Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevo ransomware denominado AgendaEl negocio más prolífico en el ecosistema de amenazas en la actualidad es el aumento constante de nuevas familia de tipo ransomware, de ahí que los actores de amenaza se enfoquen en la creación de nuevas variantes o generen actualizaciones constantes de los que están latentes en el ciberespacio; durante el transcurso de esta semana apareció en la naturaleza, un nuevo ransomware denominado Agenda el cual está siendo distribuido en países de Asia y África con el objetivo de afectar infraestructuras críticas principalmente del sector salud y educación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-agendahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El negocio más prolífico en el ecosistema de amenazas en la actualidad es el aumento constante de nuevas familia de tipo ransomware, de ahí que los actores de amenaza se enfoquen en la creación de nuevas variantes o generen actualizaciones constantes de los que están latentes en el ciberespacio; durante el transcurso de esta semana apareció en la naturaleza, un nuevo ransomware denominado Agenda el cual está siendo distribuido en países de Asia y África con el objetivo de afectar infraestructuras críticas principalmente del sector salud y educación.
Nueva campaña asociada a Remcos RATDe forma reciente se ha detectado una nueva campaña de distribución de Remcos, troyano de acceso remoto que le permite al atacante tomar el control de los equipos infectados, tomar capturas de pantalla, recopilar información asociada a credenciales de acceso, registrar pulsaciones de teclas (keylogger) y enviar toda la data a su comando y control.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-asociada-a-remcos-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
De forma reciente se ha detectado una nueva campaña de distribución de Remcos, troyano de acceso remoto que le permite al atacante tomar el control de los equipos infectados, tomar capturas de pantalla, recopilar información asociada a credenciales de acceso, registrar pulsaciones de teclas (keylogger) y enviar toda la data a su comando y control.
Nueva campaña del troyano bancario GuildmaLos troyanos bancarios suelen ser efímeros en el panorama de amenazas no obstante los que cuentan con actualizaciones periódicas, técnicas de ejecución y ataque novedosas suelen prevalecer en el ciberespacio de allí se desprende una amenaza que ha sido prolífica durante los últimos años, se trata de Guildma; recientemente se ha detectado una nueva campaña desplegada en países de Latinoamérica principalmente Brasil y Chile que se está distribuyendo por medio de correos de tipo phishing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-bancario-guildmahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los troyanos bancarios suelen ser efímeros en el panorama de amenazas no obstante los que cuentan con actualizaciones periódicas, técnicas de ejecución y ataque novedosas suelen prevalecer en el ciberespacio de allí se desprende una amenaza que ha sido prolífica durante los últimos años, se trata de Guildma; recientemente se ha detectado una nueva campaña desplegada en países de Latinoamérica principalmente Brasil y Chile que se está distribuyendo por medio de correos de tipo phishing.
Nueva variante de HavanaCrypt suplanta a actualización de GoogleEn esta nueva actividad, se ha evidenciado una nueva variante del ransomware denominado HavanaCrypt el cual suplanta a una actualización de Google Chrome con el objetivo de obtener acceso, evadir las herramientas antimalware de los equipos comprometidos y cifrar sus archivos; esta amenaza contiene técnicas sofisticadas de anti-análisis y emplea funciones criptográficas para operar.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-havanacrypt-suplanta-a-