Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
DanaBot Troyano Bancario que agrego un componente de Ransomware.Desde el CSIRT Financiero se detecta una campaña distribuida a través del correo electrónico mediante la técnica de phishing, con enlaces de redirección a un dropper de JavaScript o PowerShell, Adicionalmente el troyano contiene múltiples capacidades como el robo de credenciales, inyección de sitios web, control remoto de máquinas y ejecución de comando desde servidores C&C.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/danabot-troyano-bancario-que-agrego-un-componente-de-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una campaña distribuida a través del correo electrónico mediante la técnica de phishing, con enlaces de redirección a un dropper de JavaScript o PowerShell, Adicionalmente el troyano contiene múltiples capacidades como el robo de credenciales, inyección de sitios web, control remoto de máquinas y ejecución de comando desde servidores C&C.
Danabot: la evolución de un troyano bancarioEl Csirt Financiero ha identificado una nueva actividad maliciosa asociada con el troyano bancario DanaBot, planteando serios riesgos para la seguridad financiera. Los ciberdelincuentes han adoptado métodos innovadores para distribuir esta amenaza, que está activa desde 2014 y se ofrece como un servicio conocido como Malware as a Service (MaaS), escrito en Delphi.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/danabot-la-evolucion-de-un-troyano-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha identificado una nueva actividad maliciosa asociada con el troyano bancario DanaBot, planteando serios riesgos para la seguridad financiera. Los ciberdelincuentes han adoptado métodos innovadores para distribuir esta amenaza, que está activa desde 2014 y se ofrece como un servicio conocido como Malware as a Service (MaaS), escrito en Delphi.
Dagon Locker evoluciona y cambia su nombre a Dagon RansomwareSe conoce que Dagon Ransomware es una variante de Mount Locker ransomware, sin embargo, ha sido capacitado con nuevas herramientas que lo hacen más efectivo en la ejecución de sus actividades maliciosas dentro de las infraestructuras comprometidas; durante su proceso de cifrado manipula los archivos y les agrega la extensión .dagoned, con el objetivo de inhabilitar el acceso a estos por parte de sus víctimas, posteriormente genera una nota de rescate denominada README_TO_DECRYPT.html donde se incluyen las instrucciones que conllevan a recuperar la información comprometida por los cibercriminales a través de esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/dagon-locker-evoluciona-y-cambia-su-nombre-a-dagon-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se conoce que Dagon Ransomware es una variante de Mount Locker ransomware, sin embargo, ha sido capacitado con nuevas herramientas que lo hacen más efectivo en la ejecución de sus actividades maliciosas dentro de las infraestructuras comprometidas; durante su proceso de cifrado manipula los archivos y les agrega la extensión .dagoned, con el objetivo de inhabilitar el acceso a estos por parte de sus víctimas, posteriormente genera una nota de rescate denominada README_TO_DECRYPT.html donde se incluyen las instrucciones que conllevan a recuperar la información comprometida por los cibercriminales a través de esta amenaza.
Cuatro amenazas potenciales de ransomware en América LatinaEn el monitoreo a fuentes abiertas de información y en la búsqueda de nuevas amenazas o vulnerabilidades que puedan llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado cuatro (4) amenazas potenciales asociadas a grupos de ciberdelincuentes con sus respectivas familias de ransomware, las cuales están afectando a algunos países de América Latina y que podrían llegar a generar impacto en Colombia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/cuatro-amenazas-potenciales-de-ransomware-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información y en la búsqueda de nuevas amenazas o vulnerabilidades que puedan llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado cuatro (4) amenazas potenciales asociadas a grupos de ciberdelincuentes con sus respectivas familias de ransomware, las cuales están afectando a algunos países de América Latina y que podrían llegar a generar impacto en Colombia.
Crysis y Venus convergen para realizar ataques RDPRecientemente, se ha confirmado una nueva tendencia, los atacantes del ransomware Crysis están utilizando conjuntamente otro tipo de ransomware llamado Venus en sus ataques. Ambos se dirigen principalmente a servicios de escritorio remoto expuestos externamente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/crysis-y-venus-convergen-para-realizar-ataques-rdphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha confirmado una nueva tendencia, los atacantes del ransomware Crysis están utilizando conjuntamente otro tipo de ransomware llamado Venus en sus ataques. Ambos se dirigen principalmente a servicios de escritorio remoto expuestos externamente.
