Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Aumento en los ataques de Smishing a nivel globalEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el incremento de ataques conocidos como Smishing. Frente a este tipo de ataques, los ciberdelincuentes realizan el envío de mensajes de SMS en el que incluyen falsos enlaces a sitios web que redirigen a sitios maliciosos para captura de credenciales, descarga o propagación de malware. Aunque este tipo de ataques viene en un constante incremento, la situación mundial de la pandemia a causa del Covid-19 generó un aumento del 29% entre los meses de marzo y julio del presente añohttp://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-en-los-ataques-de-smishing-a-nivel-globalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el incremento de ataques conocidos como Smishing. Frente a este tipo de ataques, los ciberdelincuentes realizan el envío de mensajes de SMS en el que incluyen falsos enlaces a sitios web que redirigen a sitios maliciosos para captura de credenciales, descarga o propagación de malware. Aunque este tipo de ataques viene en un constante incremento, la situación mundial de la pandemia a causa del Covid-19 generó un aumento del 29% entre los meses de marzo y julio del presente año
Ciberdelincuentes utilizan el estacionamiento de dominios para distribuir malwareEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de servicios de estacionamiento de dominios utilizados para la monetización a través de anuncios de terceros y distribución de malware. El estacionamiento de dominios es un método para utilizar un dominio que redireccione todas las visitas a otro dominio especifico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-utilizan-el-estacionamiento-de-dominios-para-distribuir-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de servicios de estacionamiento de dominios utilizados para la monetización a través de anuncios de terceros y distribución de malware. El estacionamiento de dominios es un método para utilizar un dominio que redireccione todas las visitas a otro dominio especifico.
Nuevos indicadores de compromiso asociados a Agent TeslaEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Agent Tesla. Esta amenaza cibernética pertenece a la familia de troyanos de acceso remoto, con gran variedad de funcionalidades que le permite realizar capturar las pulsaciones de teclado, tomar captura de pantalla, exfiltración de credenciales pertenecientes a múltiples sistemas de información, servicios tecnológicos y navegadores web como Google Chrome o Mozilla Firefox, hurto de credenciales de cuentas correos electrónicos, contraseñas e información bancaria, efectuar robo de identidad y, además, agregar el host infectado a una botnet. Lo que convierte a Agent Tesla en una amenaza con gran potencial de afectación en los equipos vulnerados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-agent-teslahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Agent Tesla. Esta amenaza cibernética pertenece a la familia de troyanos de acceso remoto, con gran variedad de funcionalidades que le permite realizar capturar las pulsaciones de teclado, tomar captura de pantalla, exfiltración de credenciales pertenecientes a múltiples sistemas de información, servicios tecnológicos y navegadores web como Google Chrome o Mozilla Firefox, hurto de credenciales de cuentas correos electrónicos, contraseñas e información bancaria, efectuar robo de identidad y, además, agregar el host infectado a una botnet. Lo que convierte a Agent Tesla en una amenaza con gran potencial de afectación en los equipos vulnerados.
Nuevas funcionalidades del troyano de banca móvil WrobaEn el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado nueva actividad del troyano denominado Wroba, el cual ha enfocado sus ataques en la banca móvil. Las nuevas funcionalidades se detectaron en Estados Unidos el pasado 29 de octubre del 2020, fecha en que los ataques cibernéticos fueron dirigidos a usuarios con equipos móviles Android y iPhone, mediante mensajes de texto con temáticas de interés y de urgencia, intentan presionar al usuario a que abra un enlace malicioso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-funcionalidades-del-troyano-de-banca-movil-wrobahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado nueva actividad del troyano denominado Wroba, el cual ha enfocado sus ataques en la banca móvil. Las nuevas funcionalidades se detectaron en Estados Unidos el pasado 29 de octubre del 2020, fecha en que los ataques cibernéticos fueron dirigidos a usuarios con equipos móviles Android y iPhone, mediante mensajes de texto con temáticas de interés y de urgencia, intentan presionar al usuario a que abra un enlace malicioso.
