Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Indicadores de compromiso asociados a Dacls RATDesde el CSIRT Financiero se ha identificado nueva actividad asociada a Lazarus Group, el cual busca afectar a sistemas operativos Windows y Linux, utilizando un troyano de tipo RAT [Herramienta de Administración Remota, por sus siglas en inglés] el cual se identifica por el nombre de Dacls, buscando tomar control de la máquina comprometida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-dacls-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado nueva actividad asociada a Lazarus Group, el cual busca afectar a sistemas operativos Windows y Linux, utilizando un troyano de tipo RAT [Herramienta de Administración Remota, por sus siglas en inglés] el cual se identifica por el nombre de Dacls, buscando tomar control de la máquina comprometida.
Indicadores de compromiso asociados a campañas maliciosas de TrickbotEl equipo del Csirt Financiero ha identificado una nueva campaña de distribución del troyano modular TrickBot, entregado documentos ofimáticos que tienen macros maliciosas embebidas por medio del envío masivo de mensajes de correo electrónico que pueden afectar tanto a entidades públicas como privadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-campanas-maliciosas-de-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva campaña de distribución del troyano modular TrickBot, entregado documentos ofimáticos que tienen macros maliciosas embebidas por medio del envío masivo de mensajes de correo electrónico que pueden afectar tanto a entidades públicas como privadas.
Indicadores de compromiso asociados a campaña del troyano EventBotEl equipo del Csirt Financiero ha identificado una campaña de suplantación a más de 200 aplicaciones bancarias y financieras reconocidas mundialmente para distribuir troyano bancario EventBot que se caracteriza por exfiltrar los datos sensibles de los dispositivos móviles con sistema operativo Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-campana-del-troyano-eventbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una campaña de suplantación a más de 200 aplicaciones bancarias y financieras reconocidas mundialmente para distribuir troyano bancario EventBot que se caracteriza por exfiltrar los datos sensibles de los dispositivos móviles con sistema operativo Android.
Indicadores de compromiso asociados a CactusPete APTEn el constante monitoreo que realiza el equipo del Csirt Financiero, se ha identificado información sobre el grupo de ciberdelincuentes CactusPete APT, que tiene como objetivo distribuir el backdoor llamado Bizonal. Troyano que una vez ejecutado proporciona control total a los ciberdelincuentes sobre el equipo comprometido y por ende a la información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-cactuspete-apthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el equipo del Csirt Financiero, se ha identificado información sobre el grupo de ciberdelincuentes CactusPete APT, que tiene como objetivo distribuir el backdoor llamado Bizonal. Troyano que una vez ejecutado proporciona control total a los ciberdelincuentes sobre el equipo comprometido y por ende a la información confidencial.
Indicadores de compromiso asociados a Botnet LeetHozer.El equipo del Csirt Financiero ha identificado indicadores de compromiso asociados a una nueva botnet llamada LeetHozer que infecta equipos con el fin de realizar ataques DDOS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-botnet-leethozerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado indicadores de compromiso asociados a una nueva botnet llamada LeetHozer que infecta equipos con el fin de realizar ataques DDOS.
Indicadores de compromiso asociados a Avaddon ransomwareDesde el Csirt Financiero se han identificado indicadores de compromiso asociados a la amenaza Avaddon ransomware, el cual cifra los archivos de los equipos infectados y luego piden a los usuarios el pago por un programa diseñado para descifrar los archivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-avaddon-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han identificado indicadores de compromiso asociados a la amenaza Avaddon ransomware, el cual cifra los archivos de los equipos infectados y luego piden a los usuarios el pago por un programa diseñado para descifrar los archivos.
Indicadores de compromiso asociados a AmavaldoEn el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados al troyano bancario Amavaldo; se comunica con el servidor de comando y control (C2) a través de túneles SSH y su principal objetivo es capturar información bancaria de los usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-amavaldohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados al troyano bancario Amavaldo; se comunica con el servidor de comando y control (C2) a través de túneles SSH y su principal objetivo es capturar información bancaria de los usuarios.
