Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevos indicadores de compromiso asociados a Quasar RATEn el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se han identificado indicadores de compromiso relacionados con el troyano de acceso remoto QuasarRAT. Herramienta que suele ser utilizada por los ciberdelincuentes para finalidades maliciosas y que permiten obtener beneficios económicos a los ciberdelincuentes a través de exfiltración de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-quasar-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se han identificado indicadores de compromiso relacionados con el troyano de acceso remoto QuasarRAT. Herramienta que suele ser utilizada por los ciberdelincuentes para finalidades maliciosas y que permiten obtener beneficios económicos a los ciberdelincuentes a través de exfiltración de la información.
Parches de seguridad para vulnerabilidades en Creative Cloud y Adobe Connect.En el monitoreo realizado por el equipo del Csirt Financiero, se han identificado ocho vulnerabilidades críticas en Adobe Creative Cloud Desktop, Framemaker y Connect.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/parches-de-seguridad-para-vulnerabilidades-en-creative-cloud-y-adobe-connecthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero, se han identificado ocho vulnerabilidades críticas en Adobe Creative Cloud Desktop, Framemaker y Connect.
Grupo ciberdelincuencial FIN8 regresa con una nueva versión de BadHatch POSEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad por parte del grupo de ciberdelincuentes identificado como Fin8. Este grupo del cual se conoce actividad maliciosa desde el año 2016 y con motivación financiera es conocido por ejecutar diversas campañas para distribuir principalmente el backdoor PUNCHBUGGY y el malware PUNCHTRACK ambos dirigidos a comprometer sistemas POS (point of sale).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-ciberdelincuencial-fin8-regresa-con-una-nueva-version-de-badhatch-poshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad por parte del grupo de ciberdelincuentes identificado como Fin8. Este grupo del cual se conoce actividad maliciosa desde el año 2016 y con motivación financiera es conocido por ejecutar diversas campañas para distribuir principalmente el backdoor PUNCHBUGGY y el malware PUNCHTRACK ambos dirigidos a comprometer sistemas POS (point of sale).
Actualizaciones de seguridad mensuales de Microsoft del mes de marzo.En el monitoreo a fuentes abiertas de información el equipo de Csirt Financiero, ha identificado las nuevas actualizaciones de Microsoft para el mes de marzo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizaciones-de-seguridad-mensuales-de-microsoft-del-mes-de-marzohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información el equipo de Csirt Financiero, ha identificado las nuevas actualizaciones de Microsoft para el mes de marzo.
Actividad Cibercriminal de HelloKitty RansomwareEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad cibercriminal de Hello Kitty Ransomware, el cual surgió a finales del año 2020. Aún no está confirmado el vector de ataque que utiliza este ransomware, pero se tiene la hipótesis de que se distribuye a través de mensajes de correo malspam.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-cibercriminal-de-hellokitty-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad cibercriminal de Hello Kitty Ransomware, el cual surgió a finales del año 2020. Aún no está confirmado el vector de ataque que utiliza este ransomware, pero se tiene la hipótesis de que se distribuye a través de mensajes de correo malspam.
Campaña de distribución de Bazar Loader que emplea a Anchor_DNSEn el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado nueva actividad del backdoor Bazar Loader, el cual utiliza al módulo de Trickbot denominado Anchor_DNS para facilitar la intrusión a una red comprometida. Ambos backdoors son asociados al grupo detrás del troyano Trickbot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-bazar-loader-que-emplea-a-anchor_dnshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado nueva actividad del backdoor Bazar Loader, el cual utiliza al módulo de Trickbot denominado Anchor_DNS para facilitar la intrusión a una red comprometida. Ambos backdoors son asociados al grupo detrás del troyano Trickbot.
Nuevo Dropper Clast82 que descarga AlienBot BankerEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo dropper denominado Clast82, el cual es alojado en diversas aplicaciones desarrolladas para sistema operativo Android, distribuidas a través de Google Play Store. Una vez se realiza la descarga e instalación de la aplicación comprometida, se establece conexión con un repositorio de GitHub desde donde se realiza la descarga de AlienBot y MRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-dropper-clast82-que-descarga-alienbot-bankerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo dropper denominado Clast82, el cual es alojado en diversas aplicaciones desarrolladas para sistema operativo Android, distribuidas a través de Google Play Store. Una vez se realiza la descarga e instalación de la aplicación comprometida, se establece conexión con un repositorio de GitHub desde donde se realiza la descarga de AlienBot y MRAT.
Posible ataque de Ransomware a Banco Inmobiliario de MéxicoEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva publicación asociada al grupo que controla el ransomware REvil. En esta publicación afirman que tienen en su poder alrededor de 250GB de información relacionada con el banco Inmobiliario Mexicano.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/posible-ataque-de-ransomware-a-banco-inmobiliario-de-mexicohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva publicación asociada al grupo que controla el ransomware REvil. En esta publicación afirman que tienen en su poder alrededor de 250GB de información relacionada con el banco Inmobiliario Mexicano.
Campaña de phishing que suplanta a Microsoft con falso servicio de Google reCAPTCHAEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se ha observado una campaña de suplantación dirigida a líderes empresariales y altos ejecutivos de organizaciones de diferentes sectores, con especial actividad en el sector bancario y servicios de TI.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-que-suplanta-a-microsoft-con-falso-servicio-de-google-recaptchahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se ha observado una campaña de suplantación dirigida a líderes empresariales y altos ejecutivos de organizaciones de diferentes sectores, con especial actividad en el sector bancario y servicios de TI.
