Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva actividad relacionada con el troyano bancario AlienLos troyanos bancarios son una amenaza constante la naturaleza, durante los últimos años los actores de amenaza han desarrollado múltiples familias dirigidas a usuarios de sistemas operativos móviles, especialmente Android debido a su gran porcentaje de usuarios; así mismo suelen prevalecer en el ciberespacio como es el caso de Alien, que apareció en febrero de 2020 ofertado en foros clandestinos como MaaS ( Malware as a Service, por sus siglas en inglés) desde aquel entonces su actividad ha sido constante, por lo cual en el ejercicio de monitorearlo se observó una nueva campaña que pretende engañar a las víctimas con una falsa actualización del sistema.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-el-troyano-bancario-alienhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los troyanos bancarios son una amenaza constante la naturaleza, durante los últimos años los actores de amenaza han desarrollado múltiples familias dirigidas a usuarios de sistemas operativos móviles, especialmente Android debido a su gran porcentaje de usuarios; así mismo suelen prevalecer en el ciberespacio como es el caso de Alien, que apareció en febrero de 2020 ofertado en foros clandestinos como MaaS ( Malware as a Service, por sus siglas en inglés) desde aquel entonces su actividad ha sido constante, por lo cual en el ejercicio de monitorearlo se observó una nueva campaña que pretende engañar a las víctimas con una falsa actualización del sistema.
Nueva campaña del dropper NullMixerEn el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó varios troyanos en un solo dropper llamado NullMixer que tiene como finalidad la distribución de una amplia variedad de familias de Malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-dropper-nullmixerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó varios troyanos en un solo dropper llamado NullMixer que tiene como finalidad la distribución de una amplia variedad de familias de Malware.
APT Metador implementa nuevos backdoors para sus campañas maliciosas.En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó unos nuevos backdoor llamados metaMain y Mafalda, los cuales están siendo implementados por el APT Metador, amenaza avanzada que se enfoca principalmente en telecomunicaciones, ISPs y proveedores de servicios de internet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-metador-implementa-nuevos-backdoors-para-sus-campanas-maliciosashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó unos nuevos backdoor llamados metaMain y Mafalda, los cuales están siendo implementados por el APT Metador, amenaza avanzada que se enfoca principalmente en telecomunicaciones, ISPs y proveedores de servicios de internet.
Nuevas funcionalidades de Ebrium stealer.Erbium es una amenaza tipo stealer que se encarga de capturar información, se distribuye como Malware-as-a-Service (MaaS). Esta amenaza se vende en foros de la red social de Telegram a un valor de $ 38.847 pesos colombianos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-funcionalidades-de-ebrium-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Erbium es una amenaza tipo stealer que se encarga de capturar información, se distribuye como Malware-as-a-Service (MaaS). Esta amenaza se vende en foros de la red social de Telegram a un valor de $ 38.847 pesos colombianos.
Un nuevo ransomware denominado Bl00dy aparece en la naturalezaBl00dy es el nombre de un nuevo grupo de ransomware que apareció en escena desde julio de este año cuando impactaron varias entidades, aunque no existe demasiada información asociada a este, más que su propia descripción en su canal de Telegram en donde afirman cifrar todos los archivos de sus víctimas; así mismo se ha rastreado nueva actividad de este grupo quienes distribuyen un nuevo ransomware con su nombre, puntualmente emplean el mecanismo de doble extorsión publicando o comercializando los datos capturados en el “muro de la vergüenza” como denominaron la exfiltración de los datos a través de Telegram.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-ransomware-denominado-bl00dy-aparece-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bl00dy es el nombre de un nuevo grupo de ransomware que apareció en escena desde julio de este año cuando impactaron varias entidades, aunque no existe demasiada información asociada a este, más que su propia descripción en su canal de Telegram en donde afirman cifrar todos los archivos de sus víctimas; así mismo se ha rastreado nueva actividad de este grupo quienes distribuyen un nuevo ransomware con su nombre, puntualmente emplean el mecanismo de doble extorsión publicando o comercializando los datos capturados en el “muro de la vergüenza” como denominaron la exfiltración de los datos a través de Telegram.
