Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
La Botnet Glupteba aumenta sus infeccionesSe conoce que Glupteba se ha encontrado activa desde 2011, desde entonces se han podido identificar aproximadamente 1 millón de infraestructuras informáticas con sistemas operativos Windows que hacen parte de esta red, así mismo, en su momento Google anunció que dio de baja a Glupteba, que fue desarrollada con el objetivo de recopilar y exfiltrar datos sensibles de los usuarios como credenciales de acceso realizar minería, implementar proxy que les permiten canalizar el tráfico de red.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/la-botnet-glupteba-aumenta-sus-infeccioneshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se conoce que Glupteba se ha encontrado activa desde 2011, desde entonces se han podido identificar aproximadamente 1 millón de infraestructuras informáticas con sistemas operativos Windows que hacen parte de esta red, así mismo, en su momento Google anunció que dio de baja a Glupteba, que fue desarrollada con el objetivo de recopilar y exfiltrar datos sensibles de los usuarios como credenciales de acceso realizar minería, implementar proxy que les permiten canalizar el tráfico de red.
Royal ransomware y su conexión con Conti Team OneRecientemente se ha identificado conexión entre el nuevo grupo de ransomware Royal y Conti Team One, dado a que ciberdelincuentes experimentados de este último mencionado hacen parte de Royal ransomware; que fue nombrado en principio como Zeon ransomware y posteriormente fue a actualizado a como lo conocemos actualmente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/royal-ransomware-y-su-conexion-con-conti-team-onehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado conexión entre el nuevo grupo de ransomware Royal y Conti Team One, dado a que ciberdelincuentes experimentados de este último mencionado hacen parte de Royal ransomware; que fue nombrado en principio como Zeon ransomware y posteriormente fue a actualizado a como lo conocemos actualmente.
Nueva versión de NokoyawaEste ransomware fue identificado por primera vez en febrero de 2022, donde se observaron ataques de doble extorsión debido a la exfiltración de data sensible y filtrado de archivos; inicialmente fue desarrollado en lenguaje C, junto con criptografía de curva elíptica (ECC) con SECT233R1 y el método de Salsa20 para la actividad de cifrado. En su nueva versión se observó que los ciberdelincuentes utilizaron el lenguaje Rust, con el objetivo de tener más flexibilidad en la ejecución de procesos a través de la configuración en la línea de comandos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-de-nokoyawahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Este ransomware fue identificado por primera vez en febrero de 2022, donde se observaron ataques de doble extorsión debido a la exfiltración de data sensible y filtrado de archivos; inicialmente fue desarrollado en lenguaje C, junto con criptografía de curva elíptica (ECC) con SECT233R1 y el método de Salsa20 para la actividad de cifrado. En su nueva versión se observó que los ciberdelincuentes utilizaron el lenguaje Rust, con el objetivo de tener más flexibilidad en la ejecución de procesos a través de la configuración en la línea de comandos.
Nueva actualización de ZeroBotEn este último mes, se ha estado evidenciando nueva actividad maliciosa de la familia de malware Zerobot, donde constantemente está recibiendo actualizaciones relacionadas a sus capacidades y métodos de propagación; en esta ocasión, se identificó que esta botnet está utilizando la explotación de vulnerabilidades en servidores Apache, para acceder a las infraestructuras tecnológicas objetivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actualizacion-de-zerobothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En este último mes, se ha estado evidenciando nueva actividad maliciosa de la familia de malware Zerobot, donde constantemente está recibiendo actualizaciones relacionadas a sus capacidades y métodos de propagación; en esta ocasión, se identificó que esta botnet está utilizando la explotación de vulnerabilidades en servidores Apache, para acceder a las infraestructuras tecnológicas objetivo.
Emergen nuevas variantes de ransomware basadas en ContiDesde la filtración del código fuente del ransomware Conti en el ciberespacio, se han generado nuevas familias basadas en este, entre estos anteriormente habíamos reportado Meow y BlueSky; no obstante, se continúan identificando en la naturaleza, otras variantes como Putin Team, ScareCrow y Monti por mencionar algunas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emergen-nuevas-variantes-de-ransomware-basadas-en-contihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde la filtración del código fuente del ransomware Conti en el ciberespacio, se han generado nuevas familias basadas en este, entre estos anteriormente habíamos reportado Meow y BlueSky; no obstante, se continúan identificando en la naturaleza, otras variantes como Putin Team, ScareCrow y Monti por mencionar algunas.
