Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Botnet Bigviktor aprovecha vulnerabilidad en routers DrayTekEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la Botnet denominada Bigviktor que se propaga a través de la vulnerabilidad CVE-2020-8515, que expone a los dispositivos DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta y Vigor300B 1.3.3_Beta, 1.4.2.1_Beta y 1.4.4_Beta, a la ejecución remota de código como root sin autenticación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-bigviktor-aprovecha-vulnerabilidad-en-routers-draytekhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la Botnet denominada Bigviktor que se propaga a través de la vulnerabilidad CVE-2020-8515, que expone a los dispositivos DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta y Vigor300B 1.3.3_Beta, 1.4.2.1_Beta y 1.4.4_Beta, a la ejecución remota de código como root sin autenticación.
Botnet criptominero LemonDuck apunta a sistemas Windows y LinuxEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa relacionada a una botnet de criptominería, denominado “LemonDuck”, diseñado para explotar vulnerabilidades en sistemas operativos Windows y distribuciones Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-criptominero-lemonduck-apunta-a-sistemas-windows-y-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa relacionada a una botnet de criptominería, denominado “LemonDuck”, diseñado para explotar vulnerabilidades en sistemas operativos Windows y distribuciones Linux.
Botnet DDG utiliza servidores Linux para minar CriptomonedasEl equipo del Csirt Financiero ha identificado una nueva amenaza que afecta a distribuciones Linux, se trata de la botnet DDG, la cual accede a los equipos mediante unos servicios utilizando fuerza bruta en contraseñas débiles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-ddg-utiliza-servidores-linux-para-minar-criptomonedashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva amenaza que afecta a distribuciones Linux, se trata de la botnet DDG, la cual accede a los equipos mediante unos servicios utilizando fuerza bruta en contraseñas débiles.
Botnet Devil Shadow distribuido en instalador de Zoom.El equipo del Csirt Financiero ha evidenciado cómo los ciberdelincuentes aprovechan aplicaciones de videoconferencia como Zoom para distribuir malware en sus instaladores. La muestra analizada por el equipo del Csirt, la instalación de la herramienta ha evidenciado el compromiso del equipo en la botnet Devil Shadow; permitiendo al ciberdelincuente tomar el control del equipo mediante acceso remoto y exfiltrar información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-devil-shadow-distribuido-en-instalador-de-zoomhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado cómo los ciberdelincuentes aprovechan aplicaciones de videoconferencia como Zoom para distribuir malware en sus instaladores. La muestra analizada por el equipo del Csirt, la instalación de la herramienta ha evidenciado el compromiso del equipo en la botnet Devil Shadow; permitiendo al ciberdelincuente tomar el control del equipo mediante acceso remoto y exfiltrar información confidencial.
Botnet diseñada para filtrar credenciales de AWS y MicrosoftMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet llamada Androxgh0st.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-disenada-para-filtrar-credenciales-de-aws-y-microsofthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet llamada Androxgh0st.
Botnet DreamBus apunta a aplicaciones ejecutadas en servidores LinuxEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una botnet denominada DreamBus que enfoca sus esfuerzos hacia aplicaciones empresariales como PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack y el servicio SSH. DreamBus explota debilidades en el sistema como; contraseñas débiles, ejecución remota de código no autenticado (RCE) en aplicaciones como SSH, herramientas en la nube o las relacionadas con bases de datos para vulnerar el sistema. De su procedencia se cree que es oriunda de Rusia o Europa del Este por los horarios en los cuales se despliegan sus actividades maliciosas. El componente principal de esta Botnet es un binario ELF (formato de archivo para ejecutables) responsable de preparar el entorno, duplicación de la amenaza en los sistemas afectados y liberación de XMRig para extraer la criptomoneda Monero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-dreambus-apunta-a-aplicaciones-ejecutadas-en-servidores-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una botnet denominada DreamBus que enfoca sus esfuerzos hacia aplicaciones empresariales como PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack y el servicio SSH. DreamBus explota debilidades en el sistema como; contraseñas débiles, ejecución remota de código no autenticado (RCE) en aplicaciones como SSH, herramientas en la nube o las relacionadas con bases de datos para vulnerar el sistema. De su procedencia se cree que es oriunda de Rusia o Europa del Este por los horarios en los cuales se despliegan sus actividades maliciosas. El componente principal de esta Botnet es un binario ELF (formato de archivo para ejecutables) responsable de preparar el entorno, duplicación de la amenaza en los sistemas afectados y liberación de XMRig para extraer la criptomoneda Monero.
