Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Ataque masivo de Ransomware en BrasilEn el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevos ataques de Ransomware dirigidos contra la corte superior de justicia (STJ) de Brasil. El ataque se llevó a cabo el pasado martes durante las sesiones de juicio que eran llevadas a cabo por videoconferencia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-masivo-de-ransomware-en-brasilhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevos ataques de Ransomware dirigidos contra la corte superior de justicia (STJ) de Brasil. El ataque se llevó a cabo el pasado martes durante las sesiones de juicio que eran llevadas a cabo por videoconferencia.
Campaña de malspam para distribuir el troyano bancario QbotEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña masiva de envío de mensajes de correo electrónico tipo malspam con temática sobre las elecciones presidenciales de Estados Unidos que tiene por objetivo distribuir el troyano bancario Qbot. Al igual Emotet, Qbot está empleando técnicas de secuestrando los hilos de los correos electrónicos para reenvíalos a los usuarios objetivos para propagarse y aumentando la credibilidad del mensaje malicioso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-malspam-para-distribuir-el-troyano-bancario-qbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña masiva de envío de mensajes de correo electrónico tipo malspam con temática sobre las elecciones presidenciales de Estados Unidos que tiene por objetivo distribuir el troyano bancario Qbot. Al igual Emotet, Qbot está empleando técnicas de secuestrando los hilos de los correos electrónicos para reenvíalos a los usuarios objetivos para propagarse y aumentando la credibilidad del mensaje malicioso.
Nuevo ransomware Pay2Key compromete compañías israelíesEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña de distribución del ransomware en varias corporaciones israelíes. En estos ataques se pudo identificar varias cepas de ransomware Ryuk y REvil. Además de esto, se encontró una nueva variante de ransomware desarrollada en el lenguaje de programación en C++ denominada Pay2Key.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-pay2key-compromete-companias-israelieshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña de distribución del ransomware en varias corporaciones israelíes. En estos ataques se pudo identificar varias cepas de ransomware Ryuk y REvil. Además de esto, se encontró una nueva variante de ransomware desarrollada en el lenguaje de programación en C++ denominada Pay2Key.
Grupo cibercriminal utiliza herramientas para implantar ransomwareEn el monitoreo a fuentes abiertas de información, el equipo del Csirt financiero ha identificado un grupo APT denominado PyXie o GOLD DUPONT, el cual ha realizado campañas de infección con ransomware a múltiples empresas de sectores como tecnología, salud, educación y entidades gubernamentales desde el año 2018. Este grupo cibercriminal se ha caracterizado por tener un bajo perfil, ser lento y cauteloso en cada una de sus campañas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-cibercriminal-utiliza-herramientas-para-implantar-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt financiero ha identificado un grupo APT denominado PyXie o GOLD DUPONT, el cual ha realizado campañas de infección con ransomware a múltiples empresas de sectores como tecnología, salud, educación y entidades gubernamentales desde el año 2018. Este grupo cibercriminal se ha caracterizado por tener un bajo perfil, ser lento y cauteloso en cada una de sus campañas.
Vulnerabilidades críticas en Google ChromeEn el monitoreo de fuentes abiertas, el equipo del Csirt Financiero conoció dos vulnerabilidades día cero en el navegador Google Chrome, identificadas con los CVE 2020-16013 y 2020-16017; estas pueden afectar a sistemas operativos Windows, Linux y MacOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-criticas-en-google-chromehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de fuentes abiertas, el equipo del Csirt Financiero conoció dos vulnerabilidades día cero en el navegador Google Chrome, identificadas con los CVE 2020-16013 y 2020-16017; estas pueden afectar a sistemas operativos Windows, Linux y MacOS.
CostaRicto APT distribuye malware a entidades financieras y de entretenimientoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad del grupo cibercriminal denominado CostaRicto, el cual ha realizado diversas campañas para la distribución de malware desde el mes de octubre de 2019 y hasta la fecha, este grupo APT ha enfocado parte de sus ataques a instituciones financieras a países en el continente asiático y en otras regiones países como: EEUU, Australia, Francia y Holanda entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/costaricto-apt-distribuye-malware-a-entidades-financieras-y-de-entretenimientohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad del grupo cibercriminal denominado CostaRicto, el cual ha realizado diversas campañas para la distribución de malware desde el mes de octubre de 2019 y hasta la fecha, este grupo APT ha enfocado parte de sus ataques a instituciones financieras a países en el continente asiático y en otras regiones países como: EEUU, Australia, Francia y Holanda entre otros.
Backdoor ModPipe afecta a clientes de Oracle Micros RES 3700 POSEn el monitoreo a fuentes abiertas, el equipo del Csirt financiero ha observado el accionar de un backdoor modular con altas capacidades de afectación sobre el software Oracle Micros RES 3700 POS (Suite integrada de software para restaurantes). Los ciberdelincuentes al comprometer los sistemas pueden recopilar contraseñas de bases de datos, descifrándolas directamente de los valores de registro de Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-modpipe-afecta-a-clientes-de-oracle-micros-res-3700-poshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt financiero ha observado el accionar de un backdoor modular con altas capacidades de afectación sobre el software Oracle Micros RES 3700 POS (Suite integrada de software para restaurantes). Los ciberdelincuentes al comprometer los sistemas pueden recopilar contraseñas de bases de datos, descifrándolas directamente de los valores de registro de Windows.
