Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Vulnerabilidad de seguridad en productos VMwareEl equipo del Csirt Financiero en su constante monitoreo evidenció la publicación de una vulnerabilidad sobre productos de VMware. Identificada como CVE-2020-4006, a la cual se le otorga alto nivel de criticidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-seguridad-en-productos-vmwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero en su constante monitoreo evidenció la publicación de una vulnerabilidad sobre productos de VMware. Identificada como CVE-2020-4006, a la cual se le otorga alto nivel de criticidad.
Ransomware Pysa/Mespinoza exfiltra credenciales para cifrar datosEn el constante monitoreo realizado por el equipo del Csirt Financiero, se evidenció actividad de un nuevo ransomware denominado PYSA/MESPINOZA que centra su interés en moverse lateralmente haciendo uso del protocolo RDP, con cuentas legítimas previamente comprometidas. Además de esto, hace uso de la herramienta PsExec que ejecuta scripts para recolectar credenciales como las de administrador de dominio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-pysa-mespinoza-exfiltra-credenciales-para-cifrar-datoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo realizado por el equipo del Csirt Financiero, se evidenció actividad de un nuevo ransomware denominado PYSA/MESPINOZA que centra su interés en moverse lateralmente haciendo uso del protocolo RDP, con cuentas legítimas previamente comprometidas. Además de esto, hace uso de la herramienta PsExec que ejecuta scripts para recolectar credenciales como las de administrador de dominio.
Nuevo troyano bancario denominado BBtokEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano bancario denominado BBtok. Como la mayoría de estas familias de malware el objetivo principal de BBtok consiste en la captura y exfiltración de credenciales de diferentes entidades bancarias, afectando equipos de cómputo con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-denominado-bbtokhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano bancario denominado BBtok. Como la mayoría de estas familias de malware el objetivo principal de BBtok consiste en la captura y exfiltración de credenciales de diferentes entidades bancarias, afectando equipos de cómputo con sistema operativo Windows.
Nuevos indicadores de compromiso asociados a TrickbotEn el monitoreo realizado por el Csirt Financiero, se han observado nuevos indicadores de compromiso asociados a Trickbot, un troyano identificado inicialmente en 2016 y con antecedentes de ataques a instituciones financieras para la exfiltración de información confidencial. Se han observado nuevas versiones de este troyano en las cuales se incluyeron características como el uso de una nueva infraestructura de comando y control C2 basada en enrutadores Mikrotik.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-trickbot-5http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se han observado nuevos indicadores de compromiso asociados a Trickbot, un troyano identificado inicialmente en 2016 y con antecedentes de ataques a instituciones financieras para la exfiltración de información confidencial. Se han observado nuevas versiones de este troyano en las cuales se incluyeron características como el uso de una nueva infraestructura de comando y control C2 basada en enrutadores Mikrotik.
Actor de amenaza vende acceso a más de 5000 enrutadores ClaroEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la venta de credenciales para el inicio de sesión en más de 5000 Routers operados por el proveedor de servicios de internet colombiano Claro.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actor-de-amenaza-vende-acceso-a-mas-de-5000-enrutadores-clarohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la venta de credenciales para el inicio de sesión en más de 5000 Routers operados por el proveedor de servicios de internet colombiano Claro.
Nuevos indicadores de compromiso asociados a NjRATNjRAT es un malware utilizado en gran cantidad de campañas alrededor del mundo, se ha distribuido por varios métodos y cuenta con capacidades para exfiltrar información sensible de los usuarios en el equipo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-njrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
NjRAT es un malware utilizado en gran cantidad de campañas alrededor del mundo, se ha distribuido por varios métodos y cuenta con capacidades para exfiltrar información sensible de los usuarios en el equipo infectado.
Malware Bandook apunta a múltiples sectoresEn el monitoreo realizado por el Csirt Financiero, se evidencio una nueva ola de ataques dirigidos a múltiples industrias en las que se ha implementado una versión reestructurada del troyano de puerta trasera Bandook.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-bandook-apunta-a-multiples-sectoreshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se evidencio una nueva ola de ataques dirigidos a múltiples industrias en las que se ha implementado una versión reestructurada del troyano de puerta trasera Bandook.
