Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva variante de ransomware identificada como ThxThx es una nueva familia perteneciente a otra amenaza conocida como Dharma, este es un ransomware que tiene la finalidad de cifrar datos y con esto generar la capacidad de extorsionar a sus víctimas a través de la exigencia de un rescate a cambio de un beneficio económico para posteriormente entregar una clave de descifrado, todo esto lo hace con base en el tipo de información comprometida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-identificada-como-thxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Thx es una nueva familia perteneciente a otra amenaza conocida como Dharma, este es un ransomware que tiene la finalidad de cifrar datos y con esto generar la capacidad de extorsionar a sus víctimas a través de la exigencia de un rescate a cambio de un beneficio económico para posteriormente entregar una clave de descifrado, todo esto lo hace con base en el tipo de información comprometida.
Nuevos indicadores de compromiso asociados a BumblebeeBumblebee era backdoor que desde su creación ha adquirido mucha popularidad entre los ciberdelincuentes debido a sus amplias capacidades, sin embargo, los actores de amenaza de tras de este con el tiempo lo han desarrollado hasta convertirlo en un Loader.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-bumblebee-2http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bumblebee era backdoor que desde su creación ha adquirido mucha popularidad entre los ciberdelincuentes debido a sus amplias capacidades, sin embargo, los actores de amenaza de tras de este con el tiempo lo han desarrollado hasta convertirlo en un Loader.
Nueva actividad maliciosa relacionada con la Botnet TrueBot.A través de monitoreo constante a diversas fuentes de información, el equipo de analistas del Csirt Financiero identificó actividades recientes del software malicioso denominado TrueBot, botnet de descarga que ha estado activa desde el 2017.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-con-la-botnet-truebothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de monitoreo constante a diversas fuentes de información, el equipo de analistas del Csirt Financiero identificó actividades recientes del software malicioso denominado TrueBot, botnet de descarga que ha estado activa desde el 2017.
Nuevos IoC relacionados con el troyano de acceso remoto NjRATMediante un monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información abiertas, en busca de campañas, artefactos o nuevas amenazas que puedan afectar la infraestructura tecnológica de los asociados, se identificaron indicadores de compromiso recientes y relacionados con el troyano de acceso remoto NjRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-relacionados-con-el-troyano-de-acceso-remoto-njrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante un monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información abiertas, en busca de campañas, artefactos o nuevas amenazas que puedan afectar la infraestructura tecnológica de los asociados, se identificaron indicadores de compromiso recientes y relacionados con el troyano de acceso remoto NjRAT.
Makop Ransomware: Un peligroso actor de amenazas en constante evoluciónEn el mundo digital actual, los ataques de ransomware representan una amenaza creciente para las empresas y organizaciones de todo el mundo. Entre los diversos actores de ransomware, se encuentra la pandilla Makop, que ha estado activo desde 2020. A pesar de su reputación relativamente baja, Makop ha logrado comprometer infraestructuras tecnológicas con éxito mediante el uso de un arsenal de herramientas híbridas y personalizadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/makop-ransomware-un-peligroso-actor-de-amenazas-en-constante-evolucionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo digital actual, los ataques de ransomware representan una amenaza creciente para las empresas y organizaciones de todo el mundo. Entre los diversos actores de ransomware, se encuentra la pandilla Makop, que ha estado activo desde 2020. A pesar de su reputación relativamente baja, Makop ha logrado comprometer infraestructuras tecnológicas con éxito mediante el uso de un arsenal de herramientas híbridas y personalizadas.
