Vulnerabilidad dirigida a dispositivos CiscoEn el constante monitoreo que realiza el equipo del Csirt Financiero conoció una vulnerabilidad que podría afectar dispositivos tecnológicos tipos Routers que ejecutan el software Cisco IOS XR. El parche de actualización fue liberado en febrero. Sin embargo, recientemente se han conocido informes de intentos de explotación de la vulnerabilidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-dirigida-a-dispositivos-ciscohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el equipo del Csirt Financiero conoció una vulnerabilidad que podría afectar dispositivos tecnológicos tipos Routers que ejecutan el software Cisco IOS XR. El parche de actualización fue liberado en febrero. Sin embargo, recientemente se han conocido informes de intentos de explotación de la vulnerabilidad.
Ciberdelincuentes donan dinero de rescates obtenidos por ransomware Darkside.En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que los ciberdelincuentes detrás del Ransomware DarkSide ha donado $10.000 dólares a varias organizaciones sin ánimo de lucro, suma que es parte del dinero recaudado por las extorsiones a empresas víctimas del ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-donan-dinero-de-rescates-obtenidos-por-ransomware-darksidehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que los ciberdelincuentes detrás del Ransomware DarkSide ha donado $10.000 dólares a varias organizaciones sin ánimo de lucro, suma que es parte del dinero recaudado por las extorsiones a empresas víctimas del ransomware.
Campaña de AsyncRAT dirigida a empleados de entidad financieraEl Csirt Financiero en colaboración con uno de nuestros asociados, identificó la existencia de una nueva campaña de phishing dirigida a empleados de una entidad financiera.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-asyncrat-dirigida-a-empleados-de-entidad-financierahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero en colaboración con uno de nuestros asociados, identificó la existencia de una nueva campaña de phishing dirigida a empleados de una entidad financiera.
Ransomware Ryuk implementa nuevas técnicas de ataqueEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha constatado una nueva actividad maliciosa del ransomware Ryuk, programa malicioso conocido desde el año 2018 por ser una amenaza altamente peligrosa por su velocidad de ejecución y cifrado de los datos en la red comprometida, además de la evasión frente a herramientas de seguridad y programas antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-ryuk-implementa-nuevas-tecnicas-de-ataquehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha constatado una nueva actividad maliciosa del ransomware Ryuk, programa malicioso conocido desde el año 2018 por ser una amenaza altamente peligrosa por su velocidad de ejecución y cifrado de los datos en la red comprometida, además de la evasión frente a herramientas de seguridad y programas antimalware.
Nuevo RAT Abaddon, utiliza la plataforma Discord como C2En el monitorio a fuentes abiertas, el equipo del Csirt Financiero ha observado un nuevo troyano de acceso remoto (RAT) denominado Abaddon. Este RAT tiene la capacidad de utilizar como servidor de comando y control (C2) a la plataforma Discord para enviar y ejecutar instrucciones en equipos comprometidos. Además, se ha evidenciado que este RAT tiene un módulo en desarrollo destinado a la propagación de ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-abaddon-utiliza-la-plataforma-discord-como-c2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitorio a fuentes abiertas, el equipo del Csirt Financiero ha observado un nuevo troyano de acceso remoto (RAT) denominado Abaddon. Este RAT tiene la capacidad de utilizar como servidor de comando y control (C2) a la plataforma Discord para enviar y ejecutar instrucciones en equipos comprometidos. Además, se ha evidenciado que este RAT tiene un módulo en desarrollo destinado a la propagación de ransomware.
Vulnerabilidades aprovechadas por cibercriminales chinosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de 25 vulnerabilidades por parte de grupos cibercriminales patrocinados por el gobierno chino. Algunas vulnerabilidades explotadas aprovechan el acceso a internet en los productos o servicios expuestos en las entidades; las cuales pueden ser utilizadas para la intrusión inicial en la red y movimientos laterales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-aprovechadas-por-cibercriminales-chinoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de 25 vulnerabilidades por parte de grupos cibercriminales patrocinados por el gobierno chino. Algunas vulnerabilidades explotadas aprovechan el acceso a internet en los productos o servicios expuestos en las entidades; las cuales pueden ser utilizadas para la intrusión inicial en la red y movimientos laterales.
Plataformas CMS afectadas por Botnet KashmirblackEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet denominada KashmirBlack, capaz de explotar una antigua vulnerabilidad en sistemas de administración de contenido (CMS) como por ejemplo WordPress, Joomla, Magneto y Drupal. KashmirBlack es una botnet que ha realizado el secuestro de cientos de miles de sistemas CMS en 30 países.http://csirtasobancaria.com/Plone/alertas-de-seguridad/plataformas-cms-afectadas-por-botnet-kashmirblackhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet denominada KashmirBlack, capaz de explotar una antigua vulnerabilidad en sistemas de administración de contenido (CMS) como por ejemplo WordPress, Joomla, Magneto y Drupal. KashmirBlack es una botnet que ha realizado el secuestro de cientos de miles de sistemas CMS en 30 países.
