Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Aumento de actividad de botnet Lemon DuckEn el mes de agosto de 2020 el equipo del Csirt Financiero notificó sobre LemonDuck, una botnet de criptominería considerada como una de las más avanzadas, ya que los ciberdelincuentes mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Este criptominero ha estado activo desde diciembre de 2018 aumentando su actividad maliciosa en los últimos dos meses.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-de-botnet-lemon-duckhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mes de agosto de 2020 el equipo del Csirt Financiero notificó sobre LemonDuck, una botnet de criptominería considerada como una de las más avanzadas, ya que los ciberdelincuentes mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Este criptominero ha estado activo desde diciembre de 2018 aumentando su actividad maliciosa en los últimos dos meses.
Cargas útiles de Mirai apuntan a vulnerabilidades en dispositivos IOTEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de cargas útiles que apuntan a vulnerabilidades de dispositivos IoT. Mirai es una botnet activa desde el año 2016, conformada por diversos equipos conectados. Los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/cargas-utiles-de-mirai-apuntan-a-vulnerabilidades-en-dispositivos-iothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de cargas útiles que apuntan a vulnerabilidades de dispositivos IoT. Mirai es una botnet activa desde el año 2016, conformada por diversos equipos conectados. Los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS entre otros.
Loader Powgoop es atribuido al grupo APT MuddywaterEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una relación entre el grupo APT MuddyWater y la utilización del loader denominado PowGoop, el cuál había sido notificado por distribuir y ejecutar una variante de ransomware Thanos. Puede que este grupo APT sea el responsable de distribuir esta variante de ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/loader-powgoop-es-atribuido-al-grupo-apt-muddywaterhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una relación entre el grupo APT MuddyWater y la utilización del loader denominado PowGoop, el cuál había sido notificado por distribuir y ejecutar una variante de ransomware Thanos. Puede que este grupo APT sea el responsable de distribuir esta variante de ransomware.
Nuevo ejecutable distribuye AsyncRATEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva muestra de malware que distribuye AsyncRAT. Este software creado con propósito académico y con repositorio de código libre en GitHub, es utilizado por ciberdelincuentes para comprometer equipos de cómputo con sistema Operativo Windowshttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ejecutable-distribuye-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva muestra de malware que distribuye AsyncRAT. Este software creado con propósito académico y con repositorio de código libre en GitHub, es utilizado por ciberdelincuentes para comprometer equipos de cómputo con sistema Operativo Windows
Vulnerabilidad en VMware Horizon client para WindowsEn el monitoreo a fuentes de información abiertas, el equipo del Csirt Financiero ha evidenciado una vulnerabilidad manifestada en un problema de control de acceso al sistema durante la fase de instalación del producto VMware Horizon Client para Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-wmware-horizon-client-para-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes de información abiertas, el equipo del Csirt Financiero ha evidenciado una vulnerabilidad manifestada en un problema de control de acceso al sistema durante la fase de instalación del producto VMware Horizon Client para Windows.
Nuevos indicadores de compromiso asociados a la reactivación de EmotetEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a la reactivación del troyano bancario Emotet. Se propaga principalmente a través de mensajes de correo electrónico malspam que intentan persuadir a los usuarios para que hagan clic o descarguen los archivos maliciosos adjuntos al utilizar asuntos relacionados a facturas, detalles o envíos de empresas de paquetería.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-la-reactivacion-de-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a la reactivación del troyano bancario Emotet. Se propaga principalmente a través de mensajes de correo electrónico malspam que intentan persuadir a los usuarios para que hagan clic o descarguen los archivos maliciosos adjuntos al utilizar asuntos relacionados a facturas, detalles o envíos de empresas de paquetería.
Inyecciones Web, principal amenaza cibernética para el sector financieroEn el monitoreo realizado por el Csirt Financiero se ha evidenciado que las inyecciones de código a los sitios web bancarios se han convertido en un gran problema para el sector financiero, debido a su gran facilidad para exfiltrar información financiera de clientes de entidades bancarias y la realización de transferencias fraudulentas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/inyecciones-web-principal-amenaza-cibernetica-para-el-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado que las inyecciones de código a los sitios web bancarios se han convertido en un gran problema para el sector financiero, debido a su gran facilidad para exfiltrar información financiera de clientes de entidades bancarias y la realización de transferencias fraudulentas.
