Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Botnet Pgminer apunta a PostgresqlEl equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una botnet denominada PgMiner, que apunta a las bases de datos PostgreSQL sobre infraestructura con distribuciones Linux con el fin de instalar un minero de criptomonedas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-pgminer-apunta-a-postgresqlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una botnet denominada PgMiner, que apunta a las bases de datos PostgreSQL sobre infraestructura con distribuciones Linux con el fin de instalar un minero de criptomonedas.
Botnet Ipstorm afecta a Windows, distribuciones Linux, Android y MacosEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nuevas variantes de IPStorm, una botnet punto a punto (P2P) desarrollada en el lenguaje de programación Golang y detectada por primera vez en mayo de 2019. Esta botnet fue utilizada inicialmente para comprometer redes con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-ipstorm-afecta-a-windows-distribuciones-linux-android-y-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nuevas variantes de IPStorm, una botnet punto a punto (P2P) desarrollada en el lenguaje de programación Golang y detectada por primera vez en mayo de 2019. Esta botnet fue utilizada inicialmente para comprometer redes con sistema operativo Windows.
Botnet Gafgyt utilizada para ataques DDoSMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una botnet llamada Gafgyt.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-gafgyt-utilizada-para-ataques-ddoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una botnet llamada Gafgyt.
Botnet Fritzfrog afecta servidores SSHEn el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza denominada Fritzfrog, se trata de una botnet punto a punto (P2P) que ejecuta malware escrito en Golang, se ejecuta en la memoria del equipo comprometido para evitar ser detectado por los sistemas antimalware. Su principal objetivo es acceder a servidores Secure Shell (SSH) a nivel mundial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-fritzfrog-afecta-servidores-sshhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza denominada Fritzfrog, se trata de una botnet punto a punto (P2P) que ejecuta malware escrito en Golang, se ejecuta en la memoria del equipo comprometido para evitar ser detectado por los sistemas antimalware. Su principal objetivo es acceder a servidores Secure Shell (SSH) a nivel mundial.
Botnet Emotet es utilizada para distribuir cargas útiles de ransomwareEmotet fue inicialmente conocido por ser un troyano bancario, el cual es atribuido al grupo de ciberdelincuentes llamados Mummy Spider (también conocidos como TA542). Con el pasar del tiempo, esta familia de malware ha tomado relevancia en el ámbito del ciberespacio, afectando a organizaciones y entidades de alto nivel en todo el mundo; actualmente, este se ha convertido en una botnet que es utilizada para entregar cargas útiles de segunda etapa de diversos tipos de malware que tienen como objetivo, la recopilación de datos sensibles de infraestructuras tecnológicas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-emotet-es-utilizada-para-distribuir-cargas-utiles-de-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Emotet fue inicialmente conocido por ser un troyano bancario, el cual es atribuido al grupo de ciberdelincuentes llamados Mummy Spider (también conocidos como TA542). Con el pasar del tiempo, esta familia de malware ha tomado relevancia en el ámbito del ciberespacio, afectando a organizaciones y entidades de alto nivel en todo el mundo; actualmente, este se ha convertido en una botnet que es utilizada para entregar cargas útiles de segunda etapa de diversos tipos de malware que tienen como objetivo, la recopilación de datos sensibles de infraestructuras tecnológicas.
Botnet Echobot implementa nuevas vulnerabilidades.Echobot es una reconocida variante de la Botnet Mirai. Sus intereses se centran en el aprovechamiento de vulnerabilidades antiguas como recientes. Actualmente, esta botnet, ha reaparecido en internet con nuevas vulnerabilidades que permiten afectar gran diversidad dispositivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-echobot-implementa-nuevas-vulnerabilidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Echobot es una reconocida variante de la Botnet Mirai. Sus intereses se centran en el aprovechamiento de vulnerabilidades antiguas como recientes. Actualmente, esta botnet, ha reaparecido en internet con nuevas vulnerabilidades que permiten afectar gran diversidad dispositivos.
