Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
IronNetInjector nueva herramienta asociada al grupo TurlaEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero identifico una nueva herramienta desarrollada en IronPython que es usada para inyección de malware, asociada al grupo de amenazas Turla.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ironnetinjector-nueva-herramienta-asociada-al-grupo-turlahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero identifico una nueva herramienta desarrollada en IronPython que es usada para inyección de malware, asociada al grupo de amenazas Turla.
IZ1H9: La activa y peligrosa variante Mirai que amenaza la seguridad de dispositivos LinuxRecientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/iz1h9-la-activa-y-peligrosa-variante-mirai-que-amenaza-la-seguridad-de-dispositivos-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.
Jackpotting, técnica que utilizan los ciberdelincuentes para instalar malware Cutlet MakerPor medio de fuentes de información el CSIRT Financiero ha identificado nuevos detalles de la técnica conocida como Jackpotting, esta ha sido utilizada por ciberdelincuentes para obtener acceso a dispositivos ATM y dar paso a la instalación de Cutlet Maker, un malware que va dirigido a obtener la manipulación de los cajeros automáticos para lograr la expulsión de dinero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/jackpotting-tecnica-que-utilizan-los-ciberdelincuentes-para-instalar-malware-cutlet-makerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información el CSIRT Financiero ha identificado nuevos detalles de la técnica conocida como Jackpotting, esta ha sido utilizada por ciberdelincuentes para obtener acceso a dispositivos ATM y dar paso a la instalación de Cutlet Maker, un malware que va dirigido a obtener la manipulación de los cajeros automáticos para lograr la expulsión de dinero.
JasperLoaderTroyano que se distribuía a través de campañas de spam malicioso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/jasperloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Jasperloader malware bancarioSe ha detectado una nueva campaña del malware JasperLoader. Este malware se clasificaría dentro de los droppers esto es, sería el encargado de descargar otras piezas de malware. Habitualmente los droppers contienen un alto nivel de ofuscación y/o técnicas para evitar la detección por parte de motores antimalware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/jasperloader-malware-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado una nueva campaña del malware JasperLoader. Este malware se clasificaría dentro de los droppers esto es, sería el encargado de descargar otras piezas de malware. Habitualmente los droppers contienen un alto nivel de ofuscación y/o técnicas para evitar la detección por parte de motores antimalware.
Js-sniffers infectaron sitios webs de comercio electrónicoDetectores de JavaScript, un tipo de malware diseñado para robar datos de pago de clientes en tiendas en línea en la cual se investiga y que fueron infectados 2440 sitios de comercio financiero con un total de aproximadamente 1,5 millones de visitantes diarias.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/js-sniffers-infectaron-sitios-webs-de-comercio-electronicohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Detectores de JavaScript, un tipo de malware diseñado para robar datos de pago de clientes en tiendas en línea en la cual se investiga y que fueron infectados 2440 sitios de comercio financiero con un total de aproximadamente 1,5 millones de visitantes diarias.
Kaseya obtiene un descifrador universal para el Ransomware REvilEl Csirt Financiero dentro del seguimiento al compromiso en la cadena de suministro que sufrió Kaseya en su plataforma VSA el pasado 02 de julio de 2021 y que afectó a más de 200 organizaciones a nivel global, informa a nuestros asociados que recientemente Kaseya cuenta con una herramienta para el descifrado de la información víctima del Ransomware REvil.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/kaseya-obtiene-un-descifrador-universal-para-el-ransomware-revilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero dentro del seguimiento al compromiso en la cadena de suministro que sufrió Kaseya en su plataforma VSA el pasado 02 de julio de 2021 y que afectó a más de 200 organizaciones a nivel global, informa a nuestros asociados que recientemente Kaseya cuenta con una herramienta para el descifrado de la información víctima del Ransomware REvil.
Katana, nueva variante de la Botnet MiraiEn el monitoreo realizado por el equipo del Csirt Financiero se ha detectado una nueva variante de la botnet Mirai denominada Katana. Esta nueva variante se encuentra en desarrollo y se está utilizando para infectar cientos de aparatos interconectados o Internet de las Cosas (IoT) al día.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/katana-nueva-variante-de-la-botnet-miraihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se ha detectado una nueva variante de la botnet Mirai denominada Katana. Esta nueva variante se encuentra en desarrollo y se está utilizando para infectar cientos de aparatos interconectados o Internet de las Cosas (IoT) al día.
