Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Actividad de Ransomware Black Basta implementa herramientas del grupo FIN7El ransomware Black Basta ha estado activo desde abril de 2022, esta amenaza implementa un modelo de ataque de doble extorsión al igual que otras operaciones de ransomware, pero en las últimas actividades se pudo observar que los actores detrás de esta amenaza se vinculan con FIN7, un grupo de hackers con motivación financiera activo desde al menos 2015 que implementan malware a dispositivos POS (point-of-sale) y lanzan ataques phishing dirigidas a cientos de empresas de todo el mundo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-ransomware-black-basta-implementa-herramientas-del-grupo-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Black Basta ha estado activo desde abril de 2022, esta amenaza implementa un modelo de ataque de doble extorsión al igual que otras operaciones de ransomware, pero en las últimas actividades se pudo observar que los actores detrás de esta amenaza se vinculan con FIN7, un grupo de hackers con motivación financiera activo desde al menos 2015 que implementan malware a dispositivos POS (point-of-sale) y lanzan ataques phishing dirigidas a cientos de empresas de todo el mundo.
Actividad de troyano Metamorfo dirigida a servicios bancarios de usuarios en línea.El equipo del Csirt Financiero a través de búsquedas e investigación en fuentes de información abierta, identificó ataques dirigidos a usuarios de la banca en línea asociados al troyano Metamorfo, la afectación de estos ataques se evidenció en algunos países de América y parte de Europa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-troyano-metamorfo-dirigida-a-servicios-bancarios-de-usuarios-en-lineahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de búsquedas e investigación en fuentes de información abierta, identificó ataques dirigidos a usuarios de la banca en línea asociados al troyano Metamorfo, la afectación de estos ataques se evidenció en algunos países de América y parte de Europa.
Actividad de variantes de la Botnet MiraiEn el monitoreo realizado por el equipo del Csirt Financiero se han detectado actividad reciente de dos variantes de la botnet Mirai denominadas como Moobot y Satori.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-variantes-de-la-botnet-miraihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se han detectado actividad reciente de dos variantes de la botnet Mirai denominadas como Moobot y Satori.
Actividad del grupo APT Silent LibrarianEn el monitoreo realizado por el equipo del Csirt Financiero se ha identificado actividad del grupo APT Silent Librarian, también conocido como TA407. Este grupo ha registrado campañas maliciosas desde el año 2013, en las que su principal motivación es el espionaje y la exfiltración de información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-del-grupo-apt-silent-librarianhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero se ha identificado actividad del grupo APT Silent Librarian, también conocido como TA407. Este grupo ha registrado campañas maliciosas desde el año 2013, en las que su principal motivación es el espionaje y la exfiltración de información.
Actividad del ransomware Cuba en Colombia y América LatinaEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado durante el presente mes actividad asociada al ransomware Cuba, que puede afectar de manera indirecta al sector financiero del país.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-del-ransomware-cuba-en-colombia-y-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado durante el presente mes actividad asociada al ransomware Cuba, que puede afectar de manera indirecta al sector financiero del país.
Actividad del troyano bancario denominado GreenBeanMediante el monitoreo llevado a cabo por el equipo de analistas del Csirt Financiero, se ha identificado un reciente troyano bancario dirigido a dispositivos móviles con sistemas operativos Android, denominado GreenBean. Este malware ha estado propagándose desde octubre de 2023 a través de sitios web fraudulentos alojados en Amazon Web Service (AWS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-del-troyano-bancario-denominado-greenbeanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo llevado a cabo por el equipo de analistas del Csirt Financiero, se ha identificado un reciente troyano bancario dirigido a dispositivos móviles con sistemas operativos Android, denominado GreenBean. Este malware ha estado propagándose desde octubre de 2023 a través de sitios web fraudulentos alojados en Amazon Web Service (AWS).
Actividad del troyano IcedID utilizando a Cobalt StrikeEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nueva actividad del troyano bancario IcedID, los ciberdelincuentes detrás de esa amenaza están utilizando a la herramienta Cobalt Strike para realizar evasión ante herramientas antimalware y movimientos laterales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-del-troyano-icedid-utilizando-a-cobalt-strikehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nueva actividad del troyano bancario IcedID, los ciberdelincuentes detrás de esa amenaza están utilizando a la herramienta Cobalt Strike para realizar evasión ante herramientas antimalware y movimientos laterales.