Nueva variante de GravityRAT afecta sistemas Android, Windows y MacOS.En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevas variantes del malware GravityRAT, dirigidas a dispositivos Android y equipos macOS. Malware empleado desde 2015 dirigido principalmente a Sistemas Operativos Windows. En 2018, los ciberdelincuentes encargados del desarrollo realizaron modificaciones importantes en su código, buscando disminuir su detección de las aplicaciones de seguridad y programas antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-gravityrat-afecta-sistemas-android-windows-y-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevas variantes del malware GravityRAT, dirigidas a dispositivos Android y equipos macOS. Malware empleado desde 2015 dirigido principalmente a Sistemas Operativos Windows. En 2018, los ciberdelincuentes encargados del desarrollo realizaron modificaciones importantes en su código, buscando disminuir su detección de las aplicaciones de seguridad y programas antimalware.
Nuevo Framework troyano afecta usuarios brasileñosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo framework para la distribución de troyanos especialmente bancarios. Este Framework ha sido denominado SolarSys y su operación principal se encuentra en Brasil. SolarSys: es un framework compuesto principalmente por puertas traseras desarrolladas en lenguajes de programación como JavaScript (JS) y .NET, gusanos de correo electrónico y módulos que permiten capturar información del sistema infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-framework-troyano-afecta-usuarios-brasilenoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo framework para la distribución de troyanos especialmente bancarios. Este Framework ha sido denominado SolarSys y su operación principal se encuentra en Brasil. SolarSys: es un framework compuesto principalmente por puertas traseras desarrolladas en lenguajes de programación como JavaScript (JS) y .NET, gusanos de correo electrónico y módulos que permiten capturar información del sistema infectado.
Nuevo malware vizom apunta a clientes bancarios brasileñosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo malware denominado Vizom dirigido a clientes de bancos brasileños, tiene funcionalidades que le permiten realizar la superposición de pantalla, acceso remoto y tomar el control del equipo infectado por parte del ciberdelincuente que puede utilizar las credenciales del usuario en transacciones bancarias fraudulentas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-vizom-apunta-a-clientes-bancarios-brasilenoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo malware denominado Vizom dirigido a clientes de bancos brasileños, tiene funcionalidades que le permiten realizar la superposición de pantalla, acceso remoto y tomar el control del equipo infectado por parte del ciberdelincuente que puede utilizar las credenciales del usuario en transacciones bancarias fraudulentas.
Troyano bancario denominado GhimobEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad de los actores detrás de la amenaza Guildma, los cuales han generado un nuevo malware denominado Ghimob. Los ciberdelincuentes han trabajado de manera activa en el desarrollo de nuevas técnicas y herramientas que les permitan afectar a un mayor número de usuarios de aplicaciones móviles financieras en América Latina, Europa y países africanos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-denominado-ghimobhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad de los actores detrás de la amenaza Guildma, los cuales han generado un nuevo malware denominado Ghimob. Los ciberdelincuentes han trabajado de manera activa en el desarrollo de nuevas técnicas y herramientas que les permitan afectar a un mayor número de usuarios de aplicaciones móviles financieras en América Latina, Europa y países africanos.
Vulnerabilidad dirigida a dispositivos CiscoEn el constante monitoreo que realiza el equipo del Csirt Financiero conoció una vulnerabilidad que podría afectar dispositivos tecnológicos tipos Routers que ejecutan el software Cisco IOS XR. El parche de actualización fue liberado en febrero. Sin embargo, recientemente se han conocido informes de intentos de explotación de la vulnerabilidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-dirigida-a-dispositivos-ciscohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el equipo del Csirt Financiero conoció una vulnerabilidad que podría afectar dispositivos tecnológicos tipos Routers que ejecutan el software Cisco IOS XR. El parche de actualización fue liberado en febrero. Sin embargo, recientemente se han conocido informes de intentos de explotación de la vulnerabilidad.
Ciberdelincuentes donan dinero de rescates obtenidos por ransomware Darkside.En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que los ciberdelincuentes detrás del Ransomware DarkSide ha donado $10.000 dólares a varias organizaciones sin ánimo de lucro, suma que es parte del dinero recaudado por las extorsiones a empresas víctimas del ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-donan-dinero-de-rescates-obtenidos-por-ransomware-darksidehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que los ciberdelincuentes detrás del Ransomware DarkSide ha donado $10.000 dólares a varias organizaciones sin ánimo de lucro, suma que es parte del dinero recaudado por las extorsiones a empresas víctimas del ransomware.
