Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Análisis de Indicadores de compromiso EmotetDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/alerta-sectorial-regional-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.
Alianza peligrosa entre Killnet, Revil y Anonymous Sudan apunta al sistema financiero occidentalEn los últimos tiempos, se ha observado un aumento en la actividad cibernética dirigida desde grupos con vínculos indirectos con el gobierno ruso. Uno de estos grupos es Killnet, conocido por su preferencia por los ataques de denegación de servicio distribuidos (DDoS). Aunque hasta ahora su impacto ha sido limitado, existen señales sólidas de que Killnet continuará desarrollándose y escalando sus ataques a través de redes maliciosas. En un giro preocupante, en las últimas 48 horas, Killnet se ha unido a los grupos Pro-Rusos REvil y Anonymous Sudan con el supuesto objetivo de llevar a cabo un ataque masivo al sistema financiero occidental.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/alianza-peligrosa-entre-killnet-revil-y-anonymous-sudan-apunta-al-sistema-financiero-occidentalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos tiempos, se ha observado un aumento en la actividad cibernética dirigida desde grupos con vínculos indirectos con el gobierno ruso. Uno de estos grupos es Killnet, conocido por su preferencia por los ataques de denegación de servicio distribuidos (DDoS). Aunque hasta ahora su impacto ha sido limitado, existen señales sólidas de que Killnet continuará desarrollándose y escalando sus ataques a través de redes maliciosas. En un giro preocupante, en las últimas 48 horas, Killnet se ha unido a los grupos Pro-Rusos REvil y Anonymous Sudan con el supuesto objetivo de llevar a cabo un ataque masivo al sistema financiero occidental.
Amenaza cibernética de Corea del Norte.Desde el Csirt Financiero se ha identificado una nueva campaña originada por Corea del Norte o República Popular Democrática de Corea (RPDC), la cual se destaca por ejecutar actividades maliciosas dirigidas a Estados Unidos y a la comunidad internacional en general, en esta oportunidad ha encauzado sus ataques cibercriminales hacia el sector financiero afectando de forma considerable su estabilidad y confidencialidad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenaza-cibernetica-de-corea-del-nortehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una nueva campaña originada por Corea del Norte o República Popular Democrática de Corea (RPDC), la cual se destaca por ejecutar actividades maliciosas dirigidas a Estados Unidos y a la comunidad internacional en general, en esta oportunidad ha encauzado sus ataques cibercriminales hacia el sector financiero afectando de forma considerable su estabilidad y confidencialidad.
Amenaza cibernética: El APT Flea ataca ministerios y corporaciones con la nueva puerta trasera GraphicanDurante el periodo que abarcó desde finales de 2022 hasta principios de 2023, los ministerios de asuntos exteriores en las Américas fueron objeto de una serie de ataques cibernéticos. Estos ataques fueron llevados a cabo por un grupo chino patrocinado por el estado llamado Flea, también conocido como APT15, que ha estado operando desde al menos 2004. Los informes indican que la campaña reciente también tuvo como objetivo otros sectores, como un departamento de finanzas del gobierno y una corporación que opera en las Américas. El grupo utiliza una variedad de herramientas, incluyendo una nueva puerta trasera denominada Graphican, así como otras herramientas previamente asociadas con Flea.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenaza-cibernetica-el-apt-flea-ataca-ministerios-y-corporaciones-con-la-nueva-puerta-trasera-graphicanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el periodo que abarcó desde finales de 2022 hasta principios de 2023, los ministerios de asuntos exteriores en las Américas fueron objeto de una serie de ataques cibernéticos. Estos ataques fueron llevados a cabo por un grupo chino patrocinado por el estado llamado Flea, también conocido como APT15, que ha estado operando desde al menos 2004. Los informes indican que la campaña reciente también tuvo como objetivo otros sectores, como un departamento de finanzas del gobierno y una corporación que opera en las Américas. El grupo utiliza una variedad de herramientas, incluyendo una nueva puerta trasera denominada Graphican, así como otras herramientas previamente asociadas con Flea.
