Nueva campaña de distribución del troyano LampionEn el ámbito del ciberespacio es frecuente observar las nuevas técnicas y tácticas de distribución utilizadas por los ciberdelincuentes con el objetivo de distribuir amenazas y llegar a impactar a organizaciones y entidades, por lo tanto, a través del monitoreo que realiza el equipo del Csirt Financiero fue identificado el troyano Lampion el cual está siendo distribuido por medio de un servicio legítimo conocido como weTransfer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-del-troyano-lampionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito del ciberespacio es frecuente observar las nuevas técnicas y tácticas de distribución utilizadas por los ciberdelincuentes con el objetivo de distribuir amenazas y llegar a impactar a organizaciones y entidades, por lo tanto, a través del monitoreo que realiza el equipo del Csirt Financiero fue identificado el troyano Lampion el cual está siendo distribuido por medio de un servicio legítimo conocido como weTransfer.
Lazarus (APT) emplea un nuevo backdoor denominado ForestTiger en su operaciónLazarus es un grupo de ciberdelincuentes con bastante trayectoria en el ciberespacio, puesto que este APT cuenta con un arsenal de herramientas para perpetrar ataques cibernéticos a gran escala asociados a ciberespionaje y ciberguerra; en el ejercicio de realizar seguimiento a sus actividades se ha relacionado una campaña distribuida a través técnicas de ingeniería social como spearphishing, dentro de la cual envían una aplicación maliciosa, además de utilizar un nuevo backdoor denominado ForestTiger para realizar movimientos laterales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/lazarus-apt-emplea-un-nuevo-backdoor-denominado-foresttiger-en-su-operacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Lazarus es un grupo de ciberdelincuentes con bastante trayectoria en el ciberespacio, puesto que este APT cuenta con un arsenal de herramientas para perpetrar ataques cibernéticos a gran escala asociados a ciberespionaje y ciberguerra; en el ejercicio de realizar seguimiento a sus actividades se ha relacionado una campaña distribuida a través técnicas de ingeniería social como spearphishing, dentro de la cual envían una aplicación maliciosa, además de utilizar un nuevo backdoor denominado ForestTiger para realizar movimientos laterales.
Nuevo ransomware denominado PlayDentro de las amenazas observadas a nivel global se encuentra el tipo ransomware que es muy utilizada por varios grupos de ciberdelincuentes, toda vez que permite cifrar información confidencial de manera eficaz y realizar algún tipo de extorsión exigiendo un monto económico a la víctima. En esta ocasión el equipo del Csirt Financiero identificó una nueva familia de este tipo, la cual es conocida como ransomware Play, donde se observó recientemente afectando países de América Latina.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-playhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro de las amenazas observadas a nivel global se encuentra el tipo ransomware que es muy utilizada por varios grupos de ciberdelincuentes, toda vez que permite cifrar información confidencial de manera eficaz y realizar algún tipo de extorsión exigiendo un monto económico a la víctima. En esta ocasión el equipo del Csirt Financiero identificó una nueva familia de este tipo, la cual es conocida como ransomware Play, donde se observó recientemente afectando países de América Latina.
RecordBreaker el nombre de la segunda versión de Raccoon StealerRaccoon Stealer fue visto por primera vez en 2019 y a su vez una de las amenazas más mencionadas por ser un stealer simple pero mudable que le permitió a muchos ciberdelincuentes perpetrar múltiples ataques, no obstante, en marzo de este año sus creadores anunciaron que se retirarían temporalmente a causa de miembros en su equipo, aunque hicieron mención de estar trabajando en una nueva versión de su malware; en ese orden de ideas recientemente se observó actividad asociada a Raccoon a su vez resurge en la naturaleza con el nombre RecordBreaker integrando nuevas funcionalidades.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/recordbreaker-el-nombre-de-la-segunda-version-de-raccoon-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Raccoon Stealer fue visto por primera vez en 2019 y a su vez una de las amenazas más mencionadas por ser un stealer simple pero mudable que le permitió a muchos ciberdelincuentes perpetrar múltiples ataques, no obstante, en marzo de este año sus creadores anunciaron que se retirarían temporalmente a causa de miembros en su equipo, aunque hicieron mención de estar trabajando en una nueva versión de su malware; en ese orden de ideas recientemente se observó actividad asociada a Raccoon a su vez resurge en la naturaleza con el nombre RecordBreaker integrando nuevas funcionalidades.