Campaña de ciberataque "Horabot" amenaza a usuarios de habla hispana en América LatinaUna campaña de malware denominada Horabot ha sido descubierta recientemente, afectando a usuarios de habla hispana en América Latina. Este malware de tipo botnet se dirige a usuarios de habla hispana en Latinoamérica, con un enfoque particular en México, Horabot utiliza un troyano bancario y una herramienta de spam para comprometer las cuentas de correo web y controlar el buzón de Outlook de las víctimas. El troyano recopila credenciales de inicio de sesión, información del sistema operativo y pulsaciones de teclas, mientras que la herramienta de spam envía correos electrónicos no deseados a los contactos de la víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-ciberataque-horabot-amenaza-a-usuarios-de-habla-hispana-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una campaña de malware denominada Horabot ha sido descubierta recientemente, afectando a usuarios de habla hispana en América Latina. Este malware de tipo botnet se dirige a usuarios de habla hispana en Latinoamérica, con un enfoque particular en México, Horabot utiliza un troyano bancario y una herramienta de spam para comprometer las cuentas de correo web y controlar el buzón de Outlook de las víctimas. El troyano recopila credenciales de inicio de sesión, información del sistema operativo y pulsaciones de teclas, mientras que la herramienta de spam envía correos electrónicos no deseados a los contactos de la víctima.
IZ1H9: La activa y peligrosa variante Mirai que amenaza la seguridad de dispositivos LinuxRecientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/iz1h9-la-activa-y-peligrosa-variante-mirai-que-amenaza-la-seguridad-de-dispositivos-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.
Nuevos indicadores de compromiso asociados a LockBit y su versión 3.0A través del monitoreo realizado a diversas fuentes de información en búsqueda de nuevas amenazas o campañas que puedan afectar el ecosistema de ciberseguridad del sector financiero, se identificaron nuevos indicadores de compromiso relacionados a LockBit y su versión 3.5.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-lockbit-y-su-version-3.0http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado a diversas fuentes de información en búsqueda de nuevas amenazas o campañas que puedan afectar el ecosistema de ciberseguridad del sector financiero, se identificaron nuevos indicadores de compromiso relacionados a LockBit y su versión 3.5.
SeroXen: Un nuevo y evasivo troyano de acceso remoto (RAT)SeroXen es un nuevo troyano de acceso remoto (RAT) que ha ganado popularidad en 2023. Se presenta como una herramienta legítima que proporciona acceso a los equipos objetivo sin ser detectado por solo $30 al mes o $60 de por vida. Es una RAT sin archivos que combina proyectos de código abierto como Quasar RAT, r77-rootkit y NirCmd. Este RAT evita la detección en análisis estáticos y dinámicos, lo que lo convierte en una amenaza preocupante.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/seroxen-un-nuevo-y-evasivo-troyano-de-acceso-remoto-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
SeroXen es un nuevo troyano de acceso remoto (RAT) que ha ganado popularidad en 2023. Se presenta como una herramienta legítima que proporciona acceso a los equipos objetivo sin ser detectado por solo $30 al mes o $60 de por vida. Es una RAT sin archivos que combina proyectos de código abierto como Quasar RAT, r77-rootkit y NirCmd. Este RAT evita la detección en análisis estáticos y dinámicos, lo que lo convierte en una amenaza preocupante.
Identificada una nueva familia de ransomware con el nombre de xCorxCor es una nueva familia de ransomware que una vez compromete un equipo o sistema asigna un ID a cada víctima, el cual es usado en las extensiones de los diversos elementos afectados. Este ransomware hace parte de la familia de Dharma.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificada-una-nueva-familia-de-ransomware-con-el-nombre-de-xcorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
xCor es una nueva familia de ransomware que una vez compromete un equipo o sistema asigna un ID a cada víctima, el cual es usado en las extensiones de los diversos elementos afectados. Este ransomware hace parte de la familia de Dharma.
Nuevo ransomware denominado RhysidaRecientemente, se ha identificado un nuevo ransomware denominado como Rhysida, el cual ha sido atribuido a un incidente relacionado con el ejército de Chile, donde ha afectado sus servicios y disponibilidad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-rhysida-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado un nuevo ransomware denominado como Rhysida, el cual ha sido atribuido a un incidente relacionado con el ejército de Chile, donde ha afectado sus servicios y disponibilidad.