Botnet DreamBus dirige sus ataques a sistemas basados en LinuxEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la ejecución de nuevos ciberataques encargados de distribuir la botnet DreamBus que compromete servidores web con distribuciones Linux y que cuenten con gran capacidad de recursos de hardware. Una vez logran acceder a la infraestructura, los servidores se ven comprometidos con la ejecución del minero de criptomonedas XMRig, además sacan provecho de los servidores comprometidos para hacerlos parte de la botnet e intentar propagarse hacía otra infraestructura tecnológica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-dreambus-dirige-sus-ataques-a-sistemas-basados-en-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la ejecución de nuevos ciberataques encargados de distribuir la botnet DreamBus que compromete servidores web con distribuciones Linux y que cuenten con gran capacidad de recursos de hardware. Una vez logran acceder a la infraestructura, los servidores se ven comprometidos con la ejecución del minero de criptomonedas XMRig, además sacan provecho de los servidores comprometidos para hacerlos parte de la botnet e intentar propagarse hacía otra infraestructura tecnológica.
Botnet Echobot implementa nuevas vulnerabilidades.Echobot es una reconocida variante de la Botnet Mirai. Sus intereses se centran en el aprovechamiento de vulnerabilidades antiguas como recientes. Actualmente, esta botnet, ha reaparecido en internet con nuevas vulnerabilidades que permiten afectar gran diversidad dispositivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-echobot-implementa-nuevas-vulnerabilidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Echobot es una reconocida variante de la Botnet Mirai. Sus intereses se centran en el aprovechamiento de vulnerabilidades antiguas como recientes. Actualmente, esta botnet, ha reaparecido en internet con nuevas vulnerabilidades que permiten afectar gran diversidad dispositivos.
Botnet Emotet es utilizada para distribuir cargas útiles de ransomwareEmotet fue inicialmente conocido por ser un troyano bancario, el cual es atribuido al grupo de ciberdelincuentes llamados Mummy Spider (también conocidos como TA542). Con el pasar del tiempo, esta familia de malware ha tomado relevancia en el ámbito del ciberespacio, afectando a organizaciones y entidades de alto nivel en todo el mundo; actualmente, este se ha convertido en una botnet que es utilizada para entregar cargas útiles de segunda etapa de diversos tipos de malware que tienen como objetivo, la recopilación de datos sensibles de infraestructuras tecnológicas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-emotet-es-utilizada-para-distribuir-cargas-utiles-de-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Emotet fue inicialmente conocido por ser un troyano bancario, el cual es atribuido al grupo de ciberdelincuentes llamados Mummy Spider (también conocidos como TA542). Con el pasar del tiempo, esta familia de malware ha tomado relevancia en el ámbito del ciberespacio, afectando a organizaciones y entidades de alto nivel en todo el mundo; actualmente, este se ha convertido en una botnet que es utilizada para entregar cargas útiles de segunda etapa de diversos tipos de malware que tienen como objetivo, la recopilación de datos sensibles de infraestructuras tecnológicas.
Botnet Fritzfrog afecta servidores SSHEn el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza denominada Fritzfrog, se trata de una botnet punto a punto (P2P) que ejecuta malware escrito en Golang, se ejecuta en la memoria del equipo comprometido para evitar ser detectado por los sistemas antimalware. Su principal objetivo es acceder a servidores Secure Shell (SSH) a nivel mundial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-fritzfrog-afecta-servidores-sshhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza denominada Fritzfrog, se trata de una botnet punto a punto (P2P) que ejecuta malware escrito en Golang, se ejecuta en la memoria del equipo comprometido para evitar ser detectado por los sistemas antimalware. Su principal objetivo es acceder a servidores Secure Shell (SSH) a nivel mundial.
