Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevos indicadores de compromiso relacionados al troyano DridexEn el monitoreo que realiza el equipo del Csirt Financiero a nuevas amenazas y vectores de ataque, ha evidenciado nuevos indicadores de compromiso asociados a Dridex, troyano que tiene la capacidad de adicionar un equipo infectado a su botnet para ejecutar actividades maliciosas; exfiltra información como credenciales bancarias y tarjetas de crédito.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-al-troyano-dridexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a nuevas amenazas y vectores de ataque, ha evidenciado nuevos indicadores de compromiso asociados a Dridex, troyano que tiene la capacidad de adicionar un equipo infectado a su botnet para ejecutar actividades maliciosas; exfiltra información como credenciales bancarias y tarjetas de crédito.
Grupo Gamaredon agrega plantillas y macros maliciosas a sus módulosEl grupo Gamaredon ha agregado dos herramientas de infección a su arsenal, una macro de Microsoft Visual Basic (VBA) destinada a Microsoft Outlook, con el objetivo de enviar malware mediante mensajes de correo tipo spearphishing y un módulo para inyectar macros o plantillas maliciosas en documentos ubicados en el sistema comprometido. Esto con el fin de enumerar los archivos del equipo comprometido, realizar movimientos laterales y exfiltrar información hacia su servidor de Comando y Control (C2).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-gamaredon-agrega-plantillas-y-macros-maliciosas-a-sus-moduloshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo Gamaredon ha agregado dos herramientas de infección a su arsenal, una macro de Microsoft Visual Basic (VBA) destinada a Microsoft Outlook, con el objetivo de enviar malware mediante mensajes de correo tipo spearphishing y un módulo para inyectar macros o plantillas maliciosas en documentos ubicados en el sistema comprometido. Esto con el fin de enumerar los archivos del equipo comprometido, realizar movimientos laterales y exfiltrar información hacia su servidor de Comando y Control (C2).
Nuevos indicadores de compromiso asociados a Agent TeslaEn el constante monitoreo realizado por el Csirt Financiero a nuevos vectores de ataque y amenazas que puedan afectar al sector, se han evidenciado nuevos indicadores de compromiso asociados al KeyLogger Agent Tesla, el cual en los últimos meses ha estado involucrado en múltiples ataques dirigidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-agent-teslahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo realizado por el Csirt Financiero a nuevos vectores de ataque y amenazas que puedan afectar al sector, se han evidenciado nuevos indicadores de compromiso asociados al KeyLogger Agent Tesla, el cual en los últimos meses ha estado involucrado en múltiples ataques dirigidos.
Creciente ciberamenaza del ransomware Maze sobre América LatinaEn marzo de 2019 que se identificó por primera vez el ransomware Maze, este se ha situado como una de las ciberamenazas más relevantes dentro de la categoría de ransomware. Desde principios del 2020 su actividad ha sido muy prolífica y se ha combinado con un nuevo modelo de extorsión, un tipo de modus operandi que se ha extendido entre los grupos cibercriminales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/creciente-ciberamenaza-del-ransomware-maze-sobre-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En marzo de 2019 que se identificó por primera vez el ransomware Maze, este se ha situado como una de las ciberamenazas más relevantes dentro de la categoría de ransomware. Desde principios del 2020 su actividad ha sido muy prolífica y se ha combinado con un nuevo modelo de extorsión, un tipo de modus operandi que se ha extendido entre los grupos cibercriminales.
Ransomware Thanos utiliza nueva técnica para evadir su detecciónEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque que puedan afectar al sector, se ha identificado una muestra de ransomware que usa distintas técnicas para la evasión de las aplicaciones y herramientas de seguridad con la técnica RIPlace.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-thanos-utiliza-nueva-tecnica-para-evadir-su-deteccionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque que puedan afectar al sector, se ha identificado una muestra de ransomware que usa distintas técnicas para la evasión de las aplicaciones y herramientas de seguridad con la técnica RIPlace.
