Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
NUEVAS VARIANTES DEL KEYLOGGER DENOMINADO SNAKESe identifico una nueva variante Snake Keylogger diseñado para capturar y exfiltrar información sensible de los sistemas comprometidos, incluyendo credenciales de inicio de sesión y pulsaciones de teclas. Se propaga principalmente a través de campañas de phishing que utilizan correos electrónicos maliciosos, con archivos adjuntos o enlaces que instalan el keylogger cuando son abiertos por la víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-del-keylogger-denominado-snakehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identifico una nueva variante Snake Keylogger diseñado para capturar y exfiltrar información sensible de los sistemas comprometidos, incluyendo credenciales de inicio de sesión y pulsaciones de teclas. Se propaga principalmente a través de campañas de phishing que utilizan correos electrónicos maliciosos, con archivos adjuntos o enlaces que instalan el keylogger cuando son abiertos por la víctima.
Nuevas variantes del ransomware FonixA través de actividades de monitoreo realizadas a diferentes fuentes de información, el equipo de analistas del Csirt Financiero observó nueva variante del ransomware Fonix, contando con capacidades para pasar desapercibido confundiendo tanto a las víctimas como a los especialistas en seguridad ya que se hace pasar por familias de ransomware como Dharma, Phobos/Eking además utiliza la identidad de Ryuk como disfraz principal.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-del-ransomware-fonixhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas a diferentes fuentes de información, el equipo de analistas del Csirt Financiero observó nueva variante del ransomware Fonix, contando con capacidades para pasar desapercibido confundiendo tanto a las víctimas como a los especialistas en seguridad ya que se hace pasar por familias de ransomware como Dharma, Phobos/Eking además utiliza la identidad de Ryuk como disfraz principal.
Nuevas variantes del troyano bancario TrickMoMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha detectado una nueva actividad relacionada con el troyano bancario TrickMo, el cual está dirigido principalmente a usuarios de dispositivos Android en Canadá, Emiratos Árabes Unidos, Turquía y Alemania.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-del-troyano-bancario-trickmohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha detectado una nueva actividad relacionada con el troyano bancario TrickMo, el cual está dirigido principalmente a usuarios de dispositivos Android en Canadá, Emiratos Árabes Unidos, Turquía y Alemania.
Nuevas variantes del Troyano de acceso remoto denominado JSOutProxA través de actividades de monitoreo en busca de nuevas amenazas o actividades maliciosas, el equipo del Csirt Financiero observó nuevas variantes del troyano JSOutProx dirigida a organizaciones y servicios financieros en las regiones de Asia-Pacífico (APAC) y Medio Oriente y Norte de África.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-del-troyano-de-acceso-remoto-denominado-jsoutproxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo en busca de nuevas amenazas o actividades maliciosas, el equipo del Csirt Financiero observó nuevas variantes del troyano JSOutProx dirigida a organizaciones y servicios financieros en las regiones de Asia-Pacífico (APAC) y Medio Oriente y Norte de África.
Nuevas variantes del troyano de acceso remoto MoonPeakRecientemente, se ha identificado una nueva campaña por parte del grupo UAT-5394, en la que se utiliza el troyano MoonPeak. Esta amenaza emplea nuevas técnicas de evasión para la captura de información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-del-troyano-de-acceso-remoto-moonpeakhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una nueva campaña por parte del grupo UAT-5394, en la que se utiliza el troyano MoonPeak. Esta amenaza emplea nuevas técnicas de evasión para la captura de información.
Nuevas variantes del Troyano Gh0st RATDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas. Los indicadores identificados pueden generar un incidente de seguridad dentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-del-troyano-gh0st-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas. Los indicadores identificados pueden generar un incidente de seguridad dentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.
Nuevas vulnerabilidades explotadas en cajeros automáticosMediante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo del Csirt Financiero, se identificaron cuatro vulnerabilidades que están siendo explotadas; estas fueron observadas en el software de monitoreo ScrutisWeb de Iagona (organización distribuidora de soluciones digitales) en su versión 2.1.37. Estas vulnerabilidades están siendo aprovechadas para comprometer cajeros automáticos (ATM) de forma remota y realizar diferentes acciones maliciosas. No obstante, estos errores de seguridad se pueden solventar con la actualización a la versión 2.1.38 distribuida por el fabricante oficial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-vulnerabilidades-explotadas-en-cajeros-automaticoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo del Csirt Financiero, se identificaron cuatro vulnerabilidades que están siendo explotadas; estas fueron observadas en el software de monitoreo ScrutisWeb de Iagona (organización distribuidora de soluciones digitales) en su versión 2.1.37. Estas vulnerabilidades están siendo aprovechadas para comprometer cajeros automáticos (ATM) de forma remota y realizar diferentes acciones maliciosas. No obstante, estos errores de seguridad se pueden solventar con la actualización a la versión 2.1.38 distribuida por el fabricante oficial.
