Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Ransomware Lockbit emplea Tácticas, Técnicas y Procedimientos para mejorar el cifradoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia LockBit, un ransomware con la capacidad de realizar el proceso de cifrado de archivos en corto tiempo y una rápida difusión por la red comprometiendo más equipos de cómputo con Sistema Operativo Windows. Los ciberdelincuentes detrás del ransomware desarrollaron e implementaron tácticas, técnicas y procedimientos encargados de eliminar los archivos utilizados para la infección, luego de realizar la instalación, ejecución e infección de los equipos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-lockbit-emplea-tacticas-tecnicas-y-procedimientos-para-mejorar-el-cifradohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia LockBit, un ransomware con la capacidad de realizar el proceso de cifrado de archivos en corto tiempo y una rápida difusión por la red comprometiendo más equipos de cómputo con Sistema Operativo Windows. Los ciberdelincuentes detrás del ransomware desarrollaron e implementaron tácticas, técnicas y procedimientos encargados de eliminar los archivos utilizados para la infección, luego de realizar la instalación, ejecución e infección de los equipos.
URL maliciosa que captura credenciales de Office 365Mediante la colaboración de entidades asociadas del sector Financiero y el Csirt, se obtuvo conocimiento sobre una campaña de mensajes de correo electrónico en los que se insta al usuario a acceder a un sitio que suplanta a Microsoft, haciendo uso de ingeniería social amenazando con la inhabilitación de la cuenta si no se realizaba la autenticación en el enlace contenido en el mensaje.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/url-maliciosa-que-captura-credenciales-de-office-365http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante la colaboración de entidades asociadas del sector Financiero y el Csirt, se obtuvo conocimiento sobre una campaña de mensajes de correo electrónico en los que se insta al usuario a acceder a un sitio que suplanta a Microsoft, haciendo uso de ingeniería social amenazando con la inhabilitación de la cuenta si no se realizaba la autenticación en el enlace contenido en el mensaje.
Vulnerabilidad hallada en HPE Storeserv Management Console.En el monitoreo a fuentes abiertas realizado por el equipo Csirt Financiero, se ha evidenciado de una vulnerabilidad identificada CVE-2020-7197. Esta vulnerabilidad le puede permitir a un ciberdelincuente evadir el proceso de autenticación en las matrices de centros de datos de sistemas HPE STORESERV, que proveen almacenamiento en sistemas Cloud.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-hallada-en-hpe-storeserv-management-consolehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas realizado por el equipo Csirt Financiero, se ha evidenciado de una vulnerabilidad identificada CVE-2020-7197. Esta vulnerabilidad le puede permitir a un ciberdelincuente evadir el proceso de autenticación en las matrices de centros de datos de sistemas HPE STORESERV, que proveen almacenamiento en sistemas Cloud.
Katana, nueva variante de la Botnet MiraiEn el monitoreo realizado por el equipo del Csirt Financiero se ha detectado una nueva variante de la botnet Mirai denominada Katana. Esta nueva variante se encuentra en desarrollo y se está utilizando para infectar cientos de aparatos interconectados o Internet de las Cosas (IoT) al día.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/katana-nueva-variante-de-la-botnet-miraihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se ha detectado una nueva variante de la botnet Mirai denominada Katana. Esta nueva variante se encuentra en desarrollo y se está utilizando para infectar cientos de aparatos interconectados o Internet de las Cosas (IoT) al día.
Nuevos indicadores de compromiso asociados a Remcos RATEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Remcos RAT. Se considera una amenaza cibernética como un troyano de acceso remoto (RAT) dirigido a Sistemas Operativos Windows identificado por primera vez el año 2016 en foros de piratería.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-remcos-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Remcos RAT. Se considera una amenaza cibernética como un troyano de acceso remoto (RAT) dirigido a Sistemas Operativos Windows identificado por primera vez el año 2016 en foros de piratería.