Nueva variante del troyano de acceso remoto CRAT con grandes capacidades evasivasEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado la presencia de una nueva variante del troyano de acceso remoto CRAT que afecta equipos con sistemas operativos Windows. Esta nueva variante se ha caracterizado por sus técnicas de evasión ante los sistemas antimalware al permitirle la ofuscación de código mediante clave XOR, ocultar los llamados a la API utilizadas, ejecutar parches sobre de funciones o rutinas en el momento de la ejecución para evadir los mecanismos de detección y las direcciones URL del servidor de comando y control (C2) con que establece comunicación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-de-acceso-remoto-crat-con-grandes-capacidades-evasivashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado la presencia de una nueva variante del troyano de acceso remoto CRAT que afecta equipos con sistemas operativos Windows. Esta nueva variante se ha caracterizado por sus técnicas de evasión ante los sistemas antimalware al permitirle la ofuscación de código mediante clave XOR, ocultar los llamados a la API utilizadas, ejecutar parches sobre de funciones o rutinas en el momento de la ejecución para evadir los mecanismos de detección y las direcciones URL del servidor de comando y control (C2) con que establece comunicación.
Aumento de actividad de cibercriminales y explotación de vulnerabilidades en LATAMDurante los últimos meses, el equipo de analistas del Csirt Financiero ha observado un incremento de publicaciones sobre accesos iniciales a entidades bancarias. Estas publicaciones se han creado en foros asociados con el cibercrimen, donde se venden accesos a diferentes bancos mediante vulnerabilidades descubiertas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-de-cibercriminales-y-explotacion-de-vulnerabilidades-en-latamhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos meses, el equipo de analistas del Csirt Financiero ha observado un incremento de publicaciones sobre accesos iniciales a entidades bancarias. Estas publicaciones se han creado en foros asociados con el cibercrimen, donde se venden accesos a diferentes bancos mediante vulnerabilidades descubiertas.
Regresa el envenenamiento de cache de DNSEn el monitoreo realizado por el Csirt Financiero, se ha observado múltiples fallas de seguridad críticas que pueden generar una reactivación de los ataques de envenenamiento de cache de DNS, el cual consiste en obtener control sobre un servidor DNS y realizar modificaciones de direccionamiento IP logrando con esto, redirigir a los usuarios a otros sitios web controlados por los ciberdelincuentes, en donde realizan la captura de información confidencial o descargan en el equipo de la víctima algún tipo de malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/regresa-el-envenenamiento-de-cache-de-dnshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha observado múltiples fallas de seguridad críticas que pueden generar una reactivación de los ataques de envenenamiento de cache de DNS, el cual consiste en obtener control sobre un servidor DNS y realizar modificaciones de direccionamiento IP logrando con esto, redirigir a los usuarios a otros sitios web controlados por los ciberdelincuentes, en donde realizan la captura de información confidencial o descargan en el equipo de la víctima algún tipo de malware.
Nuevos indicadores de compromiso asociados a EmotetEn el monitoreo realizado por el Csirt Financiero, se ha observado actividad por parte del troyano modular Emotet, enfocado a la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows. Esta amenaza cibernética se distribuye a través de mensajes de correo electrónico malspam con adjuntos maliciosos diseñados para persuadir al usuario a que descargue y acceda al contenido, momento en el cual se inicia el proceso de infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-emotet-9http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha observado actividad por parte del troyano modular Emotet, enfocado a la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows. Esta amenaza cibernética se distribuye a través de mensajes de correo electrónico malspam con adjuntos maliciosos diseñados para persuadir al usuario a que descargue y acceda al contenido, momento en el cual se inicia el proceso de infección.
Vulnerabilidades en Cisco Security ManagerEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado tres vulnerabilidades que afectan el producto Cisco Security Manager.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-en-cisco-security-managerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado tres vulnerabilidades que afectan el producto Cisco Security Manager.
APT Blacktech utiliza diferentes herramientas de malwareEl equipo del Csirt Financiero ha identificado que el grupo APT BlackTech o Palmerworm ha tenido actividad reciente que permite observar importantes capacidades para generar afectación en el sistema operativo Windows y en el kernel de Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/apt-blacktech-utiliza-diferentes-herramientas-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado que el grupo APT BlackTech o Palmerworm ha tenido actividad reciente que permite observar importantes capacidades para generar afectación en el sistema operativo Windows y en el kernel de Linux.
