Ciberdelincuentes hacen uso de tres familias de malware para generar un ataqueEn el seguimiento a fuentes abiertas de información y en la búsqueda de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado un ataque en que los ciberdelincuentes hacen uso de tres familias de malware para la generación de un ataque cibernético.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-hacen-uso-de-tres-familias-de-malware-para-generar-un-ataquehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a fuentes abiertas de información y en la búsqueda de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado un ataque en que los ciberdelincuentes hacen uso de tres familias de malware para la generación de un ataque cibernético.
Nuevo troyano de acceso remoto denominado FatalRATEn el seguimiento y monitoreo a fuentes abiertas de información para la identificación de nuevas amenazas o vulnerabilidades que puedan llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado un nuevo Troyano de Acceso Remoto dirigido a sistemas operativos Microsoft Windows, denominado FatalRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-fatalrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento y monitoreo a fuentes abiertas de información para la identificación de nuevas amenazas o vulnerabilidades que puedan llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado un nuevo Troyano de Acceso Remoto dirigido a sistemas operativos Microsoft Windows, denominado FatalRAT.
Nueva actualización de la herramienta Cobalt StrikeEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva actualización de la herramienta de seguridad y simulación de adversarios Cobalt Strike v.4.4, con la cual se agregan nuevas capacidades y se mitiga la vulnerabilidad reportada como CVE-2021-36798.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actualizacion-de-la-herramienta-cobalt-strikehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva actualización de la herramienta de seguridad y simulación de adversarios Cobalt Strike v.4.4, con la cual se agregan nuevas capacidades y se mitiga la vulnerabilidad reportada como CVE-2021-36798.
Nueva campaña phishing, distribuye troyano de acceso remoto RemcosEn el seguimiento y monitoreo a fuentes abiertas de información para la identificación de nuevas amenazas o vulnerabilidades que puedan afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado una nueva campaña de phishing que tiene como finalidad distribuir al troyano de acceso remoto denominado Remcos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-phishing-distribuye-troyano-de-acceso-remoto-remcoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento y monitoreo a fuentes abiertas de información para la identificación de nuevas amenazas o vulnerabilidades que puedan afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado una nueva campaña de phishing que tiene como finalidad distribuir al troyano de acceso remoto denominado Remcos.
Ataques con uso de la técnica Black Box a cajeros ATM en LatinoaméricaEn el seguimiento y monitoreo a fuentes de información para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado ataques en Latinoamérica a cajeros automáticos ATM (Automated Teller Machine).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-con-uso-de-la-tecnica-black-box-a-cajeros-atm-en-latinoamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento y monitoreo a fuentes de información para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado ataques en Latinoamérica a cajeros automáticos ATM (Automated Teller Machine).
Nuevos indicadores de compromiso asociados a Quasar RATEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a Quasar RAT, una herramienta de administración remota (RAT) para sistemas operativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-quasar-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a Quasar RAT, una herramienta de administración remota (RAT) para sistemas operativos Windows.
Ransomware BlackMatter afecta a servidores VMware ESXiEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo grupo cibercriminal para la distribución de ransomware BlackMatter. Según este grupo homónimo es el sucesor de REvil, Darkside y LockBit, y a través de foros clandestinos busca afiliados para distribuir el ransomware con su mismo nombre BlackMatter, su objetivo está dirigido a grandes organizaciones, especialmente en Estados Unidos, Canadá, Reino Unido y Australia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-blackmatter-afecta-a-servidores-vmware-esxihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo grupo cibercriminal para la distribución de ransomware BlackMatter. Según este grupo homónimo es el sucesor de REvil, Darkside y LockBit, y a través de foros clandestinos busca afiliados para distribuir el ransomware con su mismo nombre BlackMatter, su objetivo está dirigido a grandes organizaciones, especialmente en Estados Unidos, Canadá, Reino Unido y Australia.
Actividad maliciosa del ransomware WannaMadEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada al ransomware WannaMad que, al momento de cifrar archivos, agrega la extensión .hacked a estos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-del-ransomware-wannamadhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada al ransomware WannaMad que, al momento de cifrar archivos, agrega la extensión .hacked a estos.
Indicadores de compromiso asociados a RedLine StealerEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado indicadores de compromiso asociados al troyano RedLine Stealer el cual es empleado principalmente con el propósito de capturar credenciales y datos bancarios del equipo infectado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-redline-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado indicadores de compromiso asociados al troyano RedLine Stealer el cual es empleado principalmente con el propósito de capturar credenciales y datos bancarios del equipo infectado.
Filtración de herramientas utilizadas por afiliados de ContiEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero a identificado una filtración de información en foros clandestinos sobre herramientas y procedimientos utilizados por los afiliados del grupo cibercriminal Conti para comprometer a grandes organizaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/filtracion-de-herramientas-utilizadas-por-afiliados-de-contihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero a identificado una filtración de información en foros clandestinos sobre herramientas y procedimientos utilizados por los afiliados del grupo cibercriminal Conti para comprometer a grandes organizaciones.