KeePass modificado empleado en distribución reciente de amenazasDurante las labores de monitoreo el equipo de analistas del Csirt Financiero identificó una nueva campaña maliciosa que involucra la distribución de una versión modificada de KeePass, un popular administrador de contraseñas de código abierto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/keepass-modificado-empleado-en-distribucion-reciente-de-amenazashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo el equipo de analistas del Csirt Financiero identificó una nueva campaña maliciosa que involucra la distribución de una versión modificada de KeePass, un popular administrador de contraseñas de código abierto.
KEKW Stealer: La nueva amenaza para la seguridad de los datosEl mundo de la ciberseguridad está constantemente en alerta ante el surgimiento de nuevas amenazas informáticas que buscan acceder a información confidencial de usuarios y empresas. Recientemente se ha detectado un nuevo stealer conocido como KEKW, el cual se presenta como un paquete de Python y tiene la capacidad de realizar múltiples acciones maliciosas en el sistema de la víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/kekw-stealer-la-nueva-amenaza-para-la-seguridad-de-los-datoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El mundo de la ciberseguridad está constantemente en alerta ante el surgimiento de nuevas amenazas informáticas que buscan acceder a información confidencial de usuarios y empresas. Recientemente se ha detectado un nuevo stealer conocido como KEKW, el cual se presenta como un paquete de Python y tiene la capacidad de realizar múltiples acciones maliciosas en el sistema de la víctima.
Kimsuky expone nuevas técnicas de acceso remoto con PebbleDashDurante el monitoreo continúo realizado por el Csirt Financiero se identificó una nueva actividad asociada al backdoor PebbleDash, activo desde 2020 y previamente vinculado al grupo APT Lazarus, el cual ha sido adoptado recientemente por el grupo Kimsukyhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/kimsuky-expone-nuevas-tecnicas-de-acceso-remoto-con-pebbledashhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo continúo realizado por el Csirt Financiero se identificó una nueva actividad asociada al backdoor PebbleDash, activo desde 2020 y previamente vinculado al grupo APT Lazarus, el cual ha sido adoptado recientemente por el grupo Kimsuky
Kit de exploits Spelevo para distribuir Ursnif y Qbot.Desde el CSIRT Financiero se ha identificado una campaña que utiliza el Kit de explotación Spelevo, el cual mediante sus capacidades de Dropper [Descargador de malware] permite la descarga del malware Ursnif y Qbot, los cuales tienen como objetivo exfiltrar información sensible de los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/kit-de-exploits-spelevo-para-distribuir-ursnif-y-qbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una campaña que utiliza el Kit de explotación Spelevo, el cual mediante sus capacidades de Dropper [Descargador de malware] permite la descarga del malware Ursnif y Qbot, los cuales tienen como objetivo exfiltrar información sensible de los equipos comprometidos.
KoiLoader: amenaza modular dirigida a sistemas WindowsDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad vinculada a KoiLoader, un loader modular empleado por actores maliciosos para distribuir y ejecutar cargas útiles adicionales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/koiloader-amenaza-modular-dirigida-a-sistemas-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad vinculada a KoiLoader, un loader modular empleado por actores maliciosos para distribuir y ejecutar cargas útiles adicionales.
Koske, nuevo malware dirigido a infraestructura LinuxDurante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de malware denominado Koske, una amenaza dirigida a sistemas Linux que destaca por emplear técnicas evasivas y persistentes para mantener su presencia en los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/koske-nuevo-malware-dirigido-a-infraestructura-linux-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de malware denominado Koske, una amenaza dirigida a sistemas Linux que destaca por emplear técnicas evasivas y persistentes para mantener su presencia en los equipos comprometidos.
Kraken ransomware: capacidades y alcance de una amenaza emergente.Durante actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad atribuida a un grupo de ransomware emergente denominado Kraken, el cual ha enfocado sus operaciones en campañas de big-game hunting, dirigiéndose a organizaciones de alto valor.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/kraken-ransomware-capacidades-y-alcance-de-una-amenaza-emergentehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad atribuida a un grupo de ransomware emergente denominado Kraken, el cual ha enfocado sus operaciones en campañas de big-game hunting, dirigiéndose a organizaciones de alto valor.
