Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Whispeargate un malware utilizado en campañas contra entidades gubernamentales de UcraniaEn el constante monitoreo a fuentes abiertas de información y realizando el respectivo análisis de amenazas a nivel global, el equipo de analistas del Csirt Financiero identificó un Wiper denominado Whispergate, el cual está siendo utilizado en el conflicto visto a nivel mundial entre los países de Rusia y Ucrania.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-whispergate-utilizado-en-campanas-contra-entidades-gubernamentales-de-ucraniahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas de información y realizando el respectivo análisis de amenazas a nivel global, el equipo de analistas del Csirt Financiero identificó un Wiper denominado Whispergate, el cual está siendo utilizado en el conflicto visto a nivel mundial entre los países de Rusia y Ucrania.
Ransomware Xelera, nueva amenaza para solicitantes de empleoDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución de Xelera, un ransomware que tiene como objetivo cifrar los archivos almacenados en los sistemas comprometidos, impidiendo el acceso a la información y exigiendo un rescate para su recuperación; adicionalmente, implementa mecanismos que dificultan la restauración del sistema.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-xelera-nueva-amenaza-para-solicitantes-de-empleohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución de Xelera, un ransomware que tiene como objetivo cifrar los archivos almacenados en los sistemas comprometidos, impidiendo el acceso a la información y exigiendo un rescate para su recuperación; adicionalmente, implementa mecanismos que dificultan la restauración del sistema.
Ransomware Zeoticus se ejecuta offlineEn el monitoreo realizado por el equipo de Csirt Financiero, se encontró un ransomware denominado Zeoticus. Este ransomware visto por primera vez a inicio del año 2020, se caracterizada por brindar sus servicios como RaaS, Ransomware as a Service personalizado para el comprador.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-zeoticus-se-ejecuta-offlinehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de Csirt Financiero, se encontró un ransomware denominado Zeoticus. Este ransomware visto por primera vez a inicio del año 2020, se caracterizada por brindar sus servicios como RaaS, Ransomware as a Service personalizado para el comprador.
Ransomware Zeppelin retorna a sus actividades maliciosasEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero, ha identificado que el ransomware denominado Zeppelin retorna a sus actividades maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-zeppelin-retorna-a-sus-actividades-maliciosashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero, ha identificado que el ransomware denominado Zeppelin retorna a sus actividades maliciosas.
Ranzy ransomware actualiza características de ThunderxEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el surgimiento de Ranzy una nueva amenaza ofrecida como RaaS (Ransomware como Servicio) derivada de ThunderX. El cambio que los ciberdelincuentes han realizado a este ransomware se debe al desarrollo y publicación de herramientas de descifrado gratuito para ThunderX.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ranzy-ransomware-actualiza-caracteristicas-de-thunderxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el surgimiento de Ranzy una nueva amenaza ofrecida como RaaS (Ransomware como Servicio) derivada de ThunderX. El cambio que los ciberdelincuentes han realizado a este ransomware se debe al desarrollo y publicación de herramientas de descifrado gratuito para ThunderX.
RapperBot, bonet que utiliza ataques de fuerza bruta dirigida a servidores Linux SSHA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva amenaza denominada RapperBot, botnet dirigida a servidores Linux SSH que utiliza ataques de fuerza bruta para comprometerlos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rapperbot-bonet-que-utiliza-ataques-de-fuerza-bruta-dirigida-a-servidores-linux-sshhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva amenaza denominada RapperBot, botnet dirigida a servidores Linux SSH que utiliza ataques de fuerza bruta para comprometerlos.
RAT Amadey adquirido en foros de la Deep y Dark web.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano de acceso remoto llamado Amadey capaz de instalar otras familias de malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rat-amadey-adquirido-en-foros-de-la-deep-y-dark-webhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano de acceso remoto llamado Amadey capaz de instalar otras familias de malware.
RAT ChaChi utilizado por los operadores de PYSA RansomwareEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad de un Troyano de Acceso Remoto (RAT) denominado ChaChi.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rat-chachi-utilizado-por-los-operadores-de-pysa-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad de un Troyano de Acceso Remoto (RAT) denominado ChaChi.