Cibercriminales de Vice Society actualizan su ransomwareRecientemente se ha identificado actividad asociada al grupo cibercriminal Vice Society, en la cual se observaron novedades asociadas a su ransomware como un nuevo proceso de cifrado que emplea los algoritmos NTRUEncrypt y Chacha20-poly1305, volviéndolo más robusto. Se conoce que este grupo ha estado activo desde 2021, desde entonces han estado impactando a múltiples organizaciones y generando doble extorsión debido a la exfiltración de la data alojada en las infraestructuras informáticas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/cibercriminales-de-vice-society-actualizan-su-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado actividad asociada al grupo cibercriminal Vice Society, en la cual se observaron novedades asociadas a su ransomware como un nuevo proceso de cifrado que emplea los algoritmos NTRUEncrypt y Chacha20-poly1305, volviéndolo más robusto. Se conoce que este grupo ha estado activo desde 2021, desde entonces han estado impactando a múltiples organizaciones y generando doble extorsión debido a la exfiltración de la data alojada en las infraestructuras informáticas.
Nueva versión del troyano bancario GodFather para dispositivos AndroidEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas campañas y/o amenazas que puedan afectar la infraestructura de nuestros asociados, donde se observó una nueva versión del troyano bancario denominado Godfather, el cual se cree es el sucesor de Anubis, otro troyano bancario que ha sido muy utilizado, pero que es detectado por las actualizaciones en los sistemas operativos Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-del-troyano-bancario-godfather-para-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas campañas y/o amenazas que puedan afectar la infraestructura de nuestros asociados, donde se observó una nueva versión del troyano bancario denominado Godfather, el cual se cree es el sucesor de Anubis, otro troyano bancario que ha sido muy utilizado, pero que es detectado por las actualizaciones en los sistemas operativos Android.
Nuevo stealer denominado RiseProA través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero en busca de nuevas campañas y amenazas maliciosas, se identificó la aparición de un nuevo stealer denominado RisePro, el cual parece ser una variante sencilla de PrivateLoader, un loader utilizado para descargar y ejecutar varias cargas útiles en el equipo comprometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-riseprohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero en busca de nuevas campañas y amenazas maliciosas, se identificó la aparición de un nuevo stealer denominado RisePro, el cual parece ser una variante sencilla de PrivateLoader, un loader utilizado para descargar y ejecutar varias cargas útiles en el equipo comprometido.
Nuevos IoC asociados al troyano UrsaRecientemente, se identificó nueva actividad en la cual estaba implicado el troyano URSA luego de dos años desde su publicación oficial, en estas se ha observado que impacta a los usuarios por medio de un cargador sofisticado. Sus funciones principales son la recopilación de credenciales de acceso alojadas en los navegadores web y en programas utilizados para los servicios de FTP (Protocolo de transferencia de archivos); por otro lado, también suele realizar la superposición de un sitio web falso asociado a la entidad financiera de sus víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-asociados-al-troyano-ursahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se identificó nueva actividad en la cual estaba implicado el troyano URSA luego de dos años desde su publicación oficial, en estas se ha observado que impacta a los usuarios por medio de un cargador sofisticado. Sus funciones principales son la recopilación de credenciales de acceso alojadas en los navegadores web y en programas utilizados para los servicios de FTP (Protocolo de transferencia de archivos); por otro lado, también suele realizar la superposición de un sitio web falso asociado a la entidad financiera de sus víctimas.
Nuevos indicadores de compromiso relacionados al troyano bancario DridexEl equipo del Csirt Financiero, en un seguimiento de amenazas potenciales que pueden afectar la infraestructura tecnológica de los asociados, se observó nuevos indicadores de compromiso (IoC) relacionados al troyano bancario Dridex, el cual tiene como principal objetivo la captura de credenciales de acceso a plataformas y cuentas bancarias, tarjetas de crédito y otros servicios adicionales como PayPal y Amazon.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-al-troyano-bancario-dridexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, en un seguimiento de amenazas potenciales que pueden afectar la infraestructura tecnológica de los asociados, se observó nuevos indicadores de compromiso (IoC) relacionados al troyano bancario Dridex, el cual tiene como principal objetivo la captura de credenciales de acceso a plataformas y cuentas bancarias, tarjetas de crédito y otros servicios adicionales como PayPal y Amazon.
