Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Identificados nuevos indicadores de compromiso del troyano bancario LokibotEl troyano bancario Lokibot ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero siendo una de las amenazas más utilizadas a nivel global por diferentes grupos de ciberdelincuentes debido a sus grandes capacidades, esto con el objetivo principal de capturar datos bancarios confidenciales y exfiltrarlos a servidores de comando y control C2, dicho troyano se encuentra dirigido a equipos con sistemas operativos Windows y dispositivos Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificados-nuevos-indicadores-de-compromiso-del-troyano-bancario-lokibothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano bancario Lokibot ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero siendo una de las amenazas más utilizadas a nivel global por diferentes grupos de ciberdelincuentes debido a sus grandes capacidades, esto con el objetivo principal de capturar datos bancarios confidenciales y exfiltrarlos a servidores de comando y control C2, dicho troyano se encuentra dirigido a equipos con sistemas operativos Windows y dispositivos Android.
Nuevos indicadores de compromiso del troyano FormbookA través de actividades de monitoreo en distintas fuentes de información, el equipo de analista del Csirt financiero realizó un seguimiento a las amenazas reportadas en ocasiones anteriores, ya que los actores de amenaza mantienen constantes actualizaciones de técnicas y tácticas con los que buscan generar un impacto en la seguridad de la información de las entidades y organizaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-del-troyano-formbookhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo en distintas fuentes de información, el equipo de analista del Csirt financiero realizó un seguimiento a las amenazas reportadas en ocasiones anteriores, ya que los actores de amenaza mantienen constantes actualizaciones de técnicas y tácticas con los que buscan generar un impacto en la seguridad de la información de las entidades y organizaciones.
Nuevo método de infección del ransomware BlackByteEntre las nuevas actualizaciones y novedades de las amenazas reportadas anteriormente por el Csirt Financiero se ha identificado una nueva actividad maliciosa relacionada con el ransomware BlackByte, donde se evidenció que esta amenaza se está aprovechando de una vulnerabilidad en un controlador legítimo de Windows para evadir soluciones antimalware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-infeccion-del-ransomware-blackbytehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Entre las nuevas actualizaciones y novedades de las amenazas reportadas anteriormente por el Csirt Financiero se ha identificado una nueva actividad maliciosa relacionada con el ransomware BlackByte, donde se evidenció que esta amenaza se está aprovechando de una vulnerabilidad en un controlador legítimo de Windows para evadir soluciones antimalware.
Un nuevo kit de herramientas de phishing como servicio denominado CaffeineLas plataformas de phishing como servicio (PhaaS, Phishing as a Service) son herramientas que cobran más fuerza en la naturaleza gracias a la automatización que les brinda a los ciberdelincuentes en sus campañas maliciosas; recientemente se rastreó la plataforma Caffeine un conjunto de herramientas, que está siendo usado activamente por los atacantes en la orquestación de su vector de distribución en sus ataques cibernéticos por ejemplo en la fase de armamentización.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-kit-de-herramientas-de-phishing-como-servicio-denominado-caffeinehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las plataformas de phishing como servicio (PhaaS, Phishing as a Service) son herramientas que cobran más fuerza en la naturaleza gracias a la automatización que les brinda a los ciberdelincuentes en sus campañas maliciosas; recientemente se rastreó la plataforma Caffeine un conjunto de herramientas, que está siendo usado activamente por los atacantes en la orquestación de su vector de distribución en sus ataques cibernéticos por ejemplo en la fase de armamentización.
Nuevo troyano bancario denominado CopybaraEn el ciberespacio recientemente se han estado evidenciando múltiples campañas maliciosas donde su vector de infección es a través de dispositivos móviles, las cuales tienen como propósito persuadir a la víctima para que realice la descarga de aplicaciones relacionadas con el sector financiero, pero que en realidad son las cargas útiles de troyanos bancarios; anteriormente, este tipo de ataques se habían presenciado en la India, sin embargo, se han identificado casos similares en Europa, específicamente en Italia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-denominado-copybarahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ciberespacio recientemente se han estado evidenciando múltiples campañas maliciosas donde su vector de infección es a través de dispositivos móviles, las cuales tienen como propósito persuadir a la víctima para que realice la descarga de aplicaciones relacionadas con el sector financiero, pero que en realidad son las cargas útiles de troyanos bancarios; anteriormente, este tipo de ataques se habían presenciado en la India, sin embargo, se han identificado casos similares en Europa, específicamente en Italia.