Nueva brecha de seguridad presentada en Microsoft TeamsRecientemente se ha identificado una nueva falla presentada en la plataforma Microsoft Teams, la cual afecta a todos los sistemas operativos o equipos que tengan instalada la aplicación en el escritorio. Esta brecha de seguridad permite que un actor de amenaza pueda obtener información sensible como credenciales de los diferentes servicios que ofrece Microsoft 365.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-brecha-de-seguridad-presentada-en-microsoft-teamshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado una nueva falla presentada en la plataforma Microsoft Teams, la cual afecta a todos los sistemas operativos o equipos que tengan instalada la aplicación en el escritorio. Esta brecha de seguridad permite que un actor de amenaza pueda obtener información sensible como credenciales de los diferentes servicios que ofrece Microsoft 365.
OriginLogger, un nuevo keylogger que es considerado el sucesor de Agent TeslaOriginLogger es el nombre de un nuevo registrador de pulsaciones de teclas que es usado por los ciberdelincuentes para la obtención de información sensible; este se ha catalogado como el sucesor de Agent Tesla. Dentro de la información capturada se identifican credenciales de acceso y/o data asociada a la identificación de las víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/originlogger-un-nuevo-keylogger-que-es-considerado-el-sucesor-de-agent-teslahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
OriginLogger es el nombre de un nuevo registrador de pulsaciones de teclas que es usado por los ciberdelincuentes para la obtención de información sensible; este se ha catalogado como el sucesor de Agent Tesla. Dentro de la información capturada se identifican credenciales de acceso y/o data asociada a la identificación de las víctimas.
Nuevo troyano de acceso remoto denominado Shadowpad RATA través de la búsqueda e inteligencia de amenazas por parte del equipo de analistas del Csirt Financiero se identificó un nuevo troyano de acceso remoto conocido como ShadowPad, donde se ha observado que dicha amenaza está dirigida a entidades y organizaciones gubernamentales afectando a sistemas operativos Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-shadowpad-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de la búsqueda e inteligencia de amenazas por parte del equipo de analistas del Csirt Financiero se identificó un nuevo troyano de acceso remoto conocido como ShadowPad, donde se ha observado que dicha amenaza está dirigida a entidades y organizaciones gubernamentales afectando a sistemas operativos Microsoft Windows.
El troyano URSA está de vueltaRecientemente, se identificó una nueva campaña en la cual estaba implicada una nueva versión del troyano URSA luego de dos años desde su publicación oficial, en estas nuevas actividades se ha observado que impacta a los usuarios por medio de un cargador sofisticado. Sus funciones principales son la recopilación de credenciales de acceso alojadas en los navegadores web y en programas utilizados para los servicios de FTP (Protocolo de transferencia de archivos); por otro lado, también suele realizar la superposición de un sitio web falso asociado a la entidad financiera de sus víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-ursa-esta-de-vueltahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se identificó una nueva campaña en la cual estaba implicada una nueva versión del troyano URSA luego de dos años desde su publicación oficial, en estas nuevas actividades se ha observado que impacta a los usuarios por medio de un cargador sofisticado. Sus funciones principales son la recopilación de credenciales de acceso alojadas en los navegadores web y en programas utilizados para los servicios de FTP (Protocolo de transferencia de archivos); por otro lado, también suele realizar la superposición de un sitio web falso asociado a la entidad financiera de sus víctimas.
Nueva actividad del troyano bancario HydraLas amenazas que han afectado exitosamente millones de dispositivos como es el caso de Hydra, tienden a proliferar en el tiempo; asimismo la forma en que los ciberdelincuentes buscaran otros métodos de distribución, aunado a lo anterior es posible que Hydra continue desplegándose en futuras campañas suplantando otras aplicaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-bancario-hydrahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las amenazas que han afectado exitosamente millones de dispositivos como es el caso de Hydra, tienden a proliferar en el tiempo; asimismo la forma en que los ciberdelincuentes buscaran otros métodos de distribución, aunado a lo anterior es posible que Hydra continue desplegándose en futuras campañas suplantando otras aplicaciones.