Nuevos indicadores de compromiso asociados a ransomware EgregorEn el monitoreo diario que realiza el equipo de Csirt Financiero, se evidencian nuevos indicadores de compromiso asociados al ransomware Egregor que hizo su primera aparición en septiembre del 2020. Este ransomware es reconocido por las características que remarcan sus actividades ciberdelictivas alrededor del mundo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-ransomware-egregorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo diario que realiza el equipo de Csirt Financiero, se evidencian nuevos indicadores de compromiso asociados al ransomware Egregor que hizo su primera aparición en septiembre del 2020. Este ransomware es reconocido por las características que remarcan sus actividades ciberdelictivas alrededor del mundo.
Ciberdelincuentes realizan ataques de caja negra a cajeros automáticos en ItaliaEn el monitoreo realizado por el Csirt Financiero, se identificó la exfiltración de dinero de por lo menos 35 cajeros automáticos en Italia bajo la implementación de un ataque de caja negra.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-realizan-ataques-de-caja-negra-a-cajeros-automaticos-en-italiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se identificó la exfiltración de dinero de por lo menos 35 cajeros automáticos en Italia bajo la implementación de un ataque de caja negra.
Deathstalker implementa nuevo backdoor denominada PowerpepperEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha detectado a DeathStalker, un grupo de amenaza persistente (APT), el cual tiene una nueva BackDoor que destaca por sus tácticas de evasión. La puerta trasera recién descubierta, utiliza el protocolo DNS para establecer comunicación cifrada con el Comando y Control (C2).http://csirtasobancaria.com/Plone/alertas-de-seguridad/deathstalker-implementa-nuevo-backdoor-denominada-powerpepperhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha detectado a DeathStalker, un grupo de amenaza persistente (APT), el cual tiene una nueva BackDoor que destaca por sus tácticas de evasión. La puerta trasera recién descubierta, utiliza el protocolo DNS para establecer comunicación cifrada con el Comando y Control (C2).
Crutch, nuevo backdoor asociado a TurlaEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero identificó un nuevo backdoor asociado al APT Turla, denominada Crutch por sus desarrolladores. Crutch es un backdoor que se comunica con una cuenta de Dropbox, la cual a través del API HTTP oficial, puede ejecutar comandos básicos de escritura y lectura.http://csirtasobancaria.com/Plone/alertas-de-seguridad/crutch-nuevo-backdoor-asociado-a-turlahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero identificó un nuevo backdoor asociado al APT Turla, denominada Crutch por sus desarrolladores. Crutch es un backdoor que se comunica con una cuenta de Dropbox, la cual a través del API HTTP oficial, puede ejecutar comandos básicos de escritura y lectura.
Paquetes maliciosos agregados a NPM para distribuir NjRATEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado que los ciberdelincuentes han vuelto a vulnerar NPM, un sistema de gestión de paquetes de JavaScript para la integración de librerías, módulos y dependencias en los proyectos de programación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/paquetes-maliciosos-agregados-a-npm-para-distribuir-njrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado que los ciberdelincuentes han vuelto a vulnerar NPM, un sistema de gestión de paquetes de JavaScript para la integración de librerías, módulos y dependencias en los proyectos de programación.
Empresa de ciberseguridad Fireeye fue víctima de ciberataqueEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado que la compañía FireEye ha sido atacada por ciberdelincuentes que, según la misma compañía, pueden ser patrocinados por alguna nación, ya que este ciberataque implementó técnicas novedosas no visualizadas anteriormente con métodos que contrarrestan las herramientas de seguridad y los exámenes forenses.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_paquetes-maliciosos-agregados-a-npm-para-distribuir-njrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado que la compañía FireEye ha sido atacada por ciberdelincuentes que, según la misma compañía, pueden ser patrocinados por alguna nación, ya que este ciberataque implementó técnicas novedosas no visualizadas anteriormente con métodos que contrarrestan las herramientas de seguridad y los exámenes forenses.
