Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Ryuk RansomwareDesde el CSIRT Financiero se detecta una amenaza la cual podría impactar sobre el sector financiero, se trata de un Ransomware llamado Ryuk el cual ataca activamente a organizaciones globales, asociado a Emotet y Trickbot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ryuk-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una amenaza la cual podría impactar sobre el sector financiero, se trata de un Ransomware llamado Ryuk el cual ataca activamente a organizaciones globales, asociado a Emotet y Trickbot.
Ryuk Ransomware que afecta empresas a nivel internacionalPor medio de fuentes de inteligencia del CSIRT Financiero, se advierte sobre el incremento de la distribución del ransomware Ryuk. El último mes se han visto afectadas empresas españolas, con grandes pérdidas de información, este tipo de ciberamenazas podrían ser utilizadas para afectar a usuarios de la región, por lo tanto, se recomienda tener los debidos cuidados, para no ser víctima de ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ryuk-ransomware-que-afecta-empresas-a-nivel-internacionalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de inteligencia del CSIRT Financiero, se advierte sobre el incremento de la distribución del ransomware Ryuk. El último mes se han visto afectadas empresas españolas, con grandes pérdidas de información, este tipo de ciberamenazas podrían ser utilizadas para afectar a usuarios de la región, por lo tanto, se recomienda tener los debidos cuidados, para no ser víctima de ciberdelincuentes.
Ryuk Ransomware utiliza Wake-on-LanEl equipo del Csirt Financiero mediante búsquedas e investigaciones en fuentes de información abierta, identificó una funcionalidad utilizada por el ransomwaer Ryuk sobre los equipos conectados a una red LAN.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ryuk-ransomware-utiliza-wake-on-lanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero mediante búsquedas e investigaciones en fuentes de información abierta, identificó una funcionalidad utilizada por el ransomwaer Ryuk sobre los equipos conectados a una red LAN.
Saint Bot, nuevo Downloader utilizado para descargar y ejecutar malwareEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo downloader denominado Saint Bot el cual está siendo utilizado para distribuir, descargar y ejecutar malware adicional en un equipo comprometido como lo es el malware Taurus, que consiste en un Stealer de credenciales que afecta a equipos con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/saint-bot-nuevo-downloader-utilizado-para-descargar-y-ejecutar-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo downloader denominado Saint Bot el cual está siendo utilizado para distribuir, descargar y ejecutar malware adicional en un equipo comprometido como lo es el malware Taurus, que consiste en un Stealer de credenciales que afecta a equipos con sistema operativo Windows.
Sappirestealer: nueva amenaza en constante evoluciónEl equipo de analistas del Csirt Financiero ha identificado una amenaza de código abierto basado en .NET denominada SapphireStealer, este malware es catalogado como un stealer y se ha convertido en una amenaza en constante evolución donde se han identificado un aumento significativo de su presencia en foros clandestinos y repositorios de GitHub desde su primera publicación en diciembre de 2022.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/sappirestealer-nueva-amenaza-en-constante-evolucionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una amenaza de código abierto basado en .NET denominada SapphireStealer, este malware es catalogado como un stealer y se ha convertido en una amenaza en constante evolución donde se han identificado un aumento significativo de su presencia en foros clandestinos y repositorios de GitHub desde su primera publicación en diciembre de 2022.
Satanstealer, una nueva amenaza cibernéticaEl equipo del Csirt Financiero ha identificado recientemente una nueva amenaza cibernética conocida como SatanStealer, que ha surgido como una preocupación significativa en el panorama de la ciberseguridad. Este Stealer fue detectado por primera a principios del presente año, cuando comenzó a ser comercializado en foros de la Deep web.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/satanstealer-una-nueva-amenaza-ciberneticahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado recientemente una nueva amenaza cibernética conocida como SatanStealer, que ha surgido como una preocupación significativa en el panorama de la ciberseguridad. Este Stealer fue detectado por primera a principios del presente año, cuando comenzó a ser comercializado en foros de la Deep web.
Scranos software espía con capacidades de rootkit.Este malware roba datos y contraseñas basados en un rootkit (Software que permite un acceso de privilegio a un ordenador, pero que mantiene su presencia oculta al control del administrador) firmado digitalmente con un certificado posiblemente robado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/scranos-software-espia-con-capacidades-de-rootkithttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Este malware roba datos y contraseñas basados en un rootkit (Software que permite un acceso de privilegio a un ordenador, pero que mantiene su presencia oculta al control del administrador) firmado digitalmente con un certificado posiblemente robado.
Script CredentialFlusher difundido mediante correos phishingMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC de CredentialFlusher.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/script-credentialflusher-difundido-mediante-correos-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC de CredentialFlusher.
