Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Posible relación entre Sunburst con la herramienta Kazuar de TurlaEn el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado una posible relación entre Sunburst y una herramienta utilizada desde varios años atrás por el grupo cibercriminal Turla, denominada Kazuar. Cabe destacar que aún no hay confirmación de una conexión entre esta herramientas, pero tienen gran similitud en varias características de su desarrollo y ejecución.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/posible-relacion-entre-sunburst-con-la-herramienta-kazuar-de-turlahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado una posible relación entre Sunburst y una herramienta utilizada desde varios años atrás por el grupo cibercriminal Turla, denominada Kazuar. Cabe destacar que aún no hay confirmación de una conexión entre esta herramientas, pero tienen gran similitud en varias características de su desarrollo y ejecución.
Presunta fuga de información confidencial en el sector bancarioEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado en una fuente abierta de información una publicación, en donde un ciberdelincuente asegura tener en su poder información sensible y datos confidenciales de las entidades Banco Pichincha Ecuador, Visa Titanium, Diners Club y Discover. La recopilación de la información presuntamente exfiltrada y accedida se asocia con: • Datos PII de clientes y empleados. • Acceso a los sistemas de intranet. • Tarjetas de crédito.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/presunta-fuga-de-informacion-confidencial-en-el-sector-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado en una fuente abierta de información una publicación, en donde un ciberdelincuente asegura tener en su poder información sensible y datos confidenciales de las entidades Banco Pichincha Ecuador, Visa Titanium, Diners Club y Discover. La recopilación de la información presuntamente exfiltrada y accedida se asocia con: • Datos PII de clientes y empleados. • Acceso a los sistemas de intranet. • Tarjetas de crédito.
Privatelog y Stashlog, nueva amenaza que utiliza CLFS para ocultar informaciónEn el monitoreo a fuentes abiertas de información y en la búsqueda de nuevas amenazas o vulnerabilidades que puedan afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado nuevas familias de malware denominadas PrivateLog y StashLog dirigidos a sistemas operativos de Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/privatelog-y-stashlog-nueva-amenaza-que-utiliza-clfs-para-ocultar-informacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información y en la búsqueda de nuevas amenazas o vulnerabilidades que puedan afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado nuevas familias de malware denominadas PrivateLog y StashLog dirigidos a sistemas operativos de Microsoft Windows.
Productos BoxedApp es utilizado por actores maliciosos para entregar diferentes familias de malwareSe observó una nueva actividad maliciosa relacionada con los productos BoxedApp para entregar diferentes familias de malware, principalmente troyanos de acceso remoto, Stealer, Ransomware y entre otros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/productos-boxedapp-es-utilizado-por-actores-maliciosos-para-entregar-diferentes-familias-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se observó una nueva actividad maliciosa relacionada con los productos BoxedApp para entregar diferentes familias de malware, principalmente troyanos de acceso remoto, Stealer, Ransomware y entre otros.
Productos Cisco son afectados por la vulnerabilidad en Spring FrameworkEn el monitoreo continuo a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado una nueva vulnerabilidad en productos de Cisco, luego de conocer que, por medio de Spring Cloud Framework, APTs (Amenaza persistente avanzada) se estaría inyectando código malicioso en la red principalmente por actores rusos y chinos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/productos-cisco-son-afectados-por-la-vulnerabilidad-en-spring-frameworkhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado una nueva vulnerabilidad en productos de Cisco, luego de conocer que, por medio de Spring Cloud Framework, APTs (Amenaza persistente avanzada) se estaría inyectando código malicioso en la red principalmente por actores rusos y chinos.
Productos de Sonicwall pueden presentar afectaciones por RansomwareEn el monitoreo constante a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado posibles afectaciones a productos del fabricante SonicWall los cuales al encontrarse al final de su vida útil o no contar con los últimos parches de actualización, son objetivo de los ciberdelincuentes para la explotación de vulnerabilidades no corregidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/productos-de-sonicwall-pueden-presentar-afectaciones-por-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo constante a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado posibles afectaciones a productos del fabricante SonicWall los cuales al encontrarse al final de su vida útil o no contar con los últimos parches de actualización, son objetivo de los ciberdelincuentes para la explotación de vulnerabilidades no corregidas.
Proliferan variantes del ransomware Conti en el panorama de amenazasLas variantes del ransomware Conti después de la filtración de sus manuales de operación y códigos fuente continúan proliferando constantemente en la naturaleza, y es que amenazas como Monti y Putin ransomware tienen actividades latentes en el ciberespacio además de otra variante identificada recientemente como Black Hunt que emplea el protocolo RDP en su flujo de acción, para afectar a sus víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/proliferan-variantes-del-ransomware-conti-en-el-panorama-de-amenazashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las variantes del ransomware Conti después de la filtración de sus manuales de operación y códigos fuente continúan proliferando constantemente en la naturaleza, y es que amenazas como Monti y Putin ransomware tienen actividades latentes en el ciberespacio además de otra variante identificada recientemente como Black Hunt que emplea el protocolo RDP en su flujo de acción, para afectar a sus víctimas.
