Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
FIN7 ha vuelto a actuar utilizando documentos binarios de ExcelEl grupo FIN7 lleva cometiendo delitos informáticos desde el año 2013, centrando su atención en grandes empresas con el fin de conseguir robar información por medio de técnicas de spear-phishing. Aun habiendo detenido a dos de sus presuntos lideres en el año 2018 siguen suministrando malware y mejorando las técnicas de infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/fin7-ha-vuelto-a-actuar-utilizando-documentos-binarios-de-excelhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo FIN7 lleva cometiendo delitos informáticos desde el año 2013, centrando su atención en grandes empresas con el fin de conseguir robar información por medio de técnicas de spear-phishing. Aun habiendo detenido a dos de sus presuntos lideres en el año 2018 siguen suministrando malware y mejorando las técnicas de infección.
GoldBrute botnetDesde el CSIRT Financiero en continuo análisis e investigación se ha detectado el crecimiento del ataque que está siendo aprovechado por la botnet Goldbrute sobre la vulnerabilidad CVE-2019-0708. Identificando un alto riesgo en Colombia al cual se han identificado un total de 9772 host expuestos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/goldbrute-botnethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero en continuo análisis e investigación se ha detectado el crecimiento del ataque que está siendo aprovechado por la botnet Goldbrute sobre la vulnerabilidad CVE-2019-0708. Identificando un alto riesgo en Colombia al cual se han identificado un total de 9772 host expuestos.
Subbat (ataque de Phishing dirigido)Se detectan ataques dirigidos a entidades gubernamentales en todo el mundo, emitidos por Subaat. Se han identificado un total de 202 indicadores de compromiso que podrían afectar a su entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/subbat-ataque-de-phishing-dirigidohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detectan ataques dirigidos a entidades gubernamentales en todo el mundo, emitidos por Subaat. Se han identificado un total de 202 indicadores de compromiso que podrían afectar a su entidad.
Campaña de Phishing dirigida a usuarios de Colombia.Se detecta campaña de Phishing dirigida a usuarios de Colombia, suplantando identidad de entidad financiera reconocida, con objetivo principal de robar credenciales y datos de tarjetas débito y crédito.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-dirigida-a-usuarios-de-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta campaña de Phishing dirigida a usuarios de Colombia, suplantando identidad de entidad financiera reconocida, con objetivo principal de robar credenciales y datos de tarjetas débito y crédito.
Troyano en un fichero JavaScript EmotetEl malware analizado es un troyano utilizado por diferentes grupos. Este troyano es un fichero JavaScript que es descargado en un sistema al hacer clic sobre un enlace que es entregado a través de un email.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-en-un-fichero-javascript-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware analizado es un troyano utilizado por diferentes grupos. Este troyano es un fichero JavaScript que es descargado en un sistema al hacer clic sobre un enlace que es entregado a través de un email.
Ejecución de código remoto en cajeros automáticos con versiones de Opteva 4.xSe detecta amenaza global que podría impactar sobre el sector financiero. Diebold Nixdorf, empresa especializada con el suministro de cajeros automáticos a nivel mundial, informa sobre una amenaza, la cual podría terminar en ejecución remota de código malicioso en terminales Opteva v4.x, con el objetivo principal de robo de dinero a los ATM de las entidades financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ejecucion-de-codigo-remoto-en-cajeros-automaticos-con-versiones-de-opteva-4.xhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta amenaza global que podría impactar sobre el sector financiero. Diebold Nixdorf, empresa especializada con el suministro de cajeros automáticos a nivel mundial, informa sobre una amenaza, la cual podría terminar en ejecución remota de código malicioso en terminales Opteva v4.x, con el objetivo principal de robo de dinero a los ATM de las entidades financieras.
