Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Solarwinds Orion, omisión de autenticación de la API, permite ejecución remota de comandosEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero evidenció una nueva vulnerabilidad en los productos de SolarWinds Orion. Debido a los diferentes eventos ocasionados a los productos de SolarWinds, se ha evidenciado que la API de SolarWinds Orion presenta una vulnerabilidad en la omisión de autenticación, lo que permite la ejecución remota de comandos. La API de SolarWinds Orion, se usa para interactuar con los productos de SolarWinds Orion Platform. El fallo de seguridad permite que la autenticación se pueda omitir al incluir parámetros específicos en la Request.PathInfo en una parte de una solicitud URL, lo que otorgaría la ejecución de comandos de API no autenticados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/solarwinds-orion-omision-de-autenticacion-de-la-api-permite-ejecucion-remota-de-comandoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero evidenció una nueva vulnerabilidad en los productos de SolarWinds Orion. Debido a los diferentes eventos ocasionados a los productos de SolarWinds, se ha evidenciado que la API de SolarWinds Orion presenta una vulnerabilidad en la omisión de autenticación, lo que permite la ejecución remota de comandos. La API de SolarWinds Orion, se usa para interactuar con los productos de SolarWinds Orion Platform. El fallo de seguridad permite que la autenticación se pueda omitir al incluir parámetros específicos en la Request.PathInfo en una parte de una solicitud URL, lo que otorgaría la ejecución de comandos de API no autenticados.
Indicadores de compromiso asociados a EmotetEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se ha evidenciado nuevos indicadores de compromiso asociados al troyano bancario Emotet, enfocado a la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se ha evidenciado nuevos indicadores de compromiso asociados al troyano bancario Emotet, enfocado a la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows.
Macro que descarga malware desde GithubEn el continuo monitoreo que realiza el equipo de Csirt Financiero, se han logrado evidenciar archivos de tipo Microsoft Office principalmente Word que contienen macros maliciosas, las cuales una vez se habilitan, ejecutan scripts de Powershell que realizan la descarga de malware desde un repositorio de GitHub. En seguida, este script descarga un archivo de extensión .png de Imgur (repositorio que aloja imágenes en línea), dicha imagen tiene como finalidad decodificar un script de Cobalt Strike para realizar afectación sobre infraestructura o equipos de cómputo con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/macro-que-descarga-malware-desde-githubhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo que realiza el equipo de Csirt Financiero, se han logrado evidenciar archivos de tipo Microsoft Office principalmente Word que contienen macros maliciosas, las cuales una vez se habilitan, ejecutan scripts de Powershell que realizan la descarga de malware desde un repositorio de GitHub. En seguida, este script descarga un archivo de extensión .png de Imgur (repositorio que aloja imágenes en línea), dicha imagen tiene como finalidad decodificar un script de Cobalt Strike para realizar afectación sobre infraestructura o equipos de cómputo con sistema operativo Windows.
Backdoor Sunburst afecta cadena de suministro de SolarWinds OrionEn el monitoreo realizado por el equipo del Csirt Financiero, se ha identificado una campaña de nombre UNC2452, que afecta a diversas organizaciones públicas y privadas a nivel mundial (Norte américa, Europa, Asia y Medio Oriente), donde los ciberdelincuentes obtuvieron acceso a redes privadas mediante actualizaciones del producto de monitoreo y gestión IT Orion Platform de SolarWinds afectando a la librería SolarWinds.Orion.Core.BusinessLayer.dll.http://csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-sunburst-afecta-cadena-de-suministro-de-solarwinds-orionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero, se ha identificado una campaña de nombre UNC2452, que afecta a diversas organizaciones públicas y privadas a nivel mundial (Norte américa, Europa, Asia y Medio Oriente), donde los ciberdelincuentes obtuvieron acceso a redes privadas mediante actualizaciones del producto de monitoreo y gestión IT Orion Platform de SolarWinds afectando a la librería SolarWinds.Orion.Core.BusinessLayer.dll.
Nueva campaña del malware Casbaneiro apunta a MéxicoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva campaña de malware dirigida a México con el objetivo de distribuir el malware bancario Casbaneiro.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-malware-casbaneiro-apunta-a-mexicohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva campaña de malware dirigida a México con el objetivo de distribuir el malware bancario Casbaneiro.
Ataque DDOS a dispositivos CitrixEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una alerta de la compañía Citrix que advierte sobre ataques DDoS contra sus productos Citrix ADC y Citrix Gateway. Los ciberdelincuentes realizan estos ataques que pueden afectar el rendimiento de la red Citrix ADC DTLS, lo que podría provocar el agotamiento del ancho de banda de salida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-ddos-a-dispositivos-citrixhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una alerta de la compañía Citrix que advierte sobre ataques DDoS contra sus productos Citrix ADC y Citrix Gateway. Los ciberdelincuentes realizan estos ataques que pueden afectar el rendimiento de la red Citrix ADC DTLS, lo que podría provocar el agotamiento del ancho de banda de salida.