Vectores de infección aprovechados por ciberatacantesEl equipo del Csirt Financiero ha observado un aumento en el uso de técnicas y vectores de infección que permiten a los ciberdelincuentes comprometer la seguridad de las entidades.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vectores-de-infeccion-aprovechados-por-ciberatacanteshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha observado un aumento en el uso de técnicas y vectores de infección que permiten a los ciberdelincuentes comprometer la seguridad de las entidades.
Actividad del grupo APT Silent LibrarianEn el monitoreo realizado por el equipo del Csirt Financiero se ha identificado actividad del grupo APT Silent Librarian, también conocido como TA407. Este grupo ha registrado campañas maliciosas desde el año 2013, en las que su principal motivación es el espionaje y la exfiltración de información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-del-grupo-apt-silent-librarianhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se ha identificado actividad del grupo APT Silent Librarian, también conocido como TA407. Este grupo ha registrado campañas maliciosas desde el año 2013, en las que su principal motivación es el espionaje y la exfiltración de información.
Skimmer Cardbleed: campaña masiva contra plataformas MagentoEl Csirt Financiero identificó una campaña masiva, denominada Cardbleed, que ha estado activa desde septiembre de 2020, esta comparte patrones con GSTATICAPI. El Csirt Financiero analizó durante el mes de septiembre el skimmer GSTATICAPI, escrito en JavaScript y reportado a los asociados mediante notificación y alerta. Se ha nombrado así por el nombre de dominio en el que se alojaba este script malicioso, el cual es gstaticapi[.]com.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/skimmer-cardbleed-campana-masiva-contra-plataformas-magentohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero identificó una campaña masiva, denominada Cardbleed, que ha estado activa desde septiembre de 2020, esta comparte patrones con GSTATICAPI. El Csirt Financiero analizó durante el mes de septiembre el skimmer GSTATICAPI, escrito en JavaScript y reportado a los asociados mediante notificación y alerta. Se ha nombrado así por el nombre de dominio en el que se alojaba este script malicioso, el cual es gstaticapi[.]com.
Emotet utiliza documentos Word con falsas actualizaciones de Microsoft para su distribuciónEn el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado la distribución del troyano bancario Emotet utilizando archivos de ofimática con macros embebidas maliciosas. En este caso, se observó que los ciberdelincuentes agregaron una nueva temática o mensaje en el contenido de los archivos, que trata al respecto de una actualización de Microsoft Word y la necesidad de habilitar las macros para ejecutar dicha actualización. El método de distribución de estos documentos maliciosos es por medio de mensajes de correo electrónico malspam.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-utiliza-documentos-word-con-falsas-actualizaciones-de-microsoft-para-su-distribucionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado la distribución del troyano bancario Emotet utilizando archivos de ofimática con macros embebidas maliciosas. En este caso, se observó que los ciberdelincuentes agregaron una nueva temática o mensaje en el contenido de los archivos, que trata al respecto de una actualización de Microsoft Word y la necesidad de habilitar las macros para ejecutar dicha actualización. El método de distribución de estos documentos maliciosos es por medio de mensajes de correo electrónico malspam.
Vulnerabilidad en Windows permite acceder como administradorEn el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado una reciente vulnerabilidad que explota el kernel de Windows para acceder con privilegios de administrador a los equipos de cómputo vulnerados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-windows-permite-acceder-como-administradorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado una reciente vulnerabilidad que explota el kernel de Windows para acceder con privilegios de administrador a los equipos de cómputo vulnerados.
Nuevas funcionalidades del troyano de banca móvil WrobaEn el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado nueva actividad del troyano denominado Wroba, el cual ha enfocado sus ataques en la banca móvil. Las nuevas funcionalidades se detectaron en Estados Unidos el pasado 29 de octubre del 2020, fecha en que los ataques cibernéticos fueron dirigidos a usuarios con equipos móviles Android y iPhone, mediante mensajes de texto con temáticas de interés y de urgencia, intentan presionar al usuario a que abra un enlace malicioso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-funcionalidades-del-troyano-de-banca-movil-wrobahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado nueva actividad del troyano denominado Wroba, el cual ha enfocado sus ataques en la banca móvil. Las nuevas funcionalidades se detectaron en Estados Unidos el pasado 29 de octubre del 2020, fecha en que los ataques cibernéticos fueron dirigidos a usuarios con equipos móviles Android y iPhone, mediante mensajes de texto con temáticas de interés y de urgencia, intentan presionar al usuario a que abra un enlace malicioso.
