Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
GOLD BLADE despliega campaña avanzada utilizando nuevas estrategias para propagar RedLoaderDurante las actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se identificó una campaña maliciosa atribuida al grupo cibercriminal GOLD BLADE, también conocido como RedCurl, Red Wolf o Earth Kapre.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/gold-blade-despliega-campana-avanzada-utilizando-nuevas-estrategias-para-propagar-redloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se identificó una campaña maliciosa atribuida al grupo cibercriminal GOLD BLADE, también conocido como RedCurl, Red Wolf o Earth Kapre.
GoldBrute botnetDesde el CSIRT Financiero en continuo análisis e investigación se ha detectado el crecimiento del ataque que está siendo aprovechado por la botnet Goldbrute sobre la vulnerabilidad CVE-2019-0708. Identificando un alto riesgo en Colombia al cual se han identificado un total de 9772 host expuestos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/goldbrute-botnethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero en continuo análisis e investigación se ha detectado el crecimiento del ataque que está siendo aprovechado por la botnet Goldbrute sobre la vulnerabilidad CVE-2019-0708. Identificando un alto riesgo en Colombia al cual se han identificado un total de 9772 host expuestos.
Google Chrome lanza nueva actualización para vulnerabilidad de día ceroEn el ecosistema de ciberseguridad y ciberespacio, es relativamente común presenciar vulnerabilidades de día cero, los cuales son fallos de seguridad que son desconocidos para los desarrolladores de sus productos y que suponen un gran peligro para la integridad de los usuarios que utilizan este servicio, ya que no se posee un parche de seguridad o una solución inmediata para poder mitigar esta brecha. Por lo general, estas vulnerabilidades se presentan en infraestructuras tecnológicas, plataformas en internet, aplicaciones o navegadores web.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/google-chrome-lanza-nueva-actualizacion-para-vulnerabilidad-de-dia-cerohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ecosistema de ciberseguridad y ciberespacio, es relativamente común presenciar vulnerabilidades de día cero, los cuales son fallos de seguridad que son desconocidos para los desarrolladores de sus productos y que suponen un gran peligro para la integridad de los usuarios que utilizan este servicio, ya que no se posee un parche de seguridad o una solución inmediata para poder mitigar esta brecha. Por lo general, estas vulnerabilidades se presentan en infraestructuras tecnológicas, plataformas en internet, aplicaciones o navegadores web.
GootBot: Nueva variante de GootLoaderEl equipo de analistas del Csirt Financiero realizó un monitoreo en diversas fuentes de información, donde se observó una nueva variante de GootLoader denominada "GootBot". Su principal funcionalidad es habilitar el movimiento lateral en entornos empresariales y ha sido diseñado con técnicas específicas para evadir la detección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/gootbot-nueva-variante-de-gootloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo en diversas fuentes de información, donde se observó una nueva variante de GootLoader denominada "GootBot". Su principal funcionalidad es habilitar el movimiento lateral en entornos empresariales y ha sido diseñado con técnicas específicas para evadir la detección.
Gootkit RAT distribuye malware a través de sitios web comprometidosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad relacionada a la familia de malware Gootkit RAT, un troyano bancario orientado al robo de credenciales. Documentado por primera vez en 2014, Gootkit es un troyano basado en JavaScript capaz de llevar a cabo una gran variedad de funcionalidades incluidas inyecciones web, captura de pulsaciones de teclas, capturas de pantalla, grabación de video, así como la exfiltración de correos electrónicos y contraseñas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/gootkit-rat-distribuye-malware-a-traves-de-sitios-web-comprometidoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad relacionada a la familia de malware Gootkit RAT, un troyano bancario orientado al robo de credenciales. Documentado por primera vez en 2014, Gootkit es un troyano basado en JavaScript capaz de llevar a cabo una gran variedad de funcionalidades incluidas inyecciones web, captura de pulsaciones de teclas, capturas de pantalla, grabación de video, así como la exfiltración de correos electrónicos y contraseñas.
Gootloader regresa con nuevas tácticas de evasión mediante archivos ZIP manipuladosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del loader Gootloader, caracterizada por el uso de archivos ZIP manipulados y nuevas técnicas de evasión que le permiten pasar desapercibido ante herramientas de análisis y defensa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/gootloader-regresa-con-nuevas-tacticas-de-evasion-mediante-archivos-zip-manipuladoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del loader Gootloader, caracterizada por el uso de archivos ZIP manipulados y nuevas técnicas de evasión que le permiten pasar desapercibido ante herramientas de análisis y defensa.