Múltiples vulnerabilidades de Microsoft para Windows Server 2012/2016/2019 Windows RT 8.1/ Windows 10Se detecta amenaza global que pudiera impactar sobre el sector financiero. Microsoft ha reportado múltiples vulnerabilidades en diferentes versiones de Windows Server 2012/2016/2019 y Windows RT 8.1/ Windows 10, las cuales pueden ser explotadas por usuarios locales con fines maliciosos, si un atacante aprovecha estas vulnerabilidades logra evitar ciertas restricciones de seguridad, y podría a través de esas provocar una denegación de servicio, como también obtener escalabilidad de privilegios desde una máquina virtual, de esa manera comprometiendo la integridad, disponibilidad y confidencialidad de la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-vulnerabilidades-de-microsoft-para-windows-server-2012-2016-2019-windows-rt-8-1-windows-10http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta amenaza global que pudiera impactar sobre el sector financiero. Microsoft ha reportado múltiples vulnerabilidades en diferentes versiones de Windows Server 2012/2016/2019 y Windows RT 8.1/ Windows 10, las cuales pueden ser explotadas por usuarios locales con fines maliciosos, si un atacante aprovecha estas vulnerabilidades logra evitar ciertas restricciones de seguridad, y podría a través de esas provocar una denegación de servicio, como también obtener escalabilidad de privilegios desde una máquina virtual, de esa manera comprometiendo la integridad, disponibilidad y confidencialidad de la información.
Indicadores de compromiso identificados asociados a Phishing y MalwareDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-identificados-asociados-a-phishing-y-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.
Vulnerabilidades en los editores de línea de comandos de Linux - VIM y NEOVIMhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-en-los-editores-de-linea-de-comandos-de-linux-vim-y-neovimhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Vulnerabilidades críticas en protocolo NTLM de Microsoft que permiten ejecución remota de código malintencionado en Windowshttp://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-criticas-en-ntlm-de-microsoft-que-permiten-ejecucion-remota-de-codigo-malintencionado-en-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
RAMBleed aprovecha vulnerabilidades de hardware de MemoriaRAMBleed, nuevo ataque que permite a los ciberdelincuentes leer y robar datos almacenados en memoria, método que aprovecha fallas de hardware mediante utilización de técnicas como Rowhammer para la extracción de datos. Ciberdelincuentes podrían aprovechar este tipo de vulnerabilidades en entidades del sector Financiero afectando la Confidencialidad e integridad de la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rambleed-aprovecha-vulnerabilidades-de-hardware-de-memoriahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
RAMBleed, nuevo ataque que permite a los ciberdelincuentes leer y robar datos almacenados en memoria, método que aprovecha fallas de hardware mediante utilización de técnicas como Rowhammer para la extracción de datos. Ciberdelincuentes podrían aprovechar este tipo de vulnerabilidades en entidades del sector Financiero afectando la Confidencialidad e integridad de la información.
Filtración de datos de 900.000 usuarios de Bancos de RusiaA través de los procesos y análisis de identificación de fuga de información relacionada con tarjetas bancarias y datos personales, el CSIRT Financiero han obtenido evidencias de la filtración de datos de 900.000 usuarios de bancos de Rusia. Según lo emitido por algunos bancos de Rusia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/filtracion-de-datos-de-900-000-usuarios-de-bancos-de-rusiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de los procesos y análisis de identificación de fuga de información relacionada con tarjetas bancarias y datos personales, el CSIRT Financiero han obtenido evidencias de la filtración de datos de 900.000 usuarios de bancos de Rusia. Según lo emitido por algunos bancos de Rusia.
Vulnerabilidad Return of the WIZard.Se detecta amenaza global basada en EXIM, el cual podría afectar arquitecturas físicas financieras. Qualys, empresa estadounidense reporto una vulnerabilidad identificada como CVE-2019-10149 en servidores de correo electrónico basados en EXIM (es un agente de transferencia de mensajes MTA el cual se utiliza en sistemas UNIX) y permitiría ejecutar comando con el usuario de Exim, en el cual en muchos casos es root.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-return-of-the-wizardhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta amenaza global basada en EXIM, el cual podría afectar arquitecturas físicas financieras. Qualys, empresa estadounidense reporto una vulnerabilidad identificada como CVE-2019-10149 en servidores de correo electrónico basados en EXIM (es un agente de transferencia de mensajes MTA el cual se utiliza en sistemas UNIX) y permitiría ejecutar comando con el usuario de Exim, en el cual en muchos casos es root.
