Greatness: Una plataforma de phishing como servicio (PaaS) para ataques de suplantación de identidadLa ciberdelincuencia continúa evolucionando a un ritmo alarmante, y una nueva amenaza ha surgido en el panorama de los ataques de phishing. Se trata de una plataforma como servicio (PaaS) conocida como Greatness, que ha sido adoptada por los criminales cibernéticos para apuntar a los usuarios comerciales del servicio en la nube Microsoft 365. Esta plataforma ha logrado reducir eficazmente las barreras de entrada para llevar a cabo ataques de phishing, lo que representa un peligro para las empresas y sus datos sensibles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/greatness-una-plataforma-de-phishing-como-servicio-paas-para-ataques-de-suplantacion-de-identidadhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La ciberdelincuencia continúa evolucionando a un ritmo alarmante, y una nueva amenaza ha surgido en el panorama de los ataques de phishing. Se trata de una plataforma como servicio (PaaS) conocida como Greatness, que ha sido adoptada por los criminales cibernéticos para apuntar a los usuarios comerciales del servicio en la nube Microsoft 365. Esta plataforma ha logrado reducir eficazmente las barreras de entrada para llevar a cabo ataques de phishing, lo que representa un peligro para las empresas y sus datos sensibles.
Nuevos artefactos relacionados al troyano bancario ZloaderEl equipo de analistas del Csirt Financiero ha detectado una nueva campaña del troyano bancario Zloader, que ha afectado a instituciones financieras en varios países. Uno de los troyanos bancarios más peligrosos y prevalentes que ha surgido en los últimos años. Conocido por su capacidad para capturar información confidencial y realizar fraudes financieros, Zloader se ha convertido en una amenaza significativa en el panorama de la ciberdelincuencia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-relacionados-al-troyano-bancario-zloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado una nueva campaña del troyano bancario Zloader, que ha afectado a instituciones financieras en varios países. Uno de los troyanos bancarios más peligrosos y prevalentes que ha surgido en los últimos años. Conocido por su capacidad para capturar información confidencial y realizar fraudes financieros, Zloader se ha convertido en una amenaza significativa en el panorama de la ciberdelincuencia.
CLR SqlShell: La amenaza creciente que ataca servidores MS SQLLa seguridad cibernética sigue siendo una preocupación importante en el mundo digital, y los servidores Microsoft SQL (MS SQL) mal administrados se han convertido en el objetivo de una nueva campaña maliciosa. Esta campaña tiene como objetivo propagar el loader conocido como CLR SqlShell, que facilita la instalación de criptomineros y ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/clr-sqlshell-la-amenaza-creciente-que-ataca-servidores-ms-sqlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad cibernética sigue siendo una preocupación importante en el mundo digital, y los servidores Microsoft SQL (MS SQL) mal administrados se han convertido en el objetivo de una nueva campaña maliciosa. Esta campaña tiene como objetivo propagar el loader conocido como CLR SqlShell, que facilita la instalación de criptomineros y ransomware.
Nuevas campañas maliciosas distribuyen dropper y kits de phishingEn una reciente investigación, se identificó varias campañas maliciosas las cuales distribuían un dropper y un módulo de phishing denominados CopperStealth y CopperPhishing respectivamente, estos han sido vinculados al grupo de ciberdelincuentes Water Orthrus debido a poseen similitudes con otra familia de malware llamada CopperStealer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-maliciosas-distribuyen-dropper-y-kits-de-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En una reciente investigación, se identificó varias campañas maliciosas las cuales distribuían un dropper y un módulo de phishing denominados CopperStealth y CopperPhishing respectivamente, estos han sido vinculados al grupo de ciberdelincuentes Water Orthrus debido a poseen similitudes con otra familia de malware llamada CopperStealer.
Medusalocker, entre los ransomware más distribuidos en américa latinaEl equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso relacionados con el ransomware MedusaLocker, que ha experimentado un aumento en su actividad reciente. Ha afectado a diversas organizaciones de todos los sectores económicos en América Latina, incluyendo el sector financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/medusalocker-entre-los-ransomware-mas-distribuidos-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso relacionados con el ransomware MedusaLocker, que ha experimentado un aumento en su actividad reciente. Ha afectado a diversas organizaciones de todos los sectores económicos en América Latina, incluyendo el sector financiero.