Campaña de phishing utiliza falsos mensajes de Microsoft TeamsEn el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a usuarios de Microsoft Teams, dicha campaña ha afectado por lo menos a 50.000 usuarios de Office 365.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-utiliza-falsos-mensajes-de-microsoft-teamshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a usuarios de Microsoft Teams, dicha campaña ha afectado por lo menos a 50.000 usuarios de Office 365.
Ransomware Lockbit emplea Tácticas, Técnicas y Procedimientos para mejorar el cifradoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia LockBit, un ransomware con la capacidad de realizar el proceso de cifrado de archivos en corto tiempo y una rápida difusión por la red comprometiendo más equipos de cómputo con Sistema Operativo Windows. Los ciberdelincuentes detrás del ransomware desarrollaron e implementaron tácticas, técnicas y procedimientos encargados de eliminar los archivos utilizados para la infección, luego de realizar la instalación, ejecución e infección de los equipos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-lockbit-emplea-tacticas-tecnicas-y-procedimientos-para-mejorar-el-cifradohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia LockBit, un ransomware con la capacidad de realizar el proceso de cifrado de archivos en corto tiempo y una rápida difusión por la red comprometiendo más equipos de cómputo con Sistema Operativo Windows. Los ciberdelincuentes detrás del ransomware desarrollaron e implementaron tácticas, técnicas y procedimientos encargados de eliminar los archivos utilizados para la infección, luego de realizar la instalación, ejecución e infección de los equipos.
URL maliciosa que captura credenciales de Office 365Mediante la colaboración de entidades asociadas del sector Financiero y el Csirt, se obtuvo conocimiento sobre una campaña de mensajes de correo electrónico en los que se insta al usuario a acceder a un sitio que suplanta a Microsoft, haciendo uso de ingeniería social amenazando con la inhabilitación de la cuenta si no se realizaba la autenticación en el enlace contenido en el mensaje.http://csirtasobancaria.com/Plone/alertas-de-seguridad/url-maliciosa-que-captura-credenciales-de-office-365http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante la colaboración de entidades asociadas del sector Financiero y el Csirt, se obtuvo conocimiento sobre una campaña de mensajes de correo electrónico en los que se insta al usuario a acceder a un sitio que suplanta a Microsoft, haciendo uso de ingeniería social amenazando con la inhabilitación de la cuenta si no se realizaba la autenticación en el enlace contenido en el mensaje.
Nuevos indicadores de compromiso asociados a Remcos RATEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Remcos RAT. Se considera una amenaza cibernética como un troyano de acceso remoto (RAT) dirigido a Sistemas Operativos Windows identificado por primera vez el año 2016 en foros de piratería.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-remcos-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Remcos RAT. Se considera una amenaza cibernética como un troyano de acceso remoto (RAT) dirigido a Sistemas Operativos Windows identificado por primera vez el año 2016 en foros de piratería.
Vectores de infección aprovechados por ciberatacantesEl equipo del Csirt Financiero ha observado un aumento en el uso de técnicas y vectores de infección que permiten a los ciberdelincuentes comprometer la seguridad de las entidades.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vectores-de-infeccion-aprovechados-por-ciberatacanteshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha observado un aumento en el uso de técnicas y vectores de infección que permiten a los ciberdelincuentes comprometer la seguridad de las entidades.
Actividad del grupo APT Silent LibrarianEn el monitoreo realizado por el equipo del Csirt Financiero se ha identificado actividad del grupo APT Silent Librarian, también conocido como TA407. Este grupo ha registrado campañas maliciosas desde el año 2013, en las que su principal motivación es el espionaje y la exfiltración de información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-del-grupo-apt-silent-librarianhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se ha identificado actividad del grupo APT Silent Librarian, también conocido como TA407. Este grupo ha registrado campañas maliciosas desde el año 2013, en las que su principal motivación es el espionaje y la exfiltración de información.
Skimmer Cardbleed: campaña masiva contra plataformas MagentoEl Csirt Financiero identificó una campaña masiva, denominada Cardbleed, que ha estado activa desde septiembre de 2020, esta comparte patrones con GSTATICAPI. El Csirt Financiero analizó durante el mes de septiembre el skimmer GSTATICAPI, escrito en JavaScript y reportado a los asociados mediante notificación y alerta. Se ha nombrado así por el nombre de dominio en el que se alojaba este script malicioso, el cual es gstaticapi[.]com.http://csirtasobancaria.com/Plone/alertas-de-seguridad/skimmer-cardbleed-campana-masiva-contra-plataformas-magentohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero identificó una campaña masiva, denominada Cardbleed, que ha estado activa desde septiembre de 2020, esta comparte patrones con GSTATICAPI. El Csirt Financiero analizó durante el mes de septiembre el skimmer GSTATICAPI, escrito en JavaScript y reportado a los asociados mediante notificación y alerta. Se ha nombrado así por el nombre de dominio en el que se alojaba este script malicioso, el cual es gstaticapi[.]com.