Amenaza dirigida a cuentas Business de Facebook denominada DucktailAmenaza dirigida a cuentas Business de Facebook denominada Ducktailhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenaza-dirigida-a-cuentas-business-de-facebook-denominada-ducktailhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Amenaza emergente: Cookie Stealer acecha en falsos instaladores de Microsoft Visual StudioMicrosoft Visual Studio, el popular entorno de desarrollo integrado (IDE) utilizado por muchos desarrolladores, ha atraído la atención de ciberdelincuentes que buscan aprovechar su amplia adopción. Estos atacantes han creado instaladores maliciosos que se hacen pasar por legítimos, lo que expone a los usuarios desprevenidos a software malicioso. En ese contexto, se descubrió un instalador falso de Visual Studio que, disfrazado como auténtico, que contiene un infostealer denominado Cookie Stealer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenaza-emergente-cookie-stealer-acecha-en-falsos-instaladores-de-microsoft-visual-studiohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Microsoft Visual Studio, el popular entorno de desarrollo integrado (IDE) utilizado por muchos desarrolladores, ha atraído la atención de ciberdelincuentes que buscan aprovechar su amplia adopción. Estos atacantes han creado instaladores maliciosos que se hacen pasar por legítimos, lo que expone a los usuarios desprevenidos a software malicioso. En ese contexto, se descubrió un instalador falso de Visual Studio que, disfrazado como auténtico, que contiene un infostealer denominado Cookie Stealer.
Amenaza en auge: el grupo de ransomware Cl0p explota vulnerabilidades en soluciones de transferencia de archivosEl grupo de ransomware CL0P, también conocido como TA505, ha comenzado a aprovechar una vulnerabilidad de inyección SQL en la solución de transferencia de archivos administrados de Progress Software (MOVEit Transfer). Esta vulnerabilidad permite al grupo capturar datos de las bases de datos subyacentes de MOVEit Transfer. TA505, conocido por su uso de ransomware y phishing, ha utilizado tácticas de doble extorsión en el pasado. Además, el grupo ha explotado otras soluciones de transferencia de archivos, como Accellion File Transfer (FTA) y Fortra/Linoma GoAnywhere MFT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenaza-en-auge-el-grupo-de-ransomware-cl0p-explota-vulnerabilidades-en-soluciones-de-transferencia-de-archivoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de ransomware CL0P, también conocido como TA505, ha comenzado a aprovechar una vulnerabilidad de inyección SQL en la solución de transferencia de archivos administrados de Progress Software (MOVEit Transfer). Esta vulnerabilidad permite al grupo capturar datos de las bases de datos subyacentes de MOVEit Transfer. TA505, conocido por su uso de ransomware y phishing, ha utilizado tácticas de doble extorsión en el pasado. Además, el grupo ha explotado otras soluciones de transferencia de archivos, como Accellion File Transfer (FTA) y Fortra/Linoma GoAnywhere MFT.
Amenazas de DDoS a entidades en región EuropeaDesde el CSIRT Financiero se han identificado indicadores de Compromiso involucrados en amenaza de DDoS a una entidad financiera ubicada en Alemania, esto permitió recopilar una serie de IOC los cuales ayudarán a mitigar el riesgo ante posibles afectaciones al sector.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenazas-de-ddos-a-entidades-en-region-europahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado indicadores de Compromiso involucrados en amenaza de DDoS a una entidad financiera ubicada en Alemania, esto permitió recopilar una serie de IOC los cuales ayudarán a mitigar el riesgo ante posibles afectaciones al sector.
Amenazas relacionadas con COVID-19El equipo del Csirt Financiero continúa identificado nuevos envíos de mensajes de correo electrónico con supuestos documentos relacionados con COVID-19, engañando a las personas, organizaciones y gobiernos para que los descarguen.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenazas-relacionadas-con-covid-19http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero continúa identificado nuevos envíos de mensajes de correo electrónico con supuestos documentos relacionados con COVID-19, engañando a las personas, organizaciones y gobiernos para que los descarguen.