RA Group: El ascenso del nuevo y peligroso actor de ransomwareRecientemente se ha descubierto un nuevo actor de ransomware llamado RA Group, que ha estado operando desde al menos el 22 de abril de 2023. Este actor está expandiendo rápidamente sus operaciones y ha comprometido a tres organizaciones en los EE. UU. y una en Corea del Sur en varias verticales comerciales, incluidas la fabricación, la gestión de patrimonio, los proveedores de seguros y productos farmacéuticos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ra-group-el-ascenso-del-nuevo-y-peligroso-actor-de-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha descubierto un nuevo actor de ransomware llamado RA Group, que ha estado operando desde al menos el 22 de abril de 2023. Este actor está expandiendo rápidamente sus operaciones y ha comprometido a tres organizaciones en los EE. UU. y una en Corea del Sur en varias verticales comerciales, incluidas la fabricación, la gestión de patrimonio, los proveedores de seguros y productos farmacéuticos.
Emerge nueva familia de ransomware denominada CryptNetRecientemente investigadores cibernéticos identificaron una nueva variante de malware denominada CryptNet, amenaza de tipo ransomware que es ofrecido como servicio (as-a-service) a través de foros clandestinos de la Deep y Dark web; CryptNet se encuentra desarrollado bajo el lenguaje de programación .NET y emplea el algoritmo de cifrado AES en modo CBC (algoritmo que utiliza un cifrador por bloques para proveer seguridad a la información) y RSA de 2048 bits.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-nueva-familia-de-ransomware-denominada-cryptnethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente investigadores cibernéticos identificaron una nueva variante de malware denominada CryptNet, amenaza de tipo ransomware que es ofrecido como servicio (as-a-service) a través de foros clandestinos de la Deep y Dark web; CryptNet se encuentra desarrollado bajo el lenguaje de programación .NET y emplea el algoritmo de cifrado AES en modo CBC (algoritmo que utiliza un cifrador por bloques para proveer seguridad a la información) y RSA de 2048 bits.
Nuevos indicadores de compromiso asociados al troyano bancario IcedIDIcedID es un troyano bancario, un tipo de malware que se especializa en capturar información financiera de sus víctimas. Es capaz de infiltrarse en los sistemas informáticos de la organización y recopilar data sobre las credenciales de inicio de sesión y/o datos de la tarjeta de crédito.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-bancario-icedidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IcedID es un troyano bancario, un tipo de malware que se especializa en capturar información financiera de sus víctimas. Es capaz de infiltrarse en los sistemas informáticos de la organización y recopilar data sobre las credenciales de inicio de sesión y/o datos de la tarjeta de crédito.
Nuevo método de distribución de Raccoon Stealer y XMRig minerLos actores de amenazas han estado utilizando técnicas de distribución de malware a través de software no licenciado desde los primeros días de la piratería. Sin embargo, recientemente se ha observado una tendencia en la cual los atacantes están dirigiendo sus esfuerzos hacia los canales de YouTube pirateados para difundir malware mediante tutoriales en video. Estos videos se presentan como instrucciones para convencer a los usuarios de desactivar sus herramientas de seguridad y ejecutar el malware, el cual viene en un archivo comprimido de pequeño tamaño.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-distribucion-de-raccoon-stealer-y-xmrig-minerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenazas han estado utilizando técnicas de distribución de malware a través de software no licenciado desde los primeros días de la piratería. Sin embargo, recientemente se ha observado una tendencia en la cual los atacantes están dirigiendo sus esfuerzos hacia los canales de YouTube pirateados para difundir malware mediante tutoriales en video. Estos videos se presentan como instrucciones para convencer a los usuarios de desactivar sus herramientas de seguridad y ejecutar el malware, el cual viene en un archivo comprimido de pequeño tamaño.