Emergen nuevas variantes de W4SP stealerEn el ejercicio de monitorear las campañas en curso, relacionadas con actores de amenaza que emergen en la naturaleza descubrimos lo que parece ser el inicio de un nuevo esfuerzo por desplegar paquetes maliciosos a través de PyPI (Python Package Index); puntualmente se pretenden entregar el stealer W4SP, como una nueva variante que tiene nombres diferentes, pero con su mismo código fuente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emergen-nuevas-variantes-de-w4sp-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio de monitorear las campañas en curso, relacionadas con actores de amenaza que emergen en la naturaleza descubrimos lo que parece ser el inicio de un nuevo esfuerzo por desplegar paquetes maliciosos a través de PyPI (Python Package Index); puntualmente se pretenden entregar el stealer W4SP, como una nueva variante que tiene nombres diferentes, pero con su mismo código fuente.
Una nueva versión del troyano bancario Sova demuestra su constante evoluciónEn la naturaleza del panorama de amenazas es constante evidenciar la evolución de distintas familias de malware, debido a que tienden a proliferar en el ciberespacio con exitosas campañas como las del troyano bancario para Android “SOVA”; según la trazabilidad sus orígenes remontan a agosto del 2021, desde entonces se conocían cuatro versiones de esta amenaza, no obstante, recién se descubrió una quinta (V5).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/una-nueva-version-del-troyano-bancario-sova-demuestra-su-constante-evolucionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la naturaleza del panorama de amenazas es constante evidenciar la evolución de distintas familias de malware, debido a que tienden a proliferar en el ciberespacio con exitosas campañas como las del troyano bancario para Android “SOVA”; según la trazabilidad sus orígenes remontan a agosto del 2021, desde entonces se conocían cuatro versiones de esta amenaza, no obstante, recién se descubrió una quinta (V5).
Nuevas técnicas asociadas a GuLoaderRecientemente, un e|quipo de investigadores identificó nuevas técnicas de evasión asociadas a GuLoader, también conocido como CloudEyE, donde utiliza un cargador desarrollado en código Shell de forma polimórfica (Que tiene o puede tener varias formas) con el objetivo de eludir a las herramientas de seguridad instaladas en las infraestructuras informáticas comprometidas como la detección de ser ejecutado en entornos virtualizados para finalizar sus procesos maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-asociadas-a-guloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, un e|quipo de investigadores identificó nuevas técnicas de evasión asociadas a GuLoader, también conocido como CloudEyE, donde utiliza un cargador desarrollado en código Shell de forma polimórfica (Que tiene o puede tener varias formas) con el objetivo de eludir a las herramientas de seguridad instaladas en las infraestructuras informáticas comprometidas como la detección de ser ejecutado en entornos virtualizados para finalizar sus procesos maliciosos.
Nueva actividad maliciosa de Raccoon stealerRaccoon Stealer, también conocido como Mohazo o Racealer, comúnmente utilizado para obtener información confidencial y datos bancarios, es una de las amenazas más mencionadas en el presente año por ser un stealer simple que les permitió a diversos grupos de ciberdelincuentes capturar y exfiltrar datos confidenciales en foros de la Deep y Dark web.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-raccoon-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Raccoon Stealer, también conocido como Mohazo o Racealer, comúnmente utilizado para obtener información confidencial y datos bancarios, es una de las amenazas más mencionadas en el presente año por ser un stealer simple que les permitió a diversos grupos de ciberdelincuentes capturar y exfiltrar datos confidenciales en foros de la Deep y Dark web.
