Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Actividad del ransomware Cuba en Colombia y América LatinaEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado durante el presente mes actividad asociada al ransomware Cuba, que puede afectar de manera indirecta al sector financiero del país.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-del-ransomware-cuba-en-colombia-y-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado durante el presente mes actividad asociada al ransomware Cuba, que puede afectar de manera indirecta al sector financiero del país.
Actividad del grupo APT Silent LibrarianEn el monitoreo realizado por el equipo del Csirt Financiero se ha identificado actividad del grupo APT Silent Librarian, también conocido como TA407. Este grupo ha registrado campañas maliciosas desde el año 2013, en las que su principal motivación es el espionaje y la exfiltración de información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-del-grupo-apt-silent-librarianhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se ha identificado actividad del grupo APT Silent Librarian, también conocido como TA407. Este grupo ha registrado campañas maliciosas desde el año 2013, en las que su principal motivación es el espionaje y la exfiltración de información.
Actividad de variantes de la Botnet MiraiEn el monitoreo realizado por el equipo del Csirt Financiero se han detectado actividad reciente de dos variantes de la botnet Mirai denominadas como Moobot y Satori.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-variantes-de-la-botnet-miraihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se han detectado actividad reciente de dos variantes de la botnet Mirai denominadas como Moobot y Satori.
Actividad de troyano Metamorfo dirigida a servicios bancarios de usuarios en línea.El equipo del Csirt Financiero a través de búsquedas e investigación en fuentes de información abierta, identificó ataques dirigidos a usuarios de la banca en línea asociados al troyano Metamorfo, la afectación de estos ataques se evidenció en algunos países de América y parte de Europa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-troyano-metamorfo-dirigida-a-servicios-bancarios-de-usuarios-en-lineahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de búsquedas e investigación en fuentes de información abierta, identificó ataques dirigidos a usuarios de la banca en línea asociados al troyano Metamorfo, la afectación de estos ataques se evidenció en algunos países de América y parte de Europa.
Actividad de Ransomware Black Basta implementa herramientas del grupo FIN7El ransomware Black Basta ha estado activo desde abril de 2022, esta amenaza implementa un modelo de ataque de doble extorsión al igual que otras operaciones de ransomware, pero en las últimas actividades se pudo observar que los actores detrás de esta amenaza se vinculan con FIN7, un grupo de hackers con motivación financiera activo desde al menos 2015 que implementan malware a dispositivos POS (point-of-sale) y lanzan ataques phishing dirigidas a cientos de empresas de todo el mundo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-ransomware-black-basta-implementa-herramientas-del-grupo-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Black Basta ha estado activo desde abril de 2022, esta amenaza implementa un modelo de ataque de doble extorsión al igual que otras operaciones de ransomware, pero en las últimas actividades se pudo observar que los actores detrás de esta amenaza se vinculan con FIN7, un grupo de hackers con motivación financiera activo desde al menos 2015 que implementan malware a dispositivos POS (point-of-sale) y lanzan ataques phishing dirigidas a cientos de empresas de todo el mundo.
Actividad de APT TA505El grupo TA505, el cual lleva realizando operaciones desde los últimos cuatro años en regiones latinoamericanas, ha llevado a cabo una campaña recientemente contra entidades italianas. Algunos de sus objetivos durante su actividad más reciente corresponden a: • Sector Financiero • Retailhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-pthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo TA505, el cual lleva realizando operaciones desde los últimos cuatro años en regiones latinoamericanas, ha llevado a cabo una campaña recientemente contra entidades italianas. Algunos de sus objetivos durante su actividad más reciente corresponden a: • Sector Financiero • Retail
Actividad de phishing dirigida a usuarios de MasterCardEn el constante monitoreo que realiza el Csirt Financiero, se ha evidenciado actividad de los ciberdelincuentes a través de la creación de sitios falsos y mensajes de correo electrónico para inducir a los usuarios de MasterCard y hacer la captura de sus datos personales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-phishing-dirigida-a-usuarios-de-mastercardhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el Csirt Financiero, se ha evidenciado actividad de los ciberdelincuentes a través de la creación de sitios falsos y mensajes de correo electrónico para inducir a los usuarios de MasterCard y hacer la captura de sus datos personales.