Grupo detrás de REvil Ransomware ofrece nuevos servicios de extorsiónEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha observado que los operadores de REvil ransomware están ofreciendo en foros clandestinos nuevas técnicas de extorsión para presionar aún más a las víctimas para el pago del rescate exigido por la información comprometida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-detras-de-revil-ransomware-ofrece-nuevos-servicios-de-extorsionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha observado que los operadores de REvil ransomware están ofreciendo en foros clandestinos nuevas técnicas de extorsión para presionar aún más a las víctimas para el pago del rescate exigido por la información comprometida.
Scripts para detección de vulnerabilidades de Microsoft Exchange ServerEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado tres (3) script de seguridad que ha liberado Microsoft para identificar los indicadores de compromiso relacionados a las vulnerabilidades de Microsoft Exchange Server publicadas el 02 de marzo del presente año.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/scripts-para-deteccion-de-vulnerabilidades-de-microsoft-exchange-serverhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado tres (3) script de seguridad que ha liberado Microsoft para identificar los indicadores de compromiso relacionados a las vulnerabilidades de Microsoft Exchange Server publicadas el 02 de marzo del presente año.
Nuevas variantes de ransomware con interesantes técnicas de extorsiónEn el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado dos nuevas variantes de ransomware dirigidas a sistemas operativos Windows denominadas AlumniLocker y Humble, cada una de estas variantes tiene particularidad en la forma en que extorsionan a sus víctimas después de que cifran los datos en los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-de-ransomware-con-interesantes-tecnicas-de-extorsionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado dos nuevas variantes de ransomware dirigidas a sistemas operativos Windows denominadas AlumniLocker y Humble, cada una de estas variantes tiene particularidad en la forma en que extorsionan a sus víctimas después de que cifran los datos en los equipos comprometidos.
Exploits para cajeros automáticos multifunción del banco Pichincha del EcuadorEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, ha identificado un usuario llamado HotarusCorp, el cual ha publicado en un foro de internet, que se encuentra vendiendo un exploit dirigido a ATM, este malware solo funciona para cajeros con software front-end del banco Pichincha del Ecuador.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/exploits-para-cajeros-automaticos-multifuncion-del-banco-pichincha-del-ecuadorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, ha identificado un usuario llamado HotarusCorp, el cual ha publicado en un foro de internet, que se encuentra vendiendo un exploit dirigido a ATM, este malware solo funciona para cajeros con software front-end del banco Pichincha del Ecuador.
Troyano bancario Ursnif ha afectado a más de 100 bancos italianos.En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la afectación del troyano bancario Ursnif en más de 100 entidades bancarias italianas. Ursnif es un malware de tipo troyano identificado por primera vez en 2007, que con el paso de los años se ha mantenido como una amenaza persistente y constante a nivel mundial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-ursnif-ha-afectado-a-mas-de-100-bancos-italianoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la afectación del troyano bancario Ursnif en más de 100 entidades bancarias italianas. Ursnif es un malware de tipo troyano identificado por primera vez en 2007, que con el paso de los años se ha mantenido como una amenaza persistente y constante a nivel mundial.
Grupo RTM ataca a entidades financieras con nuevo ransomwareEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero identificó un nuevo ataque por parte del grupo APT ruso RTM.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-rtm-ataca-a-entidades-financieras-con-nuevo-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero identificó un nuevo ataque por parte del grupo APT ruso RTM.
Nuevos indicadores de compromiso asociados a QakbotEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado nuevos indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-qakbot-3http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado nuevos indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.
Nuevo Troyano Bancario suplantando al servicio de la app FedEXEn el monitoreo a fuentes abiertas de información, el equipo de Csirt financiero, identificó un nuevo troyano bancario dirigido a dispositivos con sistema operativo Android, denominado FedexBanker, encargado de recopilar información financiera de la víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-suplantando-al-servicio-de-la-app-fedexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt financiero, identificó un nuevo troyano bancario dirigido a dispositivos con sistema operativo Android, denominado FedexBanker, encargado de recopilar información financiera de la víctima.
Nuevo método utilizado para distribuir a ObliqueRATEn el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado una nueva forma de distribución del troyano de acceso remoto ObliqueRAT que afecta a equipos con sistema operativo Windows. Desde su detección en el año 2020 los ciberdelincuentes han utilizado el envío de mensajes de correo malspam con documentos de ofimática que contiene macros embebidas maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-utilizado-para-distribuir-a-obliquerathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado una nueva forma de distribución del troyano de acceso remoto ObliqueRAT que afecta a equipos con sistema operativo Windows. Desde su detección en el año 2020 los ciberdelincuentes han utilizado el envío de mensajes de correo malspam con documentos de ofimática que contiene macros embebidas maliciosas.
Exploits Zero day dirigidos a servidores ExchangeEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado ataques mediante exploits dirigidos a Microsoft Exchange Server, con el propósito de acceder a los servidores de Exchange locales. De esta manera, se exfiltran cuentas de correo electrónico, además de instalar malware adicional para establecer persistencia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/exploits-zero-day-dirigidos-a-servidores-exchangehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado ataques mediante exploits dirigidos a Microsoft Exchange Server, con el propósito de acceder a los servidores de Exchange locales. De esta manera, se exfiltran cuentas de correo electrónico, además de instalar malware adicional para establecer persistencia.
Vulnerabilidad de ejecución remota de código en VMware View PlannerEn el monitoreo realizado por el Csirt financiero a fuentes abiertas de información, se ha identificado una vulnerabilidad de ejecución remota de código sobre View Planner de VMware identificada con el CVE-2021-21978 y la cual cuenta con una calificación de 8.6 de severidad en la escala CVSSv3.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-ejecucion-remota-de-codigo-en-vmware-view-plannerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt financiero a fuentes abiertas de información, se ha identificado una vulnerabilidad de ejecución remota de código sobre View Planner de VMware identificada con el CVE-2021-21978 y la cual cuenta con una calificación de 8.6 de severidad en la escala CVSSv3.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}