Yellow Cockatoo ejecuta troyano RATEl equipo del Csirt Financiero en la búsqueda de información en fuentes abiertas, ha identificado una nueva amenaza denominada Yellow Cockatoo, este es un cluster de actividad maliciosa utilizado por los ciberdelincuentes. Nombrada así por el grupo de investigadores, presentando similitudes en sus operaciones con el troyano infostealer Jupyter.http://csirtasobancaria.com/Plone/alertas-de-seguridad/yellow-cockatoo-ejecuta-troyano-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero en la búsqueda de información en fuentes abiertas, ha identificado una nueva amenaza denominada Yellow Cockatoo, este es un cluster de actividad maliciosa utilizado por los ciberdelincuentes. Nombrada así por el grupo de investigadores, presentando similitudes en sus operaciones con el troyano infostealer Jupyter.
Nuevos indicadores de compromiso de ransomware EgregorEn el monitoreo continuo que realiza el equipo de Csirt Financiero, se evidencian nuevos indicadores de compromiso asociados al ransomware Egregor que hizo su primera aparición en septiembre del 2020. Este ransomware ha afectado a múltiples organizaciones alrededor del mundo en EE. UU., Europa, Asia Pacífico y América Latina.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-de-ransomware-egregorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo que realiza el equipo de Csirt Financiero, se evidencian nuevos indicadores de compromiso asociados al ransomware Egregor que hizo su primera aparición en septiembre del 2020. Este ransomware ha afectado a múltiples organizaciones alrededor del mundo en EE. UU., Europa, Asia Pacífico y América Latina.
Campaña de suplantación de empresa Claro ColombiaEn el monitoreo continuo que realiza el equipo de Csirt Financiero, se evidencia una nueva campaña dirigida a usuarios de la empresa Claro Colombia. En esta oportunidad los ciberdelincuentes se comunican con los usuarios a través del abonado telefónico (Se puede visualizar en la notificación); en esta interacción, solicitan al incauto descargue una aplicación maliciosa a través de un enlace remitido mediante mensaje de texto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-suplantacion-de-empresa-claro-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo que realiza el equipo de Csirt Financiero, se evidencia una nueva campaña dirigida a usuarios de la empresa Claro Colombia. En esta oportunidad los ciberdelincuentes se comunican con los usuarios a través del abonado telefónico (Se puede visualizar en la notificación); en esta interacción, solicitan al incauto descargue una aplicación maliciosa a través de un enlace remitido mediante mensaje de texto.
Ransomware afecta al proveedor de servicios NetgainEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la afectación al proveedor de servicios de TI y alojamiento en la nube Netgain. Esta compañía ofrece alojamiento y soluciones TI en la nube a entidades financieras y organizaciones de la salud. Se identificó que Netgain fue afectada el pasado 24 de noviembre por un ransomware el cual aún no ha sido identificado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-afecta-al-proveedor-de-servicios-netgainhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la afectación al proveedor de servicios de TI y alojamiento en la nube Netgain. Esta compañía ofrece alojamiento y soluciones TI en la nube a entidades financieras y organizaciones de la salud. Se identificó que Netgain fue afectada el pasado 24 de noviembre por un ransomware el cual aún no ha sido identificado.
Vulnerabilidad hallada en WinzipEl equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una vulnerabilidad embebida en el software WinZip versión 24, la cual permite la entrega de malware, altera el DNS y ejecuta código malicioso de manera arbitraria.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-hallada-en-winziphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una vulnerabilidad embebida en el software WinZip versión 24, la cual permite la entrega de malware, altera el DNS y ejecuta código malicioso de manera arbitraria.
Botnet Pgminer apunta a PostgresqlEl equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una botnet denominada PgMiner, que apunta a las bases de datos PostgreSQL sobre infraestructura con distribuciones Linux con el fin de instalar un minero de criptomonedas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-pgminer-apunta-a-postgresqlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una botnet denominada PgMiner, que apunta a las bases de datos PostgreSQL sobre infraestructura con distribuciones Linux con el fin de instalar un minero de criptomonedas.
Malware Adrozek afecta miles de equipos al díaEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia un nuevo malware denominado Adrozek, una familia de malware, descubierta recientemente, que ha incrementado su afectación desde mayo del presente año, llegando a su punto máximo de actividad en el mes de agosto al afectar más de 30.000 equipos todos los días.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-adrozek-afecta-miles-de-equipos-al-diahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia un nuevo malware denominado Adrozek, una familia de malware, descubierta recientemente, que ha incrementado su afectación desde mayo del presente año, llegando a su punto máximo de actividad en el mes de agosto al afectar más de 30.000 equipos todos los días.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}