Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Meterpreter opera desde la memoria en lugar del disco duroMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano llamado Meterpreter que opera exclusivamente en memoria.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/meterpreter-opera-desde-la-memoria-en-lugar-del-disco-durohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano llamado Meterpreter que opera exclusivamente en memoria.
Método de cifrado usado por el ransomware LockFileEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el método de cifrado de archivos utilizado por el ransomware LockFile, el cual implementa una técnica novedosa denominada “Cifrado Intermitente” que le permite evadir la detección de herramientas antimalware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/metodo-de-cifrado-usado-por-el-ransomware-lockfilehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el método de cifrado de archivos utilizado por el ransomware LockFile, el cual implementa una técnica novedosa denominada “Cifrado Intermitente” que le permite evadir la detección de herramientas antimalware.
Métodos de distribución y evasión de ACRStealerRecientemente, el equipo de analistas del Csirt Financiero identificó una nueva actividad maliciosa asociada con ACRStealer, un infostealer diseñado para capturar información confidencial de los equipos comprometidos como credenciales de usuario, información financiera y archivos sensibleshttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/metodos-de-distribucion-y-evasion-de-acrstealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, el equipo de analistas del Csirt Financiero identificó una nueva actividad maliciosa asociada con ACRStealer, un infostealer diseñado para capturar información confidencial de los equipos comprometidos como credenciales de usuario, información financiera y archivos sensibles
MicroBackdoor es distribuido para afectar organizaciones ucranianasEn el monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar a los usuarios y al sector, el equipo del Csirt Financiero ha identificado un backdoor denominado MicroBackdoor, el cual está siendo distribuido a través del envío de mensajes de correo malspam a organizaciones gubernamentales de Ucrania. Esta campaña es atribuida al grupo cibercriminal de origen bielorruso conocido como UNC1151, el cual está enfocado en realizar ataques en contra de organizaciones gubernamentales y militares de Ucrania.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/microbackdoor-es-distribuido-para-afectar-organizaciones-ucranianashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar a los usuarios y al sector, el equipo del Csirt Financiero ha identificado un backdoor denominado MicroBackdoor, el cual está siendo distribuido a través del envío de mensajes de correo malspam a organizaciones gubernamentales de Ucrania. Esta campaña es atribuida al grupo cibercriminal de origen bielorruso conocido como UNC1151, el cual está enfocado en realizar ataques en contra de organizaciones gubernamentales y militares de Ucrania.
Microsoft confirma que ciberdelincuentes accedieron a sus códigos fuentesEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se observó un comunicado de Microsoft donde confirma que ante el incidente causado por el backdoor Sunburst en la plataforma SolarWinds Orion, ciberdelincuentes lograron acceder a los códigos fuentes de sus productos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/microsoft-confirma-que-ciberdelincuentes-accedieron-a-sus-codigos-fuenteshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se observó un comunicado de Microsoft donde confirma que ante el incidente causado por el backdoor Sunburst en la plataforma SolarWinds Orion, ciberdelincuentes lograron acceder a los códigos fuentes de sus productos.
Microsoft dejará de brindar soporte a Windows Server 20H2El fabricante de tecnología Microsoft ha informado la fecha en la cual dejará de brindar soporte a el sistema Windows Server 20H2, esto se hará oficial a partir de 9 de agosto del presente año.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/microsoft-dejara-de-brindar-soporte-a-windows-server-20h2http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El fabricante de tecnología Microsoft ha informado la fecha en la cual dejará de brindar soporte a el sistema Windows Server 20H2, esto se hará oficial a partir de 9 de agosto del presente año.
Microsoft pierde control de uno de sus servicios que usa loophole en la plataforma de nube de azureUn profesional de la ciberseguridad explotó una debilidad sin parches de Azure de Microsoft.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/microsoft-pierde-control-de-uno-de-sus-servicios-que-usa-loophole-en-la-plataforma-de-nube-de-azurehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Microsoft reporta 4 nuevas vulnerabilidades críticas en el protocolo RDP que permitirían la ejecución de código remotoDesde el CSIRT Financiero se han identificado cuatro (4) nuevas vulnerabilidades en el protocolo RDP que permitirían a los ciberdelincuentes la ejecución de código remoto en los equipos infectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/microsoft-reporta-4-nuevas-vulnerabilidades-criticas-en-el-protocolo-rdp-que-permitirian-la-ejecucion-de-codigo-remotohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado cuatro (4) nuevas vulnerabilidades en el protocolo RDP que permitirían a los ciberdelincuentes la ejecución de código remoto en los equipos infectados.