Crutch, nuevo backdoor asociado a TurlaEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero identificó un nuevo backdoor asociado al APT Turla, denominada Crutch por sus desarrolladores. Crutch es un backdoor que se comunica con una cuenta de Dropbox, la cual a través del API HTTP oficial, puede ejecutar comandos básicos de escritura y lectura.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/crutch-nuevo-backdoor-asociado-a-turlahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero identificó un nuevo backdoor asociado al APT Turla, denominada Crutch por sus desarrolladores. Crutch es un backdoor que se comunica con una cuenta de Dropbox, la cual a través del API HTTP oficial, puede ejecutar comandos básicos de escritura y lectura.
CrossLock: El nuevo ransomware que utiliza técnicas avanzadas de cifrado y evasiónEn la actualidad, los ataques de ransomware son una de las amenazas más temidas por las organizaciones y los usuarios individuales en todo el mundo. Estos ataques cibernéticos se caracterizan por la encriptación de archivos y la exigencia de un rescate para su recuperación. En este contexto, ha surgido un nuevo ransomware escrito en lenguaje Go denominado CrossLock, que utiliza la técnica de doble extorsión para aumentar la probabilidad de pago por parte de las víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/crosslock-el-nuevo-ransomware-que-utiliza-tecnicas-avanzadas-de-cifrado-y-evasionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la actualidad, los ataques de ransomware son una de las amenazas más temidas por las organizaciones y los usuarios individuales en todo el mundo. Estos ataques cibernéticos se caracterizan por la encriptación de archivos y la exigencia de un rescate para su recuperación. En este contexto, ha surgido un nuevo ransomware escrito en lenguaje Go denominado CrossLock, que utiliza la técnica de doble extorsión para aumentar la probabilidad de pago por parte de las víctimas.
Criptominero Lemon Duck con cargas útiles de CriptojackingEn el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se evidenció el criptominero Lemon Duck, considerado como uno de los más avanzados ya que los operadores mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Lemon Duck es un minero sin archivos, es decir, se aloja en la memoria sin dejar rastro de su presencia en el sistema de archivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/criptominero-lemon-duck-con-cargas-utiles-de-criptojackinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se evidenció el criptominero Lemon Duck, considerado como uno de los más avanzados ya que los operadores mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Lemon Duck es un minero sin archivos, es decir, se aloja en la memoria sin dejar rastro de su presencia en el sistema de archivos.
Credenciales de Zoom comercializados en sitios clandestinos.Desde el Csirt Financiero se evidencia que múltiples credenciales de usuario de la aplicación ZOOM están siendo comercializados en foros clandestinos, los ciberdelincuentes han infectado ejecutables legítimos alojados en sitios alternos al original con el fin de infectar equipos; todos estos ataques son motivados debido a que ZOOM es una de las aplicaciones más utilizadas por las organizaciones para hacer videoconferencias y tratar temas confidenciales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/credenciales-de-zoom-comercializados-en-sitios-clandestinoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se evidencia que múltiples credenciales de usuario de la aplicación ZOOM están siendo comercializados en foros clandestinos, los ciberdelincuentes han infectado ejecutables legítimos alojados en sitios alternos al original con el fin de infectar equipos; todos estos ataques son motivados debido a que ZOOM es una de las aplicaciones más utilizadas por las organizaciones para hacer videoconferencias y tratar temas confidenciales.
Creciente tendencia del ransomware como servicio en la deep webEl equipo de analistas del Csirt Financiero, en el constante monitoreo del panorama cibercriminal desde fuentes abiertas y deep web, ha identificado el Malware-as-a-Service (MaaS) como una tendencia cada vez más extendida entre los ciberdelincuentes. Estos han conseguido monetizar toda actividad ilícita realizada y transformarla en una modalidad de servicio al alcance de todos los ciberdelincuentes como lo es el Ransomware-as-a-Service (RaaS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/creciente-tendencia-del-ransomware-como-servicio-en-la-deep-webhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero, en el constante monitoreo del panorama cibercriminal desde fuentes abiertas y deep web, ha identificado el Malware-as-a-Service (MaaS) como una tendencia cada vez más extendida entre los ciberdelincuentes. Estos han conseguido monetizar toda actividad ilícita realizada y transformarla en una modalidad de servicio al alcance de todos los ciberdelincuentes como lo es el Ransomware-as-a-Service (RaaS).