Actividad de nuevos indicadores de compromiso asociados al grupo TA505.Se han identificado posibles amenazas relacionadas al grupo TA505, mediante análisis de amenazas el CSIRT Financiero ha verificado una nueva actividad reciente y que estos indicadores de amenaza podrían afectar entidades de la región ya que estos indicadores podrían abrir brechas de seguridad y comprometer o exponer la integridad, confidencialidad o disponibilidad de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-nuevos-indicadores-de-compromiso-asociados-al-grupo-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han identificado posibles amenazas relacionadas al grupo TA505, mediante análisis de amenazas el CSIRT Financiero ha verificado una nueva actividad reciente y que estos indicadores de amenaza podrían afectar entidades de la región ya que estos indicadores podrían abrir brechas de seguridad y comprometer o exponer la integridad, confidencialidad o disponibilidad de la información.
Actividad de Malware NanoCore para dispositivos POSEl CSIRT Financiero a identificado actividad de Malware NanoCore dirigido a dispositivos POS (Punto De Venta), con el objetivo principal de extraer información privada la cual podría ser usada para afectar a usuarios e impactar el sector financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-malware-nanocore-para-dispositivos-de-punto-de-ventahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a identificado actividad de Malware NanoCore dirigido a dispositivos POS (Punto De Venta), con el objetivo principal de extraer información privada la cual podría ser usada para afectar a usuarios e impactar el sector financiero.
Actividad de Malware Casbaneiro que afecta a países de Latinoamérica.Investigadores de la firma ESET descubrieron actividad de malware llamado Casbaneiro y también conocido como Metamorfo que afectó a Brasil y México. La distribución de este malware se cree que se ha realizado a través de correo electrónico malicioso. Utiliza técnicas de ingeniería social con el fin de persuadir usuarios para que ingresen sus datos y poder ser utilizados por los ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-malware-casbaneiro-que-afecta-a-paises-de-latinoamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores de la firma ESET descubrieron actividad de malware llamado Casbaneiro y también conocido como Metamorfo que afectó a Brasil y México. La distribución de este malware se cree que se ha realizado a través de correo electrónico malicioso. Utiliza técnicas de ingeniería social con el fin de persuadir usuarios para que ingresen sus datos y poder ser utilizados por los ciberdelincuentes.
Actividad de LokibotEn el continuo monitoreo realizado por el Csirt Financiero, se ha identificado una nueva forma de armado del documento de Microsoft Office enviado al usuario para distribuir al troyano Lokibot. Con este nuevo método los cibercriminales explotan la vulnerabilidad identificada mediante en el CVE-2017-11882.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-lokibothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero, se ha identificado una nueva forma de armado del documento de Microsoft Office enviado al usuario para distribuir al troyano Lokibot. Con este nuevo método los cibercriminales explotan la vulnerabilidad identificada mediante en el CVE-2017-11882.
Actividad de FIN12 para distribuir ransomwareEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada al actor de amenaza FIN12 también conocido como UNC1878, para distribuir ransomware a múltiples entidades en todo el mundo. En esta oportunidad han enfocado sus objetivos al sector salud.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-fin12-para-distribuir-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada al actor de amenaza FIN12 también conocido como UNC1878, para distribuir ransomware a múltiples entidades en todo el mundo. En esta oportunidad han enfocado sus objetivos al sector salud.
Actividad de EventbotEn el monitoreo realizado por el Csirt Financiero se ha identificado actividad maliciosa relacionada con EventBot, troyano e infostealer de banca móvil que tiene como objetivo a los dispositivos con Sistema Operativo Android. Su actividad data de marzo del 2020 y se conoce que está dirigido a más de 200 aplicaciones financieras diferentes, como bancos, servicios de transferencia de dinero y carteras de dinero encriptadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-eventbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado actividad maliciosa relacionada con EventBot, troyano e infostealer de banca móvil que tiene como objetivo a los dispositivos con Sistema Operativo Android. Su actividad data de marzo del 2020 y se conoce que está dirigido a más de 200 aplicaciones financieras diferentes, como bancos, servicios de transferencia de dinero y carteras de dinero encriptadas.