Botnet Emotet es utilizada para distribuir cargas útiles de ransomwareEmotet fue inicialmente conocido por ser un troyano bancario, el cual es atribuido al grupo de ciberdelincuentes llamados Mummy Spider (también conocidos como TA542). Con el pasar del tiempo, esta familia de malware ha tomado relevancia en el ámbito del ciberespacio, afectando a organizaciones y entidades de alto nivel en todo el mundo; actualmente, este se ha convertido en una botnet que es utilizada para entregar cargas útiles de segunda etapa de diversos tipos de malware que tienen como objetivo, la recopilación de datos sensibles de infraestructuras tecnológicas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-emotet-es-utilizada-para-distribuir-cargas-utiles-de-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Emotet fue inicialmente conocido por ser un troyano bancario, el cual es atribuido al grupo de ciberdelincuentes llamados Mummy Spider (también conocidos como TA542). Con el pasar del tiempo, esta familia de malware ha tomado relevancia en el ámbito del ciberespacio, afectando a organizaciones y entidades de alto nivel en todo el mundo; actualmente, este se ha convertido en una botnet que es utilizada para entregar cargas útiles de segunda etapa de diversos tipos de malware que tienen como objetivo, la recopilación de datos sensibles de infraestructuras tecnológicas.
Nueva actividad relacionada con el ransomware MagniberEl ransomware Magniber también conocido como My Decryptor surgió en 2017 cuando apuntaba a víctimas del continente asiático, desde ese entonces ha evolucionado acoplándose en la naturaleza para proliferar hasta la actualidad; esta amenaza se ha caracterizado por distribuirse por medio de la explotación de vulnerabilidades y sitios web maliciosos que ofrecen actualizaciones, en esa trazabilidad se ha visto en actualizaciones falsas de Windows, en la vulnerabilidad conocida como PrintNightMare y sitios donde se ofrecen actualizaciones de Microsoft Edge y Google Chrome.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-el-ransomware-magniberhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Magniber también conocido como My Decryptor surgió en 2017 cuando apuntaba a víctimas del continente asiático, desde ese entonces ha evolucionado acoplándose en la naturaleza para proliferar hasta la actualidad; esta amenaza se ha caracterizado por distribuirse por medio de la explotación de vulnerabilidades y sitios web maliciosos que ofrecen actualizaciones, en esa trazabilidad se ha visto en actualizaciones falsas de Windows, en la vulnerabilidad conocida como PrintNightMare y sitios donde se ofrecen actualizaciones de Microsoft Edge y Google Chrome.
Nueva variante de ransomware denominada BisamwareEstas nuevas amenazas puedan empezar a ser más utilizadas gracias a sus capacidades que le permiten afectar la disponibilidad de su entidad ya que el cifrado de información entre la que se encuentran las bases de datos, puede provocar que algunos servicios internos y externos queden inaccesibles, ocasionando una indisponibilidad en su entidad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-denominada-bisamwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Estas nuevas amenazas puedan empezar a ser más utilizadas gracias a sus capacidades que le permiten afectar la disponibilidad de su entidad ya que el cifrado de información entre la que se encuentran las bases de datos, puede provocar que algunos servicios internos y externos queden inaccesibles, ocasionando una indisponibilidad en su entidad.
Surge el ransomware Meow en la naturalezaEl ransomware es una de las amenazas que más impacta infraestructuras tecnológicas en la actualidad, esto se debe al beneficio económico que puede generar a los adversarios; así mismo surgen nuevos actores de amenaza en el ciberespacio como es el caso de Meow Corp, a quienes se les atribuye un nuevo ransomware denominado Meow.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surge-el-ransomware-meow-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware es una de las amenazas que más impacta infraestructuras tecnológicas en la actualidad, esto se debe al beneficio económico que puede generar a los adversarios; así mismo surgen nuevos actores de amenaza en el ciberespacio como es el caso de Meow Corp, a quienes se les atribuye un nuevo ransomware denominado Meow.
Nueva amenaza denominada ChromeLoaderRecientemente se ha identificado una campaña en la cual se está utilizando ChromeLoader, esta amenaza emplea extensiones maliciosas que se anidan a los navegadores y tiene como objetivo desplegar otras familias de malware como ransomware. Durante la investigación se identificó a un actor de amenaza responsable del loader, este grupo lleva como nombre DEV-0796.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-chromeloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado una campaña en la cual se está utilizando ChromeLoader, esta amenaza emplea extensiones maliciosas que se anidan a los navegadores y tiene como objetivo desplegar otras familias de malware como ransomware. Durante la investigación se identificó a un actor de amenaza responsable del loader, este grupo lleva como nombre DEV-0796.
