Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Actualizaciones de seguridad para Adobe DNG, Acrobat y ReaderDentro del constante monitoreo que realiza el equipo del Csirt Financiero, se identificaron 36 vulnerabilidades en Adobe DNG, Acrobat y Reader, que podrían permitir a un ciberdelincuente la interrupción de la disponibilidad de los servicios e incluso la exfiltración de información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizaciones-de-seguridad-para-adobe-dng-acrobat-y-readerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro del constante monitoreo que realiza el equipo del Csirt Financiero, se identificaron 36 vulnerabilidades en Adobe DNG, Acrobat y Reader, que podrían permitir a un ciberdelincuente la interrupción de la disponibilidad de los servicios e incluso la exfiltración de información.
Compañía Diebold Nixdorf víctima de ransomware ProLock.En el constante monitorio que el Csirt Financiero realiza, se observó que la empresa Diebold Nixdorf, proveedora de cajeros automáticos ATM y software de pago para bancos, fue atacada con el ransomware ProLock. Según medios oficiales el ataque solo afectó la red corporativa y no afecto cajeros automáticos ni redes de clientes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/compania-diebold-nixdorf-victima-de-ransomware-prolockhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitorio que el Csirt Financiero realiza, se observó que la empresa Diebold Nixdorf, proveedora de cajeros automáticos ATM y software de pago para bancos, fue atacada con el ransomware ProLock. Según medios oficiales el ataque solo afectó la red corporativa y no afecto cajeros automáticos ni redes de clientes.
Nuevos indicadores de compromiso asociados a DridexDesde el Csirt Financiero se han identificado nuevos indicadores de compromiso asociados a una nueva campaña de malspam mediante la cual se distribuye al troyano Dridex, también conocido como Cridex, diseñado para capturar información financiera e introducir al equipo infectado en una botnet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-dridexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han identificado nuevos indicadores de compromiso asociados a una nueva campaña de malspam mediante la cual se distribuye al troyano Dridex, también conocido como Cridex, diseñado para capturar información financiera e introducir al equipo infectado en una botnet.
Actualización del ransomware SodinokibiInvestigadores han detectado una nueva actualización del ransomware Sodinokibi, consistente en el uso de la API llamada ‘Windows Restart Manager’, con el fin de cerrar o apagar los procesos de los servicios que tienen abiertos o bloqueados los archivos y así poder cifrar una mayor cantidad de archivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-del-ransomware-sodinokibihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores han detectado una nueva actualización del ransomware Sodinokibi, consistente en el uso de la API llamada ‘Windows Restart Manager’, con el fin de cerrar o apagar los procesos de los servicios que tienen abiertos o bloqueados los archivos y así poder cifrar una mayor cantidad de archivos.
Indicadores de compromiso relacionados al grupo APT Silence.El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con campañas de ataques perpetrados por el grupo cibercriminal Silence, el cual tiene como objetivo suplantar entidades financieras en mensajes de correo electrónico haciendo que los empleados de dichas entidades descarguen archivos adjuntos maliciosos y exfiltrar información financiera confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-al-grupo-apt-silencehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con campañas de ataques perpetrados por el grupo cibercriminal Silence, el cual tiene como objetivo suplantar entidades financieras en mensajes de correo electrónico haciendo que los empleados de dichas entidades descarguen archivos adjuntos maliciosos y exfiltrar información financiera confidencial.
Nueva variante de un troyano bancario de origen brasileñoDesde el Csirt Financiero se ha detectado una nueva campaña dirigida a usuarios localizados en Portugal. Dicha campaña está distribuyendo una nueva variante de un troyano bancario de origen brasileño, el cual tiene como objetivo la superposición de ventanas en el navegador del usuario para la exfiltración de las credenciales bancarias.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-un-troyano-bancario-de-origen-brasilenohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha detectado una nueva campaña dirigida a usuarios localizados en Portugal. Dicha campaña está distribuyendo una nueva variante de un troyano bancario de origen brasileño, el cual tiene como objetivo la superposición de ventanas en el navegador del usuario para la exfiltración de las credenciales bancarias.
Nuevo malware puede exfiltrar datos de sistemas Air-Gapped manipulando la fuente de poder.En el constante monitoreo que realiza el Csirt Financiero se observó un nuevo malware denominado POWER-SUPPLaY con la capacidad de exfiltrar información confidencial de equipos en sistemas Air-Gapped, manipulando la frecuencia de conmutación interna de una fuente de alimentación para reproducir sonidos y usarlo como un altavoz secundario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-puede-exfiltrar-datos-de-sistemas-air-gapped-manipulando-la-fuente-de-poderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el Csirt Financiero se observó un nuevo malware denominado POWER-SUPPLaY con la capacidad de exfiltrar información confidencial de equipos en sistemas Air-Gapped, manipulando la frecuencia de conmutación interna de una fuente de alimentación para reproducir sonidos y usarlo como un altavoz secundario.
