Variante del Ransomware STOP DJVU denominada KolzEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una variante del ransomware STOP Djvu denominado Kolz que puede llegar a comprometer archivos con información confidencial en equipos con sistema operativo Windows y MacOS. El accionar criminal de esta amenaza cibernética fue evidenciado en el año 2016 y hasta la fecha ha causado un gran impacto como su semejantes netwalker y sodinokibi; de la familia de STOP DJVU se conoce la distribución de al menos 160 variantes durante el mes de septiembre del año 2020.http://csirtasobancaria.com/Plone/alertas-de-seguridad/variante-del-ransomware-stop-djvu-denominada-kolzhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una variante del ransomware STOP Djvu denominado Kolz que puede llegar a comprometer archivos con información confidencial en equipos con sistema operativo Windows y MacOS. El accionar criminal de esta amenaza cibernética fue evidenciado en el año 2016 y hasta la fecha ha causado un gran impacto como su semejantes netwalker y sodinokibi; de la familia de STOP DJVU se conoce la distribución de al menos 160 variantes durante el mes de septiembre del año 2020.
Grupo APT TA2552 utiliza phishing para leer Información Confidencial de Office 365En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una técnica de phishing utilizada por el grupo APT TA2552 para abusar del estándar de autorización OAuth de Microsoft Office 365.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-ta2552-utiliza-phishing-para-leer-informacion-confidencial-de-office-365http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una técnica de phishing utilizada por el grupo APT TA2552 para abusar del estándar de autorización OAuth de Microsoft Office 365.
Nuevo ransomware Egregor exfiltra datos de empresas a nivel mundialEn el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se ha evidenciado un nuevo ransomware llamado Egregor derivado del ransomware Sekhmet. Esta amenaza exfiltra datos confidenciales y luego cifrar la información, la nota de rescate fija un plazo de tres días para la cancelación del rescate o de lo contrario amenazan con publicar la información de la entidad afectada.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-egregor-exfiltra-datos-de-empresas-a-nivel-mundialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se ha evidenciado un nuevo ransomware llamado Egregor derivado del ransomware Sekhmet. Esta amenaza exfiltra datos confidenciales y luego cifrar la información, la nota de rescate fija un plazo de tres días para la cancelación del rescate o de lo contrario amenazan con publicar la información de la entidad afectada.
Grupo FULLZ HOUSE exfiltra tarjetas de crédito a través de skimming webEn el ejercicio del monitoreo a fuentes abiertas, por parte del equipo del Csirt financiero, se ha evidenciado actividad maliciosa del grupo FULLZ HOUSE. Estos cibercriminales son reconocidos por exfiltrar información de tarjetas de crédito mediante el compromiso de sitios web con pasarelas de pago.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-fullz-house-exfiltra-tarjetas-de-credito-a-traves-de-skimming-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo a fuentes abiertas, por parte del equipo del Csirt financiero, se ha evidenciado actividad maliciosa del grupo FULLZ HOUSE. Estos cibercriminales son reconocidos por exfiltrar información de tarjetas de crédito mediante el compromiso de sitios web con pasarelas de pago.
Nueva Botnet P2P se enfoca en Servicios Telnet vulnerablesEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet P2P con afectación sobre múltiples arquitecturas de CPU incluidas x86 (32/64), ARM (32/64) entre otras, capaz de propagarse a través de ataques de fuerza bruta aprovechando el protocolo de red telnet que usa los puertos 23/2323.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-p2p-se-enfoca-en-servicios-telnet-vulnerableshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet P2P con afectación sobre múltiples arquitecturas de CPU incluidas x86 (32/64), ARM (32/64) entre otras, capaz de propagarse a través de ataques de fuerza bruta aprovechando el protocolo de red telnet que usa los puertos 23/2323.
Nuevo servicio web implementado por campañas para la distribución de malwareEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de un servicio web similar a Pastebin en múltiples campañas de malware a nivel global. El servicio web paste.nrecom.net es un servicio creado para la publicación de código o texto con el objetivo de compartirlo al público en general. Sin embargo, se identificó que está siendo utilizado para la descarga de diversas amenazas cibernéticas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-servicio-web-implementado-por-campanas-para-la-distribucion-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de un servicio web similar a Pastebin en múltiples campañas de malware a nivel global. El servicio web paste.nrecom.net es un servicio creado para la publicación de código o texto con el objetivo de compartirlo al público en general. Sin embargo, se identificó que está siendo utilizado para la descarga de diversas amenazas cibernéticas.