Nuevo Skimmer web apunta a múltiples plataformas de comercio electrónicoEn el monitoreo realizado por el Csirt Financiero, se ha identificado la existencia de un nuevo Skimmer de tarjetas multiplataforma capaz de afectar a Shopify, BigCommerce y otras plataformas de comercio electrónico. Hasta el momento, los investigadores han encontrado este skimmer en una docena de páginas de pago en línea compatibles con los sistemas de gestión alojados en las plataformas previamente mencionadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-skimmer-web-apunta-a-multiples-plataformas-de-comercio-electronicohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la existencia de un nuevo Skimmer de tarjetas multiplataforma capaz de afectar a Shopify, BigCommerce y otras plataformas de comercio electrónico. Hasta el momento, los investigadores han encontrado este skimmer en una docena de páginas de pago en línea compatibles con los sistemas de gestión alojados en las plataformas previamente mencionadas.
Nuevo gusano Golang lanza Xrig Miner a servidoresEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del malware gusano desarrollado en Golang. Este malware apunta a servidores Windows y Linux. Es un binario ELF y un script Bash que hasta el momento solo ha sido detectado como malicioso por 1 herramienta antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-gusano-golang-lanza-xrig-miner-a-servidoreshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del malware gusano desarrollado en Golang. Este malware apunta a servidores Windows y Linux. Es un binario ELF y un script Bash que hasta el momento solo ha sido detectado como malicioso por 1 herramienta antimalware.
Nuevos indicadores de compromiso asociados a EmotetEn el monitoreo a fuentes abiertas de información, se ha evidenciado la reactivación del troyano bancario Emotet en las últimas semanas, por tal razón el equipo del Csirt Financiero ha encontrado nuevos indicadores de compromiso asociados a este troyano. Emotet tiene como objetivo la exfiltración de información sensible y confidencial de equipos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-emotet-10http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, se ha evidenciado la reactivación del troyano bancario Emotet en las últimas semanas, por tal razón el equipo del Csirt Financiero ha encontrado nuevos indicadores de compromiso asociados a este troyano. Emotet tiene como objetivo la exfiltración de información sensible y confidencial de equipos con sistema operativo Windows.
Fin del ciclo de vida para Adobe Flash PlayerFlash Player anuncia su inminente salida del mercado de soporte tecnológico a partir del 1 de enero de 2021. Los constantes riesgos y explotación de vulnerabilidades de día cero como las presentadas desde el 2017 son algunas de las razones de su retiro. Los ciberdelincuentes han aprovechado varias vulnerabilidades inherentes al paquete de software para instalar malware, ejecutar código arbitrario remotamente y tomar control de los equipos afectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/fin-del-ciclo-de-vida-para-adobe-flash-playerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Flash Player anuncia su inminente salida del mercado de soporte tecnológico a partir del 1 de enero de 2021. Los constantes riesgos y explotación de vulnerabilidades de día cero como las presentadas desde el 2017 son algunas de las razones de su retiro. Los ciberdelincuentes han aprovechado varias vulnerabilidades inherentes al paquete de software para instalar malware, ejecutar código arbitrario remotamente y tomar control de los equipos afectados.
Microsoft confirma que ciberdelincuentes accedieron a sus códigos fuentesEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se observó un comunicado de Microsoft donde confirma que ante el incidente causado por el backdoor Sunburst en la plataforma SolarWinds Orion, ciberdelincuentes lograron acceder a los códigos fuentes de sus productos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/microsoft-confirma-que-ciberdelincuentes-accedieron-a-sus-codigos-fuenteshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se observó un comunicado de Microsoft donde confirma que ante el incidente causado por el backdoor Sunburst en la plataforma SolarWinds Orion, ciberdelincuentes lograron acceder a los códigos fuentes de sus productos.
Evolución del Ransomware en el 2020En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la evolución de los grupos cibercriminales que utilizan y distribuyen ransomware, desarrollando nuevas técnicas y tácticas para su distribución y extorsión a grandes corporaciones alrededor del mundo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-ransomware-en-el-2020http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la evolución de los grupos cibercriminales que utilizan y distribuyen ransomware, desarrollando nuevas técnicas y tácticas para su distribución y extorsión a grandes corporaciones alrededor del mundo.
Vulnerabilidad en SEO panel 4.8.0En el constante monitoreo a fuentes abiertas realizado por parte del equipo del Csirt, se ha evidenciado una vulnerabilidad en el panel de control SEO 4.8.0 (Search Engine Optimization), esta herramienta de libre acceso es útil para administrar la optimización de motores de búsqueda de sus sitios web mediante el rastreo al proceso SEO de estos portales web para su mejor posicionamiento.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-seo-panel-4-8.0http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas realizado por parte del equipo del Csirt, se ha evidenciado una vulnerabilidad en el panel de control SEO 4.8.0 (Search Engine Optimization), esta herramienta de libre acceso es útil para administrar la optimización de motores de búsqueda de sus sitios web mediante el rastreo al proceso SEO de estos portales web para su mejor posicionamiento.
