Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Akira Stealer utiliza Telegram como servidor de comando y control.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un stealer llamado Akira.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/akira-stealer-utiliza-telegram-como-servidor-de-comando-y-controlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un stealer llamado Akira.
Akirabot, automatización maliciosa de spam mediante IA y evasión de CAPTCHADurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha detectado actividad maliciosa asociada a AkiraBot, un bot desarrollado en Python que pertenece a un conjunto de herramientas diseñadas para automatizar el envío masivo de contenido no deseado a través de formularios de contacto y chats embebidos en sitios web. Esta herramienta tiene como finalidad principal la promoción de servicios SEO de dudosa calidad, y ha tenido como objetivo a más de 420.000 dominios únicos, logrando enviar mensajes generados por IA a por lo menos 80.000 de ellos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/akirabot-automatizacion-maliciosa-de-spam-mediante-ia-y-evasion-de-captchahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha detectado actividad maliciosa asociada a AkiraBot, un bot desarrollado en Python que pertenece a un conjunto de herramientas diseñadas para automatizar el envío masivo de contenido no deseado a través de formularios de contacto y chats embebidos en sitios web. Esta herramienta tiene como finalidad principal la promoción de servicios SEO de dudosa calidad, y ha tenido como objetivo a más de 420.000 dominios únicos, logrando enviar mensajes generados por IA a por lo menos 80.000 de ellos.
Alerta de IOC usados por grupo TA505Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/alerta-sectorial-internacional-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.
Alerta de servicios expuestosDesde el Csirt Financiero se ha realizado un análisis de los servicios más utilizados para proveer acceso remoto a los empleados de las entidades y así continuar laborando de forma remota frente a la situación de cuarentena que se está presentando por el COVID-19.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/alerta-de-servicios-expuestoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha realizado un análisis de los servicios más utilizados para proveer acceso remoto a los empleados de las entidades y así continuar laborando de forma remota frente a la situación de cuarentena que se está presentando por el COVID-19.
Alerta IoCDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirectahttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/alerta-iochttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Alerta Sectorial RegionalDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/alerta-sectorial-regionalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.
Alertas de seguridadhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aggregatorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Alianza peligrosa entre Killnet, Revil y Anonymous Sudan apunta al sistema financiero occidentalEn los últimos tiempos, se ha observado un aumento en la actividad cibernética dirigida desde grupos con vínculos indirectos con el gobierno ruso. Uno de estos grupos es Killnet, conocido por su preferencia por los ataques de denegación de servicio distribuidos (DDoS). Aunque hasta ahora su impacto ha sido limitado, existen señales sólidas de que Killnet continuará desarrollándose y escalando sus ataques a través de redes maliciosas. En un giro preocupante, en las últimas 48 horas, Killnet se ha unido a los grupos Pro-Rusos REvil y Anonymous Sudan con el supuesto objetivo de llevar a cabo un ataque masivo al sistema financiero occidental.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/alianza-peligrosa-entre-killnet-revil-y-anonymous-sudan-apunta-al-sistema-financiero-occidentalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos tiempos, se ha observado un aumento en la actividad cibernética dirigida desde grupos con vínculos indirectos con el gobierno ruso. Uno de estos grupos es Killnet, conocido por su preferencia por los ataques de denegación de servicio distribuidos (DDoS). Aunque hasta ahora su impacto ha sido limitado, existen señales sólidas de que Killnet continuará desarrollándose y escalando sus ataques a través de redes maliciosas. En un giro preocupante, en las últimas 48 horas, Killnet se ha unido a los grupos Pro-Rusos REvil y Anonymous Sudan con el supuesto objetivo de llevar a cabo un ataque masivo al sistema financiero occidental.
Amenaza cibernética de Corea del Norte.Desde el Csirt Financiero se ha identificado una nueva campaña originada por Corea del Norte o República Popular Democrática de Corea (RPDC), la cual se destaca por ejecutar actividades maliciosas dirigidas a Estados Unidos y a la comunidad internacional en general, en esta oportunidad ha encauzado sus ataques cibercriminales hacia el sector financiero afectando de forma considerable su estabilidad y confidencialidad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenaza-cibernetica-de-corea-del-nortehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una nueva campaña originada por Corea del Norte o República Popular Democrática de Corea (RPDC), la cual se destaca por ejecutar actividades maliciosas dirigidas a Estados Unidos y a la comunidad internacional en general, en esta oportunidad ha encauzado sus ataques cibercriminales hacia el sector financiero afectando de forma considerable su estabilidad y confidencialidad.
