Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Variante de Ransomware Thanos intenta atacar el MBR de WindowsEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una variante del ransomware Thanos. Esta amenaza ha tenido actividad cibercriminal desde febrero del presente año, se ofrece bajo la modalidad de Ransomware como Servicio (RaaS) y utiliza la técnica RIPLace para evadir las medidas de seguridad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/variante-de-ransomware-thanos-intenta-atacar-el-mbr-de-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una variante del ransomware Thanos. Esta amenaza ha tenido actividad cibercriminal desde febrero del presente año, se ofrece bajo la modalidad de Ransomware como Servicio (RaaS) y utiliza la técnica RIPLace para evadir las medidas de seguridad.
Variante de ransomware Ryuk tiene capacidades de gusano para propagarse en la red comprometidaEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una variante del ransomware conocido Ryuk, el cual posee capacidades para lograr propagación, infectando equipos de la red local. Esta amenaza cibernética fue visualizada desde el año 2018, fecha desde la cual ha logrado ocasionar un gran impacto al cifrar la información de equipos de cómputo con sistema operativo Windows, exigiendo un pago a cambio del rescate de la información comprometida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/variante-de-ransomware-ryuk-tiene-capacidades-de-gusano-para-propagarse-en-la-red-comprometidahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una variante del ransomware conocido Ryuk, el cual posee capacidades para lograr propagación, infectando equipos de la red local. Esta amenaza cibernética fue visualizada desde el año 2018, fecha desde la cual ha logrado ocasionar un gran impacto al cifrar la información de equipos de cómputo con sistema operativo Windows, exigiendo un pago a cambio del rescate de la información comprometida.
Variante de Gh0st RAT enfocada a equipos LinuxMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una variante de Gh0st RAT llamada Nood RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/variante-de-gh0st-rat-enfocada-a-equipos-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una variante de Gh0st RAT llamada Nood RAT.
Variante de Clop ransomware afecta sistemas LinuxLos operadores de Clop han diseñado una variante de su ransomware dirigida a sistemas operativos Linux, aunque con un algoritmo de cifrado deficiente, por lo cual es posible descifrar los archivos bloqueados si es afectado por esta versión.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/variante-de-clop-ransomware-afecta-sistemas-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los operadores de Clop han diseñado una variante de su ransomware dirigida a sistemas operativos Linux, aunque con un algoritmo de cifrado deficiente, por lo cual es posible descifrar los archivos bloqueados si es afectado por esta versión.
Variante de Atomic dirigida a macOSMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva variante de Atomic.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/variante-de-atomic-dirigida-a-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva variante de Atomic.
Variante actualizada de ransomware Phobos/FairEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado una nueva variante del ransomware Phobos denotada como “Fair”, la cual busca reducir su alcance en el momento del cifrado de la información del equipo infectado, eludiendo mecanismos de defensa durante su ejecución.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/variante-actualizada-de-ransomware-phobos-fairhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado una nueva variante del ransomware Phobos denotada como “Fair”, la cual busca reducir su alcance en el momento del cifrado de la información del equipo infectado, eludiendo mecanismos de defensa durante su ejecución.
Valak 2.0 exfiltrador de informaciónMediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis que involucra el descargador del malware Valak versión 2.0. En esta nueva versión, implementa características diseñadas para evadir los parámetros de seguridad circundantes en el sistema a comprometer. Se enfoca hacia perfiles como administradores de dominio, intentando exfiltrar la mayor cantidad de información sensible y causar un mayor impacto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/valak-2-0-exfiltrador-de-informacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis que involucra el descargador del malware Valak versión 2.0. En esta nueva versión, implementa características diseñadas para evadir los parámetros de seguridad circundantes en el sistema a comprometer. Se enfoca hacia perfiles como administradores de dominio, intentando exfiltrar la mayor cantidad de información sensible y causar un mayor impacto.
Utilizan atributos de CSS para realizar campaña de phishing.El equipo del Csirt Financiero ha identificado una modalidad de phishing en la cual los ciberdelincuentes suplantan correos de Office 365 añadiendo enlaces maliciosos para capturar los datos de las víctimas, invirtiendo las palabras y utilizando una propiedad de CSS para evadir los filtros anti-spam.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/utilizan-atributos-de-css-para-realizar-campana-de-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una modalidad de phishing en la cual los ciberdelincuentes suplantan correos de Office 365 añadiendo enlaces maliciosos para capturar los datos de las víctimas, invirtiendo las palabras y utilizando una propiedad de CSS para evadir los filtros anti-spam.