Vulnerabilidades críticas en Oracle iPlanet Web Server 7.0.El equipo del Csirt Financiero ha identificado múltiples problemas de seguridad en servidores web iPlanet Web Server 7,0 los cuales ya no cuentan con soporte y actualmente hay 20 servidores en Colombia que ejecutan la versión afectada. Estas vulnerabilidades permiten la exposición de datos confidenciales y la inyección de imágenes para modificar los dominios web.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-criticas-en-oracle-iplanet-web-server-7-0http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado múltiples problemas de seguridad en servidores web iPlanet Web Server 7,0 los cuales ya no cuentan con soporte y actualmente hay 20 servidores en Colombia que ejecutan la versión afectada. Estas vulnerabilidades permiten la exposición de datos confidenciales y la inyección de imágenes para modificar los dominios web.
Vulnerabilidades de seguridad de SaltStack Salt en VMware vRealize Operations ManagerSe han evidenciado dos vulnerabilidades importantes de seguridad en SaltStack Salt de VMware vRealize Operations Manager, las cuales permiten el acceso sin autenticación de un agente remoto y recorrer el directorio de forma arbitraria.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-de-seguridad-de-saltstack-salt-en-vmware-vrealize-operations-managerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han evidenciado dos vulnerabilidades importantes de seguridad en SaltStack Salt de VMware vRealize Operations Manager, las cuales permiten el acceso sin autenticación de un agente remoto y recorrer el directorio de forma arbitraria.
Malware Evilnum con modificaciones para atacar al sector financieroEl equipo del Csirt Financiero ha identificado una campaña de ataques a empleados y usuarios de entidades financieras extranjeras con una versión mejorada del malware Evilnum, el cual tiene la capacidad de cargar y descargar archivos, recolectar cookies de seguimiento y ejecutar comandos arbitrarios en el equipo comprometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-evilnum-con-modificaciones-para-atacar-al-sector-financierohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una campaña de ataques a empleados y usuarios de entidades financieras extranjeras con una versión mejorada del malware Evilnum, el cual tiene la capacidad de cargar y descargar archivos, recolectar cookies de seguimiento y ejecutar comandos arbitrarios en el equipo comprometido.
Nefilim / Nephilim Ransomware, sucesor de Nemty ransomwareEl equipo del Csirt Financiero ha identificado una nueva variante de Nemty Ransomware denominado Nefilim o Nephilim Ransomware, la cual tiene por objetivo cifrar la información confidencial y exfiltrarla para extorsionar a las empresas vulneradas. En la última campaña realizada se enfocó en empresas privadas como refinerías petroleras, de ingeniería y de construcción.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nefilim-nephilim-ransomware-sucesor-de-nemty-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva variante de Nemty Ransomware denominado Nefilim o Nephilim Ransomware, la cual tiene por objetivo cifrar la información confidencial y exfiltrarla para extorsionar a las empresas vulneradas. En la última campaña realizada se enfocó en empresas privadas como refinerías petroleras, de ingeniería y de construcción.
Nueva campaña de distribución de RemcosRATReporte de un mensaje de correo electrónico, aparentemente originado por la Fundación Cielo Azul Bogotá, con el asunto “INFORMACION FUNDACION” que a través del enlace realiza la descarga de RemcosRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-remcosrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Reporte de un mensaje de correo electrónico, aparentemente originado por la Fundación Cielo Azul Bogotá, con el asunto “INFORMACION FUNDACION” que a través del enlace realiza la descarga de RemcosRAT.
Vulnerabilidades de seguridad en controladores Citrix ShareFileDentro de la constante labor investigativa que realiza el equipo del Csirt Financiero se identificaron correcciones de software emitidas por Citrix para mitigar las vulnerabilidades que afectan servicios brindados a través de sus productoshttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-de-seguridad-en-controladores-citrix-sharefilehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro de la constante labor investigativa que realiza el equipo del Csirt Financiero se identificaron correcciones de software emitidas por Citrix para mitigar las vulnerabilidades que afectan servicios brindados a través de sus productos
Servicios expuestos en ColombiaEl Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/servicios-expuestos-en-colombia-3http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.