AMOS: El nuevo stealer que apunta a la seguridad de macOSAunque macOS ha sido tradicionalmente considerado como un sistema operativo más seguro que otros, los ciberdelincuentes siguen desarrollando y mejorando su arsenal de amenazas dirigidas a esta plataforma. Una de estas amenazas es el recientemente descubierto Atomic macOS Stealer (AMOS), un stealer diseñado para capturar información confidencial de las víctimas, incluyendo contraseñas, información de billeteras criptográficas, datos de navegadores web, archivos de usuario y detalles del sistema.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amos-el-nuevo-stealer-que-apunta-a-la-seguridad-de-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque macOS ha sido tradicionalmente considerado como un sistema operativo más seguro que otros, los ciberdelincuentes siguen desarrollando y mejorando su arsenal de amenazas dirigidas a esta plataforma. Una de estas amenazas es el recientemente descubierto Atomic macOS Stealer (AMOS), un stealer diseñado para capturar información confidencial de las víctimas, incluyendo contraseñas, información de billeteras criptográficas, datos de navegadores web, archivos de usuario y detalles del sistema.
AMOS Stealer compromete usuarios de macOS mediante guías de soporte falsificadas en ChatGPT y GrokDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a AMOS Stealer que aprovecha plataformas de inteligencia artificial como ChatGPT y Grok para presentar guías falsas de solución de problemas en macOS mediante envenenamiento SEO.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amos-stealer-compromete-usuarios-de-macos-mediante-guias-de-soporte-falsificadas-en-chatgpt-y-grokhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a AMOS Stealer que aprovecha plataformas de inteligencia artificial como ChatGPT y Grok para presentar guías falsas de solución de problemas en macOS mediante envenenamiento SEO.
Análisis Avanzado de APT asociada al Grupo TA505Se ha identificado una nueva campaña del grupo de cibercriminales TA505 en la región de Latino América. Para esta campaña el grupo ha empleado el RAT SDBBot y el ransomware CLOP para exfiltrar y cifrar información de las posibles víctimas y obtener beneficios económicos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-avanzado-de-apt-asociada-al-grupo-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una nueva campaña del grupo de cibercriminales TA505 en la región de Latino América. Para esta campaña el grupo ha empleado el RAT SDBBot y el ransomware CLOP para exfiltrar y cifrar información de las posibles víctimas y obtener beneficios económicos.
Análisis avanzado de APT - Silence GroupSilence es un grupo APT con motivación económica cuyos objetivos son las entidades financieras a nivel internacional, actualizan constantemente sus TTP, evitando su detección y dificultando su análisis.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-avanzado-de-apt-silence-grouphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Silence es un grupo APT con motivación económica cuyos objetivos son las entidades financieras a nivel internacional, actualizan constantemente sus TTP, evitando su detección y dificultando su análisis.
Análisis Avanzado de la amenaza EmotetEmotet es un malware modular de la familia de los troyanos que funciona como descargador de otros troyanos, el objeto principal de este malware es capturar información. Utiliza técnicas de sniffing e inyección de código en los sistemas comprometidos. Desde CSIRT Financiero se han identificado muestras recientes de este malware y se ha realizado análisis con el objeto de establecer indicadores de compromiso y generar recomendaciones para prevenir y evitar cualquier afectación de este tipo de amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-avanzado-de-la-amenaza-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Emotet es un malware modular de la familia de los troyanos que funciona como descargador de otros troyanos, el objeto principal de este malware es capturar información. Utiliza técnicas de sniffing e inyección de código en los sistemas comprometidos. Desde CSIRT Financiero se han identificado muestras recientes de este malware y se ha realizado análisis con el objeto de establecer indicadores de compromiso y generar recomendaciones para prevenir y evitar cualquier afectación de este tipo de amenaza.
Análisis avanzado de malware “Troyano bancario Gozi”Desde el CSIRT Financiero se realiza análisis avanzado al troyano bancario llamado Gozi, con el fin de examinar su comportamiento y de esta forma generar indicadores de compromiso, para poder establecer recomendaciones y controles adecuados que permitan prevenir y mitigar posibles incidentes de seguridad informática.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-avanzado-de-malware-201ctroyano-bancario-gozi201dhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se realiza análisis avanzado al troyano bancario llamado Gozi, con el fin de examinar su comportamiento y de esta forma generar indicadores de compromiso, para poder establecer recomendaciones y controles adecuados que permitan prevenir y mitigar posibles incidentes de seguridad informática.
