Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
0pach PRO lanza programa de microparches para vulnerabilidades de día cero en Windows0pach produjo tres parches de día cero estos son una solución que permite corregir vulnerabilidades de software en varios productos de código cerrado, es una solución ligera y simple ya que la implementación de parches es muy rápida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/0pach-pro-lanza-programa-de-microparches-para-vulnerabilidades-de-dia-cero-en-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
0pach produjo tres parches de día cero estos son una solución que permite corregir vulnerabilidades de software en varios productos de código cerrado, es una solución ligera y simple ya que la implementación de parches es muy rápida.
1More un ransomware basado en VoidCryptEl panorama en la naturaleza de amenazas presentes en el ciberespacio continúa ampliándose cada vez más, en ese orden de ideas el ransomware hace parte de la superficie de ataque más empleada por ciberdelincuentes puesto que es un negocio rentable para estos actores; con base a lo anterior se ha detectado una variante de la familia de ransomware denominada VoidCrypt cuyo código está disponible en la Darknet, esta nueva amenaza ha sido denominado 1More.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/1more-un-ransomware-basado-en-voidcrypthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama en la naturaleza de amenazas presentes en el ciberespacio continúa ampliándose cada vez más, en ese orden de ideas el ransomware hace parte de la superficie de ataque más empleada por ciberdelincuentes puesto que es un negocio rentable para estos actores; con base a lo anterior se ha detectado una variante de la familia de ransomware denominada VoidCrypt cuyo código está disponible en la Darknet, esta nueva amenaza ha sido denominado 1More.
A través de sitios web de descarga de software son distribuidas familias de malware tipo stealerEs evidente que en el ámbito del ciberespacio los actores de amenaza mantienen en constantes actualizaciones de nuevas técnicas y tácticas con las que intentan impactar entidades y organizaciones mediante nuevos métodos de distribución para que llegar afectar y generar ataques elaborados contra la infraestructura de las entidades; el equipo de analistas del Csirt identifico una nueva campaña de distribución por medio de sitios web de descarga de software donde se está implantando Redline Stealer y RecordBreaker Stealer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/a-traves-de-sitios-web-de-descarga-de-software-son-distribuidas-familias-de-malware-tipo-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es evidente que en el ámbito del ciberespacio los actores de amenaza mantienen en constantes actualizaciones de nuevas técnicas y tácticas con las que intentan impactar entidades y organizaciones mediante nuevos métodos de distribución para que llegar afectar y generar ataques elaborados contra la infraestructura de las entidades; el equipo de analistas del Csirt identifico una nueva campaña de distribución por medio de sitios web de descarga de software donde se está implantando Redline Stealer y RecordBreaker Stealer.
Abuso de macros Excel 4.0 para distribuir malwareEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso IoC asociados al abuso de macros en Excel en versión 4.0 que data de 1992 y el cual utiliza XML como lenguaje de secuencia de comandos. Dichas macros han venido siendo utilizadas con gran frecuencia para distribuir malware que compromete principalmente sistemas operativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/abuso-de-macros-excel-4-0-para-distribuir-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso IoC asociados al abuso de macros en Excel en versión 4.0 que data de 1992 y el cual utiliza XML como lenguaje de secuencia de comandos. Dichas macros han venido siendo utilizadas con gran frecuencia para distribuir malware que compromete principalmente sistemas operativos Windows.
Abuso de MSI de Windows InstallerWindows installer utiliza archivos de paquete (MSI) para instalar programas. Cada archivo de paquete tiene una base de datos de tipo relacional que contiene instrucciones y datos necesarios para instalar o desinstalar programas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/abuso-de-msi-de-windows-installerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Windows installer utiliza archivos de paquete (MSI) para instalar programas. Cada archivo de paquete tiene una base de datos de tipo relacional que contiene instrucciones y datos necesarios para instalar o desinstalar programas.
Abuso de RDP para ejecutar ataques de amplificación DDoSEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva campaña para perpetrar ataques DDoS, abusando del protocolo RDP cuando la autenticación se encuentra habilitada en el puerto UDP 3389.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/abuso-de-rdp-para-ejecutar-ataques-de-amplificacion-ddoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva campaña para perpetrar ataques DDoS, abusando del protocolo RDP cuando la autenticación se encuentra habilitada en el puerto UDP 3389.