Botnet DreamBus dirige sus ataques a sistemas basados en LinuxEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la ejecución de nuevos ciberataques encargados de distribuir la botnet DreamBus que compromete servidores web con distribuciones Linux y que cuenten con gran capacidad de recursos de hardware. Una vez logran acceder a la infraestructura, los servidores se ven comprometidos con la ejecución del minero de criptomonedas XMRig, además sacan provecho de los servidores comprometidos para hacerlos parte de la botnet e intentar propagarse hacía otra infraestructura tecnológica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-dreambus-dirige-sus-ataques-a-sistemas-basados-en-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la ejecución de nuevos ciberataques encargados de distribuir la botnet DreamBus que compromete servidores web con distribuciones Linux y que cuenten con gran capacidad de recursos de hardware. Una vez logran acceder a la infraestructura, los servidores se ven comprometidos con la ejecución del minero de criptomonedas XMRig, además sacan provecho de los servidores comprometidos para hacerlos parte de la botnet e intentar propagarse hacía otra infraestructura tecnológica.
Botnet DreamBus apunta a aplicaciones ejecutadas en servidores LinuxEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una botnet denominada DreamBus que enfoca sus esfuerzos hacia aplicaciones empresariales como PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack y el servicio SSH. DreamBus explota debilidades en el sistema como; contraseñas débiles, ejecución remota de código no autenticado (RCE) en aplicaciones como SSH, herramientas en la nube o las relacionadas con bases de datos para vulnerar el sistema. De su procedencia se cree que es oriunda de Rusia o Europa del Este por los horarios en los cuales se despliegan sus actividades maliciosas. El componente principal de esta Botnet es un binario ELF (formato de archivo para ejecutables) responsable de preparar el entorno, duplicación de la amenaza en los sistemas afectados y liberación de XMRig para extraer la criptomoneda Monero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-dreambus-apunta-a-aplicaciones-ejecutadas-en-servidores-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una botnet denominada DreamBus que enfoca sus esfuerzos hacia aplicaciones empresariales como PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack y el servicio SSH. DreamBus explota debilidades en el sistema como; contraseñas débiles, ejecución remota de código no autenticado (RCE) en aplicaciones como SSH, herramientas en la nube o las relacionadas con bases de datos para vulnerar el sistema. De su procedencia se cree que es oriunda de Rusia o Europa del Este por los horarios en los cuales se despliegan sus actividades maliciosas. El componente principal de esta Botnet es un binario ELF (formato de archivo para ejecutables) responsable de preparar el entorno, duplicación de la amenaza en los sistemas afectados y liberación de XMRig para extraer la criptomoneda Monero.
Botnet diseñada para filtrar credenciales de AWS y MicrosoftMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet llamada Androxgh0st.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-disenada-para-filtrar-credenciales-de-aws-y-microsofthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet llamada Androxgh0st.
Botnet Devil Shadow distribuido en instalador de Zoom.El equipo del Csirt Financiero ha evidenciado cómo los ciberdelincuentes aprovechan aplicaciones de videoconferencia como Zoom para distribuir malware en sus instaladores. La muestra analizada por el equipo del Csirt, la instalación de la herramienta ha evidenciado el compromiso del equipo en la botnet Devil Shadow; permitiendo al ciberdelincuente tomar el control del equipo mediante acceso remoto y exfiltrar información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-devil-shadow-distribuido-en-instalador-de-zoomhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado cómo los ciberdelincuentes aprovechan aplicaciones de videoconferencia como Zoom para distribuir malware en sus instaladores. La muestra analizada por el equipo del Csirt, la instalación de la herramienta ha evidenciado el compromiso del equipo en la botnet Devil Shadow; permitiendo al ciberdelincuente tomar el control del equipo mediante acceso remoto y exfiltrar información confidencial.
Botnet DDG utiliza servidores Linux para minar CriptomonedasEl equipo del Csirt Financiero ha identificado una nueva amenaza que afecta a distribuciones Linux, se trata de la botnet DDG, la cual accede a los equipos mediante unos servicios utilizando fuerza bruta en contraseñas débiles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-ddg-utiliza-servidores-linux-para-minar-criptomonedashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva amenaza que afecta a distribuciones Linux, se trata de la botnet DDG, la cual accede a los equipos mediante unos servicios utilizando fuerza bruta en contraseñas débiles.
Botnet criptominero LemonDuck apunta a sistemas Windows y LinuxEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa relacionada a una botnet de criptominería, denominado “LemonDuck”, diseñado para explotar vulnerabilidades en sistemas operativos Windows y distribuciones Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-criptominero-lemonduck-apunta-a-sistemas-windows-y-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa relacionada a una botnet de criptominería, denominado “LemonDuck”, diseñado para explotar vulnerabilidades en sistemas operativos Windows y distribuciones Linux.