Vulnerabilidad en Windows permite acceder como administradorEn el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado una reciente vulnerabilidad que explota el kernel de Windows para acceder con privilegios de administrador a los equipos de cómputo vulnerados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-windows-permite-acceder-como-administradorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado una reciente vulnerabilidad que explota el kernel de Windows para acceder con privilegios de administrador a los equipos de cómputo vulnerados.
Emotet utiliza documentos Word con falsas actualizaciones de Microsoft para su distribuciónEn el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado la distribución del troyano bancario Emotet utilizando archivos de ofimática con macros embebidas maliciosas. En este caso, se observó que los ciberdelincuentes agregaron una nueva temática o mensaje en el contenido de los archivos, que trata al respecto de una actualización de Microsoft Word y la necesidad de habilitar las macros para ejecutar dicha actualización. El método de distribución de estos documentos maliciosos es por medio de mensajes de correo electrónico malspam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-utiliza-documentos-word-con-falsas-actualizaciones-de-microsoft-para-su-distribucionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado la distribución del troyano bancario Emotet utilizando archivos de ofimática con macros embebidas maliciosas. En este caso, se observó que los ciberdelincuentes agregaron una nueva temática o mensaje en el contenido de los archivos, que trata al respecto de una actualización de Microsoft Word y la necesidad de habilitar las macros para ejecutar dicha actualización. El método de distribución de estos documentos maliciosos es por medio de mensajes de correo electrónico malspam.
Skimmer Cardbleed: campaña masiva contra plataformas MagentoEl Csirt Financiero identificó una campaña masiva, denominada Cardbleed, que ha estado activa desde septiembre de 2020, esta comparte patrones con GSTATICAPI. El Csirt Financiero analizó durante el mes de septiembre el skimmer GSTATICAPI, escrito en JavaScript y reportado a los asociados mediante notificación y alerta. Se ha nombrado así por el nombre de dominio en el que se alojaba este script malicioso, el cual es gstaticapi[.]com.http://csirtasobancaria.com/Plone/alertas-de-seguridad/skimmer-cardbleed-campana-masiva-contra-plataformas-magentohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero identificó una campaña masiva, denominada Cardbleed, que ha estado activa desde septiembre de 2020, esta comparte patrones con GSTATICAPI. El Csirt Financiero analizó durante el mes de septiembre el skimmer GSTATICAPI, escrito en JavaScript y reportado a los asociados mediante notificación y alerta. Se ha nombrado así por el nombre de dominio en el que se alojaba este script malicioso, el cual es gstaticapi[.]com.
Actividad del grupo APT Silent LibrarianEn el monitoreo realizado por el equipo del Csirt Financiero se ha identificado actividad del grupo APT Silent Librarian, también conocido como TA407. Este grupo ha registrado campañas maliciosas desde el año 2013, en las que su principal motivación es el espionaje y la exfiltración de información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-del-grupo-apt-silent-librarianhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se ha identificado actividad del grupo APT Silent Librarian, también conocido como TA407. Este grupo ha registrado campañas maliciosas desde el año 2013, en las que su principal motivación es el espionaje y la exfiltración de información.
Vectores de infección aprovechados por ciberatacantesEl equipo del Csirt Financiero ha observado un aumento en el uso de técnicas y vectores de infección que permiten a los ciberdelincuentes comprometer la seguridad de las entidades.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vectores-de-infeccion-aprovechados-por-ciberatacanteshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha observado un aumento en el uso de técnicas y vectores de infección que permiten a los ciberdelincuentes comprometer la seguridad de las entidades.
Nuevos indicadores de compromiso asociados a Remcos RATEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Remcos RAT. Se considera una amenaza cibernética como un troyano de acceso remoto (RAT) dirigido a Sistemas Operativos Windows identificado por primera vez el año 2016 en foros de piratería.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-remcos-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Remcos RAT. Se considera una amenaza cibernética como un troyano de acceso remoto (RAT) dirigido a Sistemas Operativos Windows identificado por primera vez el año 2016 en foros de piratería.
