Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Subastarán Código Fuente De Troyano Bancario CerberusEl equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, que los operadores del troyano bancario para Android Cerberus, están subastando en un foro clandestino de internet el código fuente, la lista de sus clientes, la guía de instalación y secuencias de comandos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/subastaran-codigo-fuente-de-troyano-bancario-cerberushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, que los operadores del troyano bancario para Android Cerberus, están subastando en un foro clandestino de internet el código fuente, la lista de sus clientes, la guía de instalación y secuencias de comandos.
Troyano Wellmess, experto en exfiltración de informaciónEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha detectado actividad del troyano WellMess, este ha sido utilizado por diferentes grupos de ciberdelincuentes desde el año 2018. Fue escrito en lenguaje Go y es compatible con .NET, se distribuye en sistemas operativos Windows de 32 y 64 bits.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-wellmess-experto-en-exfiltracion-de-informacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha detectado actividad del troyano WellMess, este ha sido utilizado por diferentes grupos de ciberdelincuentes desde el año 2018. Fue escrito en lenguaje Go y es compatible con .NET, se distribuye en sistemas operativos Windows de 32 y 64 bits.
Backdoor Doki infecta contenedores Docker mal configuradosEl equipo del Csirt Financiero ha detectado actividad del backdoor Doki, dirigida a las API de contenedores Docker alijadas en servidores de plataformas de nube como AWS, Azure, Alibaba Cloud entre otros. Estos contenedores funcionan empaquetando o reuniendo varias aplicaciones de software en un solo lugar, facilitando la instalación, configuración y despliegue de los servicios tecnológicos en servidores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-doki-infecta-contenedores-docker-mal-configuradoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha detectado actividad del backdoor Doki, dirigida a las API de contenedores Docker alijadas en servidores de plataformas de nube como AWS, Azure, Alibaba Cloud entre otros. Estos contenedores funcionan empaquetando o reuniendo varias aplicaciones de software en un solo lugar, facilitando la instalación, configuración y despliegue de los servicios tecnológicos en servidores.
Nuevo RAT de la familia Carbanak llamado Gosh para LinuxDesde el Csirt Financiero se ha identificado una nueva variante de malware utilizada por Carbanak, llamada GOSH, se trata de una RAT, escrito en Golang (lenguaje de programación concurrente y compilado inspirado en la sintaxis de C, algo dinámico como Python y con el rendimiento de C o C++), dirigido especialmente a Distribuciones Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-de-la-familia-carbanak-llamado-gosh-para-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una nueva variante de malware utilizada por Carbanak, llamada GOSH, se trata de una RAT, escrito en Golang (lenguaje de programación concurrente y compilado inspirado en la sintaxis de C, algo dinámico como Python y con el rendimiento de C o C++), dirigido especialmente a Distribuciones Linux.
Vulnerabilidades en dispositivos con procesador SnapdragonEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado la identificación de cientos de vulnerabilidades a nivel de código de procesador Snapdragon SoC arquitectura Hexagon Procesador de Señal Digital (DSP) de la empresa Qualcomm. Estas vulnerabilidades afectan a los dispositivos móviles distribuidos por Google, Samsung, LG, Xiaomi, OnePlus, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-en-dispositivos-con-procesador-snapdragonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado la identificación de cientos de vulnerabilidades a nivel de código de procesador Snapdragon SoC arquitectura Hexagon Procesador de Señal Digital (DSP) de la empresa Qualcomm. Estas vulnerabilidades afectan a los dispositivos móviles distribuidos por Google, Samsung, LG, Xiaomi, OnePlus, entre otros.
Aumento de actividad cibercriminal de Agent TeslaEl equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemiahttp://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-cibercriminal-de-agent-teslahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemia
Nueva variante de FTCode RansomwareEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una nueva variante del ransomware FTCode el cual utiliza scripts en Powershell para cifrar los archivos del equipo comprometido sin descargar ningún otro componente adicional.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ftcode-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una nueva variante del ransomware FTCode el cual utiliza scripts en Powershell para cifrar los archivos del equipo comprometido sin descargar ningún otro componente adicional.
Vulnerabilidad en Software Cisco IOS XREn el monitoreo del equipo del Csirt Financiero a nuevas amenazas, se evidenció una vulnerabilidad en la función Protocolo de Enrutamiento de Multidifusión Vectorial a Distancia (DVMRP ) del software Cisco IOS XR. Esta vulnerabilidad se identifica con el CVE-2020-3566 y permite a un ciberdelincuente no autenticado agotar la memoria de proceso del dispositivo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-software-cisco-ios-xrhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo del equipo del Csirt Financiero a nuevas amenazas, se evidenció una vulnerabilidad en la función Protocolo de Enrutamiento de Multidifusión Vectorial a Distancia (DVMRP ) del software Cisco IOS XR. Esta vulnerabilidad se identifica con el CVE-2020-3566 y permite a un ciberdelincuente no autenticado agotar la memoria de proceso del dispositivo comprometido.
