Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Análisis de actividad maliciosa asociadas con múltiples familias de troyanosEl equipo de analistas del Csirt Financiero ha identificado actividad maliciosa vinculada a la distribución de múltiples troyanos, incluyendo Lokibot, Formbook y Meterpreter, estas amenazas han sido utilizadas por ciberdelincuentes para infiltrarse en equipos comprometidos, capturar credenciales y exfiltrar datos sensibles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-actividad-maliciosa-asociadas-con-multiples-familias-de-troyanoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa vinculada a la distribución de múltiples troyanos, incluyendo Lokibot, Formbook y Meterpreter, estas amenazas han sido utilizadas por ciberdelincuentes para infiltrarse en equipos comprometidos, capturar credenciales y exfiltrar datos sensibles.
Análisis de amenaza FrameworkPOSEn la búsqueda constante de nuevas amenazas, El CSIRT Financiero ha identificado un malware de nombre FrameworkPOS, (Point of Sale – Punto de venta). Este malware está orientado al robo de información de tarjetas de pago y se ha logrado encontrar que probablemente sea una variante del malware llamado GratefulPOS, MozartPOS. Investigadores atribuyen esta amenaza al grupo ciberdelincuente llamado FIN6.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-amenaza-frameworkposhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la búsqueda constante de nuevas amenazas, El CSIRT Financiero ha identificado un malware de nombre FrameworkPOS, (Point of Sale – Punto de venta). Este malware está orientado al robo de información de tarjetas de pago y se ha logrado encontrar que probablemente sea una variante del malware llamado GratefulPOS, MozartPOS. Investigadores atribuyen esta amenaza al grupo ciberdelincuente llamado FIN6.
Análisis de APT - FIN7Desde el Csirt Financiero se han identificado campañas de FIN7, grupo cibercriminal con motivación económica, sus ataques tradicionalmente estan dirigidos a objetivos financieros incluyendo los sistemas de punto de venta o sistemas POShttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-apt-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han identificado campañas de FIN7, grupo cibercriminal con motivación económica, sus ataques tradicionalmente estan dirigidos a objetivos financieros incluyendo los sistemas de punto de venta o sistemas POS
Análisis de Indicadores de compromiso EmotetDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/alerta-sectorial-regional-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.
Analisis de la actividad maliciosa de Redline StealerRedLine es un stealer que se comercializa en la Deep y Dark web como un servicio de malware. El equipo de Csirt financiero ha descubierto nuevos indicadores de compromiso asociados a esta amenaza, que incluyen archivos ejecutables y una dirección IP utilizada por grupos de ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-la-actividad-maliciosa-de-redline-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
RedLine es un stealer que se comercializa en la Deep y Dark web como un servicio de malware. El equipo de Csirt financiero ha descubierto nuevos indicadores de compromiso asociados a esta amenaza, que incluyen archivos ejecutables y una dirección IP utilizada por grupos de ciberdelincuentes.
Análisis de malware CerberusCerberus es un malware catalogado como troyano bancario, descubierto en junio de 2019, el troyano cuenta con múltiples técnicas para cumplir su objetivo principal que consiste en obtener credenciales de diferentes tipos de aplicaciones. Desde el CSIRT Financiero se evidenció que el malware Cerberus es alquilado en foros clandestinos, además, el grupo de amenazas de donde proviene el troyano interactúa con la comunidad a través de Twitter.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-malware-cerberushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Cerberus es un malware catalogado como troyano bancario, descubierto en junio de 2019, el troyano cuenta con múltiples técnicas para cumplir su objetivo principal que consiste en obtener credenciales de diferentes tipos de aplicaciones. Desde el CSIRT Financiero se evidenció que el malware Cerberus es alquilado en foros clandestinos, además, el grupo de amenazas de donde proviene el troyano interactúa con la comunidad a través de Twitter.
