Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
El ransomware Magniber reaparece con nuevas capacidades para generar persistencia.Mediante diferentes fuentes de información abiertas, el equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas y amenazas que puedan afectar la infraestructura de los asociados, donde se identificó actividades recientes del ransomware Magniber implementando técnicas para generar persistencia en los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-magniber-reaparece-con-nuevas-capacidades-para-generar-persistenciahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante diferentes fuentes de información abiertas, el equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas y amenazas que puedan afectar la infraestructura de los asociados, donde se identificó actividades recientes del ransomware Magniber implementando técnicas para generar persistencia en los equipos comprometidos.
El ransomware Mimic explota Everything en su rutina de cifradoEn el panorama de amenazas actual encontramos cientos de variantes de ransomware, entre estas las derivadas del constructor de Conti; tal como el nuevo ransomware llamado Mimic, que inicio su operación desde junio de 2022, este se caracteriza por explotar las API del motor de búsqueda de archivos Everything (desarrollado por voidtools), y distribuirse en campañas dirigidas a usuarios de habla rusa e inglesa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-mimic-explota-everything-en-su-rutina-de-cifradohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el panorama de amenazas actual encontramos cientos de variantes de ransomware, entre estas las derivadas del constructor de Conti; tal como el nuevo ransomware llamado Mimic, que inicio su operación desde junio de 2022, este se caracteriza por explotar las API del motor de búsqueda de archivos Everything (desarrollado por voidtools), y distribuirse en campañas dirigidas a usuarios de habla rusa e inglesa.
El ransomware Ragnar Locker oculto en máquina virtualEn el constante monitoreo que realiza el equipo del Csirt Financiero evidenció una nueva versión de ransomware denominada Ragnar Locker el cual se encuentra embebido en una máquina virtual, capaz de cifrar la información de unidades locales y de red.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-ragnar-locker-oculto-en-maquina-virtualhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el equipo del Csirt Financiero evidenció una nueva versión de ransomware denominada Ragnar Locker el cual se encuentra embebido en una máquina virtual, capaz de cifrar la información de unidades locales y de red.
El ransomware TellyouThePass regresa con nueva reinterpretación moderna con GolangEn el constante monitoreo a fuentes abiertas de información para detectar posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada al ransomware TellyouThePass, diseñado para realizar el cifrado de archivos para luego exigir un pago en BTC (Bitcoins) por su rescate. Los ciberdelincuentes lo han utilizado para comprometer sistemas operativos Windows y Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-tellyouthepass-regresa-con-nueva-reinterpretacion-moderna-con-golanghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas de información para detectar posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada al ransomware TellyouThePass, diseñado para realizar el cifrado de archivos para luego exigir un pago en BTC (Bitcoins) por su rescate. Los ciberdelincuentes lo han utilizado para comprometer sistemas operativos Windows y Linux.
El rasnomware Blackcat explota vulnerabilidades expuestas en internetA través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero a fuentes abiertas de información, se identificó una nueva actividad maliciosa del ransomware Blackcat también conocido como ALPHV donde un grupo de ciberdelincuentes está realizando la explotación de vulnerabilidades para entregar la carga útil de Blackcat.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-rasnomware-blackcat-explota-vulnerabilidades-expuestas-en-internethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero a fuentes abiertas de información, se identificó una nueva actividad maliciosa del ransomware Blackcat también conocido como ALPHV donde un grupo de ciberdelincuentes está realizando la explotación de vulnerabilidades para entregar la carga útil de Blackcat.
El skimmer Magecart denominado Mr. SNIFFALos kits de herramientas maliciosas son parte del panorama de amenazas relacionada con los skimmer, puesto que les brindan a los atacantes mayores posibilidades de tener éxito en sus ataques, estos motivados económicamente por la captura de información financiera asociada a tarjetas de crédito.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-skimmer-magecart-denominado-mr-sniffahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los kits de herramientas maliciosas son parte del panorama de amenazas relacionada con los skimmer, puesto que les brindan a los atacantes mayores posibilidades de tener éxito en sus ataques, estos motivados económicamente por la captura de información financiera asociada a tarjetas de crédito.