Katana, nueva variante de la Botnet MiraiEn el monitoreo realizado por el equipo del Csirt Financiero se ha detectado una nueva variante de la botnet Mirai denominada Katana. Esta nueva variante se encuentra en desarrollo y se está utilizando para infectar cientos de aparatos interconectados o Internet de las Cosas (IoT) al día.http://csirtasobancaria.com/Plone/alertas-de-seguridad/katana-nueva-variante-de-la-botnet-miraihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se ha detectado una nueva variante de la botnet Mirai denominada Katana. Esta nueva variante se encuentra en desarrollo y se está utilizando para infectar cientos de aparatos interconectados o Internet de las Cosas (IoT) al día.
Vulnerabilidad hallada en HPE Storeserv Management Console.En el monitoreo a fuentes abiertas realizado por el equipo Csirt Financiero, se ha evidenciado de una vulnerabilidad identificada CVE-2020-7197. Esta vulnerabilidad le puede permitir a un ciberdelincuente evadir el proceso de autenticación en las matrices de centros de datos de sistemas HPE STORESERV, que proveen almacenamiento en sistemas Cloud.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-hallada-en-hpe-storeserv-management-consolehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas realizado por el equipo Csirt Financiero, se ha evidenciado de una vulnerabilidad identificada CVE-2020-7197. Esta vulnerabilidad le puede permitir a un ciberdelincuente evadir el proceso de autenticación en las matrices de centros de datos de sistemas HPE STORESERV, que proveen almacenamiento en sistemas Cloud.
URL maliciosa que captura credenciales de Office 365Mediante la colaboración de entidades asociadas del sector Financiero y el Csirt, se obtuvo conocimiento sobre una campaña de mensajes de correo electrónico en los que se insta al usuario a acceder a un sitio que suplanta a Microsoft, haciendo uso de ingeniería social amenazando con la inhabilitación de la cuenta si no se realizaba la autenticación en el enlace contenido en el mensaje.http://csirtasobancaria.com/Plone/alertas-de-seguridad/url-maliciosa-que-captura-credenciales-de-office-365http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante la colaboración de entidades asociadas del sector Financiero y el Csirt, se obtuvo conocimiento sobre una campaña de mensajes de correo electrónico en los que se insta al usuario a acceder a un sitio que suplanta a Microsoft, haciendo uso de ingeniería social amenazando con la inhabilitación de la cuenta si no se realizaba la autenticación en el enlace contenido en el mensaje.
Ransomware Lockbit emplea Tácticas, Técnicas y Procedimientos para mejorar el cifradoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia LockBit, un ransomware con la capacidad de realizar el proceso de cifrado de archivos en corto tiempo y una rápida difusión por la red comprometiendo más equipos de cómputo con Sistema Operativo Windows. Los ciberdelincuentes detrás del ransomware desarrollaron e implementaron tácticas, técnicas y procedimientos encargados de eliminar los archivos utilizados para la infección, luego de realizar la instalación, ejecución e infección de los equipos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-lockbit-emplea-tacticas-tecnicas-y-procedimientos-para-mejorar-el-cifradohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia LockBit, un ransomware con la capacidad de realizar el proceso de cifrado de archivos en corto tiempo y una rápida difusión por la red comprometiendo más equipos de cómputo con Sistema Operativo Windows. Los ciberdelincuentes detrás del ransomware desarrollaron e implementaron tácticas, técnicas y procedimientos encargados de eliminar los archivos utilizados para la infección, luego de realizar la instalación, ejecución e infección de los equipos.
