Nuevos vectores de distribución utilizados por Ryuk ransomwareEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el uso de dos nuevas técnicas en el vector de distribución por parte de los ciberdelincuentes que utilizan Ryuk ransomware, las cuales han implementado en sus ciberataques.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-vectores-de-distribucion-utilizados-por-ryuk-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el uso de dos nuevas técnicas en el vector de distribución por parte de los ciberdelincuentes que utilizan Ryuk ransomware, las cuales han implementado en sus ciberataques.
Variante del ataque Rowhammer / smashEn el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero se ha identificado una variante del ataque conocido como Rowhammer, este ataque consiste en la explotación de una vulnerabilidad física en las memorias RAM del equipo objetivo con el fin de tener acceso a los datos almacenados en memoria y así obtener permisos dentro del equipo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/variante-del-ataque-rowhammer-smashhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero se ha identificado una variante del ataque conocido como Rowhammer, este ataque consiste en la explotación de una vulnerabilidad física en las memorias RAM del equipo objetivo con el fin de tener acceso a los datos almacenados en memoria y así obtener permisos dentro del equipo comprometido.
Vulnerabilidad VMware NSX-T data centerEn el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero se ha identificado la siguiente vulnerabilidad CVE-2021-21981 en la plataforma VMware NSX-T Data center en su versión 3.1.1, la cual cuenta con una clasificación de 7.5 de severidad en la escala de CVSSv3.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-vmware-nsx-t-data-centerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero se ha identificado la siguiente vulnerabilidad CVE-2021-21981 en la plataforma VMware NSX-T Data center en su versión 3.1.1, la cual cuenta con una clasificación de 7.5 de severidad en la escala de CVSSv3.
Campaña de Dridex a través de QuickbooksEn el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero, se ha identificado una campaña que distribuye a Dridex a través de Quickbooks, el cual, en campañas previas ha sido objetivo predilecto de los ciberdelincuentes para expandir al troyano bancario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-dridex-a-traves-de-quickbookshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero, se ha identificado una campaña que distribuye a Dridex a través de Quickbooks, el cual, en campañas previas ha sido objetivo predilecto de los ciberdelincuentes para expandir al troyano bancario.
Lazarus APT utiliza método para ocultar malware en imágenesEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un método de distribución de malware por parte del grupo cibercriminal norcoreano Lazarus, también conocido como Hidden Cobra. Este grupo APT ha estado activo desde el año 2009 y desde entonces se ha centrado en realizar ataques cibernéticos principalmente a organizaciones de los sectores financiero, energético, tecnológico y de gobierno en distintas regiones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/lazarus-apt-utiliza-metodo-para-ocultar-malware-en-imageneshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un método de distribución de malware por parte del grupo cibercriminal norcoreano Lazarus, también conocido como Hidden Cobra. Este grupo APT ha estado activo desde el año 2009 y desde entonces se ha centrado en realizar ataques cibernéticos principalmente a organizaciones de los sectores financiero, energético, tecnológico y de gobierno en distintas regiones.
Nueva campaña de NjRAT exfiltra información confidencialGracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado NjRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-njrat-exfiltra-informacion-confidencialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado NjRAT.
Vulnerabilidad zero day en Pulse Connect SecureEn el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado una vulnerabilidad zero day identificada con el CVE-2021-22893, la cual cuenta con la calificación más alta en la escala de severidad CVSSv3: 10/10. Esta vulnerabilidad afecta dispositivos VPN SSL Pulse Connect Secure.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-zero-day-en-pulse-connect-securehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado una vulnerabilidad zero day identificada con el CVE-2021-22893, la cual cuenta con la calificación más alta en la escala de severidad CVSSv3: 10/10. Esta vulnerabilidad afecta dispositivos VPN SSL Pulse Connect Secure.
Puerta trasera HabitsRAT ataca a distribuciones Windows y LinuxEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo Troyano de Acceso Remoto con capacidades de backdoor desarrollado en Go, el cual se dirige a infraestructura tecnológica con sistema operativo Windows y distribuciones Linux. En principio se observó una versión del malware orientada a Windows que fue detectada por primera vez en los ataques presentados en marzo a los servidores de Microsoft Exchange. Posterior a esto, se encontró otra versión dirigida a Windows, así como la versión propia para comprometer infraestructura tecnológica soportada en distribuciones Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/puerta-trasera-habitsrat-ataca-a-distribuciones-windows-y-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo Troyano de Acceso Remoto con capacidades de backdoor desarrollado en Go, el cual se dirige a infraestructura tecnológica con sistema operativo Windows y distribuciones Linux. En principio se observó una versión del malware orientada a Windows que fue detectada por primera vez en los ataques presentados en marzo a los servidores de Microsoft Exchange. Posterior a esto, se encontró otra versión dirigida a Windows, así como la versión propia para comprometer infraestructura tecnológica soportada en distribuciones Linux.
AsyncRAT realiza ciberataques de spearphishing en ColombiaGracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Async RAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/asyncrat-realiza-ciberataques-de-spearphishing-en-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Async RAT.
BitRAT XMRIG realiza ciberataques de spearphishing en ColombiaGracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado BitRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/bitrat-xmrig-realiza-ciberataques-de-spearphishing-en-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado BitRAT.