Nuevo grupo de ransomware denominado RoyalRecientemente se ha identificado una operación denominada como Royal, un grupo de actores de ransomware que a diferencia de otras amenazas de la misma familia no opera como servicio; este programa malicioso aplica un cifrado a los archivos que estén almacenados en las infraestructuras tecnológicas y les adiciona la extensión .royal; con esto inhabilitan el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ransomware-denominado-royalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado una operación denominada como Royal, un grupo de actores de ransomware que a diferencia de otras amenazas de la misma familia no opera como servicio; este programa malicioso aplica un cifrado a los archivos que estén almacenados en las infraestructuras tecnológicas y les adiciona la extensión .royal; con esto inhabilitan el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.
Evolución de la amenaza Prilex.En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó la evolución de la amenaza Prilex el cual anteriormente realizaba ataques a cajeros automáticos (ATM) para obtener la información de las tarjetas de crédito utilizadas en ellos. Por lo anterior los ciberdelincuentes han ampliado su rango de acción centrándose ahora en ataques a sistemas de punto de venta (PoS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-de-la-amenaza-prilexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó la evolución de la amenaza Prilex el cual anteriormente realizaba ataques a cajeros automáticos (ATM) para obtener la información de las tarjetas de crédito utilizadas en ellos. Por lo anterior los ciberdelincuentes han ampliado su rango de acción centrándose ahora en ataques a sistemas de punto de venta (PoS).
El actor de amenazas Zinc despliega un backdoor en su operación denominado ZetaNileLos grupos de cibersoldados que operan actividades de estado-nación, son bastante activos en la naturaleza como es el caso de Zinc, quienes han perpetrado ataques cibernéticos sofisticados y destructivos desde 2009; el éxito de sus misiones es incursionar herramientas personalizadas como troyanos de acceso remoto (RAT), en ese orden de ideas se ha visto en el ciberespacio una creciente ola de campañas de ingeniería social atribuida a este grupo, en la que utilizan versiones modificadas de software de libre acceso para comprometer los equipos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-actor-de-amenazas-zinc-despliega-un-backdoor-en-su-operacion-denominado-zetanilehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los grupos de cibersoldados que operan actividades de estado-nación, son bastante activos en la naturaleza como es el caso de Zinc, quienes han perpetrado ataques cibernéticos sofisticados y destructivos desde 2009; el éxito de sus misiones es incursionar herramientas personalizadas como troyanos de acceso remoto (RAT), en ese orden de ideas se ha visto en el ciberespacio una creciente ola de campañas de ingeniería social atribuida a este grupo, en la que utilizan versiones modificadas de software de libre acceso para comprometer los equipos.
Nuevo grupo de ciberdelincuentes denominado Guacamaya afecta entidades gubernamentales en América latinaEn el ámbito del ciberespacio y la seguridad de la información, recientemente se ha evidenciado un nuevo caso de filtración de datos sensibles a organizaciones gubernamentales relacionados con el sector militar y policial. Este ataque es atribuido al grupo hacktivista denominado Guacamaya; donde, en el transcurso del año se observó que ha impactado países de América latina como Chile, México y Colombia, por decir algunos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ciberdelincuentes-denominado-guacamaya-afecta-entidades-gubernamentales-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito del ciberespacio y la seguridad de la información, recientemente se ha evidenciado un nuevo caso de filtración de datos sensibles a organizaciones gubernamentales relacionados con el sector militar y policial. Este ataque es atribuido al grupo hacktivista denominado Guacamaya; donde, en el transcurso del año se observó que ha impactado países de América latina como Chile, México y Colombia, por decir algunos.
Se identifica técnica de persistencia en los hipervisores de VMware ESXiRecientemente, investigadores de seguridad informática identificaron y detallaron una novedosa técnica empleada por los cibercriminales con el objetivo de tener acceso administrativo dentro de los hipervisores de VMware ESXi, con esto se apropian del manejo de los servidores vCenter (software de gestión de servidores avanzado que ofrece una plataforma centralizada para controlar los entornos de vSphere y obtener visibilidad en las nubes híbridas) y las máquinas virtualizadas ya sean para Windows o Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-tecnica-de-persistencia-en-los-hipervisores-de-vmware-esxihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores de seguridad informática identificaron y detallaron una novedosa técnica empleada por los cibercriminales con el objetivo de tener acceso administrativo dentro de los hipervisores de VMware ESXi, con esto se apropian del manejo de los servidores vCenter (software de gestión de servidores avanzado que ofrece una plataforma centralizada para controlar los entornos de vSphere y obtener visibilidad en las nubes híbridas) y las máquinas virtualizadas ya sean para Windows o Linux.
