Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Actividad maliciosa del troyano bancario AnubisEn el monitoreo constante a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada a Anubis, un troyano bancario que tiene como objetivo infectar dispositivos móviles Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-del-troyano-bancario-anubishttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo constante a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada a Anubis, un troyano bancario que tiene como objetivo infectar dispositivos móviles Android.
Actividad maliciosa del troyano bancario TeaBot el cual se distribuye a través de Google Play StoreEn el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa de TeaBot, troyano bancario que tiene como finalidad la captura de credenciales de acceso y controlar el dispositivo de forma remota.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-del-troyano-bancario-teabot-el-cual-se-distribuye-a-traves-de-google-play-storehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa de TeaBot, troyano bancario que tiene como finalidad la captura de credenciales de acceso y controlar el dispositivo de forma remota.
Actividad maliciosa identificada del troyano QakbotLos troyanos bancarios representan una grave amenaza para la ciberseguridad en el sector financiero, ya que buscan capturar información sensible, especialmente relacionada con credenciales bancarias, billeteras y criptomonedas. El equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso asociados al troyano bancario Qakbot, destacado por su presencia y versatilidad en actividades maliciosas, incluso siendo utilizado como botnet en otras campañas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-identificada-del-troyano-qakbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los troyanos bancarios representan una grave amenaza para la ciberseguridad en el sector financiero, ya que buscan capturar información sensible, especialmente relacionada con credenciales bancarias, billeteras y criptomonedas. El equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso asociados al troyano bancario Qakbot, destacado por su presencia y versatilidad en actividades maliciosas, incluso siendo utilizado como botnet en otras campañas.
Actividad maliciosa por parte de Prometheus un naciente ransomwareEl Csirt Financiero comparte información relacionada a nuevo ransomware denominado Prometheus, a pesar de que fue conocido en marzo del año en curso se identifican importantes ciberactividades alrededor del mundo, afectando a su vez a países en latino América.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-por-parte-de-prometheus-un-naciente-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero comparte información relacionada a nuevo ransomware denominado Prometheus, a pesar de que fue conocido en marzo del año en curso se identifican importantes ciberactividades alrededor del mundo, afectando a su vez a países en latino América.
Actividad maliciosa por parte del troyano bancario JaneleiroMediante el continuo monitoreo a fuentes abiertas, el Csirt Financiero logró evidenciar el troyano bancario denominado Janeleiro, el cual cuenta con actividad cibercriminal desde el año 2018, con principal enfoque en Brasil en infraestructuras tecnológicas con sistema operativo Windows, afectando sectores como el financiero, salud, educación, Pymes y manufactura. Mantiene similitudes con otros troyanos bancarios como Casbaneiro, Grandoreiro y Mekotio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-por-parte-del-troyano-bancario-janeleirohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el continuo monitoreo a fuentes abiertas, el Csirt Financiero logró evidenciar el troyano bancario denominado Janeleiro, el cual cuenta con actividad cibercriminal desde el año 2018, con principal enfoque en Brasil en infraestructuras tecnológicas con sistema operativo Windows, afectando sectores como el financiero, salud, educación, Pymes y manufactura. Mantiene similitudes con otros troyanos bancarios como Casbaneiro, Grandoreiro y Mekotio.
Actividad maliciosa ransomware BlackCocaineEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un nuevo grupo de distribución de ransomware denominado BlackCocaine el cual se encarga de cifrar los archivos contenidos en equipos con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-ransomware-blackcocainehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un nuevo grupo de distribución de ransomware denominado BlackCocaine el cual se encarga de cifrar los archivos contenidos en equipos con sistema operativo Windows.
Actividad maliciosa ransomware MountlockerEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa por parte del Ransomware denominado Mountlocker, el cual ha estado en operación desde Julio del 2020 mediante el modelo de Ransomware as a Service (RaaS) con repercusión sobre equipos de cómputo con sistemas operativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-ransomware-mountlockerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa por parte del Ransomware denominado Mountlocker, el cual ha estado en operación desde Julio del 2020 mediante el modelo de Ransomware as a Service (RaaS) con repercusión sobre equipos de cómputo con sistemas operativos Windows.