Ciberdelincuentes utilizan el estacionamiento de dominios para distribuir malwareEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de servicios de estacionamiento de dominios utilizados para la monetización a través de anuncios de terceros y distribución de malware. El estacionamiento de dominios es un método para utilizar un dominio que redireccione todas las visitas a otro dominio especifico.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-utilizan-el-estacionamiento-de-dominios-para-distribuir-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de servicios de estacionamiento de dominios utilizados para la monetización a través de anuncios de terceros y distribución de malware. El estacionamiento de dominios es un método para utilizar un dominio que redireccione todas las visitas a otro dominio especifico.
Nuevos indicadores de compromiso asociados a Agent TeslaEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Agent Tesla. Esta amenaza cibernética pertenece a la familia de troyanos de acceso remoto, con gran variedad de funcionalidades que le permite realizar capturar las pulsaciones de teclado, tomar captura de pantalla, exfiltración de credenciales pertenecientes a múltiples sistemas de información, servicios tecnológicos y navegadores web como Google Chrome o Mozilla Firefox, hurto de credenciales de cuentas correos electrónicos, contraseñas e información bancaria, efectuar robo de identidad y, además, agregar el host infectado a una botnet. Lo que convierte a Agent Tesla en una amenaza con gran potencial de afectación en los equipos vulnerados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-agent-teslahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Agent Tesla. Esta amenaza cibernética pertenece a la familia de troyanos de acceso remoto, con gran variedad de funcionalidades que le permite realizar capturar las pulsaciones de teclado, tomar captura de pantalla, exfiltración de credenciales pertenecientes a múltiples sistemas de información, servicios tecnológicos y navegadores web como Google Chrome o Mozilla Firefox, hurto de credenciales de cuentas correos electrónicos, contraseñas e información bancaria, efectuar robo de identidad y, además, agregar el host infectado a una botnet. Lo que convierte a Agent Tesla en una amenaza con gran potencial de afectación en los equipos vulnerados.
Aumento en los ataques de Smishing a nivel globalEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el incremento de ataques conocidos como Smishing. Frente a este tipo de ataques, los ciberdelincuentes realizan el envío de mensajes de SMS en el que incluyen falsos enlaces a sitios web que redirigen a sitios maliciosos para captura de credenciales, descarga o propagación de malware. Aunque este tipo de ataques viene en un constante incremento, la situación mundial de la pandemia a causa del Covid-19 generó un aumento del 29% entre los meses de marzo y julio del presente añohttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-en-los-ataques-de-smishing-a-nivel-globalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el incremento de ataques conocidos como Smishing. Frente a este tipo de ataques, los ciberdelincuentes realizan el envío de mensajes de SMS en el que incluyen falsos enlaces a sitios web que redirigen a sitios maliciosos para captura de credenciales, descarga o propagación de malware. Aunque este tipo de ataques viene en un constante incremento, la situación mundial de la pandemia a causa del Covid-19 generó un aumento del 29% entre los meses de marzo y julio del presente año
Vulnerabilidad hallada en Moxa Inc VPort 461En el monitoreo realizado por el equipo del Csirt Financiero se conoció una vulnerabilidad en Moxa Inc VPort 461 que compromete el firmware en versiones 3.4 y anteriores, que podría permitir a un ciberdelincuente remoto ejecutar comandos arbitrarios; vulnerabilidad a la cual se ha asignado el código CVE-2020-23639.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-hallada-en-moxa-inc-vport-461http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se conoció una vulnerabilidad en Moxa Inc VPort 461 que compromete el firmware en versiones 3.4 y anteriores, que podría permitir a un ciberdelincuente remoto ejecutar comandos arbitrarios; vulnerabilidad a la cual se ha asignado el código CVE-2020-23639.