El troyano bancario Ares resurge con nuevas TTPAunque el troyano bancario Ares no es una nueva amenaza en el ciberespacio, ha resurgido con nuevas técnicas, tácticas y procedimientos compiladas en su segunda versión lanzada a mediados del mes de agosto; su aparición en el panorama de amenazas radica de febrero de 2021 desde entonces los ciberdelincuentes lo han empleado para apuntar al sector financiero, asimismo se ha rastreado que esta nueva versión está siendo desplegada en México hacia entidades financieras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-ares-resurge-con-nuevas-ttphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano bancario Ares no es una nueva amenaza en el ciberespacio, ha resurgido con nuevas técnicas, tácticas y procedimientos compiladas en su segunda versión lanzada a mediados del mes de agosto; su aparición en el panorama de amenazas radica de febrero de 2021 desde entonces los ciberdelincuentes lo han empleado para apuntar al sector financiero, asimismo se ha rastreado que esta nueva versión está siendo desplegada en México hacia entidades financieras.
El troyano bancario Dridex apunta a usuarios del sistema operativo MacOSDridex es una amenaza conocida en el panorama de amenazas, puesto que es uno de los troyanos bancarios más prolíficos de los últimos años de hecho hace unos meses sus operadores retomaron nuevamente la operación, al desplegar nuevas campañas con distintos artefactos con la carga útil de esta amenaza, entre los intereses de estos tenían ampliar su lista de objetivos y agregar mejoras en su código.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-dridex-apunta-a-usuarios-del-sistema-operativo-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dridex es una amenaza conocida en el panorama de amenazas, puesto que es uno de los troyanos bancarios más prolíficos de los últimos años de hecho hace unos meses sus operadores retomaron nuevamente la operación, al desplegar nuevas campañas con distintos artefactos con la carga útil de esta amenaza, entre los intereses de estos tenían ampliar su lista de objetivos y agregar mejoras en su código.
El troyano bancario IcedID alojado en sitios phishingEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de amenazas y nuevas campañas que puedan afectar a los asociados, donde se identificó una nueva campaña relacionada al troyano IcedID, el cual ha estado activo desde el año 2017, principalmente para capturar información bancaria de las víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-icedid-alojado-en-sitios-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de amenazas y nuevas campañas que puedan afectar a los asociados, donde se identificó una nueva campaña relacionada al troyano IcedID, el cual ha estado activo desde el año 2017, principalmente para capturar información bancaria de las víctimas.
El troyano bancario Medusa surge con nuevas capacidadesA través del monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura tecnológica de los asociados, se observó un aumento en la actividad del troyano bancario Medusa. Este troyano, identificado por primera vez en 2020, expandió su alcance rápidamente, afectando a varias instituciones financieras en América del Norte y Europa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-medusa-surge-con-nuevas-capacidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura tecnológica de los asociados, se observó un aumento en la actividad del troyano bancario Medusa. Este troyano, identificado por primera vez en 2020, expandió su alcance rápidamente, afectando a varias instituciones financieras en América del Norte y Europa.
El troyano de acceso remoto AgentTesla se distribuye mediante archivos de panel de control (CPL)A través del monitoreo realizado por el equipo de analistas del CSIRT Financiero en busca de nuevas amenazas o campañas maliciosas que puedan impactar la infraestructura tecnológica de los asociados, se identificó recientemente una actividad relacionada con AgentTesla RAT junto con archivos de panel de control (CPL) adjuntos a mensajes de correos electrónicos tipo phishing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-de-acceso-remoto-agenttesla-se-distribuye-mediante-archivos-de-panel-de-control-cplhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del CSIRT Financiero en busca de nuevas amenazas o campañas maliciosas que puedan impactar la infraestructura tecnológica de los asociados, se identificó recientemente una actividad relacionada con AgentTesla RAT junto con archivos de panel de control (CPL) adjuntos a mensajes de correos electrónicos tipo phishing.