Botnet Gafgyt utilizada para ataques DDoSMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una botnet llamada Gafgyt.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-gafgyt-utilizada-para-ataques-ddoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una botnet llamada Gafgyt.
Botnet Ipstorm afecta a Windows, distribuciones Linux, Android y MacosEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nuevas variantes de IPStorm, una botnet punto a punto (P2P) desarrollada en el lenguaje de programación Golang y detectada por primera vez en mayo de 2019. Esta botnet fue utilizada inicialmente para comprometer redes con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-ipstorm-afecta-a-windows-distribuciones-linux-android-y-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nuevas variantes de IPStorm, una botnet punto a punto (P2P) desarrollada en el lenguaje de programación Golang y detectada por primera vez en mayo de 2019. Esta botnet fue utilizada inicialmente para comprometer redes con sistema operativo Windows.
Botnet Pgminer apunta a PostgresqlEl equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una botnet denominada PgMiner, que apunta a las bases de datos PostgreSQL sobre infraestructura con distribuciones Linux con el fin de instalar un minero de criptomonedas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-pgminer-apunta-a-postgresqlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una botnet denominada PgMiner, que apunta a las bases de datos PostgreSQL sobre infraestructura con distribuciones Linux con el fin de instalar un minero de criptomonedas.
Botnet Prometei instala malware de minería y libera RCEEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Prometei que explota dos vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon para instalar un criptominero denominado Monero en los equipos infectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-prometei-instala-malware-de-mineria-y-libera-rcehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Prometei que explota dos vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon para instalar un criptominero denominado Monero en los equipos infectados.
Botnet StealthWorker apunta a dispositivos NAS de SynologyEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa de la botnet StealthWorker utilizada para atacar dispositivos NAS (almacenamiento conectado a la red), específicamente del fabricante taiwanés Synology con el objetivo de entregar una carga útil maliciosa que incluye ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-stealthworker-apunta-a-dispositivos-nas-de-synologyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa de la botnet StealthWorker utilizada para atacar dispositivos NAS (almacenamiento conectado a la red), específicamente del fabricante taiwanés Synology con el objetivo de entregar una carga útil maliciosa que incluye ransomware.
Botnet Sysrv-Hello vulnera distribuciones Windows y LinuxEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Sysrv-Hello, la cual afecta a distribuciones Windows y Linux al propagar bots de minería Monero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-sysrv-hello-vulnera-distribuciones-windows-y-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Sysrv-Hello, la cual afecta a distribuciones Windows y Linux al propagar bots de minería Monero.
Botnet Vollgar busca minar mediante MS-SQLEl equipo del Csirt Financiero ha identificado una red de bots de criptominería que ha estado operando desde hace dos años aproximadamente sin ser detectada, apuntando a servidores de base de datos MS-SQL para realizar criptojacking y exfiltrar datos sensibles del servidor comprometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-vollgar-busca-minar-mediante-ms-sqlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una red de bots de criptominería que ha estado operando desde hace dos años aproximadamente sin ser detectada, apuntando a servidores de base de datos MS-SQL para realizar criptojacking y exfiltrar datos sensibles del servidor comprometido.
Botnet Zergeca con capacidades avanzadasMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet llamado Zergeca.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-zergeca-con-capacidades-avanzadashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet llamado Zergeca.
Braodo Stealer exfiltra información de múltiples plataformas financierasMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo stealer llamado Braodo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/braodo-stealer-exfiltra-informacion-de-multiples-plataformas-financierashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo stealer llamado Braodo.
BRata evoluciona y emplea nuevamente servicios de Google PlayEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nueva actividad del troyano de acceso remoto denominado BRata. Esta amenaza a presentando actividad desde el año 2016 y sus principales ataques han sido dirigidos a entidades financieras en Brasil.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/brata-evoluciona-y-emplea-nuevamente-servicios-de-google-playhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nueva actividad del troyano de acceso remoto denominado BRata. Esta amenaza a presentando actividad desde el año 2016 y sus principales ataques han sido dirigidos a entidades financieras en Brasil.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}