Nuevo framework denominado AlchimistEn el monitoreo realizado por el equipo de analistas el Csirt Financiero se observó un nuevo framework de comando y control llamada Alchimist, el cual opera junto a un nuevo malware llamado Insekt con capacidades de administración remota y dirigido a equipos con sistemas operativos Windows, Linux y Mac.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-framework-denominado-alchimisthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas el Csirt Financiero se observó un nuevo framework de comando y control llamada Alchimist, el cual opera junto a un nuevo malware llamado Insekt con capacidades de administración remota y dirigido a equipos con sistemas operativos Windows, Linux y Mac.
Nueva variante de GuLoader también conocido como CloudEyEGuLoader o CloudEyE, es un programa malicioso que tiene como objetivo permitir a los cibercriminales desplegar otras familias de malware más capacitadas como troyanos de acceso remoto (RAT, por sus siglas en ingles) y ransomware. Utilizan esta amenaza como punto de apoyo inicial y así posteriormente con las herramientas anteriormente mencionadas recopilar y exfiltrar información sensible que se encuentre alojada en las infraestructuras comprometidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-guloader-tambien-conocido-como-cloudeyehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
GuLoader o CloudEyE, es un programa malicioso que tiene como objetivo permitir a los cibercriminales desplegar otras familias de malware más capacitadas como troyanos de acceso remoto (RAT, por sus siglas en ingles) y ransomware. Utilizan esta amenaza como punto de apoyo inicial y así posteriormente con las herramientas anteriormente mencionadas recopilar y exfiltrar información sensible que se encuentre alojada en las infraestructuras comprometidas.
Un nuevo stealer denominado Mitsu es distribuido por medio de sitios phishingLos actores de amenazas actúan conforme a sus objetivos, de ahí que empleen técnicas de ingeniería social para persuadir a sus víctimas para que ejecuten acciones involuntarias que resultan comprometiendo su información confidencial; acorde con lo anterior los sitios phishing se ven frecuentemente en la naturaleza suplantando organizaciones de distintos sectores, recientemente se rastreó una nueva campaña en la que se distribuye un nuevo stealer denominado Mitsu a través de una web fraudulenta de Anydesk.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-stealer-denominado-mitsu-es-distribuido-por-medio-de-sitios-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenazas actúan conforme a sus objetivos, de ahí que empleen técnicas de ingeniería social para persuadir a sus víctimas para que ejecuten acciones involuntarias que resultan comprometiendo su información confidencial; acorde con lo anterior los sitios phishing se ven frecuentemente en la naturaleza suplantando organizaciones de distintos sectores, recientemente se rastreó una nueva campaña en la que se distribuye un nuevo stealer denominado Mitsu a través de una web fraudulenta de Anydesk.
Nueva actividad maliciosa de RedLine stealerCada día, se evidencian nuevas estrategias maliciosas por parte de los actores de amenaza, las cuales tienen como propósito afectar infraestructuras tecnológicas de una persona u organización por medio de la persuasión y el engaño, donde por error las victimas ejecutan o abren un archivo aparentemente legitimo pero que en realidad es la carga útil de alguna familia de malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nueva-actividad-maliciosa-de-redline-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Cada día, se evidencian nuevas estrategias maliciosas por parte de los actores de amenaza, las cuales tienen como propósito afectar infraestructuras tecnológicas de una persona u organización por medio de la persuasión y el engaño, donde por error las victimas ejecutan o abren un archivo aparentemente legitimo pero que en realidad es la carga útil de alguna familia de malware.
Nueva actividad maliciosa del framework denominado Brute RatelBruteratel también conocido como BRc4, es un conjunto de herramientas similar a cobalt strike con el propósito final de poder ejecutar comandos de forma remota en una red comprometida. Esto otorgaría al atacante acceso al resto de la red de una manera más fácil.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-framework-denominado-brute-ratelhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bruteratel también conocido como BRc4, es un conjunto de herramientas similar a cobalt strike con el propósito final de poder ejecutar comandos de forma remota en una red comprometida. Esto otorgaría al atacante acceso al resto de la red de una manera más fácil.