Mirai botnet es orientada a dispositivos IoT en campañas de DDOS.El equipo de analistas del Csirt Financiero ha identificado una campaña activa que emplea a Mirai, una botnet especializada en comprometer dispositivos del Internet de las cosas (IoT) con medidas de seguridad mínimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/mirai-botnet-es-orientada-a-dispositivos-iot-en-campanas-de-ddoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que emplea a Mirai, una botnet especializada en comprometer dispositivos del Internet de las cosas (IoT) con medidas de seguridad mínimas.
Mispadu, el nuevo troyano que se distribuye a través de anuncios publicitarios.Mispadu es un troyano de tipo bancario, que está siendo distribuido principalmente mediante campañas de anuncios publicitarios en la red social Facebook. Este tiene como principal objetivo extraer información de los usuarios por medio de extensiones maliciosas instaladas en los exploradores web. Se ha identificado que el foco principal de las campañas en la región ha sido México y Brasil, sin embargo, no se descartan campañas en nuestro país.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/mispadu-el-nuevo-troyano-que-se-distribuye-a-traves-de-anuncios-publicitarioshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mispadu es un troyano de tipo bancario, que está siendo distribuido principalmente mediante campañas de anuncios publicitarios en la red social Facebook. Este tiene como principal objetivo extraer información de los usuarios por medio de extensiones maliciosas instaladas en los exploradores web. Se ha identificado que el foco principal de las campañas en la región ha sido México y Brasil, sin embargo, no se descartan campañas en nuestro país.
Mispadu: troyano bancario de evolución continúa afectando LatinoaméricaEl equipo de analistas del Csirt Financiero ha detectado a través de su monitoreo una nueva actividad maliciosa relacionada con la amenaza conocida como Mispadu. Este troyano bancario, identificado inicialmente en 2019 y programado en Delphi, ha estado llevando a cabo recientemente campañas maliciosas dirigidas principalmente a usuarios en Latinoamérica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/mispadu-troyano-bancario-de-evolucion-continua-afectando-latinoamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado a través de su monitoreo una nueva actividad maliciosa relacionada con la amenaza conocida como Mispadu. Este troyano bancario, identificado inicialmente en 2019 y programado en Delphi, ha estado llevando a cabo recientemente campañas maliciosas dirigidas principalmente a usuarios en Latinoamérica.
Monitoreo a vulnerabilidad en librería Log4j 2 afectación a múltiples fabricantesContinuando con el seguimiento a fuentes abiertas de información, para la identificación de la actividad relacionada a la vulnerabilidad identificada con el CVE-2021-44228, la cual afecta la librería de registros Log4j empleada por servidores Web Apache, se ha evidenciado actividad maliciosa de diferentes familias de malware como las botnet Mirai y Muhstik, adicionalmente herramientas legítimas como Cobalt Strike y mineros (XMRIG) entre otros. Estas se han actualizado para aprovechar la explotación de Log4J con el propósito de liberar cargas útiles dentro de las infraestructuras informáticas objetivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/monitoreo-a-vulnerabilidad-en-libreria-log4j-2-afectacion-a-multiples-fabricanteshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Continuando con el seguimiento a fuentes abiertas de información, para la identificación de la actividad relacionada a la vulnerabilidad identificada con el CVE-2021-44228, la cual afecta la librería de registros Log4j empleada por servidores Web Apache, se ha evidenciado actividad maliciosa de diferentes familias de malware como las botnet Mirai y Muhstik, adicionalmente herramientas legítimas como Cobalt Strike y mineros (XMRIG) entre otros. Estas se han actualizado para aprovechar la explotación de Log4J con el propósito de liberar cargas útiles dentro de las infraestructuras informáticas objetivo.
Monitoreo del stealer llamado StealcMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC referentes a Stealc.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/monitoreo-del-stealer-llamado-stealchttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC referentes a Stealc.
Mozi, la nueva Botnet que utiliza el protocolo DHT.Por medio de investigaciones y continuas revisiones en fuentes de información abiertas, el equipo del CSIRT Financiero ha identificado una nueva botnet denominada Mozi. Esta botnet tiene la capacidad de utilizar el protocolo DHT [Data Hash Tables] para crear sus propias redes P2P [red entre pares], aprovechando claves débiles de telnet sobre equipos Netgear, D-Link y los enrutadores de Huawei.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/mozi-la-nueva-botnet-que-utiliza-el-protocolo-dhthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de investigaciones y continuas revisiones en fuentes de información abiertas, el equipo del CSIRT Financiero ha identificado una nueva botnet denominada Mozi. Esta botnet tiene la capacidad de utilizar el protocolo DHT [Data Hash Tables] para crear sus propias redes P2P [red entre pares], aprovechando claves débiles de telnet sobre equipos Netgear, D-Link y los enrutadores de Huawei.
