Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Ataque de Phishing exfiltra credenciales de office 365 en tiempo realEn el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado un ataque de phishing dirigido a altos ejecutivos de una empresa estadounidense, en mensajes con adjuntos maliciosos que parecen ser informes financieros en un archivo de texto, tratan de realizar superposición de pantallas para exfiltrar las credenciales de Office 365.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-de-phishing-exfiltra-credenciales-de-office-365-en-tiempo-realhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado un ataque de phishing dirigido a altos ejecutivos de una empresa estadounidense, en mensajes con adjuntos maliciosos que parecen ser informes financieros en un archivo de texto, tratan de realizar superposición de pantallas para exfiltrar las credenciales de Office 365.
Ataque de Phishing para exfiltrar credenciales de SkypeEl equipo del Csirt financiero ha identificado una nueva amenaza de phishing, en donde se informa a los usuarios de Skype acerca de 13 notificaciones que deben revisar, la dirección del remitente es aparentemente valida a primera vista ya que cuenta con un dominio respaldado por Google y además con certificado SSL.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-de-phishing-para-exfiltrar-credenciales-de-skypehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero ha identificado una nueva amenaza de phishing, en donde se informa a los usuarios de Skype acerca de 13 notificaciones que deben revisar, la dirección del remitente es aparentemente valida a primera vista ya que cuenta con un dominio respaldado por Google y además con certificado SSL.
Ataque dirigido a cadena de suministro afectó 35 empresasEn el monitoreo realizado por el Csirt Financiero, se ha identificado la ejecución de una POC (Prueba de Concepto) de un novedoso ataque dirigido a la cadena de suministro, esta afectación permitió realizar la intrusión de los sistemas internos de varias empresas a nivel mundial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-dirigido-a-cadena-de-suministro-afecto-35-empresashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la ejecución de una POC (Prueba de Concepto) de un novedoso ataque dirigido a la cadena de suministro, esta afectación permitió realizar la intrusión de los sistemas internos de varias empresas a nivel mundial.
Ataque masivo de Ransomware en BrasilEn el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevos ataques de Ransomware dirigidos contra la corte superior de justicia (STJ) de Brasil. El ataque se llevó a cabo el pasado martes durante las sesiones de juicio que eran llevadas a cabo por videoconferencia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-masivo-de-ransomware-en-brasilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevos ataques de Ransomware dirigidos contra la corte superior de justicia (STJ) de Brasil. El ataque se llevó a cabo el pasado martes durante las sesiones de juicio que eran llevadas a cabo por videoconferencia.
Ataque reciente a Cisco es atribuido al grupo YanlouwangRecientemente el gigante de las telecomunicaciones Cisco, reveló que el grupo de ransomware denominado Yanlouwang comprometió su red corporativa en el mes de mayo y además exfiltró datos propios de la compañía.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-reciente-a-cisco-es-atribuido-al-grupo-yanlouwanghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el gigante de las telecomunicaciones Cisco, reveló que el grupo de ransomware denominado Yanlouwang comprometió su red corporativa en el mes de mayo y además exfiltró datos propios de la compañía.
Ataque universal Cross-Site Scripting en buscador DuckDuckGoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la vulnerabilidad uXSS (universal cross-site scripting) en el buscador DuckDuckGo, este ataque es conocido por inyectar código arbitrario JavaScript en páginas web para explotar vulnerabilidades del lado del cliente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-universal-cross-site-scripting-en-buscador-duckduckgohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la vulnerabilidad uXSS (universal cross-site scripting) en el buscador DuckDuckGo, este ataque es conocido por inyectar código arbitrario JavaScript en páginas web para explotar vulnerabilidades del lado del cliente.