Nueva campaña de distribución y actualización del ransomware MagniberAunque el ransomware Magniber ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero en un monitoreo a fuentes abiertas de información ha identificado una nueva campaña de dicho ransomware con el que fueron encontrados nuevos indicadores de compromiso (IoC).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-y-actualizacion-del-ransomware-magniberhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el ransomware Magniber ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero en un monitoreo a fuentes abiertas de información ha identificado una nueva campaña de dicho ransomware con el que fueron encontrados nuevos indicadores de compromiso (IoC).
Nuevo ransomware denominado Prestige.En el monitoreo realizado por el equipo de analistas del Csirt Financiero se conoció un nuevo ransomware denominado Prestige el cual se implementó el 11 de octubre del 2022 en ciberataques que ocurrieron en los países de Ucrania y Polonia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-prestigehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del Csirt Financiero se conoció un nuevo ransomware denominado Prestige el cual se implementó el 11 de octubre del 2022 en ciberataques que ocurrieron en los países de Ucrania y Polonia.
Nuevo ransomware denominado Ransom CartelA través del monitoreo a fuentes abiertas de información en búsqueda de nuevas actividades que puedan llegar afectar la infraestructura de nuestros asociados el equipo de analistas del Csirt Financiero, identificó un nuevo ransomware denominado Ransom Cartel, esta ciberamenaza cuenta con varias técnicas y similitudes con el código de desarrollo del ransomware REvil, por lo que se infiere que pueden ser los mismos grupos de ciberdelincuentes quienes distribuyen este nuevo malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-ransom-cartelhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo a fuentes abiertas de información en búsqueda de nuevas actividades que puedan llegar afectar la infraestructura de nuestros asociados el equipo de analistas del Csirt Financiero, identificó un nuevo ransomware denominado Ransom Cartel, esta ciberamenaza cuenta con varias técnicas y similitudes con el código de desarrollo del ransomware REvil, por lo que se infiere que pueden ser los mismos grupos de ciberdelincuentes quienes distribuyen este nuevo malware.
Venus, nuevo ransomware aparece en la naturalezaEl ransomware es un tipo de malware muy conocido en el ecosistema de ciberseguridad por su gran capacidad de afectación a la infraestructura tecnológica infectada, donde cifra los archivos almacenados en el sistema, impidiendo el acceso a estos; además, los actores de amenaza utilizan diversas estrategias de persuasión para que las victimas paguen por el rescate de estos datos, entre los más comunes se encuentra la filtración de los mencionados en foros de la Deep y Dark web y la eliminación de esta data.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/venus-nuevo-ransomware-aparece-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware es un tipo de malware muy conocido en el ecosistema de ciberseguridad por su gran capacidad de afectación a la infraestructura tecnológica infectada, donde cifra los archivos almacenados en el sistema, impidiendo el acceso a estos; además, los actores de amenaza utilizan diversas estrategias de persuasión para que las victimas paguen por el rescate de estos datos, entre los más comunes se encuentra la filtración de los mencionados en foros de la Deep y Dark web y la eliminación de esta data.
Nueva actividad maliciosa del ransomware Bian LianEn el ámbito de la ciberseguridad se observan nuevas actualizaciones de diversas amenazas donde los ciberdelincuentes intentan llegar a más víctimas con el objetivo de implantar algún tipo de malware, por lo que el equipo de analistas del Csirt Financiero en búsqueda de estas nuevas actualizaciones identifico nuevos indicadores de compromiso relacionados al ransomware BianLian, el cual ha sido reportado en ocasiones anteriores y dirigido principalmente a sistemas operativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-bian-lianhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito de la ciberseguridad se observan nuevas actualizaciones de diversas amenazas donde los ciberdelincuentes intentan llegar a más víctimas con el objetivo de implantar algún tipo de malware, por lo que el equipo de analistas del Csirt Financiero en búsqueda de estas nuevas actualizaciones identifico nuevos indicadores de compromiso relacionados al ransomware BianLian, el cual ha sido reportado en ocasiones anteriores y dirigido principalmente a sistemas operativos Windows.