Scripts para detección de vulnerabilidades de Microsoft Exchange ServerEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado tres (3) script de seguridad que ha liberado Microsoft para identificar los indicadores de compromiso relacionados a las vulnerabilidades de Microsoft Exchange Server publicadas el 02 de marzo del presente año.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/scripts-para-deteccion-de-vulnerabilidades-de-microsoft-exchange-serverhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado tres (3) script de seguridad que ha liberado Microsoft para identificar los indicadores de compromiso relacionados a las vulnerabilidades de Microsoft Exchange Server publicadas el 02 de marzo del presente año.
Se descubre nueva actividad de Malware TrickbotSe ha identificado una nueva campaña de correos electrónicos distribuyendo Trickbot, dentro de los correos enviados, además de la información con la que intentan engañar al usuario, adjuntan un archivo por lo general de office. Si el usuario llega a descargar el archivo y abrirlo en su máquina, será infectado a través de macros y/o código JavaScript. Esta campaña fue creada con el fin de capturar los datos personales de los usuarios afectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-descubre-nueva-actividad-de-malware-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una nueva campaña de correos electrónicos distribuyendo Trickbot, dentro de los correos enviados, además de la información con la que intentan engañar al usuario, adjuntan un archivo por lo general de office. Si el usuario llega a descargar el archivo y abrirlo en su máquina, será infectado a través de macros y/o código JavaScript. Esta campaña fue creada con el fin de capturar los datos personales de los usuarios afectados.
Se detecta de nuevo actividad de Cardinal RATUnit 42, de PaloAlto, descubre una actualización del malware denominado Cardinal RAT, teniendo como objetivo empresas Fin-Tech (industria de la tecnología financiera relacionadas con el intercambio de divisas y el intercambio de moneda criptográfica) en Israel, mayoritariamente. Se ha analizado en estos nuevos ataques una posible relación entre Cardinal RAT y otra familia de malware llamada EVILNUM debido a la similitud y a la concordancia de los objetivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-detecta-de-nuevo-actividad-de-cardinal-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Unit 42, de PaloAlto, descubre una actualización del malware denominado Cardinal RAT, teniendo como objetivo empresas Fin-Tech (industria de la tecnología financiera relacionadas con el intercambio de divisas y el intercambio de moneda criptográfica) en Israel, mayoritariamente. Se ha analizado en estos nuevos ataques una posible relación entre Cardinal RAT y otra familia de malware llamada EVILNUM debido a la similitud y a la concordancia de los objetivos.
Se evidencia nueva actividad de la Botnet de Emotet.Desde el CSIRT Financiero se ha identificado una nueva actividad de la botnet llamada Emotet y en esta nueva campaña, aunque esta botnet no cambia su estructura, está siendo usada para distribuir malware dentro de los que se destacan dos troyanos bancarios. Adicional a esto, cabe destacar que en la actividad detectada desde la reaparición de la campaña no se han identificado nuevos binarios de bot, si no únicamente nueva actividad de los servidores que ya estaban usando.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-evidencia-nueva-actividad-de-la-botnet-de-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una nueva actividad de la botnet llamada Emotet y en esta nueva campaña, aunque esta botnet no cambia su estructura, está siendo usada para distribuir malware dentro de los que se destacan dos troyanos bancarios. Adicional a esto, cabe destacar que en la actividad detectada desde la reaparición de la campaña no se han identificado nuevos binarios de bot, si no únicamente nueva actividad de los servidores que ya estaban usando.
Se filtra el generador legítimo del ransomware LockBit 3.0La versión más reciente de LockBit fue lanzada en junio del presente año, donde se evidenciaron novedades importantes como el programa de recompensas por errores identificados, pago en Zcash y tácticas de extorsión. Se conoce que este grupo se encuentra activo desde 2019, desde entonces ha ganado mucha popularidad por los impactos que ha generado a diferentes organizaciones del mundo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-filtra-el-generador-legitimo-del-ransomware-lockbit-3.0http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La versión más reciente de LockBit fue lanzada en junio del presente año, donde se evidenciaron novedades importantes como el programa de recompensas por errores identificados, pago en Zcash y tácticas de extorsión. Se conoce que este grupo se encuentra activo desde 2019, desde entonces ha ganado mucha popularidad por los impactos que ha generado a diferentes organizaciones del mundo.