Vulnerabilidad en IBM Java SDK afectan a Rational Service TesterEl equipo del Csirt Financiero ha identificado vulnerabilidad en IBM SDK Java Technology Edition, Versión 1.8 y IBM Runtime Environment Java Versión 1.8, utilizadas por Rational Service Tester, una herramienta de IBM para realizar servicios de prueba y comprobar la calidad de las aplicaciones con arquitectura orientada a servicios tanto en plataforma Windows como en Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-ibm-java-sdk-afectan-a-rational-service-testerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado vulnerabilidad en IBM SDK Java Technology Edition, Versión 1.8 y IBM Runtime Environment Java Versión 1.8, utilizadas por Rational Service Tester, una herramienta de IBM para realizar servicios de prueba y comprobar la calidad de las aplicaciones con arquitectura orientada a servicios tanto en plataforma Windows como en Linux.
Maze Team utiliza nuevas formas de extorsión orientada a la afectación reputacionalEn el monitoreo que realiza el equipo del Csirt Financiero ha identificado que el grupo Maze Team, ciberdelincuentes gestores del ransomware Maze, están implementando las bases de una nueva forma de extorsión a través de la afectación reputacional. Entre los meses de marzo y mayo del 2020 el grupo trató de extorsionar al Banco de Costa Rica, generando una importante afectación reputacional comunicando que había hurtado 11 millones de tarjetas de crédito de los clientes de la entidad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/maze-team-utiliza-nuevas-formas-de-extorsion-orientada-a-la-afectacion-reputacionalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero ha identificado que el grupo Maze Team, ciberdelincuentes gestores del ransomware Maze, están implementando las bases de una nueva forma de extorsión a través de la afectación reputacional. Entre los meses de marzo y mayo del 2020 el grupo trató de extorsionar al Banco de Costa Rica, generando una importante afectación reputacional comunicando que había hurtado 11 millones de tarjetas de crédito de los clientes de la entidad.
Nueva variante de malware de ATM de la familia CessoATM.Investigadores han detectado una nueva variante del malware de la familia CessoATM, en la que en este caso impacta también a cajeros automáticos del fabricante NCR. Esta familia de malware fue descubierta en marzo del 2020, cuando se verificaron unas muestras de malware no conocidas hasta la fecha en VirusTotal. Ha impactado principalmente en Brasil, pero debido a la estructura del malware se evidencia que está preparado para afectar a otros países localizados en Latinoamérica, además de Estados Unidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-malware-de-atm-de-la-familia-cessoatmhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores han detectado una nueva variante del malware de la familia CessoATM, en la que en este caso impacta también a cajeros automáticos del fabricante NCR. Esta familia de malware fue descubierta en marzo del 2020, cuando se verificaron unas muestras de malware no conocidas hasta la fecha en VirusTotal. Ha impactado principalmente en Brasil, pero debido a la estructura del malware se evidencia que está preparado para afectar a otros países localizados en Latinoamérica, además de Estados Unidos.
Vulnerabilidades de seguridad en NGINX Controller.Se detectan tres vulnerabilidades importantes de seguridad en NGINX las cuales implican problemas al desbordamiento de búfer, inicios de sesión incorrecta y permisos por defecto; la ejecución de estas amenazas puede acarrear serios problemas y comprometer en su totalidad el sistema operativo debido a la ejecución de código arbitrario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-de-seguridad-en-nginx-controllerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detectan tres vulnerabilidades importantes de seguridad en NGINX las cuales implican problemas al desbordamiento de búfer, inicios de sesión incorrecta y permisos por defecto; la ejecución de estas amenazas puede acarrear serios problemas y comprometer en su totalidad el sistema operativo debido a la ejecución de código arbitrario.
Nuevo ransomware Vcrypt, bloquea archivos utilizando 7ZipEl equipo del Csirt Financiero ha identificado un nuevo ransomware denominado Vcrypt, este malware utiliza el programa 7Zip para comprimir la información del equipo protegido mediante contraseña y luego eliminar el contenido de las carpetas originales, dejando solo las carpetas comprimidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-vcrypt-bloquea-archivos-utilizando-7ziphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado un nuevo ransomware denominado Vcrypt, este malware utiliza el programa 7Zip para comprimir la información del equipo protegido mediante contraseña y luego eliminar el contenido de las carpetas originales, dejando solo las carpetas comprimidas.
Nuevos indicadores de compromiso asociados a QakBot.El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a QakBot, el cual se distribuye a través de campañas de malspam con documentos de tipo Microsoft Word con macros maliciosas embebidas para infectar equipos evadiendo su detección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-qakbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a QakBot, el cual se distribuye a través de campañas de malspam con documentos de tipo Microsoft Word con macros maliciosas embebidas para infectar equipos evadiendo su detección.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}