Nueva actividad maliciosa del troyano bancario ERMACLos troyanos bancarios, son reconocidos por dirigirse específicamente al sector financiero, donde tienen como objetivo recopilar información confidencial relacionada con cuentas bancarias y/o billeteras, por decir algunas; una vez recopilado esos datos, los actores de amenaza suelen desencadenar múltiples acciones delictivas como actos de extorsión, filtración de data confidencial y fraude financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-ermachttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los troyanos bancarios, son reconocidos por dirigirse específicamente al sector financiero, donde tienen como objetivo recopilar información confidencial relacionada con cuentas bancarias y/o billeteras, por decir algunas; una vez recopilado esos datos, los actores de amenaza suelen desencadenar múltiples acciones delictivas como actos de extorsión, filtración de data confidencial y fraude financiero.
Nuevos indicadores de compromiso en el mes de octubre del troyano QakbotEl troyano conocido como Qakbot, es una amenaza a nivel global muy utilizada por diversos actores de amenaza, recientemente se vio involucrado en una campaña utilizada por el grupo de ciberdelincuentes conocido como BlackBasta en el que implementaron BruteRatel mediante Qakbot y la cual fue reportada por el equipo de analistas del Csirt; en esta ocasión se identificaron nuevos indicadores de compromiso de Qakbot en el cual se han observado varios ataques contra el sector financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-en-el-mes-de-octubre-del-troyano-qakbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano conocido como Qakbot, es una amenaza a nivel global muy utilizada por diversos actores de amenaza, recientemente se vio involucrado en una campaña utilizada por el grupo de ciberdelincuentes conocido como BlackBasta en el que implementaron BruteRatel mediante Qakbot y la cual fue reportada por el equipo de analistas del Csirt; en esta ocasión se identificaron nuevos indicadores de compromiso de Qakbot en el cual se han observado varios ataques contra el sector financiero.
Nueva actualización del troyano bancario Ursnif denominada LDR4Ursnif es una variante del malware Gozi, identificado por primera vez en el año 2017 y desde entonces un tipo de amenaza conocido como un troyano bancario, la cual ha sido muy popular entre diversos grupos de ciberdelincuentes ya que se encuentra dirigido específicamente al sector financiero con el objetivo de capturar información y credenciales bancarias principalmente de los sistemas operativos Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actualizacion-del-troyano-bancario-ursnif-denominada-ldr4http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ursnif es una variante del malware Gozi, identificado por primera vez en el año 2017 y desde entonces un tipo de amenaza conocido como un troyano bancario, la cual ha sido muy popular entre diversos grupos de ciberdelincuentes ya que se encuentra dirigido específicamente al sector financiero con el objetivo de capturar información y credenciales bancarias principalmente de los sistemas operativos Microsoft Windows.
Nueva distribución de InfoStealer a través de instaladores empaquetadosSe observó una nueva campaña maliciosa de Infostealer distribuida por instaladores empaquetados y que está siendo comercializada por la dark web, este proyecto se denomina “TEMP” el cual viene con un cargador denominado Temp Loader y otro stealer denominado Temp Stealer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-distribucion-de-infostealer-a-traves-de-instaladores-empaquetadoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se observó una nueva campaña maliciosa de Infostealer distribuida por instaladores empaquetados y que está siendo comercializada por la dark web, este proyecto se denomina “TEMP” el cual viene con un cargador denominado Temp Loader y otro stealer denominado Temp Stealer.
Nueva actividad maliciosa atribuida a la botnet EmotetEn el ecosistema de ciberseguridad, una de las estrategias más utilizadas por los actores de amenaza en sus campañas maliciosas es la distribución de malspam, utilizando esta técnica se ha identificado una nueva actividad de Emotet donde se adjuntan archivos comprimidos con la carga útil de esta amenaza en mensajes de correo electrónico.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-atribuida-a-la-botnet-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ecosistema de ciberseguridad, una de las estrategias más utilizadas por los actores de amenaza en sus campañas maliciosas es la distribución de malspam, utilizando esta técnica se ha identificado una nueva actividad de Emotet donde se adjuntan archivos comprimidos con la carga útil de esta amenaza en mensajes de correo electrónico.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}