Nuevas vulnerabilidades halladas en SQLite han sido denominadas como [Magellan 2.0]Magellan 2.0 es un paquete de vulnerabilidades encontradas en SQLite [librería de software libre escrita en lenguaje C], las cuales podrían permitir a un atacante ejecutar código de manera remota sobre los equipos de los usuarios de internet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-vulnerabilidades-halladas-en-sqlite-han-sido-denominadas-como-magellan-2-0http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Magellan 2.0 es un paquete de vulnerabilidades encontradas en SQLite [librería de software libre escrita en lenguaje C], las cuales podrían permitir a un atacante ejecutar código de manera remota sobre los equipos de los usuarios de internet.
Nuevas vulnerabilidades que afectan a WindowsEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevas vulnerabilidades que afectan a equipos con sistema operativo Windows 10 y Windows Server.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-vulnerabilidades-que-afectan-a-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevas vulnerabilidades que afectan a equipos con sistema operativo Windows 10 y Windows Server.
Nuevo ataque de cadena de suministro mediante Polyfill.ioA través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha observado un nuevo ataque a la cadena de suministro que utiliza el servicio Polyfill.io. Después de que una empresa china adquiriera el dominio, la biblioteca JavaScript "Polyfill.js" fue modificada con el objetivo de redirigir a los usuarios a sitios maliciosos y fraudulentos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ataque-de-cadena-de-suministro-mediante-polyfill.iohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha observado un nuevo ataque a la cadena de suministro que utiliza el servicio Polyfill.io. Después de que una empresa china adquiriera el dominio, la biblioteca JavaScript "Polyfill.js" fue modificada con el objetivo de redirigir a los usuarios a sitios maliciosos y fraudulentos.
Nuevo ataque de retransmisión denominado DFSCoerce a través del protocolo NTLMLos adversarios han logrado vulnerar la seguridad de varios protocolos referentes a la configuración de un dominio incluido en servicios de directorio de red como lo es Active Directory, por lo anterior se da a conocer un nuevo método para la retransmisión del protocolo NTLM, con la ayuda de un relé malicioso controlado por el atacante.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ataque-de-retransmision-denominado-dfscoerce-a-traves-del-protocolo-ntlmhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los adversarios han logrado vulnerar la seguridad de varios protocolos referentes a la configuración de un dominio incluido en servicios de directorio de red como lo es Active Directory, por lo anterior se da a conocer un nuevo método para la retransmisión del protocolo NTLM, con la ayuda de un relé malicioso controlado por el atacante.
Nuevo ataque de reversión de DNS para irrumpir en las redes privadas.En busca de nuevas amenazas, vulnerabilidades o brechas de seguridad que afecten la infraestructura tecnológica, la confianza, integridad y confidencialidad de los asociados, el equipo del Csirt Financiero ha observado una nueva tendencia de ataque denominada DNS Rebinding (Reversión de DNS) la cual compromete redes privadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ataque-de-reversion-de-dns-para-irrumpir-en-las-redes-privadashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En busca de nuevas amenazas, vulnerabilidades o brechas de seguridad que afecten la infraestructura tecnológica, la confianza, integridad y confidencialidad de los asociados, el equipo del Csirt Financiero ha observado una nueva tendencia de ataque denominada DNS Rebinding (Reversión de DNS) la cual compromete redes privadas.
Nuevo Ataque del Grupo REVil en la RegiónDesde el Csirt Financiero se ha evidenciado nueva actividad del grupo REvil en la región. El pasado 5 de septiembre el grupo de ciberdelincuentes REvil generó un nuevo ataque cibernético dirigido a empresas del sector agropecuario y a Banco Estado de Chile. Sobre el impacto ocasionado, el ataque afectó a 14 mil estaciones de trabajo y 4 mil servidores. La afectación generada, provocó que la página oficial del banco y algunas de sus operaciones estuvieran fuera de servicio temporalmente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ataque-del-grupo-revil-en-la-regionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha evidenciado nueva actividad del grupo REvil en la región. El pasado 5 de septiembre el grupo de ciberdelincuentes REvil generó un nuevo ataque cibernético dirigido a empresas del sector agropecuario y a Banco Estado de Chile. Sobre el impacto ocasionado, el ataque afectó a 14 mil estaciones de trabajo y 4 mil servidores. La afectación generada, provocó que la página oficial del banco y algunas de sus operaciones estuvieran fuera de servicio temporalmente.