Bandit Stealer: el nuevo InfoStealer que apunta a navegadores y billeteras de criptomonedasBandit Stealer, un nuevo tipo de infostealer que ha surgido recientemente y está ganando terreno al dirigirse a múltiples navegadores y billeteras de criptomonedas, mientras evade la detección. Aunque actualmente se centra en la plataforma Windows, su desarrollo en el lenguaje de programación Go sugiere la posibilidad de una compatibilidad multiplataforma en el futuro.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/bandit-stealer-el-nuevo-infostealer-que-apunta-a-navegadores-y-billeteras-de-criptomonedashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bandit Stealer, un nuevo tipo de infostealer que ha surgido recientemente y está ganando terreno al dirigirse a múltiples navegadores y billeteras de criptomonedas, mientras evade la detección. Aunque actualmente se centra en la plataforma Windows, su desarrollo en el lenguaje de programación Go sugiere la posibilidad de una compatibilidad multiplataforma en el futuro.
Buhti: La amenaza emergente que aprovecha vulnerabilidades y utiliza variantes filtradas de ransomware LockBit y BabukEn el oscuro mundo de la ciberdelincuencia, una nueva amenaza ha surgido y ha despertado la atención de expertos en seguridad. Se trata de Buhti, un grupo de ransomware que se destaca por su enfoque inusual. A diferencia de otros grupos, no crea su propio malware, sino que utiliza builders de ransomware filtrados de las familias LockBit y Babuk. Esta táctica ha generado preocupación debido a su capacidad para atacar tanto sistemas Windows como Linux. Además, los operadores de Buhti han sido apodados como Blacktail, aunque su afiliación a otros grupos de cibercriminales aún no ha sido confirmada.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/buhti-la-amenaza-emergente-que-aprovecha-vulnerabilidades-y-utiliza-variantes-filtradas-de-ransomware-lockbit-y-babukhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el oscuro mundo de la ciberdelincuencia, una nueva amenaza ha surgido y ha despertado la atención de expertos en seguridad. Se trata de Buhti, un grupo de ransomware que se destaca por su enfoque inusual. A diferencia de otros grupos, no crea su propio malware, sino que utiliza builders de ransomware filtrados de las familias LockBit y Babuk. Esta táctica ha generado preocupación debido a su capacidad para atacar tanto sistemas Windows como Linux. Además, los operadores de Buhti han sido apodados como Blacktail, aunque su afiliación a otros grupos de cibercriminales aún no ha sido confirmada.
Operación Magalenha: Amenaza brasileña dirigida a instituciones financieras portuguesasUn actor de amenazas brasileño ha estado llevando a cabo una campaña de larga duración desde 2021, apuntando a más de 30 instituciones financieras portuguesas. En esta campaña, denominada "Operación Magalenha", los atacantes emplean malware para capturar información confidencial y personal de los usuarios. La operación culmina con el despliegue de dos variantes de una puerta trasera llamada PeepingTitle, que forma parte de un ecosistema de malware financiero brasileño más amplio conocido como Maxtrilha.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/operacion-magalenha-amenaza-brasilena-dirigida-a-instituciones-financieras-portuguesashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un actor de amenazas brasileño ha estado llevando a cabo una campaña de larga duración desde 2021, apuntando a más de 30 instituciones financieras portuguesas. En esta campaña, denominada "Operación Magalenha", los atacantes emplean malware para capturar información confidencial y personal de los usuarios. La operación culmina con el despliegue de dos variantes de una puerta trasera llamada PeepingTitle, que forma parte de un ecosistema de malware financiero brasileño más amplio conocido como Maxtrilha.
Evolución del Downloader GuloaderEl equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa relacionada con el downloader conocido como Guloader. Este malware utiliza la herramienta de código abierto NSIS (Nullsoft Scriptable Install System) una herramienta de código abierto que se utiliza para crear instaladores de software en el sistema operativo Windows para desarrollar instaladores en el sistema operativo Windows. Durante la investigación se han identificado nuevos indicadores de compromiso asociados a esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-downloader-guloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa relacionada con el downloader conocido como Guloader. Este malware utiliza la herramienta de código abierto NSIS (Nullsoft Scriptable Install System) una herramienta de código abierto que se utiliza para crear instaladores de software en el sistema operativo Windows para desarrollar instaladores en el sistema operativo Windows. Durante la investigación se han identificado nuevos indicadores de compromiso asociados a esta amenaza.