Nueva actividad maliciosa del ransomware ContiEl equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el ransomware Conti. A medida que los ciberdelincuentes realizan constantes actualizaciones en el ciberespacio, se ha descubierto una nueva actividad maliciosa asociada a esta amenaza en particular. El ransomware Conti, activo desde 2019, utiliza el modelo de Ransomware as a Service (RaaS) basado en el código de la amenaza Ryuk. Es conocido por su capacidad de evasión y su efectividad al cifrar equipos que ejecutan sistemas operativos Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-contihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el ransomware Conti. A medida que los ciberdelincuentes realizan constantes actualizaciones en el ciberespacio, se ha descubierto una nueva actividad maliciosa asociada a esta amenaza en particular. El ransomware Conti, activo desde 2019, utiliza el modelo de Ransomware as a Service (RaaS) basado en el código de la amenaza Ryuk. Es conocido por su capacidad de evasión y su efectividad al cifrar equipos que ejecutan sistemas operativos Microsoft Windows.
MalasLocker: Ransomware enfocado en servidores ZimbraUna nueva amenaza de ransomware llamada MalasLocker ha surgido, apuntando a servidores Zimbra con el objetivo de capturar correos electrónicos y cifrar archivos. Sin embargo, a diferencia de los ataques convencionales, los perpetradores de esta operación de ransomware no exigen un pago de rescate en criptomonedas, sino que solicitan una donación a una organización benéfica para proporcionar una clave de descifrado y evitar la filtración de datos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malaslocker-ransomware-enfocado-en-servidores-zimbrahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una nueva amenaza de ransomware llamada MalasLocker ha surgido, apuntando a servidores Zimbra con el objetivo de capturar correos electrónicos y cifrar archivos. Sin embargo, a diferencia de los ataques convencionales, los perpetradores de esta operación de ransomware no exigen un pago de rescate en criptomonedas, sino que solicitan una donación a una organización benéfica para proporcionar una clave de descifrado y evitar la filtración de datos.
El ransomware Clop es distribuido por el grupo APT Fin7El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa relacionada con el ransomware Clop, llevada a cabo por el grupo de ciberdelincuentes conocido como FIN7. Este grupo, activo desde al menos 2015, se ha destacado por implementar malware en dispositivos de punto de venta (POS) y realizar ataques de phishing dirigidos a numerosas empresas a nivel global.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-clop-es-distribuido-por-el-grupo-apt-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa relacionada con el ransomware Clop, llevada a cabo por el grupo de ciberdelincuentes conocido como FIN7. Este grupo, activo desde al menos 2015, se ha destacado por implementar malware en dispositivos de punto de venta (POS) y realizar ataques de phishing dirigidos a numerosas empresas a nivel global.
Actualización de IoC asociados a NetSupport RATNetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-de-ioc-asociados-a-netsupport-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
NetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.
Nuevos indicadores de compromiso asociados a BumblebeeA través del constante monitoreo a posibles amenazas que afecten el ecosistema de ciberseguridad del sector financiero, se han identificado, correlacionado y sanitizado, nuevos indicadores de compromiso relacionados al loader Bumblebee.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-bumblebee-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del constante monitoreo a posibles amenazas que afecten el ecosistema de ciberseguridad del sector financiero, se han identificado, correlacionado y sanitizado, nuevos indicadores de compromiso relacionados al loader Bumblebee.
Nuevos IoC asociados al troyano de acceso remoto AveMariaAveMaria es un RAT modular con capacidades avanzadas, las cuales le permiten exfiltrar múltiple información de los equipos infectados, cabe resaltar que también es conocido como WARZONE RAT y que además esta amenaza está dirigida a todos los sectores, donde encontramos el ámbito financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-asociados-al-troyano-de-acceso-remoto-avemariahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
AveMaria es un RAT modular con capacidades avanzadas, las cuales le permiten exfiltrar múltiple información de los equipos infectados, cabe resaltar que también es conocido como WARZONE RAT y que además esta amenaza está dirigida a todos los sectores, donde encontramos el ámbito financiero.
BlackCat: Ataques de ransomware potenciados por controladores maliciososRecientemente se ha detectado un aumento en la actividad del grupo de ransomware conocido como ALPHV, también llamado BlackCat. Lo preocupante es que este grupo está utilizando controladores de kernel de Windows maliciosos, los cuales están firmados para evadir la detección por parte del software de seguridad durante sus ataques. Esta táctica les ha permitido eludir las defensas y llevar a cabo sus acciones sin ser detectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/blackcat-ataques-de-ransomware-potenciados-por-controladores-maliciososhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha detectado un aumento en la actividad del grupo de ransomware conocido como ALPHV, también llamado BlackCat. Lo preocupante es que este grupo está utilizando controladores de kernel de Windows maliciosos, los cuales están firmados para evadir la detección por parte del software de seguridad durante sus ataques. Esta táctica les ha permitido eludir las defensas y llevar a cabo sus acciones sin ser detectados.