La botnet AndoryuBot: una amenaza creciente que utiliza la vulnerabilidad Ruckus para propagarseLa seguridad en línea es un tema cada vez más relevante en la actualidad, y la amenaza de ciberataques está siempre presente. En este sentido, recientemente se ha detectado una botnet única basada en el protocolo SOCKS, que se distribuye a través de la vulnerabilidad Ruckus (CVE-2023-25717). Esta botnet, conocida como AndoryuBot, contiene módulos de ataque DDoS para diferentes protocolos y se comunica con su servidor de comando y control utilizando proxies SOCKS5.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/la-botnet-andoryubot-una-amenaza-creciente-que-utiliza-la-vulnerabilidad-ruckus-para-propagarsehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad en línea es un tema cada vez más relevante en la actualidad, y la amenaza de ciberataques está siempre presente. En este sentido, recientemente se ha detectado una botnet única basada en el protocolo SOCKS, que se distribuye a través de la vulnerabilidad Ruckus (CVE-2023-25717). Esta botnet, conocida como AndoryuBot, contiene módulos de ataque DDoS para diferentes protocolos y se comunica con su servidor de comando y control utilizando proxies SOCKS5.
La botnet Fodcha continúa liberando ataques en el ciberespacioDesde mediados de enero de este año se descubrió un actor de amenazas que empleaba una botnet denominada Fodcha, desde su aparición se realizaron operaciones para derrocar la infraestructura con la que operaban estos ciberdelincuentes; no obstante, los ciberdelincuentes fingieron una derrota para implementar mejoras en sus capacidades, generando la evolución de nuevas variantes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/la-botnet-fodcha-continua-liberando-ataques-en-el-ciberespaciohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde mediados de enero de este año se descubrió un actor de amenazas que empleaba una botnet denominada Fodcha, desde su aparición se realizaron operaciones para derrocar la infraestructura con la que operaban estos ciberdelincuentes; no obstante, los ciberdelincuentes fingieron una derrota para implementar mejoras en sus capacidades, generando la evolución de nuevas variantes.
La Botnet Glupteba aumenta sus infeccionesSe conoce que Glupteba se ha encontrado activa desde 2011, desde entonces se han podido identificar aproximadamente 1 millón de infraestructuras informáticas con sistemas operativos Windows que hacen parte de esta red, así mismo, en su momento Google anunció que dio de baja a Glupteba, que fue desarrollada con el objetivo de recopilar y exfiltrar datos sensibles de los usuarios como credenciales de acceso realizar minería, implementar proxy que les permiten canalizar el tráfico de red.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/la-botnet-glupteba-aumenta-sus-infeccioneshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se conoce que Glupteba se ha encontrado activa desde 2011, desde entonces se han podido identificar aproximadamente 1 millón de infraestructuras informáticas con sistemas operativos Windows que hacen parte de esta red, así mismo, en su momento Google anunció que dio de baja a Glupteba, que fue desarrollada con el objetivo de recopilar y exfiltrar datos sensibles de los usuarios como credenciales de acceso realizar minería, implementar proxy que les permiten canalizar el tráfico de red.
La Botnet Mirai una amenaza cibernética en dispositivos IoTLa botnet Mirai, activa desde 2016, representa una amenaza cibernética de gran alcance, enfocándose en su capacidad para infectar dispositivos IoT y utilizarlos en ataques DDoS. Mirai se propaga a través de dispositivos vulnerables, convirtiéndolos en "bots" controlados por ciberdelincuentes, y ha impactado proveedores de servicios de Internet, empresas de juegos y sitios web gubernamentales, convirtiéndose en una seria preocupación para la seguridad en línea.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/la-botnet-mirai-una-amenaza-cibernetica-en-dispositivos-iothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La botnet Mirai, activa desde 2016, representa una amenaza cibernética de gran alcance, enfocándose en su capacidad para infectar dispositivos IoT y utilizarlos en ataques DDoS. Mirai se propaga a través de dispositivos vulnerables, convirtiéndolos en "bots" controlados por ciberdelincuentes, y ha impactado proveedores de servicios de Internet, empresas de juegos y sitios web gubernamentales, convirtiéndose en una seria preocupación para la seguridad en línea.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}