Indicadores de compromiso asociadas a campañas COVID-19El equipo del Csirt Financiero ha identificado indicadores de compromiso que están relacionados con campañas de phishing a través de mensajes de correos electrónicos con archivos maliciosos adjuntos, páginas web falsas y suplantación de entidades oficiales, utilizando temas relacionados con la emergencia mundial de salud pública sobre COVID-19. Los ataques tienen como objetivo principal obtener una recompensa económica, ya sea vendiendo la información en la dark web, realizando transacciones fraudulentas o la extorsión a las víctimas por la devolución de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociadas-a-campanas-covid-19http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado indicadores de compromiso que están relacionados con campañas de phishing a través de mensajes de correos electrónicos con archivos maliciosos adjuntos, páginas web falsas y suplantación de entidades oficiales, utilizando temas relacionados con la emergencia mundial de salud pública sobre COVID-19. Los ataques tienen como objetivo principal obtener una recompensa económica, ya sea vendiendo la información en la dark web, realizando transacciones fraudulentas o la extorsión a las víctimas por la devolución de la información.
Indicadores de amenaza relacionadas a botnet GeostSe ha identificado una nueva botnet llamada Geost que afecta dispositivos Android y busca capturar datos de las cuentas de los usuarios dueños de los dispositivos. El método de propagación de esta botnet se ha realizado por medio de diferentes APK's infectadas que provienen de tiendas de apps no oficiales, el malware que realiza la infección de esta botnet es conocido como “HTBot”.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-amenaza-relacionadas-a-botnet-geosthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una nueva botnet llamada Geost que afecta dispositivos Android y busca capturar datos de las cuentas de los usuarios dueños de los dispositivos. El método de propagación de esta botnet se ha realizado por medio de diferentes APK's infectadas que provienen de tiendas de apps no oficiales, el malware que realiza la infección de esta botnet es conocido como “HTBot”.
Incremento de ataques asociados a malware tipo WiperA través de actividades de seguimiento realizadas a diferentes fuentes abiertas de información a fin de identificar amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado nueva actividad de familias de malware tipo Wiper, el cual ha aumentado sus ataques en los últimos dos meses.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/incremento-de-ataques-asociados-a-malware-tipo-wiperhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de seguimiento realizadas a diferentes fuentes abiertas de información a fin de identificar amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado nueva actividad de familias de malware tipo Wiper, el cual ha aumentado sus ataques en los últimos dos meses.
Imagen Firmware UEFI contiene componentes con MalwareEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una reciente campaña dirigida a entidades diplomáticas dirigida a sistemas operativos Windows, mediante una imagen de firmware UEFI con componentes encargados de instalar malware en el disco, el malware funcionaba como descargador de otros componentes adicionales. Los módulos están basados en un kit de arranque conocido como Vector-EDK. Debido a que se hallaron múltiples muestras similares, se determinó que las muestras son generadas en un framework denominado MosaicRegressor.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/imagen-firmware-uefi-contiene-componentes-con-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una reciente campaña dirigida a entidades diplomáticas dirigida a sistemas operativos Windows, mediante una imagen de firmware UEFI con componentes encargados de instalar malware en el disco, el malware funcionaba como descargador de otros componentes adicionales. Los módulos están basados en un kit de arranque conocido como Vector-EDK. Debido a que se hallaron múltiples muestras similares, se determinó que las muestras son generadas en un framework denominado MosaicRegressor.
Identifican grupo denominado Cranefly que cuenta con altas capacidades de espionajeCranefly es un grupo cibercriminal que fue identificado en mayo del presente año; estos tienen como objetivo dirigirse a los correos electrónicos de los colaboradores que tienen a su cargo el desarrollo corporativo, adquisiciones y transacciones corporativas empleando un nuevo backdoor llamado Danfuan.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identifican-grupo-denominado-cranefly-que-cuenta-con-altas-capacidades-de-espionajehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Cranefly es un grupo cibercriminal que fue identificado en mayo del presente año; estos tienen como objetivo dirigirse a los correos electrónicos de los colaboradores que tienen a su cargo el desarrollo corporativo, adquisiciones y transacciones corporativas empleando un nuevo backdoor llamado Danfuan.
Identificados nuevos indicadores de compromiso del troyano bancario LokibotEl troyano bancario Lokibot ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero siendo una de las amenazas más utilizadas a nivel global por diferentes grupos de ciberdelincuentes debido a sus grandes capacidades, esto con el objetivo principal de capturar datos bancarios confidenciales y exfiltrarlos a servidores de comando y control C2, dicho troyano se encuentra dirigido a equipos con sistemas operativos Windows y dispositivos Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificados-nuevos-indicadores-de-compromiso-del-troyano-bancario-lokibothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano bancario Lokibot ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero siendo una de las amenazas más utilizadas a nivel global por diferentes grupos de ciberdelincuentes debido a sus grandes capacidades, esto con el objetivo principal de capturar datos bancarios confidenciales y exfiltrarlos a servidores de comando y control C2, dicho troyano se encuentra dirigido a equipos con sistemas operativos Windows y dispositivos Android.