Abuso del instalador Inno Setup en campañas de distribución de RedLine StealerDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero se detectó una campaña dirigida a la distribución del stealer RedLine, la cual se vale del uso indebido del instalador legítimo Inno Setup para insertar software malicioso en los equipos de las víctimas. Esta herramienta, reconocida por simplificar la instalación de aplicaciones en sistemas Windows, ha sido explotada por ciberdelincuentes gracias a su aspecto confiable y a las capacidades de scripting en Pascal, permitiendo encubrir componentes maliciosos dentro de instaladores que aparentan ser legítimos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/abuso-del-instalador-inno-setup-en-campanas-de-distribucion-de-redline-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero se detectó una campaña dirigida a la distribución del stealer RedLine, la cual se vale del uso indebido del instalador legítimo Inno Setup para insertar software malicioso en los equipos de las víctimas. Esta herramienta, reconocida por simplificar la instalación de aplicaciones en sistemas Windows, ha sido explotada por ciberdelincuentes gracias a su aspecto confiable y a las capacidades de scripting en Pascal, permitiendo encubrir componentes maliciosos dentro de instaladores que aparentan ser legítimos.
Actividad asociada a FIN7El CSIRT Financiero a través de su continua búsqueda de amenazas dirigidas al sector financiero, ha identificado una nueva campaña de Spear Phishing asociada al grupo de ciberdelincuentes FIN7. Este grupo identificado también como ATK32 y AG-CR1 se encuentra activo desde el año 2013, su principal motivación es de tipo económica por lo cual sus objetivos son los sectores comerciales y financieros, centran sus esfuerzos delictivos en la búsqueda de información como números de tarjetas de crédito y acceso a datos financieros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-asociada-a-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a través de su continua búsqueda de amenazas dirigidas al sector financiero, ha identificado una nueva campaña de Spear Phishing asociada al grupo de ciberdelincuentes FIN7. Este grupo identificado también como ATK32 y AG-CR1 se encuentra activo desde el año 2013, su principal motivación es de tipo económica por lo cual sus objetivos son los sectores comerciales y financieros, centran sus esfuerzos delictivos en la búsqueda de información como números de tarjetas de crédito y acceso a datos financieros.
Actividad asociada a GCleaner como vehículo de instalación del troyano AZORultDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad relacionada con GCleaner, una aplicación que se promociona como una herramienta de optimización para equipos Windows pero que incorpora de manera oculta el troyano AZORult.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-asociada-a-gcleaner-como-vehiculo-de-instalacion-del-troyano-azorulthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad relacionada con GCleaner, una aplicación que se promociona como una herramienta de optimización para equipos Windows pero que incorpora de manera oculta el troyano AZORult.
Actividad Cibercriminal de HelloKitty RansomwareEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad cibercriminal de Hello Kitty Ransomware, el cual surgió a finales del año 2020. Aún no está confirmado el vector de ataque que utiliza este ransomware, pero se tiene la hipótesis de que se distribuye a través de mensajes de correo malspam.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-cibercriminal-de-hellokitty-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad cibercriminal de Hello Kitty Ransomware, el cual surgió a finales del año 2020. Aún no está confirmado el vector de ataque que utiliza este ransomware, pero se tiene la hipótesis de que se distribuye a través de mensajes de correo malspam.
Actividad de APT 28 utilizando SkinnyBoyEn el monitoreo a fuentes abiertas de información el Csirt Financiero ha identificado una nueva campaña realizada por el grupo APT 28, también conocido como Fancy Bear, en el que utilizan un nuevo malware denominado SkinnyBoy.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-apt-28-utilizando-skinnyboyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información el Csirt Financiero ha identificado una nueva campaña realizada por el grupo APT 28, también conocido como Fancy Bear, en el que utilizan un nuevo malware denominado SkinnyBoy.
Actividad de APT TA505El grupo TA505, el cual lleva realizando operaciones desde los últimos cuatro años en regiones latinoamericanas, ha llevado a cabo una campaña recientemente contra entidades italianas. Algunos de sus objetivos durante su actividad más reciente corresponden a: • Sector Financiero • Retailhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-pthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo TA505, el cual lleva realizando operaciones desde los últimos cuatro años en regiones latinoamericanas, ha llevado a cabo una campaña recientemente contra entidades italianas. Algunos de sus objetivos durante su actividad más reciente corresponden a: • Sector Financiero • Retail
Actividad de EventbotEn el monitoreo realizado por el Csirt Financiero se ha identificado actividad maliciosa relacionada con EventBot, troyano e infostealer de banca móvil que tiene como objetivo a los dispositivos con Sistema Operativo Android. Su actividad data de marzo del 2020 y se conoce que está dirigido a más de 200 aplicaciones financieras diferentes, como bancos, servicios de transferencia de dinero y carteras de dinero encriptadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-eventbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado actividad maliciosa relacionada con EventBot, troyano e infostealer de banca móvil que tiene como objetivo a los dispositivos con Sistema Operativo Android. Su actividad data de marzo del 2020 y se conoce que está dirigido a más de 200 aplicaciones financieras diferentes, como bancos, servicios de transferencia de dinero y carteras de dinero encriptadas.