Actividad maliciosa relacionada a CaddyWiperEn el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que generen impacto en infraestructuras críticas, el equipo de analistas del Csirt Financiero ha identificado actividad de un Wiper denominado CaddyWiper, el cual ha generado afectaciones durante los conflictos entre en Ucrania y Rusia, comprometiendo equipos con sistemas operativos Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-a-caddywiperhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que generen impacto en infraestructuras críticas, el equipo de analistas del Csirt Financiero ha identificado actividad de un Wiper denominado CaddyWiper, el cual ha generado afectaciones durante los conflictos entre en Ucrania y Rusia, comprometiendo equipos con sistemas operativos Microsoft Windows.
Actividad maliciosa relacionada a DarkCloudDurante las labores de monitoreo adelantadas por el Csirt Financiero se identificó actividad relacionada con DarkCloud, un stealer especializado en la recolección y exfiltración de información el cual ha sido observado en campañas de distribución sustentadas en correos electrónicos maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-a-darkcloudhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo adelantadas por el Csirt Financiero se identificó actividad relacionada con DarkCloud, un stealer especializado en la recolección y exfiltración de información el cual ha sido observado en campañas de distribución sustentadas en correos electrónicos maliciosos.
Actividad maliciosa relacionada al troyano de acceso remoto Konni RATEn el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad de Konni RAT, un troyano de acceso remoto dirigida principalmente a instituciones gubernamentales y financieras de Rusia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-al-troyano-de-acceso-remoto-konni-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad de Konni RAT, un troyano de acceso remoto dirigida principalmente a instituciones gubernamentales y financieras de Rusia.
Actividad maliciosa relacionada con campañas de troyanos de acceso remotoDurante el monitoreo continúo realizado por el Csirt Financiero, se ha identificado actividad maliciosa vinculada a troyanos de acceso remoto (RAT) como WSHRAT, QuasarRAT y njRAT, los cuales han sido utilizadas por diversos actores de amenaza para comprometer equipos en múltiples sectores, facilitando la exfiltración de información sensible y el control remoto completo de los equipos afectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-con-campanas-de-troyanos-de-acceso-remotohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo continúo realizado por el Csirt Financiero, se ha identificado actividad maliciosa vinculada a troyanos de acceso remoto (RAT) como WSHRAT, QuasarRAT y njRAT, los cuales han sido utilizadas por diversos actores de amenaza para comprometer equipos en múltiples sectores, facilitando la exfiltración de información sensible y el control remoto completo de los equipos afectados.
Actividad maliciosa relacionada con CrimsonRAT y WshRATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó nueva actividad maliciosa asociada a los troyanos de acceso remoto CrimsonRAT y WshRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-con-crimsonrat-y-wshrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó nueva actividad maliciosa asociada a los troyanos de acceso remoto CrimsonRAT y WshRAT.
Actividad maliciosa relacionada con DragonForce RansomwareDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectó una técnica reciente utilizada para distribuir DragonForce, un ransomware que opera bajo el esquema de ransomware como servicio (RaaS), este modelo facilita a los ciberdelincuentes la personalización de las cargas maliciosas de acuerdo con el entorno de la víctima, permitiendo desactivar mecanismos de protección, definir configuraciones específicas de cifrado y adaptar el contenido de las notas de rescate, lo que aumenta la efectividad de sus campañas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-con-dragonforce-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectó una técnica reciente utilizada para distribuir DragonForce, un ransomware que opera bajo el esquema de ransomware como servicio (RaaS), este modelo facilita a los ciberdelincuentes la personalización de las cargas maliciosas de acuerdo con el entorno de la víctima, permitiendo desactivar mecanismos de protección, definir configuraciones específicas de cifrado y adaptar el contenido de las notas de rescate, lo que aumenta la efectividad de sus campañas.