Nuevo Ransomware Cyrat suplanta aplicación para infectar equipos WindowsEn el monitoreo realizado por el Csirt Financiero se ha evidenciado un nuevo ransomware denominado CyRAT, el cuál utiliza el método de cifrado simétrico Fernet para cifrar los archivos de un equipo comprometido. Este ransomware simula ser una aplicación llamada DLL Fixer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-cyrat-suplanta-aplicacion-para-infectar-equipos-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado un nuevo ransomware denominado CyRAT, el cuál utiliza el método de cifrado simétrico Fernet para cifrar los archivos de un equipo comprometido. Este ransomware simula ser una aplicación llamada DLL Fixer.
Variante de Ransomware Thanos intenta atacar el MBR de WindowsEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una variante del ransomware Thanos. Esta amenaza ha tenido actividad cibercriminal desde febrero del presente año, se ofrece bajo la modalidad de Ransomware como Servicio (RaaS) y utiliza la técnica RIPLace para evadir las medidas de seguridad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/variante-de-ransomware-thanos-intenta-atacar-el-mbr-de-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una variante del ransomware Thanos. Esta amenaza ha tenido actividad cibercriminal desde febrero del presente año, se ofrece bajo la modalidad de Ransomware como Servicio (RaaS) y utiliza la técnica RIPLace para evadir las medidas de seguridad.
Nuevo Ataque del Grupo REVil en la RegiónDesde el Csirt Financiero se ha evidenciado nueva actividad del grupo REvil en la región. El pasado 5 de septiembre el grupo de ciberdelincuentes REvil generó un nuevo ataque cibernético dirigido a empresas del sector agropecuario y a Banco Estado de Chile. Sobre el impacto ocasionado, el ataque afectó a 14 mil estaciones de trabajo y 4 mil servidores. La afectación generada, provocó que la página oficial del banco y algunas de sus operaciones estuvieran fuera de servicio temporalmente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ataque-del-grupo-revil-en-la-regionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha evidenciado nueva actividad del grupo REvil en la región. El pasado 5 de septiembre el grupo de ciberdelincuentes REvil generó un nuevo ataque cibernético dirigido a empresas del sector agropecuario y a Banco Estado de Chile. Sobre el impacto ocasionado, el ataque afectó a 14 mil estaciones de trabajo y 4 mil servidores. La afectación generada, provocó que la página oficial del banco y algunas de sus operaciones estuvieran fuera de servicio temporalmente.
Nueva actividad del Troyano Bancario Cerberus.El Csirt Financiero ha evidenciado nueva actividad relacionada con el troyano bancario Cerberus en una instancia desplegada por un cibercriminal. La actividad evidenciada utiliza plantillas HTML para realizar la suplantación y exfiltración de credenciales de entidades bancarias, páginas de ventas en línea, redes sociales, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-bancario-cerberushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha evidenciado nueva actividad relacionada con el troyano bancario Cerberus en una instancia desplegada por un cibercriminal. La actividad evidenciada utiliza plantillas HTML para realizar la suplantación y exfiltración de credenciales de entidades bancarias, páginas de ventas en línea, redes sociales, entre otros.
Grupo APT iraní busca aprovechar las vulnerabilidades en soluciones VPN.En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una alerta realizada por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) en el cual reporta la actividad cibercriminal del grupo APT iraní denominado Pioneer Kitten o UNC757.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-irani-busca-aprovechar-las-vulnerabilidades-en-soluciones-vpnhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una alerta realizada por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) en el cual reporta la actividad cibercriminal del grupo APT iraní denominado Pioneer Kitten o UNC757.
Nueva Técnica de Maze RansomwareEn el monitoreo realizado por el Csirt a fuentes abiertas, se ha evidenciado que el ransomware denominado Maze, incluyó un nuevo método para poder cifrar los archivos de un dispositivo evadiendo la detección de dispositivos de seguridad. Este nuevo método al parecer es tomado de Ragnar Locker y se trata de la utilización de máquinas virtuales para realizar el cifrado del host local.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-tecnica-de-maze-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt a fuentes abiertas, se ha evidenciado que el ransomware denominado Maze, incluyó un nuevo método para poder cifrar los archivos de un dispositivo evadiendo la detección de dispositivos de seguridad. Este nuevo método al parecer es tomado de Ragnar Locker y se trata de la utilización de máquinas virtuales para realizar el cifrado del host local.