Se identifica actividad de un ransomware poco conocido llamado LorenzEn la necesidad de proteger los pilares fundamentales de la información y al sector financiero, el equipo de analistas del Csirt Financiero identificaron actividad de una amenaza no vista anteriormente, se trata de un grupo de ransomware denominado Lorenz, del cual se infiere que tienen conexión con otra amenaza conocida como ThunderCrypt, además, que se ha ganado mucha popularidad desde sus inicios debido a la filtración de datos antes del cifrado, explotar vulnerabilidades de VoIP para el acceso a los equipos informáticos y la publicación de dicha data exfiltrada en su sitio web para extorsionar a sus víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-actividad-de-un-ransomware-poco-conocido-llamado-lorenzhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la necesidad de proteger los pilares fundamentales de la información y al sector financiero, el equipo de analistas del Csirt Financiero identificaron actividad de una amenaza no vista anteriormente, se trata de un grupo de ransomware denominado Lorenz, del cual se infiere que tienen conexión con otra amenaza conocida como ThunderCrypt, además, que se ha ganado mucha popularidad desde sus inicios debido a la filtración de datos antes del cifrado, explotar vulnerabilidades de VoIP para el acceso a los equipos informáticos y la publicación de dicha data exfiltrada en su sitio web para extorsionar a sus víctimas.
Se identifica campaña de phishing distribuyendo Lokibot (LokiPWS)Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero con apoyo de diversas fuentes de información, se identificó una campaña de phishing reciente, que ha sido distribuida en diversos países de norte América, Europa y África, donde utilizan el troyano conocido como LokiBot o LokiPWS para comprometer los sistemas de las víctimas y exfiltrar credenciales de acceso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-campana-de-phishing-distribuyendo-lokibot-lokipwshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero con apoyo de diversas fuentes de información, se identificó una campaña de phishing reciente, que ha sido distribuida en diversos países de norte América, Europa y África, donde utilizan el troyano conocido como LokiBot o LokiPWS para comprometer los sistemas de las víctimas y exfiltrar credenciales de acceso.
Se identifica nueva actividad del troyano bancario Anatsa de AndroidSe identifico el troyano bancario Anatsa el cual se encuentra presente en diferentes aplicaciones para Android que se hacen pasar por benignas o legitimas como lectores de PDF y otras de administración de archivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-nueva-actividad-del-troyano-bancario-anatsa-de-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identifico el troyano bancario Anatsa el cual se encuentra presente en diferentes aplicaciones para Android que se hacen pasar por benignas o legitimas como lectores de PDF y otras de administración de archivos.
Se identifica nueva actividad maliciosa de EmotetAunque Emotet ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-nueva-actividad-maliciosa-de-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque Emotet ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.
Se identifica nueva actividad maliciosa del ransomware Conti.Es evidente que en el día a día grupos de ciberdelincuentes realizan constantes actualizaciones a las diversas amenazas que abundan en el ciberespacio, por lo que en esta ocasión el equipo del Csirt identifico una nueva actividad maliciosa relacionada al ransomware Conti donde se encuentran nuevos indicadores de compromiso relacionados a esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-nueva-actividad-maliciosa-del-ransomware-contihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es evidente que en el día a día grupos de ciberdelincuentes realizan constantes actualizaciones a las diversas amenazas que abundan en el ciberespacio, por lo que en esta ocasión el equipo del Csirt identifico una nueva actividad maliciosa relacionada al ransomware Conti donde se encuentran nuevos indicadores de compromiso relacionados a esta amenaza.
Se identifica nueva actividad maliciosa del troyano QbotA través de diversas fuentes de información el equipo de analistas del Csirt Financiero ha identificado nueva actividad relacionada al troyano bancario QakBot también conocido como Qbot que ha sido utilizado por diversos ciberdelincuentes desde el año 2007, el cual tiene como propósito recopilar data sensible relacionada con servicios y entidades financieras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-nueva-actividad-maliciosa-del-troyano-qbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de diversas fuentes de información el equipo de analistas del Csirt Financiero ha identificado nueva actividad relacionada al troyano bancario QakBot también conocido como Qbot que ha sido utilizado por diversos ciberdelincuentes desde el año 2007, el cual tiene como propósito recopilar data sensible relacionada con servicios y entidades financieras.
Se identifica nueva amenaza denominada Titan StealerEl equipo de analistas del Csirt Financiero realizó un observatorio de ciberseguridad, con el objetivo de reconocer y compartir nuevas campañas o amenazas que puedan afectar la infraestructura de los asociados, en la que se identificó un nuevo software malicioso de tipo stealer (ladrón de información) denominado Titan stealer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-nueva-amenaza-denominada-titan-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un observatorio de ciberseguridad, con el objetivo de reconocer y compartir nuevas campañas o amenazas que puedan afectar la infraestructura de los asociados, en la que se identificó un nuevo software malicioso de tipo stealer (ladrón de información) denominado Titan stealer.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}