Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Repositorio de Python usado para distribuir malware de criptominieriaEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el uso del repositorio PyPl del famoso interprete de comandos Python, con el cual, ciberdelincuentes ocultaron cargas útiles de malware de criptominieria para lanzar tres diferentes ataques.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/repositorio-de-python-usado-para-distribuir-malware-de-criptominieriahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el uso del repositorio PyPl del famoso interprete de comandos Python, con el cual, ciberdelincuentes ocultaron cargas útiles de malware de criptominieria para lanzar tres diferentes ataques.
Resurgimiento de GhostBat RATMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva actividad de GhostBat RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/resurgimiento-de-ghostbat-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva actividad de GhostBat RAT.
Resurgimiento de Qakbot: nueva campaña de phishingQakBot, también conocido como Qbot, ha representado una amenaza persistente debido a su capacidad para la captura de datos, propagación y su presencia duradera en sistemas infectados. Inicialmente conocido como un troyano bancario en 2007, y con el tiempo ha evolucionado convirtiéndose en una botnet y diversificando sus ataques para incluir cargas útiles adicionales como ransomware. Su alcance no se limita únicamente a actividades bancarias, ya que también actúa como una puerta trasera facilitando la instalación de distintos tipos de amenaza. Esto permite a los ciberdelincuentes llevar a cabo acciones como acceso remoto no autorizado, distribución de spam o incluso ataques de denegación de servicio DDoS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/resurgimiento-de-qakbot-nueva-campana-de-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
QakBot, también conocido como Qbot, ha representado una amenaza persistente debido a su capacidad para la captura de datos, propagación y su presencia duradera en sistemas infectados. Inicialmente conocido como un troyano bancario en 2007, y con el tiempo ha evolucionado convirtiéndose en una botnet y diversificando sus ataques para incluir cargas útiles adicionales como ransomware. Su alcance no se limita únicamente a actividades bancarias, ya que también actúa como una puerta trasera facilitando la instalación de distintos tipos de amenaza. Esto permite a los ciberdelincuentes llevar a cabo acciones como acceso remoto no autorizado, distribución de spam o incluso ataques de denegación de servicio DDoS.
Retefe troyano bancarioRetefe es un troyano bancario, con el objetivo de redireccionar a los usuarios a páginas bancarias falsas y robar sus credenciales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/retefe-troyano-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Retorno del malware FormbookEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el retorno del malware FromBook en campañas realizadas de manera global con asuntos de órdenes de compra. FormBook es una familia de malware conocida diseñada para la exfiltración de datos y captura de formularios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/retorno-del-malware-formbookhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el retorno del malware FromBook en campañas realizadas de manera global con asuntos de órdenes de compra. FormBook es una familia de malware conocida diseñada para la exfiltración de datos y captura de formularios.
Revil ejecuta modo seguro de Windows para cifrar archivosEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado un nuevo procedimiento previo al cifrado de archivos ejecutado por la familia de ransomware REvil, forzando el sistema operativo a que se reinicie en modo seguro mediante el comando -smode; algunas de las afectaciones ejecutadas por la amenaza cibernética consisten en modificar la llave de registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon agregando la nueva contraseña denominada “DTrump4ever.”.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/revil-ejecuta-modo-seguro-de-windows-para-cifrar-archivoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado un nuevo procedimiento previo al cifrado de archivos ejecutado por la familia de ransomware REvil, forzando el sistema operativo a que se reinicie en modo seguro mediante el comando -smode; algunas de las afectaciones ejecutadas por la amenaza cibernética consisten en modificar la llave de registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon agregando la nueva contraseña denominada “DTrump4ever.”.
Revil Ransomware compromete la cadena de suministros de Kaseya VSAEn el monitoreo a fuentes abiertas de información, se ha identificado una campaña en proceso del grupo cibercriminal REvil ransomware el cual ha comprometido a la plataforma de gestión de servicios TI de forma remota Kaseya VSA.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/revil-ransomware-compromete-la-cadena-de-suministro-de-kaseya-vsa-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, se ha identificado una campaña en proceso del grupo cibercriminal REvil ransomware el cual ha comprometido a la plataforma de gestión de servicios TI de forma remota Kaseya VSA.