Malware NetWireDesde el CSIRT Financiero se ha identificado una campaña de malSpam, la cual distribuye la RAT (herramienta de acceso remoto) de NetWire, la cual tiene como objetivo el sector financiero. NetWire ha sido utilizada por los ciberdelincuentes a mediados del año 2012, y se ha observado que existen nuevas variantes del RAT, cada vez con más capacidades y metodologías para no ser detectadas por los AV (antivirus); su método de propagación es por medio de Phishing o correos de Spam, los cuales traen adjuntos documentos maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rat-netwirehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una campaña de malSpam, la cual distribuye la RAT (herramienta de acceso remoto) de NetWire, la cual tiene como objetivo el sector financiero. NetWire ha sido utilizada por los ciberdelincuentes a mediados del año 2012, y se ha observado que existen nuevas variantes del RAT, cada vez con más capacidades y metodologías para no ser detectadas por los AV (antivirus); su método de propagación es por medio de Phishing o correos de Spam, los cuales traen adjuntos documentos maliciosos.
RAT PlushDaemon compromete dispositivos de red para ejecutar ataques de intermediario.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña en la que se comprometen routers domésticos y empresariales para manipular tráfico DNS y redirigir a las víctimas hacia actualizaciones falsas. Esto permite instalar intermediarios como EdgeStepper y cargas posteriores como SlowStepper en sistemas Windows, afectando la integridad del software y exponiendo a los usuarios a backdoors y ejecución en memoria.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rat-plushdaemon-compromete-dispositivos-de-red-para-ejecutar-ataques-de-intermediariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña en la que se comprometen routers domésticos y empresariales para manipular tráfico DNS y redirigir a las víctimas hacia actualizaciones falsas. Esto permite instalar intermediarios como EdgeStepper y cargas posteriores como SlowStepper en sistemas Windows, afectando la integridad del software y exponiendo a los usuarios a backdoors y ejecución en memoria.
RAT RevCode WebMonitor empaquetada en instalador Zoom.El equipo del Csirt Financiero ha identificado ataques cibernéticos con instaladores de la plataforma de videoconferencias ZOOM que son infectados con RevCode WebMonitor RAT, este es un gran riesgo para entidades públicas y privadas que utilizan esta herramienta de comunicación ya que se ha incrementado su uso desde el inicio de la emergencia sanitaria provocada por el COVID-19.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rat-revcode-webmonitor-empaquetada-en-instalador-zoomhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado ataques cibernéticos con instaladores de la plataforma de videoconferencias ZOOM que son infectados con RevCode WebMonitor RAT, este es un gran riesgo para entidades públicas y privadas que utilizan esta herramienta de comunicación ya que se ha incrementado su uso desde el inicio de la emergencia sanitaria provocada por el COVID-19.
RAT utilizado por el grupo APT-C-36 (también conocido como Blind Eagle)El malware analizado es el RAT utilizado por el grupo APT-C-36 (también conocido como Blind Eagle) que realizaba comunicaciones C&C con el objetivo de ejecutar comandos en el sistema infectado y exfiltrar información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rat-utilizado-por-el-grupo-apt-c-36-tambien-conocido-como-blind-eaglehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware analizado es el RAT utilizado por el grupo APT-C-36 (también conocido como Blind Eagle) que realizaba comunicaciones C&C con el objetivo de ejecutar comandos en el sistema infectado y exfiltrar información confidencial.
RAT VBA distribuido en campaña de malspamEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa relacionada a un troyano de acceso remoto (RAT) identificado como Crimea, el cual se encuentra activo desde el mes de julio del 2021, mostrando variaciones en su comportamiento con respecto a otras muestras de esta familia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rat-vba-distribuido-en-campana-de-malspamhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa relacionada a un troyano de acceso remoto (RAT) identificado como Crimea, el cual se encuentra activo desde el mes de julio del 2021, mostrando variaciones en su comportamiento con respecto a otras muestras de esta familia.
RATDispenser: nuevo cargador empleado para distribuir diferentes familias de troyanos de acceso remotoEn el monitoreo continuo a fuentes abiertas de información y en búsqueda de potenciales amenazas que puedan afectar a los usuarios o al sector, el Csirt Financiero ha identificado un nuevo Loader (cargador) de nombre RATDispenser el cual está siendo utilizado por ciberdelincuentes para distribuir diferentes familias de troyanos de acceso remoto (RAT).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ratdispenser-nuevo-cargador-empleado-para-distribuir-diferentes-familias-de-troyanos-de-acceso-remotohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de potenciales amenazas que puedan afectar a los usuarios o al sector, el Csirt Financiero ha identificado un nuevo Loader (cargador) de nombre RATDispenser el cual está siendo utilizado por ciberdelincuentes para distribuir diferentes familias de troyanos de acceso remoto (RAT).