Actividad maliciosa relacionada con Nitrogen y el uso de Cobalt StrikeDurante actividades de monitoreo y análisis continuo, el equipo de analistas del Csirt Financiero identificó una nueva campaña de ransomware vinculada al grupo detrás de Nitrogen, caracterizada por el uso de publicidad maliciosa como vector de infección para desencadenar sus actividades maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-con-nitrogen-y-el-uso-de-cobalt-strikehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y análisis continuo, el equipo de analistas del Csirt Financiero identificó una nueva campaña de ransomware vinculada al grupo detrás de Nitrogen, caracterizada por el uso de publicidad maliciosa como vector de infección para desencadenar sus actividades maliciosas.
Actividad observada del backdoor BRICKSTORM y su impacto en entornos virtualizadosDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al backdoor BRICKSTORM, el cual opera principalmente en entornos VMware vSphere.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-observada-del-backdoor-brickstorm-y-su-impacto-en-entornos-virtualizadoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al backdoor BRICKSTORM, el cual opera principalmente en entornos VMware vSphere.
Actividad reciente de APT31 con evolución táctica y nuevas capacidades ofensivasDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-apt31-con-evolucion-tactica-y-nuevas-capacidades-ofensivashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.
ACTIVIDAD RECIENTE DE GROUNDHOG BOTNETEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad reciente de Groundhog, una Botnet que afecta a sistemas Linux e infecta servicios alojados en la nube y sistemas con SSH con poca seguridad en sus credenciales, dado que su método de propagación predilecto son los ataques de fuerza bruta. Esta Botnet está compuesta por dos variantes XOR.DDOS y Groundhog para su correcto funcionamiento.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-groundhog-botnethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad reciente de Groundhog, una Botnet que afecta a sistemas Linux e infecta servicios alojados en la nube y sistemas con SSH con poca seguridad en sus credenciales, dado que su método de propagación predilecto son los ataques de fuerza bruta. Esta Botnet está compuesta por dos variantes XOR.DDOS y Groundhog para su correcto funcionamiento.
Actividad reciente de la botnet Gafgyt contra dispositivos IoTEl equipo de analistas del Csirt Financiero ha identificado actividad maliciosa en curso asociada a Gafgyt, una botnet orientada al compromiso de dispositivos IoT vulnerables como cámaras IP, enrutadores y sistemas de almacenamiento conectados a internet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-la-botnet-gafgyt-contra-dispositivos-iothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa en curso asociada a Gafgyt, una botnet orientada al compromiso de dispositivos IoT vulnerables como cámaras IP, enrutadores y sistemas de almacenamiento conectados a internet.
Actividad reciente de las amenazas CobInt y Cobalt Strike relacionados a Cobalt GroupDesde el CSIRT Financiero se han identificado actividad de los malware CobInt y Cobalt Strike. Programas maliciosos utilizados para descarga de malware y para pruebas de penetración, que tiene funciones propias diseñados para ejecutar ataques dirigidos. Se desconoce exactamente el método de distribución de estas amenazas, pero se tiene evidencia de muestras de estos que han sido propagados mediante correo con archivo de Office adjunto el cual induce mediante técnicas de engaño a usuarios a abrir los permisos de ejecución de macros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-las-amenazas-cobint-y-cobalt-strike-relacionados-a-cobalt-grouphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado actividad de los malware CobInt y Cobalt Strike. Programas maliciosos utilizados para descarga de malware y para pruebas de penetración, que tiene funciones propias diseñados para ejecutar ataques dirigidos. Se desconoce exactamente el método de distribución de estas amenazas, pero se tiene evidencia de muestras de estos que han sido propagados mediante correo con archivo de Office adjunto el cual induce mediante técnicas de engaño a usuarios a abrir los permisos de ejecución de macros.
Actividad reciente de Lumma Stealer y nuevas tácticas de distribución observadasDurante las labores de monitoreo realizadas por el equipo del Csirt Financiero, se identificó una nueva actividad atribuida a Lumma Stealer, en la que se evidencian cambios en su infraestructura y métodos de propagaciónhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-lumma-stealer-y-nuevas-tacticas-de-distribucion-observadashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo realizadas por el equipo del Csirt Financiero, se identificó una nueva actividad atribuida a Lumma Stealer, en la que se evidencian cambios en su infraestructura y métodos de propagación
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}