PromptLock: el supuesto primer ransomware impulsado por inteligencia artificialEl equipo de analistas del Csirt Financiero ha identificado a PromptLock, una familia de ransomware catalogada como la primera en utilizar inteligencia artificial dentro de su cadena de ataque, esta amenaza emplea el modelo gpt-oss:20b a través de la API de Ollama para generar dinámicamente scripts en lenguaje Lua, lo que le permite enumerar archivos, exfiltrar información y ejecutar procesos de cifrado en múltiples plataformas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/promptlock-el-supuesto-primer-ransomware-impulsado-por-inteligencia-artificialhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a PromptLock, una familia de ransomware catalogada como la primera en utilizar inteligencia artificial dentro de su cadena de ataque, esta amenaza emplea el modelo gpt-oss:20b a través de la API de Ollama para generar dinámicamente scripts en lenguaje Lua, lo que le permite enumerar archivos, exfiltrar información y ejecutar procesos de cifrado en múltiples plataformas.
Propagación de múltiples Backdoors a través de red de botsEl CSIRT Financiero a través de la búsqueda de indicadores de amenazas se detecta red de bot que distribuye 4 backdoors de diferente tipos, los cuales permite lo siguiente ejecución con propiedades root para configuración de hadware Linux, apertura de archivos con propiedades de administrador en sistemas Windows, apertura de puerta trasera para acceso remoto a sitios web y apertura de archivos asociados a ransonware Dharma, estas amenazas podrían afectar la confidencialidad, disponibilidad e integridad de la información de las entidades financieras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/propagacion-de-multiples-backdoors-a-traves-de-red-de-botshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a través de la búsqueda de indicadores de amenazas se detecta red de bot que distribuye 4 backdoors de diferente tipos, los cuales permite lo siguiente ejecución con propiedades root para configuración de hadware Linux, apertura de archivos con propiedades de administrador en sistemas Windows, apertura de puerta trasera para acceso remoto a sitios web y apertura de archivos asociados a ransonware Dharma, estas amenazas podrían afectar la confidencialidad, disponibilidad e integridad de la información de las entidades financieras.
Próximas actualizaciones de seguridad para Adobe Acrobat y Reader.Adobe planea lanzar actualizaciones de seguridad para Adobe Acrobat y Reader para Windows y macOS el martes 9 de abril de 2019.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/proximas-actualizaciones-de-seguridad-para-adobe-acrobat-y-readerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Proxyshell, vulnerabilidades RCE en servidores de Microsoft ExchangeEl equipo de analistas del Csirt Financiero ha observado tres vulnerabilidades en servidores expuestos de Microsoft Exchange que, al unirse, desencadenan la ejecución remota de código (RCE) en los servidores. A la unión de estas vulnerabilidades para este fin se le denominó Proxyshell.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/proxyshell-vulnerabilidades-rce-en-servidores-de-microsoft-exchangehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha observado tres vulnerabilidades en servidores expuestos de Microsoft Exchange que, al unirse, desencadenan la ejecución remota de código (RCE) en los servidores. A la unión de estas vulnerabilidades para este fin se le denominó Proxyshell.
Prueba de concepto para explotar vulnerabilidad crítica en WindowsEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el desarrollo de una prueba de concepto (PoC) para explotar la vulnerabilidad CVE-2021-31166 la cual cuenta con una calificación de 9.8 de severidad en la escala CVSSv3, afectando a las versiones 2004/20H2 de los sistemas operativos cliente y servidor de Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/prueba-de-concepto-para-explotar-vulnerabilidad-critica-en-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el desarrollo de una prueba de concepto (PoC) para explotar la vulnerabilidad CVE-2021-31166 la cual cuenta con una calificación de 9.8 de severidad en la escala CVSSv3, afectando a las versiones 2004/20H2 de los sistemas operativos cliente y servidor de Microsoft Windows.