ToxicEYE RAT utiliza Telegram como medio de comunicación con su servidor de comando y controlEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva actividad maliciosa del troyano de acceso remoto denominado ToxicEYE RAT, el cual está usando Telegram como medio de comunicación entre el RAT instalado en el equipo infectado y el servidor de comando y control (C2).http://csirtasobancaria.com/Plone/alertas-de-seguridad/toxiceye-rat-utiliza-telegram-como-medio-de-comunicacion-con-su-servidor-de-comando-y-controlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva actividad maliciosa del troyano de acceso remoto denominado ToxicEYE RAT, el cual está usando Telegram como medio de comunicación entre el RAT instalado en el equipo infectado y el servidor de comando y control (C2).
Nuevos indicadores de compromiso del troyano IcedIDEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario modular IcedID, también conocido como BokBot. Este malware ha estado activo desde el año 2017 y ha sido utilizado para exfiltrar información bancaria y datos confidenciales de equipos comprometidos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-del-troyano-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario modular IcedID, también conocido como BokBot. Este malware ha estado activo desde el año 2017 y ha sido utilizado para exfiltrar información bancaria y datos confidenciales de equipos comprometidos con sistema operativo Windows.
Botnet Prometei instala malware de minería y libera RCEEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Prometei que explota dos vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon para instalar un criptominero denominado Monero en los equipos infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-prometei-instala-malware-de-mineria-y-libera-rcehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Prometei que explota dos vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon para instalar un criptominero denominado Monero en los equipos infectados.
Botnet Sysrv-Hello vulnera distribuciones Windows y LinuxEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Sysrv-Hello, la cual afecta a distribuciones Windows y Linux al propagar bots de minería Monero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-sysrv-hello-vulnera-distribuciones-windows-y-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Sysrv-Hello, la cual afecta a distribuciones Windows y Linux al propagar bots de minería Monero.
Nuevos indicadores de compromiso asociados a Remcos RATGracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar nuevos indicadores de compromiso asociados al troyano de acceso remoto Remcos, el cual ha tenido gran actividad en recientes campañas de distribución contra múltiples organizaciones colombianas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-remcos-rat-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar nuevos indicadores de compromiso asociados al troyano de acceso remoto Remcos, el cual ha tenido gran actividad en recientes campañas de distribución contra múltiples organizaciones colombianas.
Actividad troyano bancario Flubot para AndroidEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado actividad cibercriminal realizada por el troyano bancario Flubot, este se encuentra en funcionamiento desde finales de 2020 afectando a dispositivos Android. Esta amenaza, se ha visualizado en países europeos como Reino Unido, Alemania, Hungría, Italia, Polonia y España, pero se ha observado una reciente actividad orientada a Estados Unidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-troyano-bancario-flubot-para-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado actividad cibercriminal realizada por el troyano bancario Flubot, este se encuentra en funcionamiento desde finales de 2020 afectando a dispositivos Android. Esta amenaza, se ha visualizado en países europeos como Reino Unido, Alemania, Hungría, Italia, Polonia y España, pero se ha observado una reciente actividad orientada a Estados Unidos.
Vulnerabilidad Fortinet FortiWANEn el monitoreo a fuentes abiertas de información, por parte del Csirt Financiero se ha identificado la vulnerabilidad denominada con el código CVE-2021-26102 que compromete los dispositivos FortiWAN que tengan sus consolas de administración en las versiones 4.5.7 o anteriores, la cual cuenta con una clasificación de 8.7 de severidad en la escala CVSS3.1.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-fortinet-fortiwanhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, por parte del Csirt Financiero se ha identificado la vulnerabilidad denominada con el código CVE-2021-26102 que compromete los dispositivos FortiWAN que tengan sus consolas de administración en las versiones 4.5.7 o anteriores, la cual cuenta con una clasificación de 8.7 de severidad en la escala CVSS3.1.
Actividad del ransomware Cuba en Colombia y América LatinaEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado durante el presente mes actividad asociada al ransomware Cuba, que puede afectar de manera indirecta al sector financiero del país.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-del-ransomware-cuba-en-colombia-y-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado durante el presente mes actividad asociada al ransomware Cuba, que puede afectar de manera indirecta al sector financiero del país.
Abuso de macros Excel 4.0 para distribuir malwareEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso IoC asociados al abuso de macros en Excel en versión 4.0 que data de 1992 y el cual utiliza XML como lenguaje de secuencia de comandos. Dichas macros han venido siendo utilizadas con gran frecuencia para distribuir malware que compromete principalmente sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/abuso-de-macros-excel-4-0-para-distribuir-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso IoC asociados al abuso de macros en Excel en versión 4.0 que data de 1992 y el cual utiliza XML como lenguaje de secuencia de comandos. Dichas macros han venido siendo utilizadas con gran frecuencia para distribuir malware que compromete principalmente sistemas operativos Windows.
Rotajakiro puerta trasera dirigida a distribuciones LinuxEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un backdoor de nombre Rotajakiro que tiene como objetivo distribuciones Linux con arquitectura X64. Los investigadores no habían visto detecciones en VirusTotal de esta backdoor solo hasta marzo de 2021; se tiene conocimiento que esta backdoor se había analizado en esta plataforma desde 2018.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rotajakiro-puerta-trasera-dirigida-a-distribuciones-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un backdoor de nombre Rotajakiro que tiene como objetivo distribuciones Linux con arquitectura X64. Los investigadores no habían visto detecciones en VirusTotal de esta backdoor solo hasta marzo de 2021; se tiene conocimiento que esta backdoor se había analizado en esta plataforma desde 2018.