Backdoor IISpy afecta servicios ISS en sistemas WindowsEn el monitoreo continuo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un backdoor o puerta trasera denominado IISpy, el cual está diseñado para afectar a servidores que tengan instalado sistemas operativos Windows que cuenten con el servicio de Internet Information Services (IIS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-iispy-afecta-servicios-iss-en-sistemas-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un backdoor o puerta trasera denominado IISpy, el cual está diseñado para afectar a servidores que tengan instalado sistemas operativos Windows que cuenten con el servicio de Internet Information Services (IIS).
Vulnerabilidad crítica encontrada en un parche para los productos de Pulse SecureEn el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado una nueva vulnerabilidad de ejecución remota de código en dispositivos Pulse Connect Secure, identificada como CVE-2021-22937.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-critica-encontrada-en-un-parche-para-los-productos-de-pulse-securehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado una nueva vulnerabilidad de ejecución remota de código en dispositivos Pulse Connect Secure, identificada como CVE-2021-22937.
Botnet StealthWorker apunta a dispositivos NAS de SynologyEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa de la botnet StealthWorker utilizada para atacar dispositivos NAS (almacenamiento conectado a la red), específicamente del fabricante taiwanés Synology con el objetivo de entregar una carga útil maliciosa que incluye ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-stealthworker-apunta-a-dispositivos-nas-de-synologyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa de la botnet StealthWorker utilizada para atacar dispositivos NAS (almacenamiento conectado a la red), específicamente del fabricante taiwanés Synology con el objetivo de entregar una carga útil maliciosa que incluye ransomware.
Vulnerabilidades críticas en Interfaces Web de Router CiscoEn el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado, las siguientes vulnerabilidades: CVE-2021-1602, CVE-2021-1609 y CVE-2021-1610 que afectan al Router del fabricante Cisco.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-criticas-en-interfaces-web-de-router-ciscohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado, las siguientes vulnerabilidades: CVE-2021-1602, CVE-2021-1609 y CVE-2021-1610 que afectan al Router del fabricante Cisco.
Nueva campaña de malspam para la distribución de BazarLoader y Cobalt StrikeEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevas campañas de mensajes de correo electrónico para la distribución de BazarLoader, un backdoor utilizado para la entrega de diferentes familias de malware, entre ellas troyanos bancarios como: Ursnif, Valak y IcedID.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-malspam-para-la-distribucion-de-bazarloader-y-cobalt-strikehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevas campañas de mensajes de correo electrónico para la distribución de BazarLoader, un backdoor utilizado para la entrega de diferentes familias de malware, entre ellas troyanos bancarios como: Ursnif, Valak y IcedID.
Proxyshell, vulnerabilidades RCE en servidores de Microsoft ExchangeEl equipo de analistas del Csirt Financiero ha observado tres vulnerabilidades en servidores expuestos de Microsoft Exchange que, al unirse, desencadenan la ejecución remota de código (RCE) en los servidores. A la unión de estas vulnerabilidades para este fin se le denominó Proxyshell.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/proxyshell-vulnerabilidades-rce-en-servidores-de-microsoft-exchangehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha observado tres vulnerabilidades en servidores expuestos de Microsoft Exchange que, al unirse, desencadenan la ejecución remota de código (RCE) en los servidores. A la unión de estas vulnerabilidades para este fin se le denominó Proxyshell.
Nuevo ransomware denominado KarmaEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo ransomware denominado KARMA el cual está diseñado para cifrar datos confidenciales y publicarlos en su sitio clandestino, cuando las víctimas no realizan el pago exigido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-karmahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo ransomware denominado KARMA el cual está diseñado para cifrar datos confidenciales y publicarlos en su sitio clandestino, cuando las víctimas no realizan el pago exigido.
Grupo REvil hace uso de la herramienta Bsearch para exfiltración de informaciónEn el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado una herramienta denominada Bsearch usada por el grupo de ransomware REvil, con la finalidad de realizar el proceso de exfiltración de información del equipo infectado por este actor de amenazas para luego enviarla a su servidor de comando y control (C2).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-revil-hace-uso-de-la-herramienta-bsearch-para-exfiltracion-de-informacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado una herramienta denominada Bsearch usada por el grupo de ransomware REvil, con la finalidad de realizar el proceso de exfiltración de información del equipo infectado por este actor de amenazas para luego enviarla a su servidor de comando y control (C2).
Nueva variante de ransomware denominada DeepBlueMagicEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva variante de ransomware denominada DeepBlueMagic diseñada para operar de un modo diferente al identificado en otras familias de ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-denominada-deepbluemagichttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva variante de ransomware denominada DeepBlueMagic diseñada para operar de un modo diferente al identificado en otras familias de ransomware.
Registros de usuarios de Procolombia expuestos en un leak de foro clandestinoEn el monitoreo a fuentes abiertas de información el equipo del Csirt Financiero ha identificado la filtración de una base de datos en un foro clandestino con información de usuarios vinculados a Procolombia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/registros-de-usuarios-de-procolombia-expuestos-en-un-leak-de-foro-clandestinohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información el equipo del Csirt Financiero ha identificado la filtración de una base de datos en un foro clandestino con información de usuarios vinculados a Procolombia.