Indicadores de compromiso relacionados al troyano QakbotEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados al troyano Qakbot, el cual tiene como objetivo la exfiltración de información financiera y credenciales bancarias. Este troyano tiene la capacidad de propagarse por una red como un gusano e infectar a los equipos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-al-troyano-qakbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados al troyano Qakbot, el cual tiene como objetivo la exfiltración de información financiera y credenciales bancarias. Este troyano tiene la capacidad de propagarse por una red como un gusano e infectar a los equipos.
Nuevos indicadores de compromiso asociados a Cobalt StrikeEn el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados a Cobalt Strike, una herramienta utilizada para la emulación de ataques a un sistema con el fin de evaluar el nivel de seguridad de una entidad. Sin embargo, esta herramienta es utilizada por los ciberdelincuentes para desarrollar campañas maliciosas y exfiltrar información sensible de los usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-cobalt-strikehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados a Cobalt Strike, una herramienta utilizada para la emulación de ataques a un sistema con el fin de evaluar el nivel de seguridad de una entidad. Sin embargo, esta herramienta es utilizada por los ciberdelincuentes para desarrollar campañas maliciosas y exfiltrar información sensible de los usuarios.
Nuevos indicadores de compromiso asociados a NanoCoreDesde el continuo monitoreo realizado por el Csirt Financiero se han identificado nuevos indicadores de compromiso relacionados con NanoCore, el cual tiene como objetivo acceder a un equipo a través de protocolo de acceso remoto y obtener el control de este.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-nanocorehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el continuo monitoreo realizado por el Csirt Financiero se han identificado nuevos indicadores de compromiso relacionados con NanoCore, el cual tiene como objetivo acceder a un equipo a través de protocolo de acceso remoto y obtener el control de este.
Indicadores de compromiso relacionados al troyano AnubisEn el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados a Anubis, conocido también como BankBot; un troyano bancario para dispositivos Android que permite exfiltrar credenciales de portales financieros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_indicadores-de-compromiso-relacionados-al-troyano-anubishttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados a Anubis, conocido también como BankBot; un troyano bancario para dispositivos Android que permite exfiltrar credenciales de portales financieros.
Indicadores de compromiso asociados a IcedIDEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y nuevos vectores de ataque, se han identificado indicadores de compromiso asociados al troyano bancario IcedID, el cual tiene como objetivo la exfiltración de información financiera a través de webinjects para controlar los navegadores web y evadir el monitoreo de tráfico malicioso utilizando técnicas de esteganografía.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-icedidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y nuevos vectores de ataque, se han identificado indicadores de compromiso asociados al troyano bancario IcedID, el cual tiene como objetivo la exfiltración de información financiera a través de webinjects para controlar los navegadores web y evadir el monitoreo de tráfico malicioso utilizando técnicas de esteganografía.
Nuevos indicadores de compromiso asociados al grupo TA505TA505: es un grupo de ciberdelincuentes que orientan sus esfuerzos y ataques hacia el sector financiero; sus acciones se han evidenciado desde el año 2014, identificándolos como innovadores a la hora de implementar malware. Sus técnicas son sofisticadas e implementan importantes variantes en cada campaña realizada.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-grupo-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
TA505: es un grupo de ciberdelincuentes que orientan sus esfuerzos y ataques hacia el sector financiero; sus acciones se han evidenciado desde el año 2014, identificándolos como innovadores a la hora de implementar malware. Sus técnicas son sofisticadas e implementan importantes variantes en cada campaña realizada.
Indicadores de compromiso relacionados al troyano CerberusEn el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso relacionados con el troyano bancario Cerberus, el cual tiene como objetivo exfiltrar información confidencial por medio de acceso remoto a usuarios con dispositivos Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-al-troyano-cerberus-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso relacionados con el troyano bancario Cerberus, el cual tiene como objetivo exfiltrar información confidencial por medio de acceso remoto a usuarios con dispositivos Android.
Nuevos indicadores de compromiso asociados al Ransomware Maze.En el constante monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado nuevos indicadores de compromiso asociados a Maze ransomware, el cual ha estado involucrado a lo largo de este año en variados ataques a nivel mundial afectando también a entidades privadas en Latinoamérica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-al-ransomware-mazehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado nuevos indicadores de compromiso asociados a Maze ransomware, el cual ha estado involucrado a lo largo de este año en variados ataques a nivel mundial afectando también a entidades privadas en Latinoamérica.