Nuevo ataque relacionado al troyano Dridex que desencadena el ransomware EntropyEn el monitoreo realizado a fuentes abiertas de información y el seguimiento a amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de los asociados y entidades de Colombia, el equipo de analistas del Csirt Financiero ha observado un nuevo ataque que involucra al troyano Dridex el cual a su vez entrega el ransomware denominado Entropy.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ataque-relacionado-al-troyano-dridex-que-desencadena-el-ransomware-entropyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información y el seguimiento a amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de los asociados y entidades de Colombia, el equipo de analistas del Csirt Financiero ha observado un nuevo ataque que involucra al troyano Dridex el cual a su vez entrega el ransomware denominado Entropy.
Nuevo backdoor denominado B1txor20 dirigido a distribuciones LinuxEn el monitoreo realizado a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado un nuevo backdoor denominado B1txor20 que dirige sus ataques a sistemas operativos Linux, explotando la vulnerabilidad Log4Shell como vector de ataque y agregando a los sistemas comprometidos a una botnet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-backdoor-denominado-b1txor20-dirigido-a-distribuciones-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado un nuevo backdoor denominado B1txor20 que dirige sus ataques a sistemas operativos Linux, explotando la vulnerabilidad Log4Shell como vector de ataque y agregando a los sistemas comprometidos a una botnet.
Nuevo Backdoor denominado BITSLOTHSe ha identificado un nuevo backdoor para Windows denominado BITSLOTH, que utiliza la función integrada de Servicio de Transferencia Inteligente en Segundo Plano (BITS) para el control y la comunicación con el sistema comprometido y presenta capacidades como captura de pantalla, registro de teclas, y ejecución de comandos, además de emplear técnicas de cifrado para evadir la detección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-backdoor-denominado-bitslothhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado un nuevo backdoor para Windows denominado BITSLOTH, que utiliza la función integrada de Servicio de Transferencia Inteligente en Segundo Plano (BITS) para el control y la comunicación con el sistema comprometido y presenta capacidades como captura de pantalla, registro de teclas, y ejecución de comandos, además de emplear técnicas de cifrado para evadir la detección.
Nuevo backdoor denominado DeadglyphEl Csirt Financiero observó un nuevo backdoor denominado Deadglyph el cual está siendo implementado en medio oriente por el actor de amenaza identificado como Stealth Falcon APT como parte de una campaña de ciberespionaje.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-backdoor-denominado-deadglyphhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero observó un nuevo backdoor denominado Deadglyph el cual está siendo implementado en medio oriente por el actor de amenaza identificado como Stealth Falcon APT como parte de una campaña de ciberespionaje.
Nuevo Backdoor denominado GHOSTENGINESe han identificado un nuevo Backdoor denominado GHOSTENGINE o también llamado REF4578, que utiliza varios módulos maliciosos y explota controladores vulnerables para desactivar soluciones de seguridad (EDR), esto con el fin de llevar a cabo actividades de minería criptográfica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-backdoor-denominado-ghostenginehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han identificado un nuevo Backdoor denominado GHOSTENGINE o también llamado REF4578, que utiliza varios módulos maliciosos y explota controladores vulnerables para desactivar soluciones de seguridad (EDR), esto con el fin de llevar a cabo actividades de minería criptográfica.
Nuevo Backdoor denominado HappyDoorSe observó un nuevo Backdoor denominado HappyDoor desarrollado por el actor de amenaza (APT) Kimsuky. Contando con capacidad para evadir la detección y realizar actividades maliciosas y realizar técnicas avanzadas de ofuscación y cifrado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-backdoor-denominado-happydoorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se observó un nuevo Backdoor denominado HappyDoor desarrollado por el actor de amenaza (APT) Kimsuky. Contando con capacidad para evadir la detección y realizar actividades maliciosas y realizar técnicas avanzadas de ofuscación y cifrado.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}