Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Agent Tesla y NjRat distribuidos en una nueva campaña de maldocsLa creciente ola de ataques cibernéticos dirigidos a distintos sectores económicos es un comportamiento habitual en el ciberespacio, esta actividad a su vez conlleva que los ciberdelincuentes empleen familias de malware para lograr sus objetivos de ahí que se halla rastreado una nueva campaña desplegada desde el mes pasado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/agent-tesla-y-njrat-distribuidos-en-una-nueva-campana-de-maldocshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La creciente ola de ataques cibernéticos dirigidos a distintos sectores económicos es un comportamiento habitual en el ciberespacio, esta actividad a su vez conlleva que los ciberdelincuentes empleen familias de malware para lograr sus objetivos de ahí que se halla rastreado una nueva campaña desplegada desde el mes pasado.
Nuevo vector de distribución del ransomware BisamwareTeniendo en cuenta el monitoreo realizado sobre las nuevas amenazas que puedan a llegar afectar al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa del ransomware conocido como Bisamware, y aunque fue reportado anteriormente en esta ocasión se identificó un aumento en el número de muestras encontradas además de una nueva actividad maliciosa donde se está distribuyendo por medio de explotación de vulnerabilidades.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-vector-de-distribucion-del-ransomware-bisamwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Teniendo en cuenta el monitoreo realizado sobre las nuevas amenazas que puedan a llegar afectar al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa del ransomware conocido como Bisamware, y aunque fue reportado anteriormente en esta ocasión se identificó un aumento en el número de muestras encontradas además de una nueva actividad maliciosa donde se está distribuyendo por medio de explotación de vulnerabilidades.
Evolución continúa de Bumblebee en la naturalezaLa evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-continua-de-bumblebee-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.
Actores de amenaza utilizan el movimiento del mouse en plantillas PowerPoint para distribuir malwareMúltiples análisis de la seguridad de la información han identificado una técnica basada en el movimiento del ratón (mouse) en documentos de Microsoft PowerPoint con la finalidad de desplegar malware; este procedimiento de infección inicia luego de que el usuario abre estos archivos y no importa si se encuentran en vista protegida ya que dicha acción desencadena un dropper a través de un script de PowerShell contenido en los documentos maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-utilizan-el-movimiento-del-mouse-en-plantillas-powerpoint-para-distribuir-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Múltiples análisis de la seguridad de la información han identificado una técnica basada en el movimiento del ratón (mouse) en documentos de Microsoft PowerPoint con la finalidad de desplegar malware; este procedimiento de infección inicia luego de que el usuario abre estos archivos y no importa si se encuentran en vista protegida ya que dicha acción desencadena un dropper a través de un script de PowerShell contenido en los documentos maliciosos.
Se identifica técnica de persistencia en los hipervisores de VMware ESXiRecientemente, investigadores de seguridad informática identificaron y detallaron una novedosa técnica empleada por los cibercriminales con el objetivo de tener acceso administrativo dentro de los hipervisores de VMware ESXi, con esto se apropian del manejo de los servidores vCenter (software de gestión de servidores avanzado que ofrece una plataforma centralizada para controlar los entornos de vSphere y obtener visibilidad en las nubes híbridas) y las máquinas virtualizadas ya sean para Windows o Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-tecnica-de-persistencia-en-los-hipervisores-de-vmware-esxihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores de seguridad informática identificaron y detallaron una novedosa técnica empleada por los cibercriminales con el objetivo de tener acceso administrativo dentro de los hipervisores de VMware ESXi, con esto se apropian del manejo de los servidores vCenter (software de gestión de servidores avanzado que ofrece una plataforma centralizada para controlar los entornos de vSphere y obtener visibilidad en las nubes híbridas) y las máquinas virtualizadas ya sean para Windows o Linux.
