Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Indicadores de compromiso identificados que afectan al modelo de ATM: WINCOR PC1500XE.Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-identificados-que-afecta-al-modelo-de-atm-wincor-pc1500xehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas.
Infección de Akira ransomware a través de cámaras para evadir detecciónEl equipo de analistas del Csirt Financiero ha identificado una nueva modalidad de ataque relacionada con Akira ransomware, el cual se distribuye a través de cámaras web con el objetivo de evadir detección. Estos ataques han sido atribuidos a un grupo APT que lleva el mismo nombre del ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/infeccion-de-akira-ransomware-a-traves-de-camaras-para-evadir-deteccionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva modalidad de ataque relacionada con Akira ransomware, el cual se distribuye a través de cámaras web con el objetivo de evadir detección. Estos ataques han sido atribuidos a un grupo APT que lleva el mismo nombre del ransomware.
Información publicada asociada a usuarios de cuentas American ExpressEn el monitoreo realizado por el Csirt Financiero a diversas fuentes, se ha evidenciado la publicación gratuita de 10,000 datos de clientes pertenecientes a American Express en México, donde también se afirma tener datos de otras entidades financieras mexicanas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/informacion-publicada-asociada-a-usuarios-de-cuentas-american-expresshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a diversas fuentes, se ha evidenciado la publicación gratuita de 10,000 datos de clientes pertenecientes a American Express en México, donde también se afirma tener datos de otras entidades financieras mexicanas.
Infostealer Kpot la nueva herramienta del grupo RevilEl equipo del Csirt Financiero ha evidenciado que el grupo de ciberdelincuentes denominados REvil quienes son los autores detrás del ransomware Sodinokibi, han adquirido la última versión del InfoStealer KPOT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/infostealer-kpot-la-nueva-herramienta-del-grupo-revilhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado que el grupo de ciberdelincuentes denominados REvil quienes son los autores detrás del ransomware Sodinokibi, han adquirido la última versión del InfoStealer KPOT.
Instalador malicioso de aplicación ZOOMEl equipo del Csirt Financiero ha identificado que ciberdelincuentes están utilizando el instalador original de la aplicación de videoconferencias ZOOM para introducir código malicioso que descarga una serie de tareas maliciosas para realizar minería de criptomonedas en el equipo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/instalador-malicioso-de-aplicacion-zoomhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado que ciberdelincuentes están utilizando el instalador original de la aplicación de videoconferencias ZOOM para introducir código malicioso que descarga una serie de tareas maliciosas para realizar minería de criptomonedas en el equipo infectado.
Intrusión del ransomware BlackCat a través del malware NitrogenSe identificó el uso del malware Nitrogen para desplegar el ransomware BlackCat. Los ciberdelincuentes implementaron balizas, realizaron descubrimiento de red y utilizaron herramientas para obtener credenciales y distribuir el ransomware en el dominio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/intrusion-del-ransomware-blackcat-a-traves-del-malware-nitrogenhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identificó el uso del malware Nitrogen para desplegar el ransomware BlackCat. Los ciberdelincuentes implementaron balizas, realizaron descubrimiento de red y utilizaron herramientas para obtener credenciales y distribuir el ransomware en el dominio.
Inyecciones Web, principal amenaza cibernética para el sector financieroEn el monitoreo realizado por el Csirt Financiero se ha evidenciado que las inyecciones de código a los sitios web bancarios se han convertido en un gran problema para el sector financiero, debido a su gran facilidad para exfiltrar información financiera de clientes de entidades bancarias y la realización de transferencias fraudulentas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/inyecciones-web-principal-amenaza-cibernetica-para-el-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado que las inyecciones de código a los sitios web bancarios se han convertido en un gran problema para el sector financiero, debido a su gran facilidad para exfiltrar información financiera de clientes de entidades bancarias y la realización de transferencias fraudulentas.
IOC asociados al troyano AzorultEn el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado nuevos indicadores de compromiso (IOC) asociados a AZORult, un troyano diseñado para recopilar y exfiltrar datos confidenciales de las víctimas objetivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-asociados-al-troyano-azorulthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado nuevos indicadores de compromiso (IOC) asociados a AZORult, un troyano diseñado para recopilar y exfiltrar datos confidenciales de las víctimas objetivo.
IOC asociados al troyano bancario CerberusEn el monitoreo a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a Cerberus, un troyano bancario detectado en el año 2019 y que está diseñado para comprometer dispositivos móviles con sistema operativo android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-asociados-al-troyano-bancario-cerberushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a Cerberus, un troyano bancario detectado en el año 2019 y que está diseñado para comprometer dispositivos móviles con sistema operativo android.
IOC de Phishing dirigido a usuarios del sector financiero de ColombiaDesde el Csirt Financiero se identificó un ataque de phishing dirigido a los usuarios del sector financiero de Colombia, donde se envía un correo suplantando una entidad del gobierno con un asunto que induce al usuario que lo abra, con una imagen adjunta que al dar clic redirecciona a una URL descargando archivos maliciosos o redireccionado a formularios para capturar la información del usuario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-de-phishing-dirigido-a-usuarios-del-sector-financiero-de-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se identificó un ataque de phishing dirigido a los usuarios del sector financiero de Colombia, donde se envía un correo suplantando una entidad del gobierno con un asunto que induce al usuario que lo abra, con una imagen adjunta que al dar clic redirecciona a una URL descargando archivos maliciosos o redireccionado a formularios para capturar la información del usuario.