Nueva actividad maliciosa asociada a RedLine StealerEn el transcurso del presente mes, se ha estado evidenciando múltiples campañas maliciosas de diversas familias de malware relacionadas con stealers, las cuales se caracterizan por capturar información confidencial por medio de técnicas tipo spyware, adicionalmente, permiten la descarga de otras cargas útiles para amplificar su rango de afectación en el sistema informático objetivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-a-redline-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el transcurso del presente mes, se ha estado evidenciando múltiples campañas maliciosas de diversas familias de malware relacionadas con stealers, las cuales se caracterizan por capturar información confidencial por medio de técnicas tipo spyware, adicionalmente, permiten la descarga de otras cargas útiles para amplificar su rango de afectación en el sistema informático objetivo.
Campaña de malvertización por medio de Google Ads distribuye distintas familias de malwareRecientemente, se descubrió una campaña que abusa de Google Ads para entregar diferentes familias de troyanos como Raccoon Stealer y Vidar, se atribuye en gran parte a un actor de amenazas conocido como Vermux; por otra parte, el objetivo de esta es afectar a usuarios que realicen búsquedas de software que incluyen AnyDesk, Malwarebytes, Microsoft Visual Studio y Zoom entre otros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-malvertizacion-por-medio-de-google-ads-distribuye-distintas-familias-de-malware-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se descubrió una campaña que abusa de Google Ads para entregar diferentes familias de troyanos como Raccoon Stealer y Vidar, se atribuye en gran parte a un actor de amenazas conocido como Vermux; por otra parte, el objetivo de esta es afectar a usuarios que realicen búsquedas de software que incluyen AnyDesk, Malwarebytes, Microsoft Visual Studio y Zoom entre otros.
Nuevos indicadores de compromiso asocian actividad maliciosa de Quasar RATEn el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha evidenciado un aumento significativo de campañas maliciosas que distribuyen el troyano de acceso remoto Quasar, familia de malware bastante conocida en el mundo del ciberespacio por sus capacidades y porque suele estar dirigida al sector bancario y sus entidades.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asocian-actividad-maliciosa-de-quasar-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha evidenciado un aumento significativo de campañas maliciosas que distribuyen el troyano de acceso remoto Quasar, familia de malware bastante conocida en el mundo del ciberespacio por sus capacidades y porque suele estar dirigida al sector bancario y sus entidades.
Nueva variante de NymaimEn los últimos meses se ha identificado una nueva variante del antes conocido Loader Nymaim, sin embargo, en su nueva etapa fue actualizado hasta convertirse en un troyano que puede generar actividades sin el consentimiento de sus víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-nymaimhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos meses se ha identificado una nueva variante del antes conocido Loader Nymaim, sin embargo, en su nueva etapa fue actualizado hasta convertirse en un troyano que puede generar actividades sin el consentimiento de sus víctimas.
Nuevos indicadores de compromiso relacionados a NetSupport RATEl equipo del Csirt Financiero, en un seguimiento de amenazas potenciales que pueden llegar a afectar la infraestructura tecnológica de los asociados, se identificó nuevos indicadores de compromiso (IoC) relacionados a NetSupport RAT¸ la cual es una herramienta de acceso remoto, que a pesar de ser legítima es usada por los ciberdelincuentes para obtener acceso no autorizado a los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-a-netsupport-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, en un seguimiento de amenazas potenciales que pueden llegar a afectar la infraestructura tecnológica de los asociados, se identificó nuevos indicadores de compromiso (IoC) relacionados a NetSupport RAT¸ la cual es una herramienta de acceso remoto, que a pesar de ser legítima es usada por los ciberdelincuentes para obtener acceso no autorizado a los equipos comprometidos.
Ciberdelincuentes emplean Raspberry Robin para atacar entidades financieras de EuropaRecientemente se han visto ataques cibernéticos orquestados por grupos ciberdelincuentes que utilizan el framework automatizado Raspberry Robin para apuntar a entidades financieras de Europa, dado que les permite a los atacantes evadir la detección y moverse lateralmente, sirviéndose de las infraestructuras en la nube como Discord, Azure y Github para entregar su malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-emplean-raspberry-robin-para-atacar-entidades-financieras-de-europahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se han visto ataques cibernéticos orquestados por grupos ciberdelincuentes que utilizan el framework automatizado Raspberry Robin para apuntar a entidades financieras de Europa, dado que les permite a los atacantes evadir la detección y moverse lateralmente, sirviéndose de las infraestructuras en la nube como Discord, Azure y Github para entregar su malware.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}