Nuevo grupo de ciberdelincuentes denominado Guacamaya afecta entidades gubernamentales en América latinaEn el ámbito del ciberespacio y la seguridad de la información, recientemente se ha evidenciado un nuevo caso de filtración de datos sensibles a organizaciones gubernamentales relacionados con el sector militar y policial. Este ataque es atribuido al grupo hacktivista denominado Guacamaya; donde, en el transcurso del año se observó que ha impactado países de América latina como Chile, México y Colombia, por decir algunos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ciberdelincuentes-denominado-guacamaya-afecta-entidades-gubernamentales-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito del ciberespacio y la seguridad de la información, recientemente se ha evidenciado un nuevo caso de filtración de datos sensibles a organizaciones gubernamentales relacionados con el sector militar y policial. Este ataque es atribuido al grupo hacktivista denominado Guacamaya; donde, en el transcurso del año se observó que ha impactado países de América latina como Chile, México y Colombia, por decir algunos.
El actor de amenazas Zinc despliega un backdoor en su operación denominado ZetaNileLos grupos de cibersoldados que operan actividades de estado-nación, son bastante activos en la naturaleza como es el caso de Zinc, quienes han perpetrado ataques cibernéticos sofisticados y destructivos desde 2009; el éxito de sus misiones es incursionar herramientas personalizadas como troyanos de acceso remoto (RAT), en ese orden de ideas se ha visto en el ciberespacio una creciente ola de campañas de ingeniería social atribuida a este grupo, en la que utilizan versiones modificadas de software de libre acceso para comprometer los equipos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-actor-de-amenazas-zinc-despliega-un-backdoor-en-su-operacion-denominado-zetanilehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los grupos de cibersoldados que operan actividades de estado-nación, son bastante activos en la naturaleza como es el caso de Zinc, quienes han perpetrado ataques cibernéticos sofisticados y destructivos desde 2009; el éxito de sus misiones es incursionar herramientas personalizadas como troyanos de acceso remoto (RAT), en ese orden de ideas se ha visto en el ciberespacio una creciente ola de campañas de ingeniería social atribuida a este grupo, en la que utilizan versiones modificadas de software de libre acceso para comprometer los equipos.
Nuevo grupo de ransomware denominado RoyalRecientemente se ha identificado una operación denominada como Royal, un grupo de actores de ransomware que a diferencia de otras amenazas de la misma familia no opera como servicio; este programa malicioso aplica un cifrado a los archivos que estén almacenados en las infraestructuras tecnológicas y les adiciona la extensión .royal; con esto inhabilitan el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ransomware-denominado-royalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado una operación denominada como Royal, un grupo de actores de ransomware que a diferencia de otras amenazas de la misma familia no opera como servicio; este programa malicioso aplica un cifrado a los archivos que estén almacenados en las infraestructuras tecnológicas y les adiciona la extensión .royal; con esto inhabilitan el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.
Nuevas funcionalidades de Ebrium stealer.Erbium es una amenaza tipo stealer que se encarga de capturar información, se distribuye como Malware-as-a-Service (MaaS). Esta amenaza se vende en foros de la red social de Telegram a un valor de $ 38.847 pesos colombianos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-funcionalidades-de-ebrium-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Erbium es una amenaza tipo stealer que se encarga de capturar información, se distribuye como Malware-as-a-Service (MaaS). Esta amenaza se vende en foros de la red social de Telegram a un valor de $ 38.847 pesos colombianos.
APT Metador implementa nuevos backdoors para sus campañas maliciosas.En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó unos nuevos backdoor llamados metaMain y Mafalda, los cuales están siendo implementados por el APT Metador, amenaza avanzada que se enfoca principalmente en telecomunicaciones, ISPs y proveedores de servicios de internet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-metador-implementa-nuevos-backdoors-para-sus-campanas-maliciosashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó unos nuevos backdoor llamados metaMain y Mafalda, los cuales están siendo implementados por el APT Metador, amenaza avanzada que se enfoca principalmente en telecomunicaciones, ISPs y proveedores de servicios de internet.