Actores de amenaza utilizan el movimiento del mouse en plantillas PowerPoint para distribuir malwareMúltiples análisis de la seguridad de la información han identificado una técnica basada en el movimiento del ratón (mouse) en documentos de Microsoft PowerPoint con la finalidad de desplegar malware; este procedimiento de infección inicia luego de que el usuario abre estos archivos y no importa si se encuentran en vista protegida ya que dicha acción desencadena un dropper a través de un script de PowerShell contenido en los documentos maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-utilizan-el-movimiento-del-mouse-en-plantillas-powerpoint-para-distribuir-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Múltiples análisis de la seguridad de la información han identificado una técnica basada en el movimiento del ratón (mouse) en documentos de Microsoft PowerPoint con la finalidad de desplegar malware; este procedimiento de infección inicia luego de que el usuario abre estos archivos y no importa si se encuentran en vista protegida ya que dicha acción desencadena un dropper a través de un script de PowerShell contenido en los documentos maliciosos.
Evolución continúa de Bumblebee en la naturalezaLa evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-continua-de-bumblebee-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.
Nuevo vector de distribución del ransomware BisamwareTeniendo en cuenta el monitoreo realizado sobre las nuevas amenazas que puedan a llegar afectar al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa del ransomware conocido como Bisamware, y aunque fue reportado anteriormente en esta ocasión se identificó un aumento en el número de muestras encontradas además de una nueva actividad maliciosa donde se está distribuyendo por medio de explotación de vulnerabilidades.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-vector-de-distribucion-del-ransomware-bisamwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Teniendo en cuenta el monitoreo realizado sobre las nuevas amenazas que puedan a llegar afectar al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa del ransomware conocido como Bisamware, y aunque fue reportado anteriormente en esta ocasión se identificó un aumento en el número de muestras encontradas además de una nueva actividad maliciosa donde se está distribuyendo por medio de explotación de vulnerabilidades.
Agent Tesla y NjRat distribuidos en una nueva campaña de maldocsLa creciente ola de ataques cibernéticos dirigidos a distintos sectores económicos es un comportamiento habitual en el ciberespacio, esta actividad a su vez conlleva que los ciberdelincuentes empleen familias de malware para lograr sus objetivos de ahí que se halla rastreado una nueva campaña desplegada desde el mes pasado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/agent-tesla-y-njrat-distribuidos-en-una-nueva-campana-de-maldocshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La creciente ola de ataques cibernéticos dirigidos a distintos sectores económicos es un comportamiento habitual en el ciberespacio, esta actividad a su vez conlleva que los ciberdelincuentes empleen familias de malware para lograr sus objetivos de ahí que se halla rastreado una nueva campaña desplegada desde el mes pasado.
NUEVO RAT DIRIGIDO A DISPOSITIVOS ANDROID DENOMINADO RATMILADLas familias de malware desarrolladas para sistemas Android se han vuelto bastante frecuentes en el ciberespacio esencialmente por las prestaciones que pueden ofrecer a un ciberdelincuente, no obstante, el malware de tipo spyware es utilizado por gobiernos en operaciones de espionaje; por lo cual estas amenazas pueden ser adquiridas por cualquier adversario en foros clandestinos de la Darknet, en ese orden de ideas se descubrió un nuevo troyano de acceso remoto (RAT) con capacidades de spyware denominado RatMilad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-dirigido-a-dispositivos-android-denominado-ratmiladhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las familias de malware desarrolladas para sistemas Android se han vuelto bastante frecuentes en el ciberespacio esencialmente por las prestaciones que pueden ofrecer a un ciberdelincuente, no obstante, el malware de tipo spyware es utilizado por gobiernos en operaciones de espionaje; por lo cual estas amenazas pueden ser adquiridas por cualquier adversario en foros clandestinos de la Darknet, en ese orden de ideas se descubrió un nuevo troyano de acceso remoto (RAT) con capacidades de spyware denominado RatMilad.