Emotet utiliza documentos Word con falsas actualizaciones de Microsoft para su distribuciónEn el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado la distribución del troyano bancario Emotet utilizando archivos de ofimática con macros embebidas maliciosas. En este caso, se observó que los ciberdelincuentes agregaron una nueva temática o mensaje en el contenido de los archivos, que trata al respecto de una actualización de Microsoft Word y la necesidad de habilitar las macros para ejecutar dicha actualización. El método de distribución de estos documentos maliciosos es por medio de mensajes de correo electrónico malspam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-utiliza-documentos-word-con-falsas-actualizaciones-de-microsoft-para-su-distribucionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado la distribución del troyano bancario Emotet utilizando archivos de ofimática con macros embebidas maliciosas. En este caso, se observó que los ciberdelincuentes agregaron una nueva temática o mensaje en el contenido de los archivos, que trata al respecto de una actualización de Microsoft Word y la necesidad de habilitar las macros para ejecutar dicha actualización. El método de distribución de estos documentos maliciosos es por medio de mensajes de correo electrónico malspam.
Nuevos indicadores de compromiso asociados a Agent TeslaEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Agent Tesla. Esta amenaza cibernética pertenece a la familia de troyanos de acceso remoto, con gran variedad de funcionalidades que le permite realizar capturar las pulsaciones de teclado, tomar captura de pantalla, exfiltración de credenciales pertenecientes a múltiples sistemas de información, servicios tecnológicos y navegadores web como Google Chrome o Mozilla Firefox, hurto de credenciales de cuentas correos electrónicos, contraseñas e información bancaria, efectuar robo de identidad y, además, agregar el host infectado a una botnet. Lo que convierte a Agent Tesla en una amenaza con gran potencial de afectación en los equipos vulnerados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-agent-teslahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Agent Tesla. Esta amenaza cibernética pertenece a la familia de troyanos de acceso remoto, con gran variedad de funcionalidades que le permite realizar capturar las pulsaciones de teclado, tomar captura de pantalla, exfiltración de credenciales pertenecientes a múltiples sistemas de información, servicios tecnológicos y navegadores web como Google Chrome o Mozilla Firefox, hurto de credenciales de cuentas correos electrónicos, contraseñas e información bancaria, efectuar robo de identidad y, además, agregar el host infectado a una botnet. Lo que convierte a Agent Tesla en una amenaza con gran potencial de afectación en los equipos vulnerados.
Vulnerabilidad hallada en Moxa Inc VPort 461En el monitoreo realizado por el equipo del Csirt Financiero se conoció una vulnerabilidad en Moxa Inc VPort 461 que compromete el firmware en versiones 3.4 y anteriores, que podría permitir a un ciberdelincuente remoto ejecutar comandos arbitrarios; vulnerabilidad a la cual se ha asignado el código CVE-2020-23639.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-hallada-en-moxa-inc-vport-461http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se conoció una vulnerabilidad en Moxa Inc VPort 461 que compromete el firmware en versiones 3.4 y anteriores, que podría permitir a un ciberdelincuente remoto ejecutar comandos arbitrarios; vulnerabilidad a la cual se ha asignado el código CVE-2020-23639.
Grupo cibercriminal explota vulnerabilidad zero-day de SolarisEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de una vulnerabilidad zero-day en sistema operativo Solaris. El grupo cibercriminal detrás de este ataque es denominado UNC1945 y sus ataques incluyen entidades del sector de las telecomunicaciones, financiero y compañías de consultoría.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-cibercriminal-explota-vulnerabilidad-zero-day-de-solarishttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de una vulnerabilidad zero-day en sistema operativo Solaris. El grupo cibercriminal detrás de este ataque es denominado UNC1945 y sus ataques incluyen entidades del sector de las telecomunicaciones, financiero y compañías de consultoría.
Nuevo ransomware RegretLockerEl equipo del Csirt Financiero ha identificado a través del monitoreo a fuentes abiertas, un nuevo ransomware denominado RegretLocker, el cual cifra los archivos afectados con la extensión .mouse. Cuando el proceso de cifrado se ha realizado en los archivos y directorios, aparecen las notas de rescate “HOW TO RESTORE FILES.txt” en el escritorio del equipo afectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-regretlockerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado a través del monitoreo a fuentes abiertas, un nuevo ransomware denominado RegretLocker, el cual cifra los archivos afectados con la extensión .mouse. Cuando el proceso de cifrado se ha realizado en los archivos y directorios, aparecen las notas de rescate “HOW TO RESTORE FILES.txt” en el escritorio del equipo afectado.
Ataque masivo de Ransomware en BrasilEn el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevos ataques de Ransomware dirigidos contra la corte superior de justicia (STJ) de Brasil. El ataque se llevó a cabo el pasado martes durante las sesiones de juicio que eran llevadas a cabo por videoconferencia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-masivo-de-ransomware-en-brasilhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevos ataques de Ransomware dirigidos contra la corte superior de justicia (STJ) de Brasil. El ataque se llevó a cabo el pasado martes durante las sesiones de juicio que eran llevadas a cabo por videoconferencia.