Creciente ciberamenaza del ransomware Maze sobre América LatinaEn marzo de 2019 que se identificó por primera vez el ransomware Maze, este se ha situado como una de las ciberamenazas más relevantes dentro de la categoría de ransomware. Desde principios del 2020 su actividad ha sido muy prolífica y se ha combinado con un nuevo modelo de extorsión, un tipo de modus operandi que se ha extendido entre los grupos cibercriminales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/creciente-ciberamenaza-del-ransomware-maze-sobre-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En marzo de 2019 que se identificó por primera vez el ransomware Maze, este se ha situado como una de las ciberamenazas más relevantes dentro de la categoría de ransomware. Desde principios del 2020 su actividad ha sido muy prolífica y se ha combinado con un nuevo modelo de extorsión, un tipo de modus operandi que se ha extendido entre los grupos cibercriminales.
Crecen las estafas por parte de aplicaciones de préstamos denominadas SpyLoan.El equipo de analistas del Csirt Financiero ha identificado un aumento en la proliferación de aplicaciones de préstamos monetarios conocidas como SpyLoan, clasificadas como programas potencialmente no deseados (PUP). Estas aplicaciones afectan la privacidad de los usuarios a nivel global y representan una amenaza significativa para la seguridad financiera y personal.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/crecen-las-estafas-por-parte-de-aplicaciones-de-prestamos-denominadas-spyloanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado un aumento en la proliferación de aplicaciones de préstamos monetarios conocidas como SpyLoan, clasificadas como programas potencialmente no deseados (PUP). Estas aplicaciones afectan la privacidad de los usuarios a nivel global y representan una amenaza significativa para la seguridad financiera y personal.
Crackers comprometieron la cuenta del empleado de Microsoft para obtener acceso al correo electrónico de los clientes.Comprometen credenciales de un empleado de Microsoft que brindaba soporte técnico para así obtener acceso a diferentes cuentas de correo de usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/crackers-comprometieron-la-cuenta-del-empleado-de-microsoft-para-obtener-acceso-al-correo-electronico-de-los-clienteshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
CostaRicto APT distribuye malware a entidades financieras y de entretenimientoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad del grupo cibercriminal denominado CostaRicto, el cual ha realizado diversas campañas para la distribución de malware desde el mes de octubre de 2019 y hasta la fecha, este grupo APT ha enfocado parte de sus ataques a instituciones financieras a países en el continente asiático y en otras regiones países como: EEUU, Australia, Francia y Holanda entre otros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/costaricto-apt-distribuye-malware-a-entidades-financieras-y-de-entretenimientohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad del grupo cibercriminal denominado CostaRicto, el cual ha realizado diversas campañas para la distribución de malware desde el mes de octubre de 2019 y hasta la fecha, este grupo APT ha enfocado parte de sus ataques a instituciones financieras a países en el continente asiático y en otras regiones países como: EEUU, Australia, Francia y Holanda entre otros.
CoreWarrior ataca equipos WindowsMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano llamado CoreWarrior enfocado a afectar sistemas Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/corewarrior-ataca-equipos-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano llamado CoreWarrior enfocado a afectar sistemas Windows.
Copybara: actualización de los troyanos bancarios modernos.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevas campañas dirigidas a dispositivos móviles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copybara-actualizacion-de-los-troyanos-bancarios-modernoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevas campañas dirigidas a dispositivos móviles.
Servicios expuestos en ColombiaEl Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_servicios-expuestos-en-colombia-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.
Servicios expuestos en Colombia.El Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_servicios-expuestos-en-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.
PhantomCard: nuevo troyano NFC impacta banca en BrasilDurante las actividades de monitoreo del Csirt Financiero, el equipo de analistas detectó PhantomCard, un nuevo troyano para Android basado en tecnología NFC, dirigido principalmente a clientes bancarios en Brasil, pero con potencial de expansión global.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_phantomcard-nuevo-troyano-nfc-impacta-banca-en-brasilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo del Csirt Financiero, el equipo de analistas detectó PhantomCard, un nuevo troyano para Android basado en tecnología NFC, dirigido principalmente a clientes bancarios en Brasil, pero con potencial de expansión global.
Empresa de ciberseguridad Fireeye fue víctima de ciberataqueEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado que la compañía FireEye ha sido atacada por ciberdelincuentes que, según la misma compañía, pueden ser patrocinados por alguna nación, ya que este ciberataque implementó técnicas novedosas no visualizadas anteriormente con métodos que contrarrestan las herramientas de seguridad y los exámenes forenses.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_paquetes-maliciosos-agregados-a-npm-para-distribuir-njrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado que la compañía FireEye ha sido atacada por ciberdelincuentes que, según la misma compañía, pueden ser patrocinados por alguna nación, ya que este ciberataque implementó técnicas novedosas no visualizadas anteriormente con métodos que contrarrestan las herramientas de seguridad y los exámenes forenses.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}