Ataques a ATMs en Bangladesh por el grupo de amenazas SilenceSe han detectado ataques a tres bancos localizados en Bangladesh que han causado pérdidas de aproximadamente 3 millones de dólares. Los tres bancos afectados son Dutch Bangla Bank, NCC y Prime Bank, el ataque consistía en transacciones ilegales realizadas en cajeros automáticos, desde dentro y fuera del país. De los 3 mencionados, solo Dutch Bangla Bank Limited, en adelante DBBL, sufrió pérdidas, ya que los otros dos bancos declararon que pudieron frustrar las transacciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-a-atms-en-bangladesh-por-el-grupo-de-amenazas-silencehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han detectado ataques a tres bancos localizados en Bangladesh que han causado pérdidas de aproximadamente 3 millones de dólares. Los tres bancos afectados son Dutch Bangla Bank, NCC y Prime Bank, el ataque consistía en transacciones ilegales realizadas en cajeros automáticos, desde dentro y fuera del país. De los 3 mencionados, solo Dutch Bangla Bank Limited, en adelante DBBL, sufrió pérdidas, ya que los otros dos bancos declararon que pudieron frustrar las transacciones.
Ataques con uso de la técnica Black Box a cajeros ATM en LatinoaméricaEn el seguimiento y monitoreo a fuentes de información para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado ataques en Latinoamérica a cajeros automáticos ATM (Automated Teller Machine).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-con-uso-de-la-tecnica-black-box-a-cajeros-atm-en-latinoamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento y monitoreo a fuentes de información para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado ataques en Latinoamérica a cajeros automáticos ATM (Automated Teller Machine).
Ataques CSS ExfilCSS Exfil es un método en el cual pueden atacar a los usuarios por medio de los navegadores. Por este medio un atacante podría acceder a información sensible: nombres de usuario, claves, etc.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-css-exfilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
CSS Exfil es un método en el cual pueden atacar a los usuarios por medio de los navegadores. Por este medio un atacante podría acceder a información sensible: nombres de usuario, claves, etc.
Ataques DDoS afectan el servicio AWS ShieldCorrespondiendo a la investigación realizada por el equipo del Csirt Financiero y por el seguimiento a las noticias más relevantes a nivel mundial respecto a los ataques DDoS, se presenta un análisis de los vectores de ataques que se presentan bajo esta modalidadhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-ddos-afectan-el-servicio-aws-shieldhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Correspondiendo a la investigación realizada por el equipo del Csirt Financiero y por el seguimiento a las noticias más relevantes a nivel mundial respecto a los ataques DDoS, se presenta un análisis de los vectores de ataques que se presentan bajo esta modalidad
Ataques de dns hijacking para descargar app maliciosa de Covid-19Desde el Csirt Financiero se ha identificado actividad del troyano Oski Stealer, el cual puede exfiltrar la información de los navegadores mediante ataques DNS hijacking los cuales modifica los servidores de DNS para redirigir a los usuarios a sitios web fraudulentos y/o maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-de-dns-hijacking-para-descargar-app-maliciosa-de-covid-19http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado actividad del troyano Oski Stealer, el cual puede exfiltrar la información de los navegadores mediante ataques DNS hijacking los cuales modifica los servidores de DNS para redirigir a los usuarios a sitios web fraudulentos y/o maliciosos.
Ataques de phishing dirigidos a Estados Unidos, podrían estar asociados al grupo de amenazas Konni.Durante los últimos meses de 2019 e inicios del 2020 un grupo de investigadores de malware identifico múltiples ataques de phishing dirigido a usuarios en Estados Unidos, al revisar estas actividades, se estableció que los ataques provenían de un nuevo APT denominado “Konni”.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-de-phishing-dirigidos-a-estados-unidos-podrian-estar-asociados-al-grupo-de-amenazas-konnihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos meses de 2019 e inicios del 2020 un grupo de investigadores de malware identifico múltiples ataques de phishing dirigido a usuarios en Estados Unidos, al revisar estas actividades, se estableció que los ataques provenían de un nuevo APT denominado “Konni”.
Indicadores análisis sobre Malware de ATMLos indicadores identificados pueden generar un incidente de seguridad adentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-dirigidos-al-sector-financiero-sobre-plataformas-atmhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los indicadores identificados pueden generar un incidente de seguridad adentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.
ATM Boostwrite, descargador de múltiples variantes de malwareDesde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite, el cual está asociado al grupo de amenazas APT FIN7; el malware Boostwrite es un dropper (descargador de malware) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/atm-boostwrite-descargador-de-multiples-variantes-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite, el cual está asociado al grupo de amenazas APT FIN7; el malware Boostwrite es un dropper (descargador de malware) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.