Gozi malware bancarioEn la búsqueda de nuevas variantes y ataques de malware dirigido a entidades bancarias el CSIRT Financiero logra identificar actividad reciente acerca de Gozi (troyano bancario que tiene como objetivo el robo de datos confidenciales, además de utilizar a los dispositivos infectados como botnets, para realizar actividades maliciosas).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/gozi-malware-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la búsqueda de nuevas variantes y ataques de malware dirigido a entidades bancarias el CSIRT Financiero logra identificar actividad reciente acerca de Gozi (troyano bancario que tiene como objetivo el robo de datos confidenciales, además de utilizar a los dispositivos infectados como botnets, para realizar actividades maliciosas).
Grave vulnerabilidad en ProFTPD, afecta servidores en ColombiaDesde el CSIRT Financiero se ha identificado una vulnerabilidad crítica en servidores FTP con ProFTPD en todas sus versiones, afectando a más de un millón de servidores a nivel global y alrededor de 589 servidores en Colombia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grave-vulnerabilidad-en-proftpd-afecta-servidores-en-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una vulnerabilidad crítica en servidores FTP con ProFTPD en todas sus versiones, afectando a más de un millón de servidores a nivel global y alrededor de 589 servidores en Colombia.
Greatness: Una plataforma de phishing como servicio (PaaS) para ataques de suplantación de identidadLa ciberdelincuencia continúa evolucionando a un ritmo alarmante, y una nueva amenaza ha surgido en el panorama de los ataques de phishing. Se trata de una plataforma como servicio (PaaS) conocida como Greatness, que ha sido adoptada por los criminales cibernéticos para apuntar a los usuarios comerciales del servicio en la nube Microsoft 365. Esta plataforma ha logrado reducir eficazmente las barreras de entrada para llevar a cabo ataques de phishing, lo que representa un peligro para las empresas y sus datos sensibles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/greatness-una-plataforma-de-phishing-como-servicio-paas-para-ataques-de-suplantacion-de-identidadhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La ciberdelincuencia continúa evolucionando a un ritmo alarmante, y una nueva amenaza ha surgido en el panorama de los ataques de phishing. Se trata de una plataforma como servicio (PaaS) conocida como Greatness, que ha sido adoptada por los criminales cibernéticos para apuntar a los usuarios comerciales del servicio en la nube Microsoft 365. Esta plataforma ha logrado reducir eficazmente las barreras de entrada para llevar a cabo ataques de phishing, lo que representa un peligro para las empresas y sus datos sensibles.
Grupo “Florentino” usa campañas de phishing utilizando office 365En el monitoreo realizado por el Csirt Financiero a nuevos ciberdelincuentes, se ha identificado nuevos ataques del grupo banquero denominado Florentino, caracterizado por perpetrar sus ataques hacia el sector financiero de países como Israel e Inglaterra, algunas de sus cuentas bancarias fraudulentas a donde redirigieron las transacciones se localizaron en Hong-Kong. Su vector de ataque es el envío de mensajes de correo electrónico tipo phishing, suplantando a office 365 acompañado de un alto grado de ingeniería social de la entidad objetivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-201cflorentino201d-usa-campanas-de-phishing-utilizando-office-365http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a nuevos ciberdelincuentes, se ha identificado nuevos ataques del grupo banquero denominado Florentino, caracterizado por perpetrar sus ataques hacia el sector financiero de países como Israel e Inglaterra, algunas de sus cuentas bancarias fraudulentas a donde redirigieron las transacciones se localizaron en Hong-Kong. Su vector de ataque es el envío de mensajes de correo electrónico tipo phishing, suplantando a office 365 acompañado de un alto grado de ingeniería social de la entidad objetivo.
Grupo 8Base distribuye nueva variante del ransomware PhobosMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante del ransomware llamado Phobos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-8base-distribuye-nueva-variante-del-ransomware-phoboshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante del ransomware llamado Phobos.
Grupo Andariel explota la vulnerabilidad de Apache ActiveMQMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en la cual el grupo APT Andariel distribuye NukeSped y TigerRat.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-andariel-explota-la-vulnerabilidad-de-apache-activemqhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en la cual el grupo APT Andariel distribuye NukeSped y TigerRat.
Grupo APT BlueCharlie actualiza su infraestructura para sus campañas maliciosasLuego de conocer las tácticas, técnicas e infraestructura empleada por el grupo cibercriminal BlueCharlie, también conocido como Blue Callisto, Callisto, COLDRIVER, Star Blizzard, SEABORGIUM y/o TA446, este grupo APT se encargó de actualizar sus métodos y servicios con la finalidad de seguir afectando a diferentes organizaciones a nivel mundial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-bluecharlie-actualiza-su-infraestructura-para-sus-campanas-maliciosas-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Luego de conocer las tácticas, técnicas e infraestructura empleada por el grupo cibercriminal BlueCharlie, también conocido como Blue Callisto, Callisto, COLDRIVER, Star Blizzard, SEABORGIUM y/o TA446, este grupo APT se encargó de actualizar sus métodos y servicios con la finalidad de seguir afectando a diferentes organizaciones a nivel mundial.