Ataques DDoS afectan el servicio AWS ShieldCorrespondiendo a la investigación realizada por el equipo del Csirt Financiero y por el seguimiento a las noticias más relevantes a nivel mundial respecto a los ataques DDoS, se presenta un análisis de los vectores de ataques que se presentan bajo esta modalidadhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-ddos-afectan-el-servicio-aws-shieldhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Correspondiendo a la investigación realizada por el equipo del Csirt Financiero y por el seguimiento a las noticias más relevantes a nivel mundial respecto a los ataques DDoS, se presenta un análisis de los vectores de ataques que se presentan bajo esta modalidad
Indicadores de compromiso relacionados a Parallax RATEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se han identificado nuevos indicadores de compromiso asociados a Parallax RAT, un troyano de acceso remoto cuyo objetivo es tomar el control del equipo comprometido para exfiltrar información confidencial que encuentre.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-a-parallax-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se han identificado nuevos indicadores de compromiso asociados a Parallax RAT, un troyano de acceso remoto cuyo objetivo es tomar el control del equipo comprometido para exfiltrar información confidencial que encuentre.
Campaña de infección de WastedLocker ransomware en entidades de Estados UnidosEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque se ha evidenciado una campaña de infección a diferentes organizaciones estadounidenses, dentro de estas algunas entidades financieras. El objetivo de la campaña es instalar el ransomware WastedLocker; atribuido al grupo cibercriminal Evil Corp. Grupo al que se atribuyen otros códigos maliciosos como Dridex y el ransomware BitPaymer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-infeccion-de-wastedlocker-ransomware-en-entidades-de-estados-unidoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque se ha evidenciado una campaña de infección a diferentes organizaciones estadounidenses, dentro de estas algunas entidades financieras. El objetivo de la campaña es instalar el ransomware WastedLocker; atribuido al grupo cibercriminal Evil Corp. Grupo al que se atribuyen otros códigos maliciosos como Dridex y el ransomware BitPaymer.
Indicadores de compromiso relacionados a Quasar RATEn el monitoreo realizado por el equipo del Csirt Financiero, a nuevas amenazas se han identificado indicadores de compromiso relacionados con el troyano de acceso remoto QuasarRAT. Herramienta que suele ser utilizada por los ciberdelincuentes para finalidades maliciosas y que permiten obtener beneficios económicos a los ciberdelincuentes a través de exfiltración de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-a-quasar-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero, a nuevas amenazas se han identificado indicadores de compromiso relacionados con el troyano de acceso remoto QuasarRAT. Herramienta que suele ser utilizada por los ciberdelincuentes para finalidades maliciosas y que permiten obtener beneficios económicos a los ciberdelincuentes a través de exfiltración de la información.
Malware POS “Alina” exfiltra información a través del protocolo DNS.En el monitoreo realizado por el equipo del Csirt Financiero ha identificado que el malware Alina, estaría utilizando el servicio de DNS para extraer la información de las tarjetas de crédito capturadas en los puntos de venta de las entidades de comercio comprometidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-pos-201calina201d-exfiltra-informacion-a-traves-del-protocolo-dnshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero ha identificado que el malware Alina, estaría utilizando el servicio de DNS para extraer la información de las tarjetas de crédito capturadas en los puntos de venta de las entidades de comercio comprometidas.
Servicios expuestos en Colombia.El Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_servicios-expuestos-en-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.
Ransomware MedusaLockerEn el continuo monitoreo realizado por el Csirt Financiero a nuevos vectores de amenazas se ha evidenciado a MedusaLocker, troyano de tipo ransomware que adicionalmente cuenta con capacidades que lo hacen diferente a otras familias.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-medusalockerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevos vectores de amenazas se ha evidenciado a MedusaLocker, troyano de tipo ransomware que adicionalmente cuenta con capacidades que lo hacen diferente a otras familias.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}