-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Un nuevo brote de ransomware denominado Somnia
Publicado: 12/11/2022 | Importancia: Media
Los actores de amenaza rusos suelen estar ligados con la creación de nuevas familias de malware dentro del panorama de amenazas, especialmente han estado activos en el ciberespacio a razón del conflicto que existe con Ucrania y sus aliados; es así como algunos grupos de hacktivistas rusos se involucran en la ciberguerra que se lidia actualmente, para lo cual crean nuevas herramientas que impacten eficientemente las infraestructuras tecnológicas de sus objetivos, de ahí que recientemente se descubriera una nueva cepa de ransomware denominada Somnia.
Nueva actividad relacionada con los ransomware Inlock y Xorist
Publicado: 11/11/2022 | Importancia: Media
Los actores de amenaza continúan empleando el ransomware como uno de los medios para generar ganancias económicas de ahí que el aumento de infecciones por esta amenaza se vea constantemente en el ciberespacio.
Nuevas actividades del troyano bancario Xenomorph.
Publicado: 10/11/2022 | Importancia: Media
Nuevo Stealer denominado Strela orientado a la exfiltración de credenciales de acceso
Publicado: 10/11/2022 | Importancia: Media
Recientemente se ha identificado un nuevo Stealer denominado Strela; enfocado en la captura y exfiltración de información asociada a las credenciales de acceso de las cuentas de correo electrónico de Outlook y Thunderbird, los cuales son altamente utilizados por usuarios y organizaciones a nivel mundial.
IceXLoader retorna con una nueva actualización
Publicado: 09/11/2022 | Importancia: Media
IceXLoader es conocido en el ecosistema de ciberseguridad por ser utilizado como un cargador que implementa diversas familias de malware en las campañas maliciosas de los ciberdelincuentes; además, es distribuido a través de foros clandestinos de la Deep y Dark web por el precio de 118 dólares, otorgando una licencia de por vida, lo cual permite que los usuarios puedan usarlo las veces que lo requieran. Anteriormente, se había evidenciado que en su versión 3.0 se encontraba en fase de desarrollo al observar sus comportamientos y actividades.
Dagon Locker evoluciona y cambia su nombre a Dagon Ransomware
Publicado: 08/11/2022 | Importancia: Media
Se conoce que Dagon Ransomware es una variante de Mount Locker ransomware, sin embargo, ha sido capacitado con nuevas herramientas que lo hacen más efectivo en la ejecución de sus actividades maliciosas dentro de las infraestructuras comprometidas; durante su proceso de cifrado manipula los archivos y les agrega la extensión .dagoned, con el objetivo de inhabilitar el acceso a estos por parte de sus víctimas, posteriormente genera una nota de rescate denominada README_TO_DECRYPT.html donde se incluyen las instrucciones que conllevan a recuperar la información comprometida por los cibercriminales a través de esta amenaza.
Surge el nuevo ransomware Killnet
Publicado: 08/11/2022 | Importancia: Media
El ransomware es una de las amenazas más persistentes en la superficie de ataque empleada actualmente por los ciberdelincuentes, dado que logra impactar de manera significativa una organización; las razones que tienen sus autores suelen ser orientadas a un beneficio monetario y en otros casos impulsados por causas sociales o por intereses políticos de sus países de origen.
Nuevas actividades, procesos y artefactos asociados al troyano de acceso remoto Mikey
Publicado: 07/11/2022 | Importancia: Media
Recientemente se han identificado nuevas actividades asociadas a la amenaza Mikey, troyano de acceso remoto sigiloso que realiza procesos que le permiten generar persistencia al almacenar múltiples artefactos maliciosos en diversas rutas del sistema operativo, generar conexiones externas con su comando y control (C2), captura de pulsaciones de teclas (keylogger), descarga e instalación de archivos u otras familias de malware, finalización de tareas, ataques de denegación de servicio (DoS), recopilación y exfiltración de información sensible alojada en las infraestructuras tecnológicas comprometidas.
Nueva actividad maliciosa del troyano bancario Vultur
Publicado: 07/11/2022 | Importancia: Media
Recientemente se ha evidenciado un aumento significativo en el número de campañas maliciosas que tienen como objetivo capturar información sensible relacionada al sector financiero, donde los actores de amenaza enmarcaran las cargas útiles de troyanos bancarios en aplicaciones supuestamente legitimas.
Nuevas campañas del troyano bancario Hydra apuntan a entidades de Latinoamérica.
Publicado: 06/11/2022 | Importancia: Media
En el monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad realizada por el troyano bancario Hydra donde implementaron múltiples entidades y plataformas de “exchange” de criptomonedas, haciendo posible el robo de las cuentas de los usuarios e incluso wallets (billetera electrónica para guardar dinero, tarjetas de crédito/debito, etc).