Nueva variante del ransomware Phobos denominado DuckA través del monitoreó y la búsqueda de nuevas amenazas que puedan llegar afectar la infraestructura de los asociados el equipo de analistas del Csirt Financiero ha identificado una nueva variante del ransomware Phobos el cual ha sido reportado en ocasiones anteriores, esta ha sido observada y denominada como Duck esta amenaza se dirige a equipos con sistemas operativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-ransomware-phobos-denominado-duckhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreó y la búsqueda de nuevas amenazas que puedan llegar afectar la infraestructura de los asociados el equipo de analistas del Csirt Financiero ha identificado una nueva variante del ransomware Phobos el cual ha sido reportado en ocasiones anteriores, esta ha sido observada y denominada como Duck esta amenaza se dirige a equipos con sistemas operativos Windows.
Nuevas técnicas y herramientas utilizadas por el ransomware BlackCatEs importante resaltar este tipo de nuevas actualizaciones donde los ciberdelincuentes implementan nuevas tácticas, técnicas y procedimientos de estas amenazas para hacerlas cada vez más ofensivas en sus nuevos ataques y con estas nuevas actualizaciones se observan nuevos indicadores de compromiso (IOC) relacionados a BlackCat.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-y-herramientas-utilizadas-por-el-ransomware-blackcathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es importante resaltar este tipo de nuevas actualizaciones donde los ciberdelincuentes implementan nuevas tácticas, técnicas y procedimientos de estas amenazas para hacerlas cada vez más ofensivas en sus nuevos ataques y con estas nuevas actualizaciones se observan nuevos indicadores de compromiso (IOC) relacionados a BlackCat.
Nuevo troyano para Android denominado HarlyDurante el monitoreo realizado a fuentes abiertas de información donde son identificadas tipos de amenazas que puedan llegar afectar la infraestructura de nuestros asociados, el equipo del Csirt ha identificado un nuevo troyano conocido como Harly el cual es dirigido a sistemas operativos Android y que cuenta con capacidades similares a la del troyano Joker reportado en ocasiones anteriores.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-para-android-denominado-harlyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado a fuentes abiertas de información donde son identificadas tipos de amenazas que puedan llegar afectar la infraestructura de nuestros asociados, el equipo del Csirt ha identificado un nuevo troyano conocido como Harly el cual es dirigido a sistemas operativos Android y que cuenta con capacidades similares a la del troyano Joker reportado en ocasiones anteriores.
Se filtra el generador legítimo del ransomware LockBit 3.0La versión más reciente de LockBit fue lanzada en junio del presente año, donde se evidenciaron novedades importantes como el programa de recompensas por errores identificados, pago en Zcash y tácticas de extorsión. Se conoce que este grupo se encuentra activo desde 2019, desde entonces ha ganado mucha popularidad por los impactos que ha generado a diferentes organizaciones del mundo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-filtra-el-generador-legitimo-del-ransomware-lockbit-3.0http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La versión más reciente de LockBit fue lanzada en junio del presente año, donde se evidenciaron novedades importantes como el programa de recompensas por errores identificados, pago en Zcash y tácticas de extorsión. Se conoce que este grupo se encuentra activo desde 2019, desde entonces ha ganado mucha popularidad por los impactos que ha generado a diferentes organizaciones del mundo.
Reaparece Ginp el troyano bancario dirigido a usuarios AndroidGinp es un troyano que apareció en el ciberespacio a mediados de 2019, desde sus inicios ha buscado afectar usuarios de distintas entidades financieras que cuenten con un dispositivo con sistema operativo Android; asimismo el Csirt Financiero realiza monitoreo a las actividades de distintas amenazas entre este ejercicio encontramos nueva actividad relacionada con Ginp que empezó a distribuirse durante el mes de septiembre.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/reaparece-ginp-el-troyano-bancario-dirigido-a-usuarios-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ginp es un troyano que apareció en el ciberespacio a mediados de 2019, desde sus inicios ha buscado afectar usuarios de distintas entidades financieras que cuenten con un dispositivo con sistema operativo Android; asimismo el Csirt Financiero realiza monitoreo a las actividades de distintas amenazas entre este ejercicio encontramos nueva actividad relacionada con Ginp que empezó a distribuirse durante el mes de septiembre.
Nuevo backdoor denominado RoshtyakEn el proceso de monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó un nuevo backdoor llamado Roshtyak, el cual está siendo implementado por el gusano Raspberry Robin.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-backdoor-denominado-roshtyakhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el proceso de monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó un nuevo backdoor llamado Roshtyak, el cual está siendo implementado por el gusano Raspberry Robin.