El troyano de acceso remoto Xworm se aprovecha de vulnerabilidades expuestasDescubierta campaña de phishing en la Darknet que distribuye el malware XWorm mediante documentos falsos de Microsoft Word. Los objetivos son empresas y clínicas en Alemania, pero también podría afectar a países de América Latina. Los atacantes aprovechan la vulnerabilidad de Follina para insertar un script de PowerShell ofuscado y propagar la infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-de-acceso-remoto-xworm-se-aprovecha-de-vulnerabilidades-expuestashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Descubierta campaña de phishing en la Darknet que distribuye el malware XWorm mediante documentos falsos de Microsoft Word. Los objetivos son empresas y clínicas en Alemania, pero también podría afectar a países de América Latina. Los atacantes aprovechan la vulnerabilidad de Follina para insertar un script de PowerShell ofuscado y propagar la infección.
El troyano de acceso remoto XWorm se distribuye activamente en la naturalezaEn la Darknet son ofertados de forma continua herramientas maliciosas o en su defecto actualizaciones de las mismas con nuevas capacidades; específicamente en foros clandestinos de la Deep y Dark web, en ése orden de ideas a mediados de este año se identificó la versión 2.2 del troyano de acceso remoto XWorm, ofrecida bajo el proyecto denominado Evilcoder; desde entonces se ha visto distribuyéndose activamente en la naturaleza, estos actores de amenaza lo describen como un sofisticado RAT con ransomware y capacidades de ataque hVNC (hidden virtual network computing, por sus siglas inglés).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-de-acceso-remoto-xworm-se-distribuye-activamente-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la Darknet son ofertados de forma continua herramientas maliciosas o en su defecto actualizaciones de las mismas con nuevas capacidades; específicamente en foros clandestinos de la Deep y Dark web, en ése orden de ideas a mediados de este año se identificó la versión 2.2 del troyano de acceso remoto XWorm, ofrecida bajo el proyecto denominado Evilcoder; desde entonces se ha visto distribuyéndose activamente en la naturaleza, estos actores de amenaza lo describen como un sofisticado RAT con ransomware y capacidades de ataque hVNC (hidden virtual network computing, por sus siglas inglés).
El troyano Qbot es distribuido a través de archivos de Microsoft OneNoteQbot también conocido como QuakBot o Pinkslipbot fue identificado por primera vez en el año 2009, desde entonces los grupos de ciberdelincuentes detrás de esta amenaza han estado en constantes actualizaciones en su código llegándolo a convertir en una de las amenazas más utilizadas en distintos ataques a nivel global, en una de sus nuevas actualizaciones se observó una nueva campaña denominada QakNote, el cual utiliza archivos adjuntos maliciosos de Microsoft OneNote con extensión .one para su proceso de infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-qbot-es-distribuido-a-traves-de-archivos-de-microsoft-onenotehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Qbot también conocido como QuakBot o Pinkslipbot fue identificado por primera vez en el año 2009, desde entonces los grupos de ciberdelincuentes detrás de esta amenaza han estado en constantes actualizaciones en su código llegándolo a convertir en una de las amenazas más utilizadas en distintos ataques a nivel global, en una de sus nuevas actualizaciones se observó una nueva campaña denominada QakNote, el cual utiliza archivos adjuntos maliciosos de Microsoft OneNote con extensión .one para su proceso de infección.
El troyano URSA está de vueltaRecientemente, se identificó una nueva campaña en la cual estaba implicada una nueva versión del troyano URSA luego de dos años desde su publicación oficial, en estas nuevas actividades se ha observado que impacta a los usuarios por medio de un cargador sofisticado. Sus funciones principales son la recopilación de credenciales de acceso alojadas en los navegadores web y en programas utilizados para los servicios de FTP (Protocolo de transferencia de archivos); por otro lado, también suele realizar la superposición de un sitio web falso asociado a la entidad financiera de sus víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-ursa-esta-de-vueltahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se identificó una nueva campaña en la cual estaba implicada una nueva versión del troyano URSA luego de dos años desde su publicación oficial, en estas nuevas actividades se ha observado que impacta a los usuarios por medio de un cargador sofisticado. Sus funciones principales son la recopilación de credenciales de acceso alojadas en los navegadores web y en programas utilizados para los servicios de FTP (Protocolo de transferencia de archivos); por otro lado, también suele realizar la superposición de un sitio web falso asociado a la entidad financiera de sus víctimas.