Campaña de phishing enfocada a usuarios de Sendgrid captura datos bancariosEn el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a los usuarios de SendGrid. El vector de ataque utilizado son mensajes de correo tipo malspam que incluyen logotipos y marca de la empresa, dejando entrever su aparente veracidad, en este caso se trata de una empresa en particular.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-enfocada-a-usuarios-de-sendgrid-captura-datos-bancarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a los usuarios de SendGrid. El vector de ataque utilizado son mensajes de correo tipo malspam que incluyen logotipos y marca de la empresa, dejando entrever su aparente veracidad, en este caso se trata de una empresa en particular.
Campaña de phishing utiliza falsos mensajes de Microsoft TeamsEn el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a usuarios de Microsoft Teams, dicha campaña ha afectado por lo menos a 50.000 usuarios de Office 365.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-utiliza-falsos-mensajes-de-microsoft-teamshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a usuarios de Microsoft Teams, dicha campaña ha afectado por lo menos a 50.000 usuarios de Office 365.
Plataformas CMS afectadas por Botnet KashmirblackEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet denominada KashmirBlack, capaz de explotar una antigua vulnerabilidad en sistemas de administración de contenido (CMS) como por ejemplo WordPress, Joomla, Magneto y Drupal. KashmirBlack es una botnet que ha realizado el secuestro de cientos de miles de sistemas CMS en 30 países.http://csirtasobancaria.com/Plone/alertas-de-seguridad/plataformas-cms-afectadas-por-botnet-kashmirblackhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet denominada KashmirBlack, capaz de explotar una antigua vulnerabilidad en sistemas de administración de contenido (CMS) como por ejemplo WordPress, Joomla, Magneto y Drupal. KashmirBlack es una botnet que ha realizado el secuestro de cientos de miles de sistemas CMS en 30 países.
Vulnerabilidades aprovechadas por cibercriminales chinosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de 25 vulnerabilidades por parte de grupos cibercriminales patrocinados por el gobierno chino. Algunas vulnerabilidades explotadas aprovechan el acceso a internet en los productos o servicios expuestos en las entidades; las cuales pueden ser utilizadas para la intrusión inicial en la red y movimientos laterales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-aprovechadas-por-cibercriminales-chinoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de 25 vulnerabilidades por parte de grupos cibercriminales patrocinados por el gobierno chino. Algunas vulnerabilidades explotadas aprovechan el acceso a internet en los productos o servicios expuestos en las entidades; las cuales pueden ser utilizadas para la intrusión inicial en la red y movimientos laterales.
Nuevo RAT Abaddon, utiliza la plataforma Discord como C2En el monitorio a fuentes abiertas, el equipo del Csirt Financiero ha observado un nuevo troyano de acceso remoto (RAT) denominado Abaddon. Este RAT tiene la capacidad de utilizar como servidor de comando y control (C2) a la plataforma Discord para enviar y ejecutar instrucciones en equipos comprometidos. Además, se ha evidenciado que este RAT tiene un módulo en desarrollo destinado a la propagación de ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-abaddon-utiliza-la-plataforma-discord-como-c2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitorio a fuentes abiertas, el equipo del Csirt Financiero ha observado un nuevo troyano de acceso remoto (RAT) denominado Abaddon. Este RAT tiene la capacidad de utilizar como servidor de comando y control (C2) a la plataforma Discord para enviar y ejecutar instrucciones en equipos comprometidos. Además, se ha evidenciado que este RAT tiene un módulo en desarrollo destinado a la propagación de ransomware.
Ransomware Ryuk implementa nuevas técnicas de ataqueEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha constatado una nueva actividad maliciosa del ransomware Ryuk, programa malicioso conocido desde el año 2018 por ser una amenaza altamente peligrosa por su velocidad de ejecución y cifrado de los datos en la red comprometida, además de la evasión frente a herramientas de seguridad y programas antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-ryuk-implementa-nuevas-tecnicas-de-ataquehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha constatado una nueva actividad maliciosa del ransomware Ryuk, programa malicioso conocido desde el año 2018 por ser una amenaza altamente peligrosa por su velocidad de ejecución y cifrado de los datos en la red comprometida, además de la evasión frente a herramientas de seguridad y programas antimalware.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}