Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Ataques a ATMs en Bangladesh por el grupo de amenazas SilenceSe han detectado ataques a tres bancos localizados en Bangladesh que han causado pérdidas de aproximadamente 3 millones de dólares. Los tres bancos afectados son Dutch Bangla Bank, NCC y Prime Bank, el ataque consistía en transacciones ilegales realizadas en cajeros automáticos, desde dentro y fuera del país. De los 3 mencionados, solo Dutch Bangla Bank Limited, en adelante DBBL, sufrió pérdidas, ya que los otros dos bancos declararon que pudieron frustrar las transacciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-a-atms-en-bangladesh-por-el-grupo-de-amenazas-silencehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han detectado ataques a tres bancos localizados en Bangladesh que han causado pérdidas de aproximadamente 3 millones de dólares. Los tres bancos afectados son Dutch Bangla Bank, NCC y Prime Bank, el ataque consistía en transacciones ilegales realizadas en cajeros automáticos, desde dentro y fuera del país. De los 3 mencionados, solo Dutch Bangla Bank Limited, en adelante DBBL, sufrió pérdidas, ya que los otros dos bancos declararon que pudieron frustrar las transacciones.
Ataques con uso de la técnica Black Box a cajeros ATM en LatinoaméricaEn el seguimiento y monitoreo a fuentes de información para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado ataques en Latinoamérica a cajeros automáticos ATM (Automated Teller Machine).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-con-uso-de-la-tecnica-black-box-a-cajeros-atm-en-latinoamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento y monitoreo a fuentes de información para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado ataques en Latinoamérica a cajeros automáticos ATM (Automated Teller Machine).
Ataques CSS ExfilCSS Exfil es un método en el cual pueden atacar a los usuarios por medio de los navegadores. Por este medio un atacante podría acceder a información sensible: nombres de usuario, claves, etc.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-css-exfilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
CSS Exfil es un método en el cual pueden atacar a los usuarios por medio de los navegadores. Por este medio un atacante podría acceder a información sensible: nombres de usuario, claves, etc.
Ataques DDoS afectan el servicio AWS ShieldCorrespondiendo a la investigación realizada por el equipo del Csirt Financiero y por el seguimiento a las noticias más relevantes a nivel mundial respecto a los ataques DDoS, se presenta un análisis de los vectores de ataques que se presentan bajo esta modalidadhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-ddos-afectan-el-servicio-aws-shieldhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Correspondiendo a la investigación realizada por el equipo del Csirt Financiero y por el seguimiento a las noticias más relevantes a nivel mundial respecto a los ataques DDoS, se presenta un análisis de los vectores de ataques que se presentan bajo esta modalidad
Ataques de dns hijacking para descargar app maliciosa de Covid-19Desde el Csirt Financiero se ha identificado actividad del troyano Oski Stealer, el cual puede exfiltrar la información de los navegadores mediante ataques DNS hijacking los cuales modifica los servidores de DNS para redirigir a los usuarios a sitios web fraudulentos y/o maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-de-dns-hijacking-para-descargar-app-maliciosa-de-covid-19http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado actividad del troyano Oski Stealer, el cual puede exfiltrar la información de los navegadores mediante ataques DNS hijacking los cuales modifica los servidores de DNS para redirigir a los usuarios a sitios web fraudulentos y/o maliciosos.
Ataques de Jackpotting en máquinas ATM DieboldEl equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una advertencia producida por la compañía Diebold Nixdorf de ataques Jackpotting sobre máquinas ATM en varios países europeos. La técnica de jackpotting consiste en tener acceso físico de la máquina ATM para alcanzar los puertos USB o unidad de CD-ROM, con el fin de infectarlo y forzarlo a expulsar el dinero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_emotet-despliega-malspam-despues-de-5-meses-de-ausenciahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una advertencia producida por la compañía Diebold Nixdorf de ataques Jackpotting sobre máquinas ATM en varios países europeos. La técnica de jackpotting consiste en tener acceso físico de la máquina ATM para alcanzar los puertos USB o unidad de CD-ROM, con el fin de infectarlo y forzarlo a expulsar el dinero.