Análisis de malware EvilnumDesde el Csirt Financiero se ha identificado una nueva campaña dirigida a instituciones financieras en la se distribuye el malware bancario denominado Evilnum, puerta trasera (backdoor) orientada a capturar información, históricamente había sido utilizado en ataques dirigidos a instituciones financieras, Fintech y mercados de capitales, utilizando la suplantación de identidad como vector inicial para la infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-malware-evilnumhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una nueva campaña dirigida a instituciones financieras en la se distribuye el malware bancario denominado Evilnum, puerta trasera (backdoor) orientada a capturar información, históricamente había sido utilizado en ataques dirigidos a instituciones financieras, Fintech y mercados de capitales, utilizando la suplantación de identidad como vector inicial para la infección.
Análisis de malware troyano JavaliEl equipo del Csirt Financiero ha identificado una campaña para la distribución del troyano Javali que aun continua activa y está dirigida a los países de habla española y portuguesa enfocada principalmente a clientes de organizaciones financieras ubicadas en Brasil y Chile.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-malware-troyano-javalihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una campaña para la distribución del troyano Javali que aun continua activa y está dirigida a los países de habla española y portuguesa enfocada principalmente a clientes de organizaciones financieras ubicadas en Brasil y Chile.
Análisis de nuevas tácticas y capacidades de LockBitDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificaron nuevas técnicas de distribución del malware asociadas con la familia LockBit, un ransomware conocido por su capacidad de cifrado de archivos y su rápida propagación en entornos corporativos. A través de un análisis en un entorno controlado, se evidenciaron diversas tácticas utilizadas por la amenaza, incluyendo persistencia, exfiltración de credenciales y evasión de detección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-nuevas-tacticas-y-capacidades-de-lockbithttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificaron nuevas técnicas de distribución del malware asociadas con la familia LockBit, un ransomware conocido por su capacidad de cifrado de archivos y su rápida propagación en entornos corporativos. A través de un análisis en un entorno controlado, se evidenciaron diversas tácticas utilizadas por la amenaza, incluyendo persistencia, exfiltración de credenciales y evasión de detección.
Análisis del troyano CryptoAITools diseñado para obtener criptomonedasMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se realizó un análisis del troyano conocido como CryptoAITools, un troyano capaz de extraer criptomonedas e información del equipo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-del-troyano-cryptoaitools-disenado-para-obtener-criptomonedashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se realizó un análisis del troyano conocido como CryptoAITools, un troyano capaz de extraer criptomonedas e información del equipo.
Análisis Ransonware REvil/Sodinokivi, asociado a GandCrabEl CSIRT Financiero ha realizado análisis a la amenaza identificada como REvil Ransomware. Esta fue observada por primera vez a mediados de abril de 2019, ha sido distribuida mediante malspam, y utiliza técnicas para explotar vulnerabilidades como las de Oracle weblogic y ataques mediante protocolo RDP. Se tiene conocimiento que tiene motivaciones financieras ya que es atribuida al grupo de ciberdelincuentes Gold Southfield.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-ransonware-revil-sodinokivi-asociado-a-gandcrabhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha realizado análisis a la amenaza identificada como REvil Ransomware. Esta fue observada por primera vez a mediados de abril de 2019, ha sido distribuida mediante malspam, y utiliza técnicas para explotar vulnerabilidades como las de Oracle weblogic y ataques mediante protocolo RDP. Se tiene conocimiento que tiene motivaciones financieras ya que es atribuida al grupo de ciberdelincuentes Gold Southfield.
Análisis técnico de amenaza Defensor IDDesde el Csirt Financiero ha evidenciado un nuevo malware, dirigido principalmente a los usuarios de entidades bancarias localizadas en Brasil. El troyano bancario para dispositivos Android se ha denominado Defensor ID, nombre que utiliza la aplicación para su descarga.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-amenaza-defensor-idhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero ha evidenciado un nuevo malware, dirigido principalmente a los usuarios de entidades bancarias localizadas en Brasil. El troyano bancario para dispositivos Android se ha denominado Defensor ID, nombre que utiliza la aplicación para su descarga.
Análisis técnico de Amenazas – BizonalDesde el Csirt Financiero se ha evidenciado un malware que ha estado afectando a entidades financieras de Europa del Este. El malware se conoce como Bizonal y está asociado con el grupo de APT CactusPete. Un backdoor con muchas modificaciones que permiten a los ciberdelincuentes llevar a cabo nuevos tipos de actividades maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-amenazas-2013-bizonalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha evidenciado un malware que ha estado afectando a entidades financieras de Europa del Este. El malware se conoce como Bizonal y está asociado con el grupo de APT CactusPete. Un backdoor con muchas modificaciones que permiten a los ciberdelincuentes llevar a cabo nuevos tipos de actividades maliciosas.