Nueva campaña del dropper NullMixerEn el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó varios troyanos en un solo dropper llamado NullMixer que tiene como finalidad la distribución de una amplia variedad de familias de Malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-dropper-nullmixerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó varios troyanos en un solo dropper llamado NullMixer que tiene como finalidad la distribución de una amplia variedad de familias de Malware.
Nueva actividad relacionada con el troyano bancario AlienLos troyanos bancarios son una amenaza constante la naturaleza, durante los últimos años los actores de amenaza han desarrollado múltiples familias dirigidas a usuarios de sistemas operativos móviles, especialmente Android debido a su gran porcentaje de usuarios; así mismo suelen prevalecer en el ciberespacio como es el caso de Alien, que apareció en febrero de 2020 ofertado en foros clandestinos como MaaS ( Malware as a Service, por sus siglas en inglés) desde aquel entonces su actividad ha sido constante, por lo cual en el ejercicio de monitorearlo se observó una nueva campaña que pretende engañar a las víctimas con una falsa actualización del sistema.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-el-troyano-bancario-alienhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los troyanos bancarios son una amenaza constante la naturaleza, durante los últimos años los actores de amenaza han desarrollado múltiples familias dirigidas a usuarios de sistemas operativos móviles, especialmente Android debido a su gran porcentaje de usuarios; así mismo suelen prevalecer en el ciberespacio como es el caso de Alien, que apareció en febrero de 2020 ofertado en foros clandestinos como MaaS ( Malware as a Service, por sus siglas en inglés) desde aquel entonces su actividad ha sido constante, por lo cual en el ejercicio de monitorearlo se observó una nueva campaña que pretende engañar a las víctimas con una falsa actualización del sistema.
Orca, el nuevo ransomware procedente de la familia de ZeppelinUna de las nuevas amenazas conocidas esta semana por el equipo de analistas del Csirt Financiero ha sido identificada como Orca, una amenaza de tipo ransomware y proveniente de la familia del ransomware Zeppelin debido a sus capacidades y funciones similares.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/orca-el-nuevo-ransomware-procedente-de-la-familia-de-zeppelinhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una de las nuevas amenazas conocidas esta semana por el equipo de analistas del Csirt Financiero ha sido identificada como Orca, una amenaza de tipo ransomware y proveniente de la familia del ransomware Zeppelin debido a sus capacidades y funciones similares.
Nuevo backdoor denominado RoshtyakEn el proceso de monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó un nuevo backdoor llamado Roshtyak, el cual está siendo implementado por el gusano Raspberry Robin.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-backdoor-denominado-roshtyakhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el proceso de monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó un nuevo backdoor llamado Roshtyak, el cual está siendo implementado por el gusano Raspberry Robin.
Reaparece Ginp el troyano bancario dirigido a usuarios AndroidGinp es un troyano que apareció en el ciberespacio a mediados de 2019, desde sus inicios ha buscado afectar usuarios de distintas entidades financieras que cuenten con un dispositivo con sistema operativo Android; asimismo el Csirt Financiero realiza monitoreo a las actividades de distintas amenazas entre este ejercicio encontramos nueva actividad relacionada con Ginp que empezó a distribuirse durante el mes de septiembre.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/reaparece-ginp-el-troyano-bancario-dirigido-a-usuarios-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ginp es un troyano que apareció en el ciberespacio a mediados de 2019, desde sus inicios ha buscado afectar usuarios de distintas entidades financieras que cuenten con un dispositivo con sistema operativo Android; asimismo el Csirt Financiero realiza monitoreo a las actividades de distintas amenazas entre este ejercicio encontramos nueva actividad relacionada con Ginp que empezó a distribuirse durante el mes de septiembre.