Actividad de FIN12 para distribuir ransomwareEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada al actor de amenaza FIN12 también conocido como UNC1878, para distribuir ransomware a múltiples entidades en todo el mundo. En esta oportunidad han enfocado sus objetivos al sector salud.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-fin12-para-distribuir-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada al actor de amenaza FIN12 también conocido como UNC1878, para distribuir ransomware a múltiples entidades en todo el mundo. En esta oportunidad han enfocado sus objetivos al sector salud.
Actividad de LokibotEn el continuo monitoreo realizado por el Csirt Financiero, se ha identificado una nueva forma de armado del documento de Microsoft Office enviado al usuario para distribuir al troyano Lokibot. Con este nuevo método los cibercriminales explotan la vulnerabilidad identificada mediante en el CVE-2017-11882.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-lokibothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero, se ha identificado una nueva forma de armado del documento de Microsoft Office enviado al usuario para distribuir al troyano Lokibot. Con este nuevo método los cibercriminales explotan la vulnerabilidad identificada mediante en el CVE-2017-11882.
Actividad de Malware Casbaneiro que afecta a países de Latinoamérica.Investigadores de la firma ESET descubrieron actividad de malware llamado Casbaneiro y también conocido como Metamorfo que afectó a Brasil y México. La distribución de este malware se cree que se ha realizado a través de correo electrónico malicioso. Utiliza técnicas de ingeniería social con el fin de persuadir usuarios para que ingresen sus datos y poder ser utilizados por los ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-malware-casbaneiro-que-afecta-a-paises-de-latinoamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores de la firma ESET descubrieron actividad de malware llamado Casbaneiro y también conocido como Metamorfo que afectó a Brasil y México. La distribución de este malware se cree que se ha realizado a través de correo electrónico malicioso. Utiliza técnicas de ingeniería social con el fin de persuadir usuarios para que ingresen sus datos y poder ser utilizados por los ciberdelincuentes.
Actividad de Malware NanoCore para dispositivos POSEl CSIRT Financiero a identificado actividad de Malware NanoCore dirigido a dispositivos POS (Punto De Venta), con el objetivo principal de extraer información privada la cual podría ser usada para afectar a usuarios e impactar el sector financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-malware-nanocore-para-dispositivos-de-punto-de-ventahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a identificado actividad de Malware NanoCore dirigido a dispositivos POS (Punto De Venta), con el objetivo principal de extraer información privada la cual podría ser usada para afectar a usuarios e impactar el sector financiero.
Actividad de nuevos indicadores de compromiso asociados al grupo TA505.Se han identificado posibles amenazas relacionadas al grupo TA505, mediante análisis de amenazas el CSIRT Financiero ha verificado una nueva actividad reciente y que estos indicadores de amenaza podrían afectar entidades de la región ya que estos indicadores podrían abrir brechas de seguridad y comprometer o exponer la integridad, confidencialidad o disponibilidad de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-nuevos-indicadores-de-compromiso-asociados-al-grupo-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han identificado posibles amenazas relacionadas al grupo TA505, mediante análisis de amenazas el CSIRT Financiero ha verificado una nueva actividad reciente y que estos indicadores de amenaza podrían afectar entidades de la región ya que estos indicadores podrían abrir brechas de seguridad y comprometer o exponer la integridad, confidencialidad o disponibilidad de la información.
Actividad de phishing dirigida a usuarios de MasterCardEn el constante monitoreo que realiza el Csirt Financiero, se ha evidenciado actividad de los ciberdelincuentes a través de la creación de sitios falsos y mensajes de correo electrónico para inducir a los usuarios de MasterCard y hacer la captura de sus datos personales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-phishing-dirigida-a-usuarios-de-mastercardhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el Csirt Financiero, se ha evidenciado actividad de los ciberdelincuentes a través de la creación de sitios falsos y mensajes de correo electrónico para inducir a los usuarios de MasterCard y hacer la captura de sus datos personales.
Actividad de Ransomware Black Basta implementa herramientas del grupo FIN7El ransomware Black Basta ha estado activo desde abril de 2022, esta amenaza implementa un modelo de ataque de doble extorsión al igual que otras operaciones de ransomware, pero en las últimas actividades se pudo observar que los actores detrás de esta amenaza se vinculan con FIN7, un grupo de hackers con motivación financiera activo desde al menos 2015 que implementan malware a dispositivos POS (point-of-sale) y lanzan ataques phishing dirigidas a cientos de empresas de todo el mundo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-ransomware-black-basta-implementa-herramientas-del-grupo-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Black Basta ha estado activo desde abril de 2022, esta amenaza implementa un modelo de ataque de doble extorsión al igual que otras operaciones de ransomware, pero en las últimas actividades se pudo observar que los actores detrás de esta amenaza se vinculan con FIN7, un grupo de hackers con motivación financiera activo desde al menos 2015 que implementan malware a dispositivos POS (point-of-sale) y lanzan ataques phishing dirigidas a cientos de empresas de todo el mundo.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}