Actividad detectada de troyano zusy en países de LatamEl equipo de analistas del Csirt Financiero ha detectado una nueva actividad maliciosa relacionada con el troyano Zusy, dirigido a usuarios en Chile, Brasil y El Salvador. Este malware es conocido por exfiltrar información personal y bancaria.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-detectada-de-troyano-zusy-en-paises-de-latamhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado una nueva actividad maliciosa relacionada con el troyano Zusy, dirigido a usuarios en Chile, Brasil y El Salvador. Este malware es conocido por exfiltrar información personal y bancaria.
Actividad inicial de Sturnus, troyano Android con capacidades de superposición y vigilancia en tiempo realDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a Sturnus, un troyano bancario para Android que se encuentra en una fase temprana de desarrollo, pero ya opera con capacidades funcionales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-inicial-de-sturnus-troyano-android-con-capacidades-de-superposicion-y-vigilancia-en-tiempo-realhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a Sturnus, un troyano bancario para Android que se encuentra en una fase temprana de desarrollo, pero ya opera con capacidades funcionales.
Actividad maliciosa a través de temas y plugins de WordPress.El equipo del Csirt Financiero identificó que ciberdelincuentes instalaron archivos maliciosos en temas y plugins premium de WordPress, estos fueron distribuidos en diferentes Markets de la plataforma y pueden llegar a afectar la infraestructura web de las organizaciones que utilicen este tipo de herramientas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-a-traves-de-temas-y-plugins-de-wordpresshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó que ciberdelincuentes instalaron archivos maliciosos en temas y plugins premium de WordPress, estos fueron distribuidos en diferentes Markets de la plataforma y pueden llegar a afectar la infraestructura web de las organizaciones que utilicen este tipo de herramientas.
Actividad maliciosa asociada a backdoor XpackEn el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar al sector, el equipo de analistas del Csirt Financiero ha identificado actividad maliciosa asociada al backdoor denominado Xpack, el cual se propaga en la red local de una organización con el fin de efectuar tareas de recopilación y exfiltración de información sensible y que a su vez se ha visto involucrado en afectaciones a entidades financieras en países de Asia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-asociada-a-backdoor-xpackhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar al sector, el equipo de analistas del Csirt Financiero ha identificado actividad maliciosa asociada al backdoor denominado Xpack, el cual se propaga en la red local de una organización con el fin de efectuar tareas de recopilación y exfiltración de información sensible y que a su vez se ha visto involucrado en afectaciones a entidades financieras en países de Asia.
Actividad maliciosa asociada a Blind Eagle (APT-C-36) en ColombiaEl equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el grupo Blind Eagle (APT-C-36), una agrupación de cibercriminales activa desde 2018, conocida por ejecutar campañas dirigidas contra organizaciones en América Latina, especialmente en Colombia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-asociada-a-blind-eagle-apt-c-36-en-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el grupo Blind Eagle (APT-C-36), una agrupación de cibercriminales activa desde 2018, conocida por ejecutar campañas dirigidas contra organizaciones en América Latina, especialmente en Colombia.
Actividad maliciosa asociada a Gorilla, un malware en desarrollo dirigido a dispositivos AndroidDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha detectado actividad maliciosa asociada a Gorilla, un malware dirigido a equipos Android con el propósito de capturar datos personales y financieros, esta herramienta presenta funcionalidades que le permiten interceptar mensajes SMS, organizarlos según su contenido y transmitirlos a un servidor remoto, lo que posibilita la exfiltración de contraseñas de un solo uso y otra información sensible.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-asociada-a-gorilla-un-malware-en-desarrollo-dirigido-a-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha detectado actividad maliciosa asociada a Gorilla, un malware dirigido a equipos Android con el propósito de capturar datos personales y financieros, esta herramienta presenta funcionalidades que le permiten interceptar mensajes SMS, organizarlos según su contenido y transmitirlos a un servidor remoto, lo que posibilita la exfiltración de contraseñas de un solo uso y otra información sensible.