Identificados nuevos indicadores de compromiso asociados a EmotetEn el monitoreo realizado por el Csirt Financiero, se ha observado actividad en el mes de diciembre por parte del troyano modular Emotet, enfocado en la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificados-nuevos-indicadores-de-compromiso-asociados-a-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha observado actividad en el mes de diciembre por parte del troyano modular Emotet, enfocado en la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows.
Identificadas tres vulnerabilidades en Servidor ApacheEn el monitoreo realizado por el Csirt Financiero se han identificado tres vulnerabilidades en los servidores de apache que pueden permitir la ejecución de código arbitrario y en situaciones específicas los ciberdelincuentes podrían causar bloqueos o denegación de servicios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificadas-tres-vulnerabilidades-en-servidor-apachehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se han identificado tres vulnerabilidades en los servidores de apache que pueden permitir la ejecución de código arbitrario y en situaciones específicas los ciberdelincuentes podrían causar bloqueos o denegación de servicios.
Identificada una nueva familia de ransomware con el nombre de xCorxCor es una nueva familia de ransomware que una vez compromete un equipo o sistema asigna un ID a cada víctima, el cual es usado en las extensiones de los diversos elementos afectados. Este ransomware hace parte de la familia de Dharma.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificada-una-nueva-familia-de-ransomware-con-el-nombre-de-xcorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
xCor es una nueva familia de ransomware que una vez compromete un equipo o sistema asigna un ID a cada víctima, el cual es usado en las extensiones de los diversos elementos afectados. Este ransomware hace parte de la familia de Dharma.
Identificación del ransomware vgod en entornos WindowsEl equipo de analistas del CSIRT Financiero ha identificado actividad maliciosa vinculada con el ransomware Vgod. Esta amenaza emplea técnicas avanzadas de cifrado, asignando una extensión única a los archivos comprometidos, además, implementa mecanismos de evasión y persistencia que dificultan su detección y eliminación, lo que representa un riesgo significativo para la integridad de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificacion-del-ransomware-vgod-en-entornos-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del CSIRT Financiero ha identificado actividad maliciosa vinculada con el ransomware Vgod. Esta amenaza emplea técnicas avanzadas de cifrado, asignando una extensión única a los archivos comprometidos, además, implementa mecanismos de evasión y persistencia que dificultan su detección y eliminación, lo que representa un riesgo significativo para la integridad de la información.
Identificación de tres módulos clave de la cadena de infección del troyano bancario TrickBotEn el seguimiento a amenazas potenciales cuyo impacto de ataque es a nivel mundial dirigido a grandes empresas y proveedores de servicios en los que se encuentra incluido el sector financiero, el equipo de analistas ha observado tres (3) módulos clave en la cadena de infección del troyano bancario conocido como TrickBot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificacion-de-tres-modulos-clave-de-la-cadena-de-infeccion-del-troyano-bancario-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a amenazas potenciales cuyo impacto de ataque es a nivel mundial dirigido a grandes empresas y proveedores de servicios en los que se encuentra incluido el sector financiero, el equipo de analistas ha observado tres (3) módulos clave en la cadena de infección del troyano bancario conocido como TrickBot.
Identificación de nuevos indicadores de compromiso asociados al Ransomware MegaCortexA través de las fuentes de información del CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el Ransomware MegaCortex. Los ciberdelincuentes en sus últimas campañas asociadas al Ransomware MegaCortex aparte de cifrar datos de los equipos infectados, les solicita una suma de dinero adicional a los usuarios afectados, para que sus datos no sean publicados fuera de la red corporativa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificacion-de-nuevos-indicadores-de-compromiso-asociados-al-ransomware-megacortexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de las fuentes de información del CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el Ransomware MegaCortex. Los ciberdelincuentes en sus últimas campañas asociadas al Ransomware MegaCortex aparte de cifrar datos de los equipos infectados, les solicita una suma de dinero adicional a los usuarios afectados, para que sus datos no sean publicados fuera de la red corporativa.
Identificación de nueva campaña maliciosa desarrollada por TrickbotEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevo accionar malicioso por parte de Trickbot. Un troyano inicialmente bancario, pero luego desarrollado como troyano modular.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificacion-de-nueva-campana-maliciosa-desarrollada-por-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevo accionar malicioso por parte de Trickbot. Un troyano inicialmente bancario, pero luego desarrollado como troyano modular.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}