Revocación De Certificados De DigiCert Por Incumplimiento En La Verificación De Control De Dominio (DCV)Recientemente, se observó que DigiCert, una empresa de seguridad digital que proporciona la infraestructura de clave pública y la validación necesaria para emitir certificados digitales o certificados TLS/SSL revocará miles de certificados que no tengan la verificación de control de dominio (DCV) adecuada.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/revocacion-de-certificados-de-digicert-por-incumplimiento-en-la-verificacion-de-control-de-dominio-dcvhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se observó que DigiCert, una empresa de seguridad digital que proporciona la infraestructura de clave pública y la validación necesaria para emitir certificados digitales o certificados TLS/SSL revocará miles de certificados que no tengan la verificación de control de dominio (DCV) adecuada.
Rhadamanthys entre las amenazas más utilizadas en el mes de marzoRhadamanthys una amenaza de tipo stealer, el cual fue identificado en el año 2022 y desde entonces los actores de amenaza han realizado la distribución de esta amenaza de forma continua en el último mes, donde el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de Rhadamanthys en los que se encuentran archivos de tipo ejecutable y algunas direcciones IP.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rhadamanthys-entre-las-amenazas-mas-utilizadas-en-el-mes-de-marzohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Rhadamanthys una amenaza de tipo stealer, el cual fue identificado en el año 2022 y desde entonces los actores de amenaza han realizado la distribución de esta amenaza de forma continua en el último mes, donde el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de Rhadamanthys en los que se encuentran archivos de tipo ejecutable y algunas direcciones IP.
Rhadamanthys Stealer 0.9.2 evoluciona con técnicas de evasión y fingerprintingDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Rhadamanthys, actualmente en su versión 0.9.2. Esta amenaza, que comenzó en 2022 bajo la promoción del actor “kingcrete2022”, ha pasado de ser un producto en foros clandestinos a consolidarse como un servicio de suscripción.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rhadamanthys-stealer-0-9-2-evoluciona-con-tecnicas-de-evasion-y-fingerprintinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Rhadamanthys, actualmente en su versión 0.9.2. Esta amenaza, que comenzó en 2022 bajo la promoción del actor “kingcrete2022”, ha pasado de ser un producto en foros clandestinos a consolidarse como un servicio de suscripción.
Riesgos en la cadena de suministro y exposición de datos por brecha de seguridad en Oracle CloudDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado una brecha de seguridad en Oracle Cloud que expuso más de 140.000 entidades debido a una posible vulnerabilidad en su sistema de autenticación, la exfiltración incluyó credenciales cifradas y archivos clave, afectando la seguridad de la infraestructura en la nube. Este incidente representa un ataque a la cadena de suministro y pone en riesgo múltiples organizaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/riesgos-en-la-cadena-de-suministro-y-exposicion-de-datos-por-brecha-de-seguridad-en-oracle-cloudhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado una brecha de seguridad en Oracle Cloud que expuso más de 140.000 entidades debido a una posible vulnerabilidad en su sistema de autenticación, la exfiltración incluyó credenciales cifradas y archivos clave, afectando la seguridad de la infraestructura en la nube. Este incidente representa un ataque a la cadena de suministro y pone en riesgo múltiples organizaciones.
Riltok, troyano android dirigido al sector de banca móvil.Desde el CSIRT Financiero, se detecta un nuevo tipo de troyano bancario para dispositivos móviles Android, su objetivo principal es suplantar a la aplicación de mensajes de texto (SMS) e implementarse como aplicación por defecto en el dispositivo, de esta manera poder facilitar a los atacantes el robo de información sensible mediante phishing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/riltok-troyano-android-dirigido-al-sector-de-banca-movilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero, se detecta un nuevo tipo de troyano bancario para dispositivos móviles Android, su objetivo principal es suplantar a la aplicación de mensajes de texto (SMS) e implementarse como aplicación por defecto en el dispositivo, de esta manera poder facilitar a los atacantes el robo de información sensible mediante phishing.
Robin Banks retorna con nuevas funcionalidades y característicasMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se encontró que la plataforma de phishing como servicio (PhaaS) Robin Banks retornó sus operaciones, utilizando una infraestructura de una empresa de internet rusa que brinda servicios de protección contra ataques DDoS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/robin-banks-retorna-con-nuevas-funcionalidades-y-caracteristicashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se encontró que la plataforma de phishing como servicio (PhaaS) Robin Banks retornó sus operaciones, utilizando una infraestructura de una empresa de internet rusa que brinda servicios de protección contra ataques DDoS.