Grupo APT Cryptomimic tiene como objetivo Organizaciones FinancierasEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el actuar del grupo APT CryptoMimic, también conocido como: Dangerous Password, CageyChameleon, Leery Turtle o CryptoCore, el cual fue identificado por primera vez en abril de 2018; tiene como objetivo entidades financieras y organizaciones internacionales que cuenten con activos en criptomonedas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-cryptomimic-tiene-como-objetivo-organizaciones-financierashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el actuar del grupo APT CryptoMimic, también conocido como: Dangerous Password, CageyChameleon, Leery Turtle o CryptoCore, el cual fue identificado por primera vez en abril de 2018; tiene como objetivo entidades financieras y organizaciones internacionales que cuenten con activos en criptomonedas.
Grupo APT explota vulnerabilidades en productos FortinetEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa en la que se han visto comprometidos equipos Fortigate, empleados en el sector de gobierno ubicados en Estados Unidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-explota-vulnerabilidades-en-productos-fortinethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa en la que se han visto comprometidos equipos Fortigate, empleados en el sector de gobierno ubicados en Estados Unidos.
Grupo APT Gamaredon utiliza panorama de COVID-19 para campañas de phishingEl equipo del Csirt Financiero ha identificado indicadores de compromiso que se asocian al grupo cibercriminal Gamaredon, el cual se especializa en campañas de phishing a entidades gubernamentales en países europeos, en esta oportunidad utilizaron como fachada la emergencia por COVID-19 para enviar mensajes de correo tipo malspam con archivos maliciosos a usuarios de diferentes entidades para comprometer sus equipos y exfiltrar la información sensible.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-gamaredon-utiliza-panorama-de-covid-19-para-campanas-de-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado indicadores de compromiso que se asocian al grupo cibercriminal Gamaredon, el cual se especializa en campañas de phishing a entidades gubernamentales en países europeos, en esta oportunidad utilizaron como fachada la emergencia por COVID-19 para enviar mensajes de correo tipo malspam con archivos maliciosos a usuarios de diferentes entidades para comprometer sus equipos y exfiltrar la información sensible.
Grupo APT Grayfly explota vulnerabilidades en MySQL y Microsoft ExchangeEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado actividad reciente del grupo APT Grayfly, también conocido como Wicked Panda, APT41 o Barium, es un actor de amenaza de origen chino el cual está activo desde 2017.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-grayfly-explota-vulnerabilidades-en-mysql-y-microsoft-exchangehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado actividad reciente del grupo APT Grayfly, también conocido como Wicked Panda, APT41 o Barium, es un actor de amenaza de origen chino el cual está activo desde 2017.
Grupo APT iraní busca aprovechar las vulnerabilidades en soluciones VPN.En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una alerta realizada por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) en el cual reporta la actividad cibercriminal del grupo APT iraní denominado Pioneer Kitten o UNC757.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-irani-busca-aprovechar-las-vulnerabilidades-en-soluciones-vpnhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una alerta realizada por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) en el cual reporta la actividad cibercriminal del grupo APT iraní denominado Pioneer Kitten o UNC757.
Grupo APT LilacSquid emplea diferentes familias de malwareSe han identificado nueva campaña maliciosa para la captura de información confidencial, por parte del actor de amenaza (APT) denominado LilacSquid. Afectando a organizaciones de tecnología de la información y entre otras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-lilacsquid-emplea-diferentes-familias-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han identificado nueva campaña maliciosa para la captura de información confidencial, por parte del actor de amenaza (APT) denominado LilacSquid. Afectando a organizaciones de tecnología de la información y entre otras.
Grupo APT norcoreano ataca entidades financieras alrededor del mundoEn el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se logró identificar actividades criminales provenientes del grupo denominado BeagleBoyz, un subgrupo que hace parte del conocido grupo norcoreano APT Hidden Cobra, que tiene por objetivo generar ataques cibernéticos a entidades financieras desde el año 2015.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-norcoreano-ataca-entidades-financieras-alrededor-del-mundohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se logró identificar actividades criminales provenientes del grupo denominado BeagleBoyz, un subgrupo que hace parte del conocido grupo norcoreano APT Hidden Cobra, que tiene por objetivo generar ataques cibernéticos a entidades financieras desde el año 2015.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}