Botnet Bigviktor aprovecha vulnerabilidad en routers DrayTekEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la Botnet denominada Bigviktor que se propaga a través de la vulnerabilidad CVE-2020-8515, que expone a los dispositivos DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta y Vigor300B 1.3.3_Beta, 1.4.2.1_Beta y 1.4.4_Beta, a la ejecución remota de código como root sin autenticación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-bigviktor-aprovecha-vulnerabilidad-en-routers-draytekhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la Botnet denominada Bigviktor que se propaga a través de la vulnerabilidad CVE-2020-8515, que expone a los dispositivos DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta y Vigor300B 1.3.3_Beta, 1.4.2.1_Beta y 1.4.4_Beta, a la ejecución remota de código como root sin autenticación.
Botnet basada en Mirai está explotando la vulnerabilidad de Spring4ShellA través de actividades de monitoreo realizadas a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una explotación activa de la vulnerabilidad sobre Spring4Shell, que permite a los ciberdelincuentes distribuir y ejecutar la Bonet Mirai.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-basada-en-mirai-esta-explotando-la-vulnerabilidad-de-spring4shellhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una explotación activa de la vulnerabilidad sobre Spring4Shell, que permite a los ciberdelincuentes distribuir y ejecutar la Bonet Mirai.
Bot se encuentra realizando ataques distribuidos de denegación de servicio a servidores MySQLMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un Bot llamado Ddostf.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/bot-se-encuentra-realizando-ataques-distribuidos-de-denegacion-de-servicio-a-servidores-mysqlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un Bot llamado Ddostf.
Bootkit ESPecter afecta al arranque de sistemas operativos WindowsEn el monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios o el sector, el Csirt Financiero ha identificado un Bootkit denominado ESPecter el cual ha presentado actividad desde el 2012 y presentando actualizaciones a sus mecanismos, permitiendo afectar a un equipo comprometiendo los controladores de arranque empleados por el sistema operativo Windows en sus sistemas ya sean Heredado (Legacy) o UEFI (Unified Extensible Firmware Interface).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/bootkit-especter-afecta-al-arranque-de-sistemas-operativos-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios o el sector, el Csirt Financiero ha identificado un Bootkit denominado ESPecter el cual ha presentado actividad desde el 2012 y presentando actualizaciones a sus mecanismos, permitiendo afectar a un equipo comprometiendo los controladores de arranque empleados por el sistema operativo Windows en sus sistemas ya sean Heredado (Legacy) o UEFI (Unified Extensible Firmware Interface).
Bondnet establece entornos RDP inversosMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva función de la botnet llamada Bondnet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/bondnet-establece-entornos-rdp-inversoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva función de la botnet llamada Bondnet.
BlueNoroff lanza nuevas campañas GhostCall y GhostHire con capacidades multiplataformaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente atribuida al grupo BlueNoroff (también referido en la literatura como Sapphire Sleet, APT38, Alluring Pisces, Stardust Chollima y TA444).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/bluenoroff-lanza-nuevas-campanas-ghostcall-y-ghosthire-con-capacidades-multiplataformahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente atribuida al grupo BlueNoroff (también referido en la literatura como Sapphire Sleet, APT38, Alluring Pisces, Stardust Chollima y TA444).
BlindEagle ataca el sector financiero de Colombia con BlotchyQuasarMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que afecta el sector financiero de Colombia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/blindeagle-ataca-el-sector-financiero-de-colombia-con-blotchyquasarhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que afecta el sector financiero de Colombia.
Blind Eagle mantiene una activa campaña maliciosa en contra de entidades colombianasEl grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle, ha estado desplegando campañas en Colombia desde 2019. Comúnmente utilizan correos electrónicos tipo phishing para dirigirse a entidades específicas y estratégicas en sectores clave, incluyendo salud, finanzas, judiciales, gubernamentales, entre otros. Además, también se han descubierto campañas dirigidas a Ecuador, Chile y España.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/blind-eagle-mantiene-una-activa-campana-maliciosa-en-contra-de-entidades-colombianashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle, ha estado desplegando campañas en Colombia desde 2019. Comúnmente utilizan correos electrónicos tipo phishing para dirigirse a entidades específicas y estratégicas en sectores clave, incluyendo salud, finanzas, judiciales, gubernamentales, entre otros. Además, también se han descubierto campañas dirigidas a Ecuador, Chile y España.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}