Estados Unidos acusa a miembros de APT 41 de Ciberespionaje y Delitos CibernéticosEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que el departamento de justicia de los Estados Unidos ha acusado a 7 personas de ser parte del grupo cibercriminal chino APT41 y de haber realizado las campañas de ciberespionaje y otros delitos cibernéticos en contra de organizaciones en Asia, Europa y América del Norte, pertenecientes a sectores como alimentos, finanzas, salud, hotelería, manufactura, telecomunicaciones y gobierno.http://csirtasobancaria.com/Plone/alertas-de-seguridad/estados-unidos-acusa-a-miembros-de-apt-41-de-ciberespionaje-y-delitos-ciberneticoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que el departamento de justicia de los Estados Unidos ha acusado a 7 personas de ser parte del grupo cibercriminal chino APT41 y de haber realizado las campañas de ciberespionaje y otros delitos cibernéticos en contra de organizaciones en Asia, Europa y América del Norte, pertenecientes a sectores como alimentos, finanzas, salud, hotelería, manufactura, telecomunicaciones y gobierno.
Imagen Firmware UEFI contiene componentes con MalwareEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una reciente campaña dirigida a entidades diplomáticas dirigida a sistemas operativos Windows, mediante una imagen de firmware UEFI con componentes encargados de instalar malware en el disco, el malware funcionaba como descargador de otros componentes adicionales. Los módulos están basados en un kit de arranque conocido como Vector-EDK. Debido a que se hallaron múltiples muestras similares, se determinó que las muestras son generadas en un framework denominado MosaicRegressor.http://csirtasobancaria.com/Plone/alertas-de-seguridad/imagen-firmware-uefi-contiene-componentes-con-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una reciente campaña dirigida a entidades diplomáticas dirigida a sistemas operativos Windows, mediante una imagen de firmware UEFI con componentes encargados de instalar malware en el disco, el malware funcionaba como descargador de otros componentes adicionales. Los módulos están basados en un kit de arranque conocido como Vector-EDK. Debido a que se hallaron múltiples muestras similares, se determinó que las muestras son generadas en un framework denominado MosaicRegressor.
Emotet Implementa Técnicas para secuestrar Hilos de Correo ElectrónicoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una nueva forma para la distribución del troyano bancario Emotet con el objetivo de vulnerar equipos de cómputo con Sistema Operativo Windows. Esta amenaza cibernética fue evidenciada por primera vez en el año 2014 y desde entonces, ha tenido diversas actualizaciones que le permite actuar como un troyano modular con funcionalidades para la instalación de puertas traseras (backdoor) y la descarga de otras familias de malware, también ha implementado tácticas, técnicas y procedimientos que le permiten evadir herramientas de seguridad y causar mayor impacto sobre los equipos afectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-implementa-tecnicas-para-secuestrar-hilos-de-correo-electronicohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una nueva forma para la distribución del troyano bancario Emotet con el objetivo de vulnerar equipos de cómputo con Sistema Operativo Windows. Esta amenaza cibernética fue evidenciada por primera vez en el año 2014 y desde entonces, ha tenido diversas actualizaciones que le permite actuar como un troyano modular con funcionalidades para la instalación de puertas traseras (backdoor) y la descarga de otras familias de malware, también ha implementado tácticas, técnicas y procedimientos que le permiten evadir herramientas de seguridad y causar mayor impacto sobre los equipos afectados.
Grupo Oldgremlin distribuye Ransomware TinyPoshEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevos indicadores de compromiso de las campañas de ransomware ejecutadas por el grupo ruso OldGremlin.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-oldgremlin-distribuye-ransomware-tinyposhhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevos indicadores de compromiso de las campañas de ransomware ejecutadas por el grupo ruso OldGremlin.
Campañas de Phishing con temática de Actualización de Versión WindowsEl equipo del Csirt Financiero ha evidenciado, a través del monitoreo de fuentes abiertas, nuevas campañas de phishing dirigidas a empleados de distintas entidades, donde se ofrece la actualización del sistema operativo Windows 7 a Windows 10, como en su oportunidad lo hizo Microsoft por el fin del ciclo vital de Windows 7 (enero 14 del 2020), cuando Microsoft instaba a actualizar cualquier equipo o dispositivo a Windows 10.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campanas-de-phishing-con-tematica-de-actualizacion-de-version-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado, a través del monitoreo de fuentes abiertas, nuevas campañas de phishing dirigidas a empleados de distintas entidades, donde se ofrece la actualización del sistema operativo Windows 7 a Windows 10, como en su oportunidad lo hizo Microsoft por el fin del ciclo vital de Windows 7 (enero 14 del 2020), cuando Microsoft instaba a actualizar cualquier equipo o dispositivo a Windows 10.
Grupo APT Cryptomimic tiene como objetivo Organizaciones FinancierasEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el actuar del grupo APT CryptoMimic, también conocido como: Dangerous Password, CageyChameleon, Leery Turtle o CryptoCore, el cual fue identificado por primera vez en abril de 2018; tiene como objetivo entidades financieras y organizaciones internacionales que cuenten con activos en criptomonedas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-cryptomimic-tiene-como-objetivo-organizaciones-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el actuar del grupo APT CryptoMimic, también conocido como: Dangerous Password, CageyChameleon, Leery Turtle o CryptoCore, el cual fue identificado por primera vez en abril de 2018; tiene como objetivo entidades financieras y organizaciones internacionales que cuenten con activos en criptomonedas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}