Continúa proliferando el ransomware Magniber en la naturaleza
Publicado: 06/11/2022 | Importancia: Media
El ransomware Magniber apareció en la naturaleza desde 2017, desde ese entonces había mantenido un periodo activo en sus inicios, después mantuvo una actividad poco visible en la superficie de ataque implementada por ciberdelincuentes; sin embargo, en las actualizaciones que implementaron sus autores en este año, aumentó considerablemente la cantidad de ataques cibernéticos que distribuyen esta amenaza.
Nuevo troyano bancario denominado Android Fakecalls
Publicado: 06/11/2022 | Importancia: Media
Recientemente se ha identificado un nuevo troyano bancario denominado Android Fakecalls, el cual se destaca por redirigir las llamadas de las víctimas a números telefónicos que son controlados por los actores de amenaza, donde estos fingen ser funcionarios de entidades bancarias para recopilar información confidencial de las mencionadas.
Robin Banks retorna con nuevas funcionalidades y características
Publicado: 06/11/2022 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se encontró que la plataforma de phishing como servicio (PhaaS) Robin Banks retornó sus operaciones, utilizando una infraestructura de una empresa de internet rusa que brinda servicios de protección contra ataques DDoS.
Nueva actividad del troyano bancario Ponteiro apunta a entidades de Latinoamérica
Publicado: 05/11/2022 | Importancia: Media
Los actores de amenazas detrás de la operación de las distintas campañas del troyano bancario Ponteiro habían cesado su actividad desde hacía unos meses, no obstante, estos atacantes durante ese periodo actualizaron sus estrategias de ataque para dirigirse a nuevas entidades financieras de Latinoamérica; esta amenaza apareció en la naturaleza desde 2018 desde aquel entonces ha impactado usuarios de Brasil, México y recientemente en Perú.
Nueva actividad maliciosa de SmokeLoader
Publicado: 04/11/2022 | Importancia: Media
Recientemente se ha identificado nueva actividad maliciosa asociada a SmokeLoader, el cual está siendo utilizado para distribuir diversas familias de malware, entre las cuales destaca SystemBC RAT, ReccordBreaker (también conocido como Raccon Stealer 2.0) y Laplas Clipper.
Actividad de Ransomware Black Basta implementa herramientas del grupo FIN7
Publicado: 03/11/2022 | Importancia: Media
El ransomware Black Basta ha estado activo desde abril de 2022, esta amenaza implementa un modelo de ataque de doble extorsión al igual que otras operaciones de ransomware, pero en las últimas actividades se pudo observar que los actores detrás de esta amenaza se vinculan con FIN7, un grupo de hackers con motivación financiera activo desde al menos 2015 que implementan malware a dispositivos POS (point-of-sale) y lanzan ataques phishing dirigidas a cientos de empresas de todo el mundo.
Reciente actividad de la Botnet Emotet se distribuye a nivel global.
Publicado: 02/11/2022 | Importancia: Media
El equipo de analista del Csirt Financiero realizó un monitoreo de ultimas actividades maliciosas que puedan llegar afectar la infraestructura y pilares de la información de nuestros asociados, donde se observó nuevo movimiento de la botnet Emotet.
Nuevo ransomware denominado Gwisin
Publicado: 01/11/2022 | Importancia: Media
En el ecosistema de ciberseguridad, es frecuente evidenciar que los actores de amenaza aprovechen cualquier tipo de vulnerabilidad y/o brecha de seguridad, presentada en aplicaciones, servicios y/o plataformas alojadas en internet; esto con el propósito de implementar alguna familia de malware en la infraestructura tecnológica objetivo y así, afectar la seguridad de la información de dicha organización.
Un nuevo wiper denominado Azov aparece en la naturaleza
Publicado: 01/11/2022 | Importancia: Media
Los ciberataques se han reproducido de manera exponencial durante los últimos meses de ahí que surjan nuevas amenazas en la naturaleza, justamente recientemente se descubrió un destructivo wiper denominado Azov que se distribuye activamente a nivel global; la campaña en curso ha logrado impactar distintas organizaciones cifrando y eliminando su información, no obstante, la criticidad de ser infectado con Azov es que los actores de amenaza no asociaron ningún medio de comunicación.
Nueva actividad del troyano Amadey implementa ransomware LockBit.
Publicado: 01/11/2022 | Importancia: Media
En el monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que realizo el troyano Amadey en el cual están implementando el ransomware LockBit. Este troyano se identificó por primera vez en el año 2018 con capacidades de capturar información confidencial e instalar código malicioso adicional en el equipo infectado.
La botnet Fodcha continúa liberando ataques en el ciberespacio
Publicado: 31/10/2022 | Importancia: Media
Desde mediados de enero de este año se descubrió un actor de amenazas que empleaba una botnet denominada Fodcha, desde su aparición se realizaron operaciones para derrocar la infraestructura con la que operaban estos ciberdelincuentes; no obstante, los ciberdelincuentes fingieron una derrota para implementar mejoras en sus capacidades, generando la evolución de nuevas variantes.