Aukill: la nueva hacktool que deshabilita la seguridad de los sistemas y despliega ransomware en ataques BYOVDLa seguridad cibernética sigue siendo un tema crítico a medida que los actores de amenazas continúan encontrando nuevas formas de comprometer los sistemas. Recientemente, se descubrió una nueva hacktool denominada AuKill, que los actores malintencionados están utilizando para deshabilitar la detección y respuesta de punto final (EDR) en los sistemas de sus objetivos antes de implementar backdoor y ransomware en ataques BYOVD.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aukill-la-nueva-hacktool-que-deshabilita-la-seguridad-de-los-sistemas-y-despliega-ransomware-en-ataques-byovdhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad cibernética sigue siendo un tema crítico a medida que los actores de amenazas continúan encontrando nuevas formas de comprometer los sistemas. Recientemente, se descubrió una nueva hacktool denominada AuKill, que los actores malintencionados están utilizando para deshabilitar la detección y respuesta de punto final (EDR) en los sistemas de sus objetivos antes de implementar backdoor y ransomware en ataques BYOVD.
Aumenta la amenaza Lokibot: Nuevos indicadores de compromisoSe ha identificado actividad reciente relacionada con el troyano LokiBot, también conocido como Loki PWS. Esto ha impulsado la recopilación de nuevos Indicadores de Compromiso (IoC) asociados a diversos grupos de ciberdelincuentes con el objetivo de obtener información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumenta-la-amenaza-lokibot-nuevos-indicadores-de-compromisohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado actividad reciente relacionada con el troyano LokiBot, también conocido como Loki PWS. Esto ha impulsado la recopilación de nuevos Indicadores de Compromiso (IoC) asociados a diversos grupos de ciberdelincuentes con el objetivo de obtener información confidencial.
Aumento de actividad cibercriminal de Agent TeslaEl equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemiahttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-cibercriminal-de-agent-teslahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemia
Aumento de actividad de botnet Lemon DuckEn el mes de agosto de 2020 el equipo del Csirt Financiero notificó sobre LemonDuck, una botnet de criptominería considerada como una de las más avanzadas, ya que los ciberdelincuentes mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Este criptominero ha estado activo desde diciembre de 2018 aumentando su actividad maliciosa en los últimos dos meses.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-de-botnet-lemon-duckhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mes de agosto de 2020 el equipo del Csirt Financiero notificó sobre LemonDuck, una botnet de criptominería considerada como una de las más avanzadas, ya que los ciberdelincuentes mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Este criptominero ha estado activo desde diciembre de 2018 aumentando su actividad maliciosa en los últimos dos meses.
Aumento de actividad de cibercriminales y explotación de vulnerabilidades en LATAMDurante los últimos meses, el equipo de analistas del Csirt Financiero ha observado un incremento de publicaciones sobre accesos iniciales a entidades bancarias. Estas publicaciones se han creado en foros asociados con el cibercrimen, donde se venden accesos a diferentes bancos mediante vulnerabilidades descubiertas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-de-cibercriminales-y-explotacion-de-vulnerabilidades-en-latamhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos meses, el equipo de analistas del Csirt Financiero ha observado un incremento de publicaciones sobre accesos iniciales a entidades bancarias. Estas publicaciones se han creado en foros asociados con el cibercrimen, donde se venden accesos a diferentes bancos mediante vulnerabilidades descubiertas.
Aumento de actividad del malware tipo botnet denominado XorDdosEn el constante monitoreo a diferentes fuentes de información para la detección de posibles amenazas que afecten el sector, el equipo de analistas del Csirt Financiero ha identificado la actividad creciente de XorDdos, un botnet destinado principalmente a sistemas operativos Linux, cabe destacar que además tiene características de otras familias de malware en particular las de troyano.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-del-malware-tipo-botnet-denominado-xorddoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a diferentes fuentes de información para la detección de posibles amenazas que afecten el sector, el equipo de analistas del Csirt Financiero ha identificado la actividad creciente de XorDdos, un botnet destinado principalmente a sistemas operativos Linux, cabe destacar que además tiene características de otras familias de malware en particular las de troyano.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}