Prynt Stealer implementa puertas traseras adicionalesEl activo más importante para una organización hoy en día es su información, partiendo de esa perspectiva los ciberdelincuentes tienen como principal objetivo capturar esos registros que representan una potencial recompensa económica; en la naturaleza circulan varias ciberamenazas asociadas a diversas familias de stealer entre ellos el ya conocido Prynt Stealer, respecto a este se ha descubierto que sus desarrolladores implantan puertas traseras (backdoors) en sus constructores, esto con el propósito de exfiltrar una copia de la data capturada de las víctimas obtenida en campañas desplegadas previamente empleando esta familia de malware a través de un canal de Telegram.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/prynt-stealer-implementa-puertas-traseras-adicionaleshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El activo más importante para una organización hoy en día es su información, partiendo de esa perspectiva los ciberdelincuentes tienen como principal objetivo capturar esos registros que representan una potencial recompensa económica; en la naturaleza circulan varias ciberamenazas asociadas a diversas familias de stealer entre ellos el ya conocido Prynt Stealer, respecto a este se ha descubierto que sus desarrolladores implantan puertas traseras (backdoors) en sus constructores, esto con el propósito de exfiltrar una copia de la data capturada de las víctimas obtenida en campañas desplegadas previamente empleando esta familia de malware a través de un canal de Telegram.
Publicación de parches para vulnerabilidades en WindowsEn el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado la publicación de nuevos parches de seguridad que mitigan vulnerabilidades presentadas sobre productos o servicios de Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/publicacion-de-parches-para-vulnerabilidades-en-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado la publicación de nuevos parches de seguridad que mitigan vulnerabilidades presentadas sobre productos o servicios de Microsoft Windows.
Puerta trasera difundida por el grupo BianLianMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor difundido gracias a las vulnerabilidades críticas de TeamCity.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/puerta-trasera-difundida-por-el-grupo-bianlianhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor difundido gracias a las vulnerabilidades críticas de TeamCity.
Puerta trasera diseñada para sistemas Linux y WindowsMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor llamado WogRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/puerta-trasera-disenada-para-sistemas-linux-y-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor llamado WogRAT.
Puerta Trasera GTPDOOR: amenaza sigilosa para redes de telecomunicacionesEl equipo del Csirt Financiero, en búsqueda de nuevas actividades maliciosas encontró información sobre la reciente detección de una nueva puerta trasera de Linux denominada GTPDOOR , que se dirige específicamente a los sistemas que admiten la itinerancia de datos móviles en las redes sociales de los operadores de telecomunicaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/puerta-trasera-gtpdoor-amenaza-sigilosa-para-redes-de-telecomunicacioneshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, en búsqueda de nuevas actividades maliciosas encontró información sobre la reciente detección de una nueva puerta trasera de Linux denominada GTPDOOR , que se dirige específicamente a los sistemas que admiten la itinerancia de datos móviles en las redes sociales de los operadores de telecomunicaciones.
Puerta trasera HabitsRAT ataca a distribuciones Windows y LinuxEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo Troyano de Acceso Remoto con capacidades de backdoor desarrollado en Go, el cual se dirige a infraestructura tecnológica con sistema operativo Windows y distribuciones Linux. En principio se observó una versión del malware orientada a Windows que fue detectada por primera vez en los ataques presentados en marzo a los servidores de Microsoft Exchange. Posterior a esto, se encontró otra versión dirigida a Windows, así como la versión propia para comprometer infraestructura tecnológica soportada en distribuciones Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/puerta-trasera-habitsrat-ataca-a-distribuciones-windows-y-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo Troyano de Acceso Remoto con capacidades de backdoor desarrollado en Go, el cual se dirige a infraestructura tecnológica con sistema operativo Windows y distribuciones Linux. En principio se observó una versión del malware orientada a Windows que fue detectada por primera vez en los ataques presentados en marzo a los servidores de Microsoft Exchange. Posterior a esto, se encontró otra versión dirigida a Windows, así como la versión propia para comprometer infraestructura tecnológica soportada en distribuciones Linux.
Puerta trasera WARMCOOKIE incorpora nuevas capacidadesEl equipo de analistas del Csirt Financiero ha identificado una campaña activa que utiliza la puerta trasera conocida como WARMCOOKIE, la cual ha incorporado nuevas funciones que permiten ejecutar archivos, bibliotecas y comandos en los equipos comprometidos mediante herramientas legítimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/puerta-trasera-warmcookie-incorpora-nuevas-capacidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que utiliza la puerta trasera conocida como WARMCOOKIE, la cual ha incorporado nuevas funciones que permiten ejecutar archivos, bibliotecas y comandos en los equipos comprometidos mediante herramientas legítimas.
PUMAKIT: una nueva amenaza dirigida a Sistemas LinuxDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva amenaza dirigida a sistemas Linux, conocida como PUMAKIT. Este rootkit emplea técnicas avanzadas para ocultar su presencia y garantizar su presencia en los sistemas comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/pumakit-una-nueva-amenaza-dirigida-a-sistemas-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva amenaza dirigida a sistemas Linux, conocida como PUMAKIT. Este rootkit emplea técnicas avanzadas para ocultar su presencia y garantizar su presencia en los sistemas comprometidos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}