Utilización de script de AHK para la distribución de RATEn el monitoreo a fuentes abiertas de información, el Csirt Financiero identifica una campaña de distribución de varias familias de troyanos de acceso remoto (RAT) a través de scripts compilados en AutoHotkey (AHK).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/utilizacion-de-script-de-ahk-para-la-distribucion-de-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero identifica una campaña de distribución de varias familias de troyanos de acceso remoto (RAT) a través de scripts compilados en AutoHotkey (AHK).
Utilización de Bulletproof hostings por parte de grupos de MagecartEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado el uso de Bulletproof hosting, un servicio de infraestructura y almacenamiento sin restricciones, brindándole a grupos de ciberdelincuentes la facultad de alojar y utilizar malware en las campañas, muchas de estas teniendo relación con grupos cibercriminales de Magecart. Estos grupos tienen como objetivo exfiltrar información de tarjetas débito, crédito y demás información financiera de víctimas, en el momento que realizan transacciones en sitios web comprometidos por estos ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/utilizacion-de-bulletproof-hostings-por-parte-de-grupos-de-magecarthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado el uso de Bulletproof hosting, un servicio de infraestructura y almacenamiento sin restricciones, brindándole a grupos de ciberdelincuentes la facultad de alojar y utilizar malware en las campañas, muchas de estas teniendo relación con grupos cibercriminales de Magecart. Estos grupos tienen como objetivo exfiltrar información de tarjetas débito, crédito y demás información financiera de víctimas, en el momento que realizan transacciones en sitios web comprometidos por estos ciberdelincuentes.
Uso de Sim Swapping y Telegram para exfiltrar datos de dispositivos móvilesEl equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/uso-de-sim-swapping-y-telegram-para-exfiltrar-datos-de-dispositivos-movileshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.
Uso de Runspace en PowerShell para lanzar a REVIL ransomwareEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un script de PowerShell empleado para propagar a REvil ransomware, utilizando la técnica de Runspace para crear subprocesos o hilos a partir de un proceso existente, al cual se agrega código malicioso, logrando ejecutar la amenaza, impactando equipos de cómputo con sistema operativo Windows, impidiendo el acceso a la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/uso-de-runspace-en-powershell-para-lanzar-a-revil-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un script de PowerShell empleado para propagar a REvil ransomware, utilizando la técnica de Runspace para crear subprocesos o hilos a partir de un proceso existente, al cual se agrega código malicioso, logrando ejecutar la amenaza, impactando equipos de cómputo con sistema operativo Windows, impidiendo el acceso a la información.
Uso de Clickfix y Havoc Demon para la distribución de malwareDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha detectado una nueva campaña de distribución de malware que emplea la técnica de ingeniería social ClickFix y el marco de C2 de código abierto Havoc Demon.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/uso-de-clickfix-y-havoc-demon-para-la-distribucion-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha detectado una nueva campaña de distribución de malware que emplea la técnica de ingeniería social ClickFix y el marco de C2 de código abierto Havoc Demon.
USN-3928-1: Vulnerabilidad de DovecotNuevas vulnerabilidades en Dovecot servidor de correo basado en IMAP y POP3 podría permitir que un atacante logre un desbordamiento de búfer y se puede usar para elevar a la raíz.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/usn-3928-1-vulnerabilidad-de-dovecothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevas vulnerabilidades en Dovecot servidor de correo basado en IMAP y POP3 podría permitir que un atacante logre un desbordamiento de búfer y se puede usar para elevar a la raíz.
URL maliciosa que captura credenciales de Office 365Mediante la colaboración de entidades asociadas del sector Financiero y el Csirt, se obtuvo conocimiento sobre una campaña de mensajes de correo electrónico en los que se insta al usuario a acceder a un sitio que suplanta a Microsoft, haciendo uso de ingeniería social amenazando con la inhabilitación de la cuenta si no se realizaba la autenticación en el enlace contenido en el mensaje.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/url-maliciosa-que-captura-credenciales-de-office-365http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante la colaboración de entidades asociadas del sector Financiero y el Csirt, se obtuvo conocimiento sobre una campaña de mensajes de correo electrónico en los que se insta al usuario a acceder a un sitio que suplanta a Microsoft, haciendo uso de ingeniería social amenazando con la inhabilitación de la cuenta si no se realizaba la autenticación en el enlace contenido en el mensaje.