Actividad maliciosa asociada a Jupyter InfoStealerEn el monitoreo continuo a fuentes abiertas de información y en búsqueda de potenciales amenazas que puedan afectar a los usuarios y el sector, el equipo del Csirt Financiero ha identificado actividad maliciosa asociado a Jupyter InfoStealer, el cual está diseñado para comprometer equipos con sistemas operativos Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-asociada-a-jupyter-infostealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de potenciales amenazas que puedan afectar a los usuarios y el sector, el equipo del Csirt Financiero ha identificado actividad maliciosa asociado a Jupyter InfoStealer, el cual está diseñado para comprometer equipos con sistemas operativos Microsoft Windows.
Actividad maliciosa asociada a PyLangGhost RAT afecta al sector financieroDurante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa relacionada con PyLangGhost, un troyano de acceso remoto (RAT) que ha sido vinculado con el grupo de ciberdelincuentes conocido como Lazarus.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-asociada-a-pylangghost-rat-afecta-al-sector-financierohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa relacionada con PyLangGhost, un troyano de acceso remoto (RAT) que ha sido vinculado con el grupo de ciberdelincuentes conocido como Lazarus.
Actividad maliciosa asociada a Troyano de acceso remoto SarwentEn el monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar a los usuarios y al sector, el Csirt financiero ha identificado actividad maliciosa del troyano de acceso remoto (RAT) Sarwent el cual afecta a equipos con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-asociada-a-troyano-de-acceso-remoto-sarwenthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar a los usuarios y al sector, el Csirt financiero ha identificado actividad maliciosa del troyano de acceso remoto (RAT) Sarwent el cual afecta a equipos con sistema operativo Windows.
Actividad maliciosa asociada a troyano de acceso remoto Spectre V 4.0El equipo del Csirt Financiero ha conocido actividad maliciosa asociada a un troyano de acceso remoto (RAT) denominado Spectre, enfocado a afectar a equipos con sistemas operativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-asociada-a-troyano-de-acceso-remoto-spectre-v-4.0http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha conocido actividad maliciosa asociada a un troyano de acceso remoto (RAT) denominado Spectre, enfocado a afectar a equipos con sistemas operativos Windows.
Actividad maliciosa asociada al Grupo Lapsus$En el monitoreo continuo a fuentes abiertas de información y en búsqueda de potenciales amenazas que afecten a infraestructuras tecnológicas de organizaciones reconocidas, el equipo de analistas del Csirt Financiero ha identificado actividad asociada a un grupo cibercriminal denominado Lapsus$, el cual tiene como objetivo realizar la captura, exfiltración y cifrado de información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-asociada-al-grupo-lapsushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de potenciales amenazas que afecten a infraestructuras tecnológicas de organizaciones reconocidas, el equipo de analistas del Csirt Financiero ha identificado actividad asociada a un grupo cibercriminal denominado Lapsus$, el cual tiene como objetivo realizar la captura, exfiltración y cifrado de información confidencial.
Actividad maliciosa asociada al grupo TNTEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado recientemente una campaña en la que ciberdelincuentes TeamTNT desplegaron una imagen maliciosa de Docker (contenedor) con un script incrustado para descargar el escáner de red Zgrab y masscanner (herramientas para realizar escaneo de puertos y recopilar información de una red), utilizando estas herramientas, los ciberdelincuentes intentan escanear más objetivos que estén en la red de la víctima y realizar más actividades maliciosas, una imagen Docker es un archivo compuesto por múltiples capas que se utiliza para ejecutar código en un contenedor Docker.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-asociada-al-grupo-tnthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado recientemente una campaña en la que ciberdelincuentes TeamTNT desplegaron una imagen maliciosa de Docker (contenedor) con un script incrustado para descargar el escáner de red Zgrab y masscanner (herramientas para realizar escaneo de puertos y recopilar información de una red), utilizando estas herramientas, los ciberdelincuentes intentan escanear más objetivos que estén en la red de la víctima y realizar más actividades maliciosas, una imagen Docker es un archivo compuesto por múltiples capas que se utiliza para ejecutar código en un contenedor Docker.
Actividad maliciosa asociada al malware bancario VadokristEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados al malware bancario Vadokrist. Este malware presenta similitudes con otras familias de malware como Amavaldo, Casbaneiro, Grandoreiro y Mekotio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-asociada-al-malware-bancario-vadokristhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados al malware bancario Vadokrist. Este malware presenta similitudes con otras familias de malware como Amavaldo, Casbaneiro, Grandoreiro y Mekotio.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}