El troyano Xloader distribuido en foros populares de la Deep y Dark webXloader es un troyano conocido por sus altas capacidades de capturar información confidencial de equipos con sistemas operativos Microsoft Windows y Mac Os, donde el código de este troyano se encuentra basado en otro troyano muy popular como lo es FormBook.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-xloader-distribuido-en-foros-populares-de-la-deep-y-dark-webhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Xloader es un troyano conocido por sus altas capacidades de capturar información confidencial de equipos con sistemas operativos Microsoft Windows y Mac Os, donde el código de este troyano se encuentra basado en otro troyano muy popular como lo es FormBook.
Elevación de privilegios en Apache HTTP Server 2.4Un error no controlado al intentar acceder fuera de los límites de un array, permitiría a un atacante local elevar privilegios y ejecutar código con permisos de administrador en el servidor HTTP Apache.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/elevacion-de-privilegios-en-apache-http-server-2.4http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un error no controlado al intentar acceder fuera de los límites de un array, permitiría a un atacante local elevar privilegios y ejecutar código con permisos de administrador en el servidor HTTP Apache.
Emerge Crywiper un wiper disfrazado de ransomwareEn la naturaleza encontramos distintas variantes de troyanos, una de estas conocidas como wiper (programa malicioso que destruye datos sin posibilidad de recuperarlos), en ese orden de ideas recientemente apareció en el panorama de amenazas CryWiper, el cual se enmascara como un ransomware para exigir un pago por la llave de descifrado, en cuyo caso es imposible dado que no cifra si no destruye.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-crywiper-un-wiper-disfrazado-de-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la naturaleza encontramos distintas variantes de troyanos, una de estas conocidas como wiper (programa malicioso que destruye datos sin posibilidad de recuperarlos), en ese orden de ideas recientemente apareció en el panorama de amenazas CryWiper, el cual se enmascara como un ransomware para exigir un pago por la llave de descifrado, en cuyo caso es imposible dado que no cifra si no destruye.
Emerge la nueva botnet llamada Medusa en el panorama de amenazasLa botnet Mirai se ha actualizado para descargar y propagar una nueva botnet llamada Medusa, afectando dispositivos de red vulnerables que ejecuten Linux para de este modo comprometerlos y llevar a cabo acciones maliciosas como ataques DDoS y descarga de malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-la-nueva-botnet-llamada-medusa-en-el-panorama-de-amenazashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La botnet Mirai se ha actualizado para descargar y propagar una nueva botnet llamada Medusa, afectando dispositivos de red vulnerables que ejecuten Linux para de este modo comprometerlos y llevar a cabo acciones maliciosas como ataques DDoS y descarga de malware.
Emerge nueva familia de ransomware denominada CryptNetRecientemente investigadores cibernéticos identificaron una nueva variante de malware denominada CryptNet, amenaza de tipo ransomware que es ofrecido como servicio (as-a-service) a través de foros clandestinos de la Deep y Dark web; CryptNet se encuentra desarrollado bajo el lenguaje de programación .NET y emplea el algoritmo de cifrado AES en modo CBC (algoritmo que utiliza un cifrador por bloques para proveer seguridad a la información) y RSA de 2048 bits.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-nueva-familia-de-ransomware-denominada-cryptnethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente investigadores cibernéticos identificaron una nueva variante de malware denominada CryptNet, amenaza de tipo ransomware que es ofrecido como servicio (as-a-service) a través de foros clandestinos de la Deep y Dark web; CryptNet se encuentra desarrollado bajo el lenguaje de programación .NET y emplea el algoritmo de cifrado AES en modo CBC (algoritmo que utiliza un cifrador por bloques para proveer seguridad a la información) y RSA de 2048 bits.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}