UNIZA: La nueva amenaza de ransomware que cifra archivos sin agregar extensiónLa ciberseguridad es un tema cada vez más importante en la era digital, y desafortunadamente, el mundo de los ataques cibernéticos está en constante evolución. Recientemente, se ha descubierto una nueva variante de ransomware llamada UNIZA, que cifra archivos en las equipos de las víctimas para después exigir un pago de rescate en Bitcoin, a cambio de proporcionar la clave de descifrado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/uniza-la-nueva-amenaza-de-ransomware-que-cifra-archivos-sin-agregar-extensionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La ciberseguridad es un tema cada vez más importante en la era digital, y desafortunadamente, el mundo de los ataques cibernéticos está en constante evolución. Recientemente, se ha descubierto una nueva variante de ransomware llamada UNIZA, que cifra archivos en las equipos de las víctimas para después exigir un pago de rescate en Bitcoin, a cambio de proporcionar la clave de descifrado.
Unidades de procesamiento gráfico de Intel permiten la filtración de informaciónLas unidades de procesamiento gráfico (GPU) de Intel pueden ser vulnerables ya que se puede generar una filtración de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/unidades-de-procesamiento-grafico-de-intel-permiten-la-filtracion-de-informacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Underground Team Ransomware: una nueva amenaza cibernéticaA medida que evoluciona el panorama de la ciberdelincuencia, los grupos de ransomware están adoptando nuevas estrategias y tácticas para maximizar su impacto. En este contexto, se ha descubierto una nueva cepa de ransomware llamada "Underground team ransomware", que presenta características distintivas en su nota de rescate y en sus métodos de ataque.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/underground-team-ransomware-una-nueva-amenaza-ciberneticahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que evoluciona el panorama de la ciberdelincuencia, los grupos de ransomware están adoptando nuevas estrategias y tácticas para maximizar su impacto. En este contexto, se ha descubierto una nueva cepa de ransomware llamada "Underground team ransomware", que presenta características distintivas en su nota de rescate y en sus métodos de ataque.
UNC2891 y el uso encubierto de Raspberry Pi para comprometer cajeros automáticos (ATM)Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con el grupo de ciberdelincuencia identificado como UNC2891 (también conocido como LightBasin) donde aplican una nueva variante de ataque a la infraestructura bancaria.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/unc2891-y-el-uso-encubierto-de-raspberry-pi-para-comprometer-cajeros-automaticos-atmhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con el grupo de ciberdelincuencia identificado como UNC2891 (también conocido como LightBasin) donde aplican una nueva variante de ataque a la infraestructura bancaria.
Una ruta específica en el navegador genera un error de pantalla azul en Windows 10En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, encontró un error en el sistema operativo Windows 10, que es causado a través de una ruta especifica en el navegador o haciendo uso de comandos de Windows. Este error aún no ha sido solucionado por Microsoft, se ha evidenciado que sigue presente en Windows 10 versión 1709 y posteriores. Lo que puede causar un ataque de denegación de servicio en un equipo, cuando se logra ejecutar la ruta, situación que se presenta incluso sin tener privilegio de administrador sobre el equipo. Al intentar abrir la siguiente ruta “\\.\globalroot\device\condrv\kernelconnect”, aun sin tener privilegio de administrador, Windows 10 se bloquea, causando un error de pantalla azul. Cabe resaltar que dicha prueba fue ejecutada por el equipo del Csirt Financiero para validar dicho proceso de bloqueo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/una-ruta-especifica-en-el-navegador-genera-un-error-de-pantalla-azul-en-windows-10http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, encontró un error en el sistema operativo Windows 10, que es causado a través de una ruta especifica en el navegador o haciendo uso de comandos de Windows. Este error aún no ha sido solucionado por Microsoft, se ha evidenciado que sigue presente en Windows 10 versión 1709 y posteriores. Lo que puede causar un ataque de denegación de servicio en un equipo, cuando se logra ejecutar la ruta, situación que se presenta incluso sin tener privilegio de administrador sobre el equipo. Al intentar abrir la siguiente ruta “\\.\globalroot\device\condrv\kernelconnect”, aun sin tener privilegio de administrador, Windows 10 se bloquea, causando un error de pantalla azul. Cabe resaltar que dicha prueba fue ejecutada por el equipo del Csirt Financiero para validar dicho proceso de bloqueo.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}