Nueva campaña maliciosa del ransomware Black BastaA medida que avanza el tiempo, los cibercriminales responsables del ransomware Black Basta continúan actualizando de manera constante esta amenaza y sus herramientas maliciosas. No obstante, el equipo de analistas del Csirt Financiero se mantiene vigilante y ha logrado identificar recientemente nueva actividad maliciosa y nuevos indicadores de compromiso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-del-ransomware-black-bastahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que avanza el tiempo, los cibercriminales responsables del ransomware Black Basta continúan actualizando de manera constante esta amenaza y sus herramientas maliciosas. No obstante, el equipo de analistas del Csirt Financiero se mantiene vigilante y ha logrado identificar recientemente nueva actividad maliciosa y nuevos indicadores de compromiso.
BlackByte NT: La nueva versión del ransomware BlackByteBlackByte es un grupo conocido por su uso de su ransomware con el mismo nombre, ofreciendo su servicio a sus afiliados como Ransomware-as-a-Service (RaaS). Han desarrollado diferentes variantes de malware a lo largo del tiempo, implementadas en varios lenguajes de programación. Su última versión, llamada BlackByte NT, Esta nueva implementación agrega controladores adicionales para explotar una vulnerabilidad específica y desactivar herramientas de seguridad que podrían interferir con su funcionamiento.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/blackbyte-nt-la-nueva-version-del-ransomware-blackbytehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
BlackByte es un grupo conocido por su uso de su ransomware con el mismo nombre, ofreciendo su servicio a sus afiliados como Ransomware-as-a-Service (RaaS). Han desarrollado diferentes variantes de malware a lo largo del tiempo, implementadas en varios lenguajes de programación. Su última versión, llamada BlackByte NT, Esta nueva implementación agrega controladores adicionales para explotar una vulnerabilidad específica y desactivar herramientas de seguridad que podrían interferir con su funcionamiento.
Evolución del Downloader GuloaderEl equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa relacionada con el downloader conocido como Guloader. Este malware utiliza la herramienta de código abierto NSIS (Nullsoft Scriptable Install System) una herramienta de código abierto que se utiliza para crear instaladores de software en el sistema operativo Windows para desarrollar instaladores en el sistema operativo Windows. Durante la investigación se han identificado nuevos indicadores de compromiso asociados a esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-downloader-guloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa relacionada con el downloader conocido como Guloader. Este malware utiliza la herramienta de código abierto NSIS (Nullsoft Scriptable Install System) una herramienta de código abierto que se utiliza para crear instaladores de software en el sistema operativo Windows para desarrollar instaladores en el sistema operativo Windows. Durante la investigación se han identificado nuevos indicadores de compromiso asociados a esta amenaza.
Operación Magalenha: Amenaza brasileña dirigida a instituciones financieras portuguesasUn actor de amenazas brasileño ha estado llevando a cabo una campaña de larga duración desde 2021, apuntando a más de 30 instituciones financieras portuguesas. En esta campaña, denominada "Operación Magalenha", los atacantes emplean malware para capturar información confidencial y personal de los usuarios. La operación culmina con el despliegue de dos variantes de una puerta trasera llamada PeepingTitle, que forma parte de un ecosistema de malware financiero brasileño más amplio conocido como Maxtrilha.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/operacion-magalenha-amenaza-brasilena-dirigida-a-instituciones-financieras-portuguesashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un actor de amenazas brasileño ha estado llevando a cabo una campaña de larga duración desde 2021, apuntando a más de 30 instituciones financieras portuguesas. En esta campaña, denominada "Operación Magalenha", los atacantes emplean malware para capturar información confidencial y personal de los usuarios. La operación culmina con el despliegue de dos variantes de una puerta trasera llamada PeepingTitle, que forma parte de un ecosistema de malware financiero brasileño más amplio conocido como Maxtrilha.