Campaña de Phishing distribuye WSH RAT.Desde CSIRT Financiero se detecta amenaza global sobre una nueva campaña de Phishing, la cual tiene como objetivo principal infectar a los clientes de la banca comercial buscando tener el control de los equipos con WSH RAT a través de Keyloggers (software que permite capturar las pulsaciones del teclado), además de visores de credenciales de navegador y correo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-distribuye-wsh-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se detecta amenaza global sobre una nueva campaña de Phishing, la cual tiene como objetivo principal infectar a los clientes de la banca comercial buscando tener el control de los equipos con WSH RAT a través de Keyloggers (software que permite capturar las pulsaciones del teclado), además de visores de credenciales de navegador y correo.
Malnet AESDDoS malwareDesde CSIRT Financiero se detecta amenaza global que podría impactar sobre el sector financiero. Un malware de red de bots de Linux AESDDoS capturado por honeypots de la empresa de seguridad de Trend Micro fue verificado, el cual aprovecha vulnerabilidades en las API de Docker que se ejecuten en host de contenedor, para establecer comandos relacionados con el contenedor Daemon con permisos de root.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malnet-aesddos-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se detecta amenaza global que podría impactar sobre el sector financiero. Un malware de red de bots de Linux AESDDoS capturado por honeypots de la empresa de seguridad de Trend Micro fue verificado, el cual aprovecha vulnerabilidades en las API de Docker que se ejecuten en host de contenedor, para establecer comandos relacionados con el contenedor Daemon con permisos de root.
Alerta de IOC usados por grupo TA505Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/alerta-sectorial-internacional-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.
La Nueva Botnet Echobot que afecta aplicaciones Oracle WebLogic y VMware SD-WanLa nueva Botnet "Echobot" agrego 26 Exploits nuevos que buscan no solo atacar a dispositivos IoT sin ultimas actualizaciones, sino tambien tiene como objetivo atacar Aplicaciones como Oracle WebLogic y VMware SD-Wan .http://csirtasobancaria.com/Plone/alertas-de-seguridad/la-nueva-botnet-echobot-que-afecta-aplicaciones-oracle-weblogic-y-vmware-sd-wanhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La nueva Botnet "Echobot" agrego 26 Exploits nuevos que buscan no solo atacar a dispositivos IoT sin ultimas actualizaciones, sino tambien tiene como objetivo atacar Aplicaciones como Oracle WebLogic y VMware SD-Wan .
Nueva variante del Troyano Dridex/Cridex roba credenciales de acceso bancarioDesde el CSIRT Financiero Se ha detectado una alerta sobre una nueva variante del Troyano Dridex/Cridex el cual se distribuye a través de Phishing, permitiendo robar información de las credenciales bancarias de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-dridex-cridex-roba-credenciales-de-acceso-bancariohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero Se ha detectado una alerta sobre una nueva variante del Troyano Dridex/Cridex el cual se distribuye a través de Phishing, permitiendo robar información de las credenciales bancarias de los usuarios.
Nueva campaña de malspam en plataforma swiftDesde el CSIRT Financiero se detecta una nueva campaña de Malspam sobre la plataforma Swift, la cual facilita una comunicación segura y un intercambio de mensajes entre entidades financieras las cuales se encuentran estandarizadas de una forma fiable en el ciberespacio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-malspam-en-plataforma-swifthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una nueva campaña de Malspam sobre la plataforma Swift, la cual facilita una comunicación segura y un intercambio de mensajes entre entidades financieras las cuales se encuentran estandarizadas de una forma fiable en el ciberespacio.
Nueva vulnerabilidad descubierta: SACK PanicSe ha descubierto una serie de vulnerabilidades con una elevada importancia que afectarían al Kernel Linux desde la versión 2.6.29. La vulnerabilidad se encontraría en la implementación del protocolo TCP/IP y su explotación con éxito podría causar una denegación de servicio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-vulnerabilidad-descubierta-sack-panichttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha descubierto una serie de vulnerabilidades con una elevada importancia que afectarían al Kernel Linux desde la versión 2.6.29. La vulnerabilidad se encontraría en la implementación del protocolo TCP/IP y su explotación con éxito podría causar una denegación de servicio.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}