Nuevos indicadores de compromiso asociados a MekotioEn el monitoreo realizado por el Csirt Financiero, se evidenció la existencia de nuevos indicadores de compromiso IoC asociados al malware Mekotio. Esta amenaza cibernética es considerada un troyano bancario dirigido principalmente a países de América Latina como Brasil, Chile, México, España y Perú entre otros y cuya actividad data del año 2015, fecha que desde entonces ha presentado cambios constantes a sus características mejorando funcionalidades para causar mayor impacto en los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-mekotiohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se evidenció la existencia de nuevos indicadores de compromiso IoC asociados al malware Mekotio. Esta amenaza cibernética es considerada un troyano bancario dirigido principalmente a países de América Latina como Brasil, Chile, México, España y Perú entre otros y cuya actividad data del año 2015, fecha que desde entonces ha presentado cambios constantes a sus características mejorando funcionalidades para causar mayor impacto en los equipos comprometidos.
Chaes, nuevo malware que ataca plataformas de comercio electrónico en América LatinaEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo malware que afecta a sistemas operativos Windows denominado Chaes, el cual tiene como objetivo capturar y exfiltrar información financiera de los clientes de comercio electrónico en Brasil direccionando sus ataques a la plataforma de subastas MercadoLivre.http://csirtasobancaria.com/Plone/alertas-de-seguridad/chaes-nuevo-malware-que-ataca-plataformas-de-comercio-electronico-en-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo malware que afecta a sistemas operativos Windows denominado Chaes, el cual tiene como objetivo capturar y exfiltrar información financiera de los clientes de comercio electrónico en Brasil direccionando sus ataques a la plataforma de subastas MercadoLivre.
Ranzy ransomware actualiza características de ThunderxEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el surgimiento de Ranzy una nueva amenaza ofrecida como RaaS (Ransomware como Servicio) derivada de ThunderX. El cambio que los ciberdelincuentes han realizado a este ransomware se debe al desarrollo y publicación de herramientas de descifrado gratuito para ThunderX.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ranzy-ransomware-actualiza-caracteristicas-de-thunderxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el surgimiento de Ranzy una nueva amenaza ofrecida como RaaS (Ransomware como Servicio) derivada de ThunderX. El cambio que los ciberdelincuentes han realizado a este ransomware se debe al desarrollo y publicación de herramientas de descifrado gratuito para ThunderX.
Vulnerabilidades críticas en VMwareEn el monitoreo realizado por el Csirt Financiero, se ha observado una vulnerabilidad critica con los productos de software VMware ESXi, VMware Workstation Pro / Player (estación de trabajo), VMware Fusion Pro / Fusion y Fundación VMware Cloud. Las vulnerabilidades han sido denominadas con los códigos CVE-2020-4004 y CVE-2020-4005.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-criticas-en-vmwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha observado una vulnerabilidad critica con los productos de software VMware ESXi, VMware Workstation Pro / Player (estación de trabajo), VMware Fusion Pro / Fusion y Fundación VMware Cloud. Las vulnerabilidades han sido denominadas con los códigos CVE-2020-4004 y CVE-2020-4005.
Vulnerabilidades halladas en HCL Notes y DominioEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una nueva vulnerabilidad presentada en HCL Notes, en donde existe una susceptibilidad de denegación de servicio debido a una validación incorrecta de la entrada insertada por el usuario; el ciberdelincuente puede explotar esta vulnerabilidad mediante mensajes de correos malspam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-halladas-en-hcl-notes-y-dominiohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una nueva vulnerabilidad presentada en HCL Notes, en donde existe una susceptibilidad de denegación de servicio debido a una validación incorrecta de la entrada insertada por el usuario; el ciberdelincuente puede explotar esta vulnerabilidad mediante mensajes de correos malspam.
Troyano bancario Qbot despliega el Ransomware EgregorEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el despliegue del ransomware Egregor a través del troyano Qbot. En esta nueva campaña se han visto afectados desde el mes de septiembre, por lo menos 69 empresas en 16 países alrededor del mundo, dentro de los cuales se incluyen Estados Unidos, Francia, Italia, Alemania y Reino Unido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-qbot-despliega-el-ransomware-egregorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el despliegue del ransomware Egregor a través del troyano Qbot. En esta nueva campaña se han visto afectados desde el mes de septiembre, por lo menos 69 empresas en 16 países alrededor del mundo, dentro de los cuales se incluyen Estados Unidos, Francia, Italia, Alemania y Reino Unido.
Vulnerabilidad de seguridad en productos FortinetDentro del seguimiento y la labor investigativa que realiza el equipo del Csirt Financiero se identificó en un foro clandestino la exposición de una cantidad considerable de entidades a las que podría generarse un ataque por medio de la explotación de la vulnerabilidad CVE-2018-13379.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-seguridad-en-productos-fortinethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro del seguimiento y la labor investigativa que realiza el equipo del Csirt Financiero se identificó en un foro clandestino la exposición de una cantidad considerable de entidades a las que podría generarse un ataque por medio de la explotación de la vulnerabilidad CVE-2018-13379.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}