Biblioteca maliciosa de JavaScript abre puertas traserasEn el monitoreo realizado por el equipo del Csirt Financiero se conoció la actividad relacionada con la creación de una biblioteca maliciosa llamada twilio-npm, dicha biblioteca se publicó el pasado 30 de octubre del 2020 en el sitio NPM y pese a que se retiró del portal el mismo día a su descubrimiento, se pudo detallar que se descargó más de 370 veces; además de incluirse en los proyectos de JavaScript creados y administrados desde Node Package Manager (NPM).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/biblioteca-maliciosa-de-javascript-abre-puertas-traserashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se conoció la actividad relacionada con la creación de una biblioteca maliciosa llamada twilio-npm, dicha biblioteca se publicó el pasado 30 de octubre del 2020 en el sitio NPM y pese a que se retiró del portal el mismo día a su descubrimiento, se pudo detallar que se descargó más de 370 veces; además de incluirse en los proyectos de JavaScript creados y administrados desde Node Package Manager (NPM).
Vulnerabilidades ZeroDay en Google ChromeEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado una nueva actualización que Google ha realizado sobre el navegador web Chrome, solucionando varias vulnerabilidades incluidas dos Zero Day identificadas como CVE-2020-16009 (enfocado al navegador de escritorio para Windows Linux y Mac) y CVE-2020-16010 (enfocado al navegador para dispositivos Android). La nueva actualización estará disponible para su descarga los próximos días.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-zeroday-en-google-chromehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado una nueva actualización que Google ha realizado sobre el navegador web Chrome, solucionando varias vulnerabilidades incluidas dos Zero Day identificadas como CVE-2020-16009 (enfocado al navegador de escritorio para Windows Linux y Mac) y CVE-2020-16010 (enfocado al navegador para dispositivos Android). La nueva actualización estará disponible para su descarga los próximos días.
Grupo cibercriminal explota vulnerabilidad zero-day de SolarisEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de una vulnerabilidad zero-day en sistema operativo Solaris. El grupo cibercriminal detrás de este ataque es denominado UNC1945 y sus ataques incluyen entidades del sector de las telecomunicaciones, financiero y compañías de consultoría.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-cibercriminal-explota-vulnerabilidad-zero-day-de-solarishttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de una vulnerabilidad zero-day en sistema operativo Solaris. El grupo cibercriminal detrás de este ataque es denominado UNC1945 y sus ataques incluyen entidades del sector de las telecomunicaciones, financiero y compañías de consultoría.
Nuevo ransomware RegretLockerEl equipo del Csirt Financiero ha identificado a través del monitoreo a fuentes abiertas, un nuevo ransomware denominado RegretLocker, el cual cifra los archivos afectados con la extensión .mouse. Cuando el proceso de cifrado se ha realizado en los archivos y directorios, aparecen las notas de rescate “HOW TO RESTORE FILES.txt” en el escritorio del equipo afectado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-regretlockerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado a través del monitoreo a fuentes abiertas, un nuevo ransomware denominado RegretLocker, el cual cifra los archivos afectados con la extensión .mouse. Cuando el proceso de cifrado se ha realizado en los archivos y directorios, aparecen las notas de rescate “HOW TO RESTORE FILES.txt” en el escritorio del equipo afectado.
Infostealer Kpot la nueva herramienta del grupo RevilEl equipo del Csirt Financiero ha evidenciado que el grupo de ciberdelincuentes denominados REvil quienes son los autores detrás del ransomware Sodinokibi, han adquirido la última versión del InfoStealer KPOT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/infostealer-kpot-la-nueva-herramienta-del-grupo-revilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado que el grupo de ciberdelincuentes denominados REvil quienes son los autores detrás del ransomware Sodinokibi, han adquirido la última versión del InfoStealer KPOT.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}