BlackByte NT: La nueva versión del ransomware BlackByteBlackByte es un grupo conocido por su uso de su ransomware con el mismo nombre, ofreciendo su servicio a sus afiliados como Ransomware-as-a-Service (RaaS). Han desarrollado diferentes variantes de malware a lo largo del tiempo, implementadas en varios lenguajes de programación. Su última versión, llamada BlackByte NT, Esta nueva implementación agrega controladores adicionales para explotar una vulnerabilidad específica y desactivar herramientas de seguridad que podrían interferir con su funcionamiento.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/blackbyte-nt-la-nueva-version-del-ransomware-blackbytehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
BlackByte es un grupo conocido por su uso de su ransomware con el mismo nombre, ofreciendo su servicio a sus afiliados como Ransomware-as-a-Service (RaaS). Han desarrollado diferentes variantes de malware a lo largo del tiempo, implementadas en varios lenguajes de programación. Su última versión, llamada BlackByte NT, Esta nueva implementación agrega controladores adicionales para explotar una vulnerabilidad específica y desactivar herramientas de seguridad que podrían interferir con su funcionamiento.
Nueva campaña maliciosa del ransomware Black BastaA medida que avanza el tiempo, los cibercriminales responsables del ransomware Black Basta continúan actualizando de manera constante esta amenaza y sus herramientas maliciosas. No obstante, el equipo de analistas del Csirt Financiero se mantiene vigilante y ha logrado identificar recientemente nueva actividad maliciosa y nuevos indicadores de compromiso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-del-ransomware-black-bastahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que avanza el tiempo, los cibercriminales responsables del ransomware Black Basta continúan actualizando de manera constante esta amenaza y sus herramientas maliciosas. No obstante, el equipo de analistas del Csirt Financiero se mantiene vigilante y ha logrado identificar recientemente nueva actividad maliciosa y nuevos indicadores de compromiso.
BlackCat: Ataques de ransomware potenciados por controladores maliciososRecientemente se ha detectado un aumento en la actividad del grupo de ransomware conocido como ALPHV, también llamado BlackCat. Lo preocupante es que este grupo está utilizando controladores de kernel de Windows maliciosos, los cuales están firmados para evadir la detección por parte del software de seguridad durante sus ataques. Esta táctica les ha permitido eludir las defensas y llevar a cabo sus acciones sin ser detectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/blackcat-ataques-de-ransomware-potenciados-por-controladores-maliciososhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha detectado un aumento en la actividad del grupo de ransomware conocido como ALPHV, también llamado BlackCat. Lo preocupante es que este grupo está utilizando controladores de kernel de Windows maliciosos, los cuales están firmados para evadir la detección por parte del software de seguridad durante sus ataques. Esta táctica les ha permitido eludir las defensas y llevar a cabo sus acciones sin ser detectados.
Nuevos IoC asociados al troyano de acceso remoto AveMariaAveMaria es un RAT modular con capacidades avanzadas, las cuales le permiten exfiltrar múltiple información de los equipos infectados, cabe resaltar que también es conocido como WARZONE RAT y que además esta amenaza está dirigida a todos los sectores, donde encontramos el ámbito financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-asociados-al-troyano-de-acceso-remoto-avemariahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
AveMaria es un RAT modular con capacidades avanzadas, las cuales le permiten exfiltrar múltiple información de los equipos infectados, cabe resaltar que también es conocido como WARZONE RAT y que además esta amenaza está dirigida a todos los sectores, donde encontramos el ámbito financiero.
Nuevos indicadores de compromiso asociados a BumblebeeA través del constante monitoreo a posibles amenazas que afecten el ecosistema de ciberseguridad del sector financiero, se han identificado, correlacionado y sanitizado, nuevos indicadores de compromiso relacionados al loader Bumblebee.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-bumblebee-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del constante monitoreo a posibles amenazas que afecten el ecosistema de ciberseguridad del sector financiero, se han identificado, correlacionado y sanitizado, nuevos indicadores de compromiso relacionados al loader Bumblebee.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}