Se filtra el generador legítimo del ransomware LockBit 3.0La versión más reciente de LockBit fue lanzada en junio del presente año, donde se evidenciaron novedades importantes como el programa de recompensas por errores identificados, pago en Zcash y tácticas de extorsión. Se conoce que este grupo se encuentra activo desde 2019, desde entonces ha ganado mucha popularidad por los impactos que ha generado a diferentes organizaciones del mundo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-filtra-el-generador-legitimo-del-ransomware-lockbit-3.0http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La versión más reciente de LockBit fue lanzada en junio del presente año, donde se evidenciaron novedades importantes como el programa de recompensas por errores identificados, pago en Zcash y tácticas de extorsión. Se conoce que este grupo se encuentra activo desde 2019, desde entonces ha ganado mucha popularidad por los impactos que ha generado a diferentes organizaciones del mundo.
Nuevo troyano para Android denominado HarlyDurante el monitoreo realizado a fuentes abiertas de información donde son identificadas tipos de amenazas que puedan llegar afectar la infraestructura de nuestros asociados, el equipo del Csirt ha identificado un nuevo troyano conocido como Harly el cual es dirigido a sistemas operativos Android y que cuenta con capacidades similares a la del troyano Joker reportado en ocasiones anteriores.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-para-android-denominado-harlyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado a fuentes abiertas de información donde son identificadas tipos de amenazas que puedan llegar afectar la infraestructura de nuestros asociados, el equipo del Csirt ha identificado un nuevo troyano conocido como Harly el cual es dirigido a sistemas operativos Android y que cuenta con capacidades similares a la del troyano Joker reportado en ocasiones anteriores.
Nuevas técnicas y herramientas utilizadas por el ransomware BlackCatEs importante resaltar este tipo de nuevas actualizaciones donde los ciberdelincuentes implementan nuevas tácticas, técnicas y procedimientos de estas amenazas para hacerlas cada vez más ofensivas en sus nuevos ataques y con estas nuevas actualizaciones se observan nuevos indicadores de compromiso (IOC) relacionados a BlackCat.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-y-herramientas-utilizadas-por-el-ransomware-blackcathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es importante resaltar este tipo de nuevas actualizaciones donde los ciberdelincuentes implementan nuevas tácticas, técnicas y procedimientos de estas amenazas para hacerlas cada vez más ofensivas en sus nuevos ataques y con estas nuevas actualizaciones se observan nuevos indicadores de compromiso (IOC) relacionados a BlackCat.
Nueva variante del ransomware Phobos denominado DuckA través del monitoreó y la búsqueda de nuevas amenazas que puedan llegar afectar la infraestructura de los asociados el equipo de analistas del Csirt Financiero ha identificado una nueva variante del ransomware Phobos el cual ha sido reportado en ocasiones anteriores, esta ha sido observada y denominada como Duck esta amenaza se dirige a equipos con sistemas operativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-ransomware-phobos-denominado-duckhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreó y la búsqueda de nuevas amenazas que puedan llegar afectar la infraestructura de los asociados el equipo de analistas del Csirt Financiero ha identificado una nueva variante del ransomware Phobos el cual ha sido reportado en ocasiones anteriores, esta ha sido observada y denominada como Duck esta amenaza se dirige a equipos con sistemas operativos Windows.
Nueva amenaza denominada ChromeLoaderRecientemente se ha identificado una campaña en la cual se está utilizando ChromeLoader, esta amenaza emplea extensiones maliciosas que se anidan a los navegadores y tiene como objetivo desplegar otras familias de malware como ransomware. Durante la investigación se identificó a un actor de amenaza responsable del loader, este grupo lleva como nombre DEV-0796.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-chromeloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado una campaña en la cual se está utilizando ChromeLoader, esta amenaza emplea extensiones maliciosas que se anidan a los navegadores y tiene como objetivo desplegar otras familias de malware como ransomware. Durante la investigación se identificó a un actor de amenaza responsable del loader, este grupo lleva como nombre DEV-0796.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}