TA505 explota vulnerabilidad ZerologonDesde el monitoreo realizado por el Csirt Financiero se ha evidenciado que TA505 está realizando explotación de la vulnerabilidad Zerologon, en donde abusan del aplicativo de Windows MSBuild(.)exe para compilar Mimikatz, actualizado con la funcionalidad incorporada de ZeroLogon.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ta505-explota-vulnerabilidad-zerologonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el monitoreo realizado por el Csirt Financiero se ha evidenciado que TA505 está realizando explotación de la vulnerabilidad Zerologon, en donde abusan del aplicativo de Windows MSBuild(.)exe para compilar Mimikatz, actualizado con la funcionalidad incorporada de ZeroLogon.
Múltiples vulnerabilidades halladas en dispositivos NetGearEn el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha comprobado múltiples vulnerabilidades en los productos de NetGear.http://csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-vulnerabilidades-halladas-en-dispositivos-netgearhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Vulnerabilidades en Microsoft Azure App ServicesEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas se han evidenciado dos vulnerabilidades críticas presentes en el servicio App Services de Microsoft Azure con afectación en infraestructura tecnológica con distribuciones Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-en-microsoft-azure-app-serviceshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas se han evidenciado dos vulnerabilidades críticas presentes en el servicio App Services de Microsoft Azure con afectación en infraestructura tecnológica con distribuciones Linux.
Fonix nuevo Ransomware como ServicioEn el monitoreo del panorama cibercriminal, el equipo del Csirt Financiero ha observado una nueva amenaza de ransomware denomina Fonix, una herramienta distribuida bajo la modalidad de Ransomware como Servicio (RaaS). Fonix afecta a los sistemas operativos Windows independiente de la arquitectura (32 o 64 bits).http://csirtasobancaria.com/Plone/alertas-de-seguridad/fonix-nuevo-ransomware-como-serviciohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo del panorama cibercriminal, el equipo del Csirt Financiero ha observado una nueva amenaza de ransomware denomina Fonix, una herramienta distribuida bajo la modalidad de Ransomware como Servicio (RaaS). Fonix afecta a los sistemas operativos Windows independiente de la arquitectura (32 o 64 bits).
Nuevas vulnerabilidades que afectan a WindowsEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevas vulnerabilidades que afectan a equipos con sistema operativo Windows 10 y Windows Server.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-vulnerabilidades-que-afectan-a-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevas vulnerabilidades que afectan a equipos con sistema operativo Windows 10 y Windows Server.
Ransomware Phobos afecta Sistema Microsoft WindowsEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, conoció del ransomware Phobos, el cual tiene como característica principal el constante cambio de la extensión de los archivos cifrados, además se ha evidenciado el incumplimiento de la liberación de los archivos, así las víctimas hayan cancelado el valor del rescate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-phobos-afecta-sistema-microsoft-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, conoció del ransomware Phobos, el cual tiene como característica principal el constante cambio de la extensión de los archivos cifrados, además se ha evidenciado el incumplimiento de la liberación de los archivos, así las víctimas hayan cancelado el valor del rescate.
Vulnerabilidad que afecta Google ChromeEl equipo del Csirt Financiero evidenció una vulnerabilidad que afecta al navegador Google Chrome, uno de los navegadores más populares y utilizados por gran cantidad de usuarios y entidades. La brecha de seguridad podría causar la divulgación o fuga de información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-que-afecta-google-chromehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero evidenció una vulnerabilidad que afecta al navegador Google Chrome, uno de los navegadores más populares y utilizados por gran cantidad de usuarios y entidades. La brecha de seguridad podría causar la divulgación o fuga de información.
Cargas útiles de Mirai apuntan a vulnerabilidades en dispositivos IOTEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de cargas útiles que apuntan a vulnerabilidades de dispositivos IoT. Mirai es una botnet activa desde el año 2016, conformada por diversos equipos conectados. Los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/cargas-utiles-de-mirai-apuntan-a-vulnerabilidades-en-dispositivos-iothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de cargas útiles que apuntan a vulnerabilidades de dispositivos IoT. Mirai es una botnet activa desde el año 2016, conformada por diversos equipos conectados. Los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS entre otros.