Ataques de phishing dirigidos a Estados Unidos, podrían estar asociados al grupo de amenazas Konni.Durante los últimos meses de 2019 e inicios del 2020 un grupo de investigadores de malware identifico múltiples ataques de phishing dirigido a usuarios en Estados Unidos, al revisar estas actividades, se estableció que los ataques provenían de un nuevo APT denominado “Konni”.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-de-phishing-dirigidos-a-estados-unidos-podrian-estar-asociados-al-grupo-de-amenazas-konnihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos meses de 2019 e inicios del 2020 un grupo de investigadores de malware identifico múltiples ataques de phishing dirigido a usuarios en Estados Unidos, al revisar estas actividades, se estableció que los ataques provenían de un nuevo APT denominado “Konni”.
ATM Boostwrite, descargador de múltiples variantes de malwareDesde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite, el cual está asociado al grupo de amenazas APT FIN7; el malware Boostwrite es un dropper (descargador de malware) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/atm-boostwrite-descargador-de-multiples-variantes-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite, el cual está asociado al grupo de amenazas APT FIN7; el malware Boostwrite es un dropper (descargador de malware) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.
Aukill: la nueva hacktool que deshabilita la seguridad de los sistemas y despliega ransomware en ataques BYOVDLa seguridad cibernética sigue siendo un tema crítico a medida que los actores de amenazas continúan encontrando nuevas formas de comprometer los sistemas. Recientemente, se descubrió una nueva hacktool denominada AuKill, que los actores malintencionados están utilizando para deshabilitar la detección y respuesta de punto final (EDR) en los sistemas de sus objetivos antes de implementar backdoor y ransomware en ataques BYOVD.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aukill-la-nueva-hacktool-que-deshabilita-la-seguridad-de-los-sistemas-y-despliega-ransomware-en-ataques-byovdhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad cibernética sigue siendo un tema crítico a medida que los actores de amenazas continúan encontrando nuevas formas de comprometer los sistemas. Recientemente, se descubrió una nueva hacktool denominada AuKill, que los actores malintencionados están utilizando para deshabilitar la detección y respuesta de punto final (EDR) en los sistemas de sus objetivos antes de implementar backdoor y ransomware en ataques BYOVD.
Aumenta la amenaza Lokibot: Nuevos indicadores de compromisoSe ha identificado actividad reciente relacionada con el troyano LokiBot, también conocido como Loki PWS. Esto ha impulsado la recopilación de nuevos Indicadores de Compromiso (IoC) asociados a diversos grupos de ciberdelincuentes con el objetivo de obtener información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumenta-la-amenaza-lokibot-nuevos-indicadores-de-compromisohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado actividad reciente relacionada con el troyano LokiBot, también conocido como Loki PWS. Esto ha impulsado la recopilación de nuevos Indicadores de Compromiso (IoC) asociados a diversos grupos de ciberdelincuentes con el objetivo de obtener información confidencial.
Aumento de actividad cibercriminal de Agent TeslaEl equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemiahttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-cibercriminal-de-agent-teslahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemia
Aumento de actividad de botnet Lemon DuckEn el mes de agosto de 2020 el equipo del Csirt Financiero notificó sobre LemonDuck, una botnet de criptominería considerada como una de las más avanzadas, ya que los ciberdelincuentes mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Este criptominero ha estado activo desde diciembre de 2018 aumentando su actividad maliciosa en los últimos dos meses.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-de-botnet-lemon-duckhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mes de agosto de 2020 el equipo del Csirt Financiero notificó sobre LemonDuck, una botnet de criptominería considerada como una de las más avanzadas, ya que los ciberdelincuentes mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Este criptominero ha estado activo desde diciembre de 2018 aumentando su actividad maliciosa en los últimos dos meses.
Aumento de actividad de cibercriminales y explotación de vulnerabilidades en LATAMDurante los últimos meses, el equipo de analistas del Csirt Financiero ha observado un incremento de publicaciones sobre accesos iniciales a entidades bancarias. Estas publicaciones se han creado en foros asociados con el cibercrimen, donde se venden accesos a diferentes bancos mediante vulnerabilidades descubiertas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-de-cibercriminales-y-explotacion-de-vulnerabilidades-en-latamhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos meses, el equipo de analistas del Csirt Financiero ha observado un incremento de publicaciones sobre accesos iniciales a entidades bancarias. Estas publicaciones se han creado en foros asociados con el cibercrimen, donde se venden accesos a diferentes bancos mediante vulnerabilidades descubiertas.