Campaña de suplantación a Paypal para capturar credenciales de accesoEn el constante monitoreo a fuentes abiertas por parte del equipo del Csirt, se ha evidenciado una campaña de phishing con el objetivo de suplantar a la empresa PayPal y recolectar los datos sensibles y bancarios de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-suplantacion-a-paypal-para-capturar-credenciales-de-accesohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas por parte del equipo del Csirt, se ha evidenciado una campaña de phishing con el objetivo de suplantar a la empresa PayPal y recolectar los datos sensibles y bancarios de los usuarios.
Información publicada asociada a usuarios de cuentas American ExpressEn el monitoreo realizado por el Csirt Financiero a diversas fuentes, se ha evidenciado la publicación gratuita de 10,000 datos de clientes pertenecientes a American Express en México, donde también se afirma tener datos de otras entidades financieras mexicanas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/informacion-publicada-asociada-a-usuarios-de-cuentas-american-expresshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a diversas fuentes, se ha evidenciado la publicación gratuita de 10,000 datos de clientes pertenecientes a American Express en México, donde también se afirma tener datos de otras entidades financieras mexicanas.
Nueva actividad del grupo FIN7 utilizando JSSLoaderEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado nueva actividad del grupo APT FIN7, también conocido como grupo Carbanak el cual ha sido el encargado de realizar distintas campañas para la distribución de malware desde el año 2014. El grupo está enfocado principalmente en la ejecución de acciones cibercriminales motivado financieramente en contra diversas organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-fin7-utilizando-jssloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado nueva actividad del grupo APT FIN7, también conocido como grupo Carbanak el cual ha sido el encargado de realizar distintas campañas para la distribución de malware desde el año 2014. El grupo está enfocado principalmente en la ejecución de acciones cibercriminales motivado financieramente en contra diversas organizaciones.
Nuevo ransomware denominado Babuk LockerEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo Ransomware denominado Babuk Locker capaz de afectar sistemas operativos Windows. Los ataques de este Ransomware han sido originados desde principios de 2021 y ya cuenta con una variada lista de víctimas alrededor del mundo. También se tiene conocimiento de que las cifras de rescate establecidas por los ciberdelincuentes varían entre $60.000 y $85.000 dólares en monedas bitcoin.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevo-ransomware-denominado-babuk-lockerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo Ransomware denominado Babuk Locker capaz de afectar sistemas operativos Windows. Los ataques de este Ransomware han sido originados desde principios de 2021 y ya cuenta con una variada lista de víctimas alrededor del mundo. También se tiene conocimiento de que las cifras de rescate establecidas por los ciberdelincuentes varían entre $60.000 y $85.000 dólares en monedas bitcoin.
Nuevos indicadores de compromiso asociados a TrickbotEn el monitoreo realizado por el Csirt Financiero, se han identificado nuevos indicadores de compromiso de Trickbot, un troyano bancario diseñado para exfiltrar información financiera confidencial de usuarios a través de la infección de equipos. Trickbot también destaca al ser uno de los primeros malware capaz de exfiltrar datos de billeteras bitcoin.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-trickbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se han identificado nuevos indicadores de compromiso de Trickbot, un troyano bancario diseñado para exfiltrar información financiera confidencial de usuarios a través de la infección de equipos. Trickbot también destaca al ser uno de los primeros malware capaz de exfiltrar datos de billeteras bitcoin.
Nueva campaña de phishing descarga QratEn el monitoreo realizado por el Csirt Financiero, se ha identificado la distribución de phishing que implementa el troyano QRat, capaz de exfiltrar credenciales y otros datos confidenciales. Esta nueva campaña concede a los ciberdelincuentes control total sobre los equipos con sistema operativo Windows infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-descarga-qrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la distribución de phishing que implementa el troyano QRat, capaz de exfiltrar credenciales y otros datos confidenciales. Esta nueva campaña concede a los ciberdelincuentes control total sobre los equipos con sistema operativo Windows infectados.
Vulnerabilidades encontradas en servicios FortinetEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero, encontró información relacionada con vulnerabilidades en el firewall de aplicaciones Web FortiWeb (WAF) de Fortinet. Los eventos de seguridad ya se encuentran analizados y han sido abordados con el lanzamiento de parches de seguridad, los cuales se hace necesario implementar, para evitar la explotación por parte de amenazas cibernéticas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-encontradas-en-servicios-fortinethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero, encontró información relacionada con vulnerabilidades en el firewall de aplicaciones Web FortiWeb (WAF) de Fortinet. Los eventos de seguridad ya se encuentran analizados y han sido abordados con el lanzamiento de parches de seguridad, los cuales se hace necesario implementar, para evitar la explotación por parte de amenazas cibernéticas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}