Nuevas variantes de malware utilizadas por APT-C-36El grupo APT-C-36, descubierto en abril de 2018, opera específicamente en la región de Colombia y continúa activo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-apt-c-36http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Actividad de APT 28 utilizando SkinnyBoyEn el monitoreo a fuentes abiertas de información el Csirt Financiero ha identificado una nueva campaña realizada por el grupo APT 28, también conocido como Fancy Bear, en el que utilizan un nuevo malware denominado SkinnyBoy.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-apt-28-utilizando-skinnyboyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información el Csirt Financiero ha identificado una nueva campaña realizada por el grupo APT 28, también conocido como Fancy Bear, en el que utilizan un nuevo malware denominado SkinnyBoy.
Actividad Cibercriminal de HelloKitty RansomwareEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad cibercriminal de Hello Kitty Ransomware, el cual surgió a finales del año 2020. Aún no está confirmado el vector de ataque que utiliza este ransomware, pero se tiene la hipótesis de que se distribuye a través de mensajes de correo malspam.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-cibercriminal-de-hellokitty-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad cibercriminal de Hello Kitty Ransomware, el cual surgió a finales del año 2020. Aún no está confirmado el vector de ataque que utiliza este ransomware, pero se tiene la hipótesis de que se distribuye a través de mensajes de correo malspam.
Actividad asociada a GCleaner como vehículo de instalación del troyano AZORultDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad relacionada con GCleaner, una aplicación que se promociona como una herramienta de optimización para equipos Windows pero que incorpora de manera oculta el troyano AZORult.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-asociada-a-gcleaner-como-vehiculo-de-instalacion-del-troyano-azorulthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad relacionada con GCleaner, una aplicación que se promociona como una herramienta de optimización para equipos Windows pero que incorpora de manera oculta el troyano AZORult.
Actividad asociada a FIN7El CSIRT Financiero a través de su continua búsqueda de amenazas dirigidas al sector financiero, ha identificado una nueva campaña de Spear Phishing asociada al grupo de ciberdelincuentes FIN7. Este grupo identificado también como ATK32 y AG-CR1 se encuentra activo desde el año 2013, su principal motivación es de tipo económica por lo cual sus objetivos son los sectores comerciales y financieros, centran sus esfuerzos delictivos en la búsqueda de información como números de tarjetas de crédito y acceso a datos financieros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-asociada-a-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a través de su continua búsqueda de amenazas dirigidas al sector financiero, ha identificado una nueva campaña de Spear Phishing asociada al grupo de ciberdelincuentes FIN7. Este grupo identificado también como ATK32 y AG-CR1 se encuentra activo desde el año 2013, su principal motivación es de tipo económica por lo cual sus objetivos son los sectores comerciales y financieros, centran sus esfuerzos delictivos en la búsqueda de información como números de tarjetas de crédito y acceso a datos financieros.
Abuso del instalador Inno Setup en campañas de distribución de RedLine StealerDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero se detectó una campaña dirigida a la distribución del stealer RedLine, la cual se vale del uso indebido del instalador legítimo Inno Setup para insertar software malicioso en los equipos de las víctimas. Esta herramienta, reconocida por simplificar la instalación de aplicaciones en sistemas Windows, ha sido explotada por ciberdelincuentes gracias a su aspecto confiable y a las capacidades de scripting en Pascal, permitiendo encubrir componentes maliciosos dentro de instaladores que aparentan ser legítimos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/abuso-del-instalador-inno-setup-en-campanas-de-distribucion-de-redline-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero se detectó una campaña dirigida a la distribución del stealer RedLine, la cual se vale del uso indebido del instalador legítimo Inno Setup para insertar software malicioso en los equipos de las víctimas. Esta herramienta, reconocida por simplificar la instalación de aplicaciones en sistemas Windows, ha sido explotada por ciberdelincuentes gracias a su aspecto confiable y a las capacidades de scripting en Pascal, permitiendo encubrir componentes maliciosos dentro de instaladores que aparentan ser legítimos.
Abuso de RDP para ejecutar ataques de amplificación DDoSEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva campaña para perpetrar ataques DDoS, abusando del protocolo RDP cuando la autenticación se encuentra habilitada en el puerto UDP 3389.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/abuso-de-rdp-para-ejecutar-ataques-de-amplificacion-ddoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva campaña para perpetrar ataques DDoS, abusando del protocolo RDP cuando la autenticación se encuentra habilitada en el puerto UDP 3389.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}