Maggie el nuevo backdoor dirigido a servidores Microsoft Server SQLEn el ejercicio de monitorear constantemente las nuevas amenazas descubiertas en la naturaleza, se ha rastreado un nuevo backdoor denominado Maggie, el cual se ha estado distribuyendo a nivel global y ha comprometido exitosamente servidores MSSQL (Microsoft SQL) de diferentes organizaciones; esta amenaza brinda a los ciberdelincuentes capacidades notorias como la ejecución remota de comandos y la posibilidad de realizar movimientos laterales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/maggie-el-nuevo-backdoor-dirigido-a-servidores-microsoft-server-sqlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio de monitorear constantemente las nuevas amenazas descubiertas en la naturaleza, se ha rastreado un nuevo backdoor denominado Maggie, el cual se ha estado distribuyendo a nivel global y ha comprometido exitosamente servidores MSSQL (Microsoft SQL) de diferentes organizaciones; esta amenaza brinda a los ciberdelincuentes capacidades notorias como la ejecución remota de comandos y la posibilidad de realizar movimientos laterales.
El troyano Xloader distribuido en foros populares de la Deep y Dark webXloader es un troyano conocido por sus altas capacidades de capturar información confidencial de equipos con sistemas operativos Microsoft Windows y Mac Os, donde el código de este troyano se encuentra basado en otro troyano muy popular como lo es FormBook.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-xloader-distribuido-en-foros-populares-de-la-deep-y-dark-webhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Xloader es un troyano conocido por sus altas capacidades de capturar información confidencial de equipos con sistemas operativos Microsoft Windows y Mac Os, donde el código de este troyano se encuentra basado en otro troyano muy popular como lo es FormBook.
El grupo de amenazas Eternity y su nuevo botnet LilithLos actores de amenazas continúan propagando nuevas familias de malware en la naturaleza, por lo cual es normal frecuentar el modelo de negocio MaaS (Malware as a Service) ofrecido en distintos medios, por ejemplo, se puede encontrar la comercialización de malware en foros clandestinos de la Darknet y durante los últimos años en canales de Telegram; es así como se reconoce el grupo ruso Eternity quienes desarrollan distintos tipos de malware y recientemente adicionaron a su arsenal un nuevo botnet denominado Lilith.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-de-amenazas-eternity-y-su-nuevo-botnet-lilithhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenazas continúan propagando nuevas familias de malware en la naturaleza, por lo cual es normal frecuentar el modelo de negocio MaaS (Malware as a Service) ofrecido en distintos medios, por ejemplo, se puede encontrar la comercialización de malware en foros clandestinos de la Darknet y durante los últimos años en canales de Telegram; es así como se reconoce el grupo ruso Eternity quienes desarrollan distintos tipos de malware y recientemente adicionaron a su arsenal un nuevo botnet denominado Lilith.
Nuevos indicadores de compromiso sobre reciente actividad maliciosa de MiraiA través de actividades de monitoreo en diferentes fuentes de información el equipo de analistas del Csirt Financiero realizó un seguimiento a las amenazas reportadas en ocasiones anteriores, teniendo en cuenta que en el ámbito de ciberespacio los actores de estas amenazas mantienen constantes actualizaciones de técnicas y tácticas con los que buscan generar un impacto en la seguridad de la información de las entidades y organizaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-sobre-reciente-actividad-maliciosa-de-miraihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo en diferentes fuentes de información el equipo de analistas del Csirt Financiero realizó un seguimiento a las amenazas reportadas en ocasiones anteriores, teniendo en cuenta que en el ámbito de ciberespacio los actores de estas amenazas mantienen constantes actualizaciones de técnicas y tácticas con los que buscan generar un impacto en la seguridad de la información de las entidades y organizaciones.
Nueva actividad detectada del RAT Agent TeslaAgent Tesla es una de las familias de malware más renombradas en la naturaleza, desde su aparición en el ciberespacio en 2014 ha tenido una gran trayectoria gracias a las exitosas campañas que han desplegado distintos ciberdelincuentes; este troyano de acceso remoto como se ha mencionado anteriormente se comercializa bajo la modalidad de negocio (MaaS) y es distribuido a nivel global.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-detectada-del-rat-agent-teslahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Agent Tesla es una de las familias de malware más renombradas en la naturaleza, desde su aparición en el ciberespacio en 2014 ha tenido una gran trayectoria gracias a las exitosas campañas que han desplegado distintos ciberdelincuentes; este troyano de acceso remoto como se ha mencionado anteriormente se comercializa bajo la modalidad de negocio (MaaS) y es distribuido a nivel global.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}