RatOn: nuevo troyano bancario que combina NFC, control remoto y ATSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la presencia de un nuevo troyano bancario denominado RatOn.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/raton-nuevo-troyano-bancario-que-combina-nfc-control-remoto-y-atshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la presencia de un nuevo troyano bancario denominado RatOn.
Reaparece Ginp el troyano bancario dirigido a usuarios AndroidGinp es un troyano que apareció en el ciberespacio a mediados de 2019, desde sus inicios ha buscado afectar usuarios de distintas entidades financieras que cuenten con un dispositivo con sistema operativo Android; asimismo el Csirt Financiero realiza monitoreo a las actividades de distintas amenazas entre este ejercicio encontramos nueva actividad relacionada con Ginp que empezó a distribuirse durante el mes de septiembre.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/reaparece-ginp-el-troyano-bancario-dirigido-a-usuarios-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ginp es un troyano que apareció en el ciberespacio a mediados de 2019, desde sus inicios ha buscado afectar usuarios de distintas entidades financieras que cuenten con un dispositivo con sistema operativo Android; asimismo el Csirt Financiero realiza monitoreo a las actividades de distintas amenazas entre este ejercicio encontramos nueva actividad relacionada con Ginp que empezó a distribuirse durante el mes de septiembre.
Reciente actividad de JsOutProx RAT en contra de instituciones financierasEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa del troyano de acceso remoto (RAT) denominado JsOutProx, el cual ha estado activo desde 2019.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/reciente-actividad-de-jsoutprox-rat-en-contra-de-instituciones-financierashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa del troyano de acceso remoto (RAT) denominado JsOutProx, el cual ha estado activo desde 2019.
Reciente actividad de la Botnet Emotet se distribuye a nivel global.El equipo de analista del Csirt Financiero realizó un monitoreo de ultimas actividades maliciosas que puedan llegar afectar la infraestructura y pilares de la información de nuestros asociados, donde se observó nuevo movimiento de la botnet Emotet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/reciente-actividad-de-la-botnet-emotet-se-distribuye-a-nivel-globalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analista del Csirt Financiero realizó un monitoreo de ultimas actividades maliciosas que puedan llegar afectar la infraestructura y pilares de la información de nuestros asociados, donde se observó nuevo movimiento de la botnet Emotet.
Reciente actividad del grupo AndarielEl equipo de analistas del Csirt Financiero observó una nueva actividad maliciosa atribuida al grupo norcoreano Andariel, también conocido como Stonefly, APT35, Silent Chollima y Onyx Sleet, el cual ha operado desde al menos 2009.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/reciente-actividad-del-grupo-andarielhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero observó una nueva actividad maliciosa atribuida al grupo norcoreano Andariel, también conocido como Stonefly, APT35, Silent Chollima y Onyx Sleet, el cual ha operado desde al menos 2009.
Nueva actividad de Andariel, uno de los subgrupos más importantes de APT Lazarus.El CSIRT financiero a través del continuo monitoreo e investigación de amenazas, ha identificado múltiples campañas de spear phishing (consiste en un ataque dirigido, utilizando técnicas de ingeniería social por medio de correos electrónicos muy personalizados) atribuidas al subgrupo Andariel. las técnicas utilizadas son muy similares a las de Lazarus Group (distribución de documentos con macros diseñadas para la descarga de malware con el objetivo de extraer información).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/reciente-actividad-del-grupo-andariel-subgrupo-de-apt-lazarus-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT financiero a través del continuo monitoreo e investigación de amenazas, ha identificado múltiples campañas de spear phishing (consiste en un ataque dirigido, utilizando técnicas de ingeniería social por medio de correos electrónicos muy personalizados) atribuidas al subgrupo Andariel. las técnicas utilizadas son muy similares a las de Lazarus Group (distribución de documentos con macros diseñadas para la descarga de malware con el objetivo de extraer información).
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}