Análisis de actividad maliciosa asociadas con múltiples familias de troyanosEl equipo de analistas del Csirt Financiero ha identificado actividad maliciosa vinculada a la distribución de múltiples troyanos, incluyendo Lokibot, Formbook y Meterpreter, estas amenazas han sido utilizadas por ciberdelincuentes para infiltrarse en equipos comprometidos, capturar credenciales y exfiltrar datos sensibles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-actividad-maliciosa-asociadas-con-multiples-familias-de-troyanoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa vinculada a la distribución de múltiples troyanos, incluyendo Lokibot, Formbook y Meterpreter, estas amenazas han sido utilizadas por ciberdelincuentes para infiltrarse en equipos comprometidos, capturar credenciales y exfiltrar datos sensibles.
Análisis de amenaza FrameworkPOSEn la búsqueda constante de nuevas amenazas, El CSIRT Financiero ha identificado un malware de nombre FrameworkPOS, (Point of Sale – Punto de venta). Este malware está orientado al robo de información de tarjetas de pago y se ha logrado encontrar que probablemente sea una variante del malware llamado GratefulPOS, MozartPOS. Investigadores atribuyen esta amenaza al grupo ciberdelincuente llamado FIN6.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-amenaza-frameworkposhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la búsqueda constante de nuevas amenazas, El CSIRT Financiero ha identificado un malware de nombre FrameworkPOS, (Point of Sale – Punto de venta). Este malware está orientado al robo de información de tarjetas de pago y se ha logrado encontrar que probablemente sea una variante del malware llamado GratefulPOS, MozartPOS. Investigadores atribuyen esta amenaza al grupo ciberdelincuente llamado FIN6.
Análisis de APT - FIN7Desde el Csirt Financiero se han identificado campañas de FIN7, grupo cibercriminal con motivación económica, sus ataques tradicionalmente estan dirigidos a objetivos financieros incluyendo los sistemas de punto de venta o sistemas POShttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-apt-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han identificado campañas de FIN7, grupo cibercriminal con motivación económica, sus ataques tradicionalmente estan dirigidos a objetivos financieros incluyendo los sistemas de punto de venta o sistemas POS
Analisis de la actividad maliciosa de Redline StealerRedLine es un stealer que se comercializa en la Deep y Dark web como un servicio de malware. El equipo de Csirt financiero ha descubierto nuevos indicadores de compromiso asociados a esta amenaza, que incluyen archivos ejecutables y una dirección IP utilizada por grupos de ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-la-actividad-maliciosa-de-redline-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
RedLine es un stealer que se comercializa en la Deep y Dark web como un servicio de malware. El equipo de Csirt financiero ha descubierto nuevos indicadores de compromiso asociados a esta amenaza, que incluyen archivos ejecutables y una dirección IP utilizada por grupos de ciberdelincuentes.
Análisis de malware CerberusCerberus es un malware catalogado como troyano bancario, descubierto en junio de 2019, el troyano cuenta con múltiples técnicas para cumplir su objetivo principal que consiste en obtener credenciales de diferentes tipos de aplicaciones. Desde el CSIRT Financiero se evidenció que el malware Cerberus es alquilado en foros clandestinos, además, el grupo de amenazas de donde proviene el troyano interactúa con la comunidad a través de Twitter.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-malware-cerberushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Cerberus es un malware catalogado como troyano bancario, descubierto en junio de 2019, el troyano cuenta con múltiples técnicas para cumplir su objetivo principal que consiste en obtener credenciales de diferentes tipos de aplicaciones. Desde el CSIRT Financiero se evidenció que el malware Cerberus es alquilado en foros clandestinos, además, el grupo de amenazas de donde proviene el troyano interactúa con la comunidad a través de Twitter.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}