Nuevo ejecutable distribuye AsyncRATEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva muestra de malware que distribuye AsyncRAT. Este software creado con propósito académico y con repositorio de código libre en GitHub, es utilizado por ciberdelincuentes para comprometer equipos de cómputo con sistema Operativo Windowshttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ejecutable-distribuye-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva muestra de malware que distribuye AsyncRAT. Este software creado con propósito académico y con repositorio de código libre en GitHub, es utilizado por ciberdelincuentes para comprometer equipos de cómputo con sistema Operativo Windows
Nuevos indicadores de compromiso asociados a la reactivación de EmotetEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a la reactivación del troyano bancario Emotet. Se propaga principalmente a través de mensajes de correo electrónico malspam que intentan persuadir a los usuarios para que hagan clic o descarguen los archivos maliciosos adjuntos al utilizar asuntos relacionados a facturas, detalles o envíos de empresas de paquetería.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-la-reactivacion-de-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a la reactivación del troyano bancario Emotet. Se propaga principalmente a través de mensajes de correo electrónico malspam que intentan persuadir a los usuarios para que hagan clic o descarguen los archivos maliciosos adjuntos al utilizar asuntos relacionados a facturas, detalles o envíos de empresas de paquetería.
Inyecciones Web, principal amenaza cibernética para el sector financieroEn el monitoreo realizado por el Csirt Financiero se ha evidenciado que las inyecciones de código a los sitios web bancarios se han convertido en un gran problema para el sector financiero, debido a su gran facilidad para exfiltrar información financiera de clientes de entidades bancarias y la realización de transferencias fraudulentas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/inyecciones-web-principal-amenaza-cibernetica-para-el-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado que las inyecciones de código a los sitios web bancarios se han convertido en un gran problema para el sector financiero, debido a su gran facilidad para exfiltrar información financiera de clientes de entidades bancarias y la realización de transferencias fraudulentas.
Nueva variante de GravityRAT afecta sistemas Android, Windows y MacOS.En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevas variantes del malware GravityRAT, dirigidas a dispositivos Android y equipos macOS. Malware empleado desde 2015 dirigido principalmente a Sistemas Operativos Windows. En 2018, los ciberdelincuentes encargados del desarrollo realizaron modificaciones importantes en su código, buscando disminuir su detección de las aplicaciones de seguridad y programas antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-gravityrat-afecta-sistemas-android-windows-y-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevas variantes del malware GravityRAT, dirigidas a dispositivos Android y equipos macOS. Malware empleado desde 2015 dirigido principalmente a Sistemas Operativos Windows. En 2018, los ciberdelincuentes encargados del desarrollo realizaron modificaciones importantes en su código, buscando disminuir su detección de las aplicaciones de seguridad y programas antimalware.
Nuevo malware vizom apunta a clientes bancarios brasileñosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo malware denominado Vizom dirigido a clientes de bancos brasileños, tiene funcionalidades que le permiten realizar la superposición de pantalla, acceso remoto y tomar el control del equipo infectado por parte del ciberdelincuente que puede utilizar las credenciales del usuario en transacciones bancarias fraudulentas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-vizom-apunta-a-clientes-bancarios-brasilenoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo malware denominado Vizom dirigido a clientes de bancos brasileños, tiene funcionalidades que le permiten realizar la superposición de pantalla, acceso remoto y tomar el control del equipo infectado por parte del ciberdelincuente que puede utilizar las credenciales del usuario en transacciones bancarias fraudulentas.
Troyano bancario denominado GhimobEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad de los actores detrás de la amenaza Guildma, los cuales han generado un nuevo malware denominado Ghimob. Los ciberdelincuentes han trabajado de manera activa en el desarrollo de nuevas técnicas y herramientas que les permitan afectar a un mayor número de usuarios de aplicaciones móviles financieras en América Latina, Europa y países africanos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-denominado-ghimobhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad de los actores detrás de la amenaza Guildma, los cuales han generado un nuevo malware denominado Ghimob. Los ciberdelincuentes han trabajado de manera activa en el desarrollo de nuevas técnicas y herramientas que les permitan afectar a un mayor número de usuarios de aplicaciones móviles financieras en América Latina, Europa y países africanos.