IOC detectados en nueva campaña de AzorultEn el monitoreo realizado por el equipo del Csirt Financiero, a nuevas amenazas se han identificado nuevos indicadores de compromiso relacinados a Azorult,un malware visto por primera vez en 2016 e identificado como troyano y spyware con capacidades para exfiltrar el historial de navegación, cookies ID / contraseñas, información de criptomonedas, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-detectados-en-nueva-campana-de-azorulthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero, a nuevas amenazas se han identificado nuevos indicadores de compromiso relacinados a Azorult,un malware visto por primera vez en 2016 e identificado como troyano y spyware con capacidades para exfiltrar el historial de navegación, cookies ID / contraseñas, información de criptomonedas, entre otros.
IOC recientes del troyano IcedIDDurante procesos de monitoreo, se identificaron nuevos indicadores de compromiso (IOC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalar y/o ejecutar otras familias de malware para maximizar su impacto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-recientes-del-troyano-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante procesos de monitoreo, se identificaron nuevos indicadores de compromiso (IOC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalar y/o ejecutar otras familias de malware para maximizar su impacto.
IOC Relacionados al descargador GuLoaderEn el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado nuevos indicadores de compromiso (IOC) asociados a GuLoader, el cual es un descargador de malware entre los cuales se ha evidenciado anteriormente la descarga de familias como FormBook, Nanocore, LokiBot, Remcos y Azorult.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-relacionados-al-descargador-guloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado nuevos indicadores de compromiso (IOC) asociados a GuLoader, el cual es un descargador de malware entre los cuales se ha evidenciado anteriormente la descarga de familias como FormBook, Nanocore, LokiBot, Remcos y Azorult.
IOC relacionados al troyano Ursnif dirigido al robo de información bancariaDentro del amplio análisis y monitoreo desplegado por el equipo de analistas del CSIRT Financiero a fuentes abiertas en búsqueda de amenazas se encontraron nuevos indicadores de compromiso (IOC) de Ursnif, el cual es un troyano bancario desarrollado bajo Microsoft Visual C ++ también es conocido con otros nombres como IAP, ISFB, Gozi, Rovnix y Papras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-relacionados-al-troyano-ursnif-dirigido-al-robo-de-informacion-bancariahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro del amplio análisis y monitoreo desplegado por el equipo de analistas del CSIRT Financiero a fuentes abiertas en búsqueda de amenazas se encontraron nuevos indicadores de compromiso (IOC) de Ursnif, el cual es un troyano bancario desarrollado bajo Microsoft Visual C ++ también es conocido con otros nombres como IAP, ISFB, Gozi, Rovnix y Papras.
IronNetInjector nueva herramienta asociada al grupo TurlaEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero identifico una nueva herramienta desarrollada en IronPython que es usada para inyección de malware, asociada al grupo de amenazas Turla.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ironnetinjector-nueva-herramienta-asociada-al-grupo-turlahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero identifico una nueva herramienta desarrollada en IronPython que es usada para inyección de malware, asociada al grupo de amenazas Turla.
IZ1H9: La activa y peligrosa variante Mirai que amenaza la seguridad de dispositivos LinuxRecientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.http://csirtasobancaria.com/Plone/alertas-de-seguridad/iz1h9-la-activa-y-peligrosa-variante-mirai-que-amenaza-la-seguridad-de-dispositivos-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.
Jackpotting, técnica que utilizan los ciberdelincuentes para instalar malware Cutlet MakerPor medio de fuentes de información el CSIRT Financiero ha identificado nuevos detalles de la técnica conocida como Jackpotting, esta ha sido utilizada por ciberdelincuentes para obtener acceso a dispositivos ATM y dar paso a la instalación de Cutlet Maker, un malware que va dirigido a obtener la manipulación de los cajeros automáticos para lograr la expulsión de dinero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/jackpotting-tecnica-que-utilizan-los-ciberdelincuentes-para-instalar-malware-cutlet-makerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información el CSIRT Financiero ha identificado nuevos detalles de la técnica conocida como Jackpotting, esta ha sido utilizada por ciberdelincuentes para obtener acceso a dispositivos ATM y dar paso a la instalación de Cutlet Maker, un malware que va dirigido a obtener la manipulación de los cajeros automáticos para lograr la expulsión de dinero.
JasperLoaderTroyano que se distribuía a través de campañas de spam malicioso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/jasperloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Jasperloader malware bancarioSe ha detectado una nueva campaña del malware JasperLoader. Este malware se clasificaría dentro de los droppers esto es, sería el encargado de descargar otras piezas de malware. Habitualmente los droppers contienen un alto nivel de ofuscación y/o técnicas para evitar la detección por parte de motores antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/jasperloader-malware-bancariohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado una nueva campaña del malware JasperLoader. Este malware se clasificaría dentro de los droppers esto es, sería el encargado de descargar otras piezas de malware. Habitualmente los droppers contienen un alto nivel de ofuscación y/o técnicas para evitar la detección por parte de motores antimalware.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}