RokRat apunta a usuarios Windows a través de accesos directos (Lnk)A través de actividades de monitoreo en búsqueda de amenazas emergentes o actividades maliciosas, el equipo del Csirt Financiero detectó una nueva campaña del malware denominado RokRat que utiliza accesos directos de Windows (LNK) para propagar malware. Esta se dirige a usuarios de Corea del Sur, particularmente a aquellos relacionados con temas de Corea del Norte.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rokrat-apunta-a-usuarios-windows-a-traves-de-accesos-directos-lnkhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo en búsqueda de amenazas emergentes o actividades maliciosas, el equipo del Csirt Financiero detectó una nueva campaña del malware denominado RokRat que utiliza accesos directos de Windows (LNK) para propagar malware. Esta se dirige a usuarios de Corea del Sur, particularmente a aquellos relacionados con temas de Corea del Norte.
Rootkit Moriya impacta equipos expuestos en internet con SO WindowsEn el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado un nuevo Rootkit denominado Moriya, el cual es usado para generar puertas traseras en equipos con sistema operativo Windows que se encuentran expuestos en internet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rootkit-moriya-impacta-equipos-expuestos-en-internet-con-so-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado un nuevo Rootkit denominado Moriya, el cual es usado para generar puertas traseras en equipos con sistema operativo Windows que se encuentran expuestos en internet.
Rootkits+BootkitsRevertir malware moderno y amenazas de próxima generaciónhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rootkits-bootkitshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Rotajakiro puerta trasera dirigida a distribuciones LinuxEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un backdoor de nombre Rotajakiro que tiene como objetivo distribuciones Linux con arquitectura X64. Los investigadores no habían visto detecciones en VirusTotal de esta backdoor solo hasta marzo de 2021; se tiene conocimiento que esta backdoor se había analizado en esta plataforma desde 2018.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rotajakiro-puerta-trasera-dirigida-a-distribuciones-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un backdoor de nombre Rotajakiro que tiene como objetivo distribuciones Linux con arquitectura X64. Los investigadores no habían visto detecciones en VirusTotal de esta backdoor solo hasta marzo de 2021; se tiene conocimiento que esta backdoor se había analizado en esta plataforma desde 2018.
Royal ransomware es dirigido a servidores VMware ESXiDurante las últimas semanas diversos actores de amenazas han realizado ataques a servidores de VMware ESXi en gran parte del mundo, en esta ocasión royal ransomware se ha sumado a esta ola de amenazas que han afectado cientos de servidores VMware ESXi a nivel global, por lo que es importante destacar este tipo de actividades que pueden afectar la confidencialidad de su información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/royal-ransomware-es-dirigido-a-servidores-vmware-esxihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las últimas semanas diversos actores de amenazas han realizado ataques a servidores de VMware ESXi en gran parte del mundo, en esta ocasión royal ransomware se ha sumado a esta ola de amenazas que han afectado cientos de servidores VMware ESXi a nivel global, por lo que es importante destacar este tipo de actividades que pueden afectar la confidencialidad de su información.
Royal ransomware y su conexión con Conti Team OneRecientemente se ha identificado conexión entre el nuevo grupo de ransomware Royal y Conti Team One, dado a que ciberdelincuentes experimentados de este último mencionado hacen parte de Royal ransomware; que fue nombrado en principio como Zeon ransomware y posteriormente fue a actualizado a como lo conocemos actualmente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/royal-ransomware-y-su-conexion-con-conti-team-onehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado conexión entre el nuevo grupo de ransomware Royal y Conti Team One, dado a que ciberdelincuentes experimentados de este último mencionado hacen parte de Royal ransomware; que fue nombrado en principio como Zeon ransomware y posteriormente fue a actualizado a como lo conocemos actualmente.
RTM Locker: RaaS emergente causa preocupación en el ámbito de ciberseguridadLa seguridad en línea sigue siendo un tema de preocupación constante para empresas y particulares. A medida que las tecnologías avanzan, también lo hacen los métodos de ataque cibernético, y un nuevo grupo cibercriminal ha llamado la atención de los expertos en ciberseguridad. Se trata de "Read The Manual Locker, por sus siglas en inglés" (RTM) Locker, un proveedor privado de ransomware como servicio (RaaS) que ha llevado a cabo ataques oportunistas para generar ganancias ilícitas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rtm-locker-raas-emergente-causa-preocupacion-en-el-ambito-de-ciberseguridadhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad en línea sigue siendo un tema de preocupación constante para empresas y particulares. A medida que las tecnologías avanzan, también lo hacen los métodos de ataque cibernético, y un nuevo grupo cibercriminal ha llamado la atención de los expertos en ciberseguridad. Se trata de "Read The Manual Locker, por sus siglas en inglés" (RTM) Locker, un proveedor privado de ransomware como servicio (RaaS) que ha llevado a cabo ataques oportunistas para generar ganancias ilícitas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}