Identifican grupo denominado Cranefly que cuenta con altas capacidades de espionaje
Publicado: 30/10/2022 | Importancia: Media
Cranefly es un grupo cibercriminal que fue identificado en mayo del presente año; estos tienen como objetivo dirigirse a los correos electrónicos de los colaboradores que tienen a su cargo el desarrollo corporativo, adquisiciones y transacciones corporativas empleando un nuevo backdoor llamado Danfuan.
Nuevos ransomware identificados en la naturaleza
Publicado: 30/10/2022 | Importancia: Media
El ransomware, es un tipo de malware comúnmente implementado por los actores de amenaza en sus campañas maliciosas, esto debido a su gran capacidad de cifrar archivos almacenados en la infraestructura tecnológica objetivo, algunas de estas familias destacan por poseer comportamientos únicos que las diferencian entre las demás y que suelen afectar organización de alto nivel.
Los troyanos bancarios Sharkbot y Vultur distribuyen droppers en Google Play Store
Publicado: 29/10/2022 | Importancia: Media
El equipo de analistas del Csirt Financiero ha observado una nueva campaña maliciosa en la que implementan droppers en la tienda de Google Play para distribuir troyanos bancarios, se encontraron más de 130.000 instalaciones que distribuyen a los troyanos bancarios Sharkbot y Vultur.
Nueva actividad maliciosa atribuida a STRRAT
Publicado: 29/10/2022 | Importancia: Media
En el ecosistema de ciberseguridad, usualmente los actores de amenaza desarrollan las cargas útiles de sus familias de malware en formatos conocidos. Se han evidenciado diversas campañas maliciosas en donde los ciberdelincuentes utilizan lenguajes de programación poco convencionales para generar estos archivos maliciosos, este tipo de estrategia permite que las soluciones antimalware no detecten dichos artefactos debido a desconocen ese tipo de formatos.
Nuevas campañas implementan ransomware con facilidad mediante Raspeberry Robin
Publicado: 28/10/2022 | Importancia: Media
En el proceso de monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó nuevas actividades relacionadas al gusano informático Raspberry Robin dirigido a usuarios de Windows que se propaga a través de dispositivos USB extraíbles mediante un archivo .LNK malicioso.
Nueva campaña maliciosa distribuye el troyano bancario Drinik en la India
Publicado: 27/10/2022 | Importancia: Media
El creciente panorama de amenazas continua dando consecución a troyanos bancarios dirigidos a dispositivos Android, los cuales son el presente y futuro de la superficie de ataque para los ciberdelincuentes; es así como las familias de malware sufren una constante evolución gracias a la constante actividad de los actores de amenaza, en ese orden de ideas se identificaron nuevas capacidades en una amenaza latente en la naturaleza conocida como Drinik, que en la campaña en curso está afectando a entidades financieras de la India.
Nuevo ransomware denominado ArcLocker impacta a organizaciones de LATAM
Publicado: 26/10/2022 | Importancia: Media
El equipo de analistas del Csirt Financiero realiza un monitoreo de nuevas amenazas que pueden llegar afectar la confidencialidad e infraestructura de nuestros asociados, donde se encontró una nueva familia de ransomware denominada como ArcLocker. Esta nueva campaña maliciosa ya tuvo actividades en China, Estonia, Turquía, impactando también en organizaciones de LATAM específicamente Chile y recientemente a Colombia.
Nueva actividad maliciosa del ransomware Hive
Publicado: 25/10/2022 | Importancia: Media
Hive, es una de las familias de ransomware más reconocidas a nivel global, donde destaca su gran capacidad de afectación a la infraestructura tecnológica objetivo. Este malware As a Service (MaaS, por sus siglas en inglés) ha impactado a múltiples entidades de América Latina y Colombia, las cuales han estado en riesgo de filtración de información confidencial al haber sido infectadas por el mencionado.
Grupo Lazarus inhabilita herramientas de seguridad mediante la técnica BYOVD
Publicado: 24/10/2022 | Importancia: Media
Se conoce que el grupo APT Lazarus es uno de los más populares en la última década dado a su amplia gama de métodos empleado en sus operaciones maliciosas; recientemente se ha identificado un ataque en el cual este grupo de amenazas utiliza una vulnerabilidad en el producto MagicLine4NX desarrollado por Dream Security con el fin de impactar en mayor manera las redes internas después de ejecutar la técnica de abrevadero (ataque contra organizaciones en la que el atacante infecta con malware sitios web de terceros muy utilizados por los usuario de la organización), posteriormente se manipula un controlador vulnerable que se usa para inhabilitar las herramientas de seguridad que se encuentren instauradas en las infraestructuras tecnológicas.