Aumento de actividad del malware tipo botnet denominado XorDdosEn el constante monitoreo a diferentes fuentes de información para la detección de posibles amenazas que afecten el sector, el equipo de analistas del Csirt Financiero ha identificado la actividad creciente de XorDdos, un botnet destinado principalmente a sistemas operativos Linux, cabe destacar que además tiene características de otras familias de malware en particular las de troyano.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-del-malware-tipo-botnet-denominado-xorddoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a diferentes fuentes de información para la detección de posibles amenazas que afecten el sector, el equipo de analistas del Csirt Financiero ha identificado la actividad creciente de XorDdos, un botnet destinado principalmente a sistemas operativos Linux, cabe destacar que además tiene características de otras familias de malware en particular las de troyano.
Aumento de actividad del ransomware 8BaseSe ha detectado una creciente amenaza de ransomware conocida como 8Base, que ha estado operando en secreto durante más de un año. Durante los meses de mayo y junio de 2023, se ha observado un aumento significativo en su actividad. El grupo detrás de 8Base utiliza técnicas de cifrado y "name-and-shame" para obligar a sus víctimas a pagar rescates.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-del-ransomware-8basehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado una creciente amenaza de ransomware conocida como 8Base, que ha estado operando en secreto durante más de un año. Durante los meses de mayo y junio de 2023, se ha observado un aumento significativo en su actividad. El grupo detrás de 8Base utiliza técnicas de cifrado y "name-and-shame" para obligar a sus víctimas a pagar rescates.
Aumento del uso de RAT en dispositivos móviles.En los últimos meses el panorama de amenazas a los dispositivos móviles se ha visto afectado por el uso de troyanos de acceso remoto afectando directamente a la banca móvil. De acuerdo a los análisis del equipo del Csirt Financiero se proyecta un aumento de casos de infección de malware con RAT a dispositivos móviles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-del-uso-de-rat-en-dispositivos-movileshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos meses el panorama de amenazas a los dispositivos móviles se ha visto afectado por el uso de troyanos de acceso remoto afectando directamente a la banca móvil. De acuerdo a los análisis del equipo del Csirt Financiero se proyecta un aumento de casos de infección de malware con RAT a dispositivos móviles.
Aumento en los ataques de Smishing a nivel globalEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el incremento de ataques conocidos como Smishing. Frente a este tipo de ataques, los ciberdelincuentes realizan el envío de mensajes de SMS en el que incluyen falsos enlaces a sitios web que redirigen a sitios maliciosos para captura de credenciales, descarga o propagación de malware. Aunque este tipo de ataques viene en un constante incremento, la situación mundial de la pandemia a causa del Covid-19 generó un aumento del 29% entre los meses de marzo y julio del presente añohttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-en-los-ataques-de-smishing-a-nivel-globalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el incremento de ataques conocidos como Smishing. Frente a este tipo de ataques, los ciberdelincuentes realizan el envío de mensajes de SMS en el que incluyen falsos enlaces a sitios web que redirigen a sitios maliciosos para captura de credenciales, descarga o propagación de malware. Aunque este tipo de ataques viene en un constante incremento, la situación mundial de la pandemia a causa del Covid-19 generó un aumento del 29% entre los meses de marzo y julio del presente año
Aviso de seguridad de Amazon Linux 2Gnupg es una implementación gratuita del estándar OpenPGP. Permite cifrar y firmar los datos y comunicaciones, cuenta con administración de claves junto con módulos de acceso para todo tipo de directorios de clave pública.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aviso-de-seguridad-de-amazon-linux-2http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gnupg es una implementación gratuita del estándar OpenPGP. Permite cifrar y firmar los datos y comunicaciones, cuenta con administración de claves junto con módulos de acceso para todo tipo de directorios de clave pública.
Aviso de seguridad DebianSe descubrieron nuevas vulnerabilidades en el sistema Debianhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aviso-de-seguridad-debianhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
AvosLocker, nuevo ransomware que afecta sistemas operativos WindowsEn el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado un nuevo ransomware denominado AvosLocker.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/avoslocker-nuevo-ransomware-que-afecta-sistemas-operativos-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado un nuevo ransomware denominado AvosLocker.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}