Campaña de AsyncRAT dirigida a empleados de entidad financieraEl Csirt Financiero en colaboración con uno de nuestros asociados, identificó la existencia de una nueva campaña de phishing dirigida a empleados de una entidad financiera.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-asyncrat-dirigida-a-empleados-de-entidad-financierahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero en colaboración con uno de nuestros asociados, identificó la existencia de una nueva campaña de phishing dirigida a empleados de una entidad financiera.
Ransomware Ryuk implementa nuevas técnicas de ataqueEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha constatado una nueva actividad maliciosa del ransomware Ryuk, programa malicioso conocido desde el año 2018 por ser una amenaza altamente peligrosa por su velocidad de ejecución y cifrado de los datos en la red comprometida, además de la evasión frente a herramientas de seguridad y programas antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-ryuk-implementa-nuevas-tecnicas-de-ataquehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha constatado una nueva actividad maliciosa del ransomware Ryuk, programa malicioso conocido desde el año 2018 por ser una amenaza altamente peligrosa por su velocidad de ejecución y cifrado de los datos en la red comprometida, además de la evasión frente a herramientas de seguridad y programas antimalware.
Nuevo RAT Abaddon, utiliza la plataforma Discord como C2En el monitorio a fuentes abiertas, el equipo del Csirt Financiero ha observado un nuevo troyano de acceso remoto (RAT) denominado Abaddon. Este RAT tiene la capacidad de utilizar como servidor de comando y control (C2) a la plataforma Discord para enviar y ejecutar instrucciones en equipos comprometidos. Además, se ha evidenciado que este RAT tiene un módulo en desarrollo destinado a la propagación de ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-abaddon-utiliza-la-plataforma-discord-como-c2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitorio a fuentes abiertas, el equipo del Csirt Financiero ha observado un nuevo troyano de acceso remoto (RAT) denominado Abaddon. Este RAT tiene la capacidad de utilizar como servidor de comando y control (C2) a la plataforma Discord para enviar y ejecutar instrucciones en equipos comprometidos. Además, se ha evidenciado que este RAT tiene un módulo en desarrollo destinado a la propagación de ransomware.
Vulnerabilidades aprovechadas por cibercriminales chinosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de 25 vulnerabilidades por parte de grupos cibercriminales patrocinados por el gobierno chino. Algunas vulnerabilidades explotadas aprovechan el acceso a internet en los productos o servicios expuestos en las entidades; las cuales pueden ser utilizadas para la intrusión inicial en la red y movimientos laterales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-aprovechadas-por-cibercriminales-chinoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de 25 vulnerabilidades por parte de grupos cibercriminales patrocinados por el gobierno chino. Algunas vulnerabilidades explotadas aprovechan el acceso a internet en los productos o servicios expuestos en las entidades; las cuales pueden ser utilizadas para la intrusión inicial en la red y movimientos laterales.
Plataformas CMS afectadas por Botnet KashmirblackEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet denominada KashmirBlack, capaz de explotar una antigua vulnerabilidad en sistemas de administración de contenido (CMS) como por ejemplo WordPress, Joomla, Magneto y Drupal. KashmirBlack es una botnet que ha realizado el secuestro de cientos de miles de sistemas CMS en 30 países.http://csirtasobancaria.com/Plone/alertas-de-seguridad/plataformas-cms-afectadas-por-botnet-kashmirblackhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet denominada KashmirBlack, capaz de explotar una antigua vulnerabilidad en sistemas de administración de contenido (CMS) como por ejemplo WordPress, Joomla, Magneto y Drupal. KashmirBlack es una botnet que ha realizado el secuestro de cientos de miles de sistemas CMS en 30 países.
Campaña de phishing utiliza falsos mensajes de Microsoft TeamsEn el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a usuarios de Microsoft Teams, dicha campaña ha afectado por lo menos a 50.000 usuarios de Office 365.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-utiliza-falsos-mensajes-de-microsoft-teamshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a usuarios de Microsoft Teams, dicha campaña ha afectado por lo menos a 50.000 usuarios de Office 365.
Campaña de phishing enfocada a usuarios de Sendgrid captura datos bancariosEn el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a los usuarios de SendGrid. El vector de ataque utilizado son mensajes de correo tipo malspam que incluyen logotipos y marca de la empresa, dejando entrever su aparente veracidad, en este caso se trata de una empresa en particular.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-enfocada-a-usuarios-de-sendgrid-captura-datos-bancarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a los usuarios de SendGrid. El vector de ataque utilizado son mensajes de correo tipo malspam que incluyen logotipos y marca de la empresa, dejando entrever su aparente veracidad, en este caso se trata de una empresa en particular.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}