MuddyWaters APT agrupa nueva campañaueva campaña dirigida a Bielorrusia, Turquía y Ucrania.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/muddywaters-apt-agrupa-nueva-campanahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Muestras de malware que comprometen Sistemas POSEn el monitoreo realizado a fuentes abiertas el Csirt Financiero, se han identificado diferentes muestras de malware que comprometen a sistemas de Punto de Venta (POS), están atribuidas a TinyPOS, RtPOS, MMon (también conocido como Kaptoxa) y PwnPOS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/muestras-de-malware-que-comprometen-sistemas-poshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas el Csirt Financiero, se han identificado diferentes muestras de malware que comprometen a sistemas de Punto de Venta (POS), están atribuidas a TinyPOS, RtPOS, MMon (también conocido como Kaptoxa) y PwnPOS.
Múltiples Botnets involucradas en ataques cibernéticos dirigidos a infraestructuras tecnológicas de Ucrania y RusiaEn el monitoreo continuo a fuentes abiertas de información y en búsqueda de actividades que puedan generar impacto a infraestructuras críticas, el equipo de analistas del Csirt Financiero ha identificado actividad relacionada con las Botnets Mirai, Moobot, Gafgyt e ircBot, la cuales se han visto involucradas en ataques de denegación de servicios distribuidos (DDoS) a dominios geolocalizados en Rusia y Ucrania.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-botnets-involucradas-en-ataques-ciberneticos-dirigidos-a-infraestructuras-tecnologicas-de-ucrania-y-rusiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de actividades que puedan generar impacto a infraestructuras críticas, el equipo de analistas del Csirt Financiero ha identificado actividad relacionada con las Botnets Mirai, Moobot, Gafgyt e ircBot, la cuales se han visto involucradas en ataques de denegación de servicios distribuidos (DDoS) a dominios geolocalizados en Rusia y Ucrania.
Múltiples campañas de ciberataques identificadas en América LatinaEl equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se han observado múltiples campañas de ataques cibernéticos en América Latina donde se destaca el grupo Conti que ha tenido mucha actividad en el presente año, es una organización de origen ruso enfocada en la exfiltración de información sensible de las organizaciones comprometidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-campanas-de-ciberataques-identificadas-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se han observado múltiples campañas de ataques cibernéticos en América Latina donde se destaca el grupo Conti que ha tenido mucha actividad en el presente año, es una organización de origen ruso enfocada en la exfiltración de información sensible de las organizaciones comprometidas.
Múltiples campañas se han visto distribuyendo BatloaderLas amenazas de acceso inicial abundan en la naturaleza, de ahí que los ciberdelincuentes las empleen para tener éxito en sus ataques cibernéticos, por medio de estos loader pueden instaurar cargas útiles de otras familias en los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-campanas-se-han-visto-distribuyendo-batloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las amenazas de acceso inicial abundan en la naturaleza, de ahí que los ciberdelincuentes las empleen para tener éxito en sus ataques cibernéticos, por medio de estos loader pueden instaurar cargas útiles de otras familias en los equipos comprometidos.
Múltiples vulnerabilidades de Microsoft para Windows Server 2012/2016/2019 Windows RT 8.1/ Windows 10Se detecta amenaza global que pudiera impactar sobre el sector financiero. Microsoft ha reportado múltiples vulnerabilidades en diferentes versiones de Windows Server 2012/2016/2019 y Windows RT 8.1/ Windows 10, las cuales pueden ser explotadas por usuarios locales con fines maliciosos, si un atacante aprovecha estas vulnerabilidades logra evitar ciertas restricciones de seguridad, y podría a través de esas provocar una denegación de servicio, como también obtener escalabilidad de privilegios desde una máquina virtual, de esa manera comprometiendo la integridad, disponibilidad y confidencialidad de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-vulnerabilidades-de-microsoft-para-windows-server-2012-2016-2019-windows-rt-8-1-windows-10http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta amenaza global que pudiera impactar sobre el sector financiero. Microsoft ha reportado múltiples vulnerabilidades en diferentes versiones de Windows Server 2012/2016/2019 y Windows RT 8.1/ Windows 10, las cuales pueden ser explotadas por usuarios locales con fines maliciosos, si un atacante aprovecha estas vulnerabilidades logra evitar ciertas restricciones de seguridad, y podría a través de esas provocar una denegación de servicio, como también obtener escalabilidad de privilegios desde una máquina virtual, de esa manera comprometiendo la integridad, disponibilidad y confidencialidad de la información.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}