Análisis técnico de malware OSTAPEl Csirt Financiero realizó el análisis de malware OSTAP que se caracteriza por su eficacia a la hora de evadir los sistemas antimalware y entornos virtualizados, convirtiéndose en una forma óptima de distribuir otro tipo de malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-malware-ostaphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero realizó el análisis de malware OSTAP que se caracteriza por su eficacia a la hora de evadir los sistemas antimalware y entornos virtualizados, convirtiéndose en una forma óptima de distribuir otro tipo de malware.
Análisis Técnico de Malware ATM JaDi (JavaDispCash)Desde el CSIRT Financiero se profundiza en el modelado, actuación y variantes del malware ATM JaDi (JavaDispCash), teniendo en cuenta que puede generar impacto significativo al sector en la afectación sobre los cajeros automáticos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-malware-javadispcashhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se profundiza en el modelado, actuación y variantes del malware ATM JaDi (JavaDispCash), teniendo en cuenta que puede generar impacto significativo al sector en la afectación sobre los cajeros automáticos.
Análisis técnico de Malware Azorult mediante mapa COVID-19El Csirt Financiero realizó un análisis a la muestra relacionada con el mapa y se identificó que el malware incrustado dentro del archivo ejecutable es Azorult.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-malware-azorult-mediante-mapa-covid-19http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero realizó un análisis a la muestra relacionada con el mapa y se identificó que el malware incrustado dentro del archivo ejecutable es Azorult.
Análisis técnico de malware a nueva variante de Trickbot y EmotetEl malware analizado se trata de variantes de Emotet y Trickbot, donde se utiliza Emotet como cargador del malware Trickbot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-malware-a-nueva-variante-de-trickbot-y-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Análisis técnico de troyano bancarioEl Csirt Financiero ha detectado y notificado con anterioridad diversas campañas en las que se han utilizado troyanos bancarios de origen aparentemente brasileño, durante los meses de abril y mayo del 2020. En esta ocasión, el equipo del Csirt Financiero ha detectado una nueva campaña dirigida, al igual que las anteriores, a usuarios de entidades bancarias de habla portuguesa y española.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-troyano-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha detectado y notificado con anterioridad diversas campañas en las que se han utilizado troyanos bancarios de origen aparentemente brasileño, durante los meses de abril y mayo del 2020. En esta ocasión, el equipo del Csirt Financiero ha detectado una nueva campaña dirigida, al igual que las anteriores, a usuarios de entidades bancarias de habla portuguesa y española.
Análisis técnico del malware BitPaymerEn referencia con los acontecimientos ocurridos a empresas y entidades españolas que fueron afectadas por ataques de Ransomware. El CSIRT Financiero realizó un análisis técnico detallado a la muestra, logrando identificar que se trata del Ransomware BitPaymer; el objetivo de este análisis es establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-del-malware-bitpaymerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En referencia con los acontecimientos ocurridos a empresas y entidades españolas que fueron afectadas por ataques de Ransomware. El CSIRT Financiero realizó un análisis técnico detallado a la muestra, logrando identificar que se trata del Ransomware BitPaymer; el objetivo de este análisis es establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.
Análisis técnico del malware RyukEn los últimos días se detectaron ataques de Ransomware a dos organizaciones de España, las cuales de manera oficial confirmaron el ataque sufrido. Los tipos de Ransomware identificados se tratan de las nuevas versiones de Ryuk y BitPaymer. El CSIRT Financiero ha realizado análisis técnico del ransomware Ryuk, con el fin de establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-malware-ryukhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos días se detectaron ataques de Ransomware a dos organizaciones de España, las cuales de manera oficial confirmaron el ataque sufrido. Los tipos de Ransomware identificados se tratan de las nuevas versiones de Ryuk y BitPaymer. El CSIRT Financiero ha realizado análisis técnico del ransomware Ryuk, con el fin de establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}