Amenaza cibernética: El APT Flea ataca ministerios y corporaciones con la nueva puerta trasera GraphicanDurante el periodo que abarcó desde finales de 2022 hasta principios de 2023, los ministerios de asuntos exteriores en las Américas fueron objeto de una serie de ataques cibernéticos. Estos ataques fueron llevados a cabo por un grupo chino patrocinado por el estado llamado Flea, también conocido como APT15, que ha estado operando desde al menos 2004. Los informes indican que la campaña reciente también tuvo como objetivo otros sectores, como un departamento de finanzas del gobierno y una corporación que opera en las Américas. El grupo utiliza una variedad de herramientas, incluyendo una nueva puerta trasera denominada Graphican, así como otras herramientas previamente asociadas con Flea.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenaza-cibernetica-el-apt-flea-ataca-ministerios-y-corporaciones-con-la-nueva-puerta-trasera-graphicanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el periodo que abarcó desde finales de 2022 hasta principios de 2023, los ministerios de asuntos exteriores en las Américas fueron objeto de una serie de ataques cibernéticos. Estos ataques fueron llevados a cabo por un grupo chino patrocinado por el estado llamado Flea, también conocido como APT15, que ha estado operando desde al menos 2004. Los informes indican que la campaña reciente también tuvo como objetivo otros sectores, como un departamento de finanzas del gobierno y una corporación que opera en las Américas. El grupo utiliza una variedad de herramientas, incluyendo una nueva puerta trasera denominada Graphican, así como otras herramientas previamente asociadas con Flea.
Amenaza dirigida a cuentas Business de Facebook denominada DucktailAmenaza dirigida a cuentas Business de Facebook denominada Ducktailhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenaza-dirigida-a-cuentas-business-de-facebook-denominada-ducktailhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Amenaza emergente: Cookie Stealer acecha en falsos instaladores de Microsoft Visual StudioMicrosoft Visual Studio, el popular entorno de desarrollo integrado (IDE) utilizado por muchos desarrolladores, ha atraído la atención de ciberdelincuentes que buscan aprovechar su amplia adopción. Estos atacantes han creado instaladores maliciosos que se hacen pasar por legítimos, lo que expone a los usuarios desprevenidos a software malicioso. En ese contexto, se descubrió un instalador falso de Visual Studio que, disfrazado como auténtico, que contiene un infostealer denominado Cookie Stealer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenaza-emergente-cookie-stealer-acecha-en-falsos-instaladores-de-microsoft-visual-studiohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Microsoft Visual Studio, el popular entorno de desarrollo integrado (IDE) utilizado por muchos desarrolladores, ha atraído la atención de ciberdelincuentes que buscan aprovechar su amplia adopción. Estos atacantes han creado instaladores maliciosos que se hacen pasar por legítimos, lo que expone a los usuarios desprevenidos a software malicioso. En ese contexto, se descubrió un instalador falso de Visual Studio que, disfrazado como auténtico, que contiene un infostealer denominado Cookie Stealer.
Amenaza en auge: el grupo de ransomware Cl0p explota vulnerabilidades en soluciones de transferencia de archivosEl grupo de ransomware CL0P, también conocido como TA505, ha comenzado a aprovechar una vulnerabilidad de inyección SQL en la solución de transferencia de archivos administrados de Progress Software (MOVEit Transfer). Esta vulnerabilidad permite al grupo capturar datos de las bases de datos subyacentes de MOVEit Transfer. TA505, conocido por su uso de ransomware y phishing, ha utilizado tácticas de doble extorsión en el pasado. Además, el grupo ha explotado otras soluciones de transferencia de archivos, como Accellion File Transfer (FTA) y Fortra/Linoma GoAnywhere MFT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenaza-en-auge-el-grupo-de-ransomware-cl0p-explota-vulnerabilidades-en-soluciones-de-transferencia-de-archivoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de ransomware CL0P, también conocido como TA505, ha comenzado a aprovechar una vulnerabilidad de inyección SQL en la solución de transferencia de archivos administrados de Progress Software (MOVEit Transfer). Esta vulnerabilidad permite al grupo capturar datos de las bases de datos subyacentes de MOVEit Transfer. TA505, conocido por su uso de ransomware y phishing, ha utilizado tácticas de doble extorsión en el pasado. Además, el grupo ha explotado otras soluciones de transferencia de archivos, como Accellion File Transfer (FTA) y Fortra/Linoma GoAnywhere MFT.
Amenazas de DDoS a entidades en región EuropeaDesde el CSIRT Financiero se han identificado indicadores de Compromiso involucrados en amenaza de DDoS a una entidad financiera ubicada en Alemania, esto permitió recopilar una serie de IOC los cuales ayudarán a mitigar el riesgo ante posibles afectaciones al sector.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenazas-de-ddos-a-entidades-en-region-europahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado indicadores de Compromiso involucrados en amenaza de DDoS a una entidad financiera ubicada en Alemania, esto permitió recopilar una serie de IOC los cuales ayudarán a mitigar el riesgo ante posibles afectaciones al sector.
Amenazas relacionadas con COVID-19El equipo del Csirt Financiero continúa identificado nuevos envíos de mensajes de correo electrónico con supuestos documentos relacionados con COVID-19, engañando a las personas, organizaciones y gobiernos para que los descarguen.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenazas-relacionadas-con-covid-19http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero continúa identificado nuevos envíos de mensajes de correo electrónico con supuestos documentos relacionados con COVID-19, engañando a las personas, organizaciones y gobiernos para que los descarguen.
AMOS: El nuevo stealer que apunta a la seguridad de macOSAunque macOS ha sido tradicionalmente considerado como un sistema operativo más seguro que otros, los ciberdelincuentes siguen desarrollando y mejorando su arsenal de amenazas dirigidas a esta plataforma. Una de estas amenazas es el recientemente descubierto Atomic macOS Stealer (AMOS), un stealer diseñado para capturar información confidencial de las víctimas, incluyendo contraseñas, información de billeteras criptográficas, datos de navegadores web, archivos de usuario y detalles del sistema.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amos-el-nuevo-stealer-que-apunta-a-la-seguridad-de-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque macOS ha sido tradicionalmente considerado como un sistema operativo más seguro que otros, los ciberdelincuentes siguen desarrollando y mejorando su arsenal de amenazas dirigidas a esta plataforma. Una de estas amenazas es el recientemente descubierto Atomic macOS Stealer (AMOS), un stealer diseñado para capturar información confidencial de las víctimas, incluyendo contraseñas, información de billeteras criptográficas, datos de navegadores web, archivos de usuario y detalles del sistema.
Análisis avanzado de APT - Silence GroupSilence es un grupo APT con motivación económica cuyos objetivos son las entidades financieras a nivel internacional, actualizan constantemente sus TTP, evitando su detección y dificultando su análisis.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-avanzado-de-apt-silence-grouphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Silence es un grupo APT con motivación económica cuyos objetivos son las entidades financieras a nivel internacional, actualizan constantemente sus TTP, evitando su detección y dificultando su análisis.
Análisis Avanzado de APT asociada al Grupo TA505Se ha identificado una nueva campaña del grupo de cibercriminales TA505 en la región de Latino América. Para esta campaña el grupo ha empleado el RAT SDBBot y el ransomware CLOP para exfiltrar y cifrar información de las posibles víctimas y obtener beneficios económicos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-avanzado-de-apt-asociada-al-grupo-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una nueva campaña del grupo de cibercriminales TA505 en la región de Latino América. Para esta campaña el grupo ha empleado el RAT SDBBot y el ransomware CLOP para exfiltrar y cifrar información de las posibles víctimas y obtener beneficios económicos.
Análisis Avanzado de la amenaza EmotetEmotet es un malware modular de la familia de los troyanos que funciona como descargador de otros troyanos, el objeto principal de este malware es capturar información. Utiliza técnicas de sniffing e inyección de código en los sistemas comprometidos. Desde CSIRT Financiero se han identificado muestras recientes de este malware y se ha realizado análisis con el objeto de establecer indicadores de compromiso y generar recomendaciones para prevenir y evitar cualquier afectación de este tipo de amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-avanzado-de-la-amenaza-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Emotet es un malware modular de la familia de los troyanos que funciona como descargador de otros troyanos, el objeto principal de este malware es capturar información. Utiliza técnicas de sniffing e inyección de código en los sistemas comprometidos. Desde CSIRT Financiero se han identificado muestras recientes de este malware y se ha realizado análisis con el objeto de establecer indicadores de compromiso y generar recomendaciones para prevenir y evitar cualquier afectación de este tipo de amenaza.
Análisis avanzado de malware “Troyano bancario Gozi”Desde el CSIRT Financiero se realiza análisis avanzado al troyano bancario llamado Gozi, con el fin de examinar su comportamiento y de esta forma generar indicadores de compromiso, para poder establecer recomendaciones y controles adecuados que permitan prevenir y mitigar posibles incidentes de seguridad informática.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-avanzado-de-malware-201ctroyano-bancario-gozi201dhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se realiza análisis avanzado al troyano bancario llamado Gozi, con el fin de examinar su comportamiento y de esta forma generar indicadores de compromiso, para poder establecer recomendaciones y controles adecuados que permitan prevenir y mitigar posibles incidentes de seguridad informática.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}