botnet denominado Lilith.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-de-amenazas-eternity-y-su-nuevo-botnet-lilithhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenazas continúan propagando nuevas familias de malware en la naturaleza, por lo cual es normal frecuentar el modelo de negocio MaaS (Malware as a Service) ofrecido en distintos medios, por ejemplo, se puede encontrar la comercialización de malware en foros clandestinos de la Darknet y durante los últimos años en canales de Telegram; es así como se reconoce el grupo ruso Eternity quienes desarrollan distintos tipos de malware y recientemente adicionaron a su arsenal un nuevo botnet denominado Lilith.
El grupo de Play ransomware implementa nuevas herramientas para sus actividades maliciosasMediante un monitoreo realizado a diversas fuentes de información, se identificó nuevas actividades maliciosas del grupo de Play ransomware, en las que utilizan dos herramientas personalizadas para el desarrollo de sus actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-de-play-ransomware-implementa-nuevas-herramientas-para-sus-actividades-maliciosashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante un monitoreo realizado a diversas fuentes de información, se identificó nuevas actividades maliciosas del grupo de Play ransomware, en las que utilizan dos herramientas personalizadas para el desarrollo de sus actividades maliciosas.
El Grupo DEATHSTALKER incluye en sus ataques a Entidades FinancierasEn el monitoreo realizado por el Csirt Financiero se ha evidenciado la actividad del grupo cibercriminal DeathStalker. Se tiene conocimiento sobre DeathStalker desde 2012 y, en la actualidad, están dirigiendo sus campañas a empresas del sector financiero y bufetes de abogados. Aunque el grupo está dirigiendo sus campañas a estos sectores, su motivación principal no es la ganancia económica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-deathstalker-incluye-en-sus-ataques-a-entidades-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado la actividad del grupo cibercriminal DeathStalker. Se tiene conocimiento sobre DeathStalker desde 2012 y, en la actualidad, están dirigiendo sus campañas a empresas del sector financiero y bufetes de abogados. Aunque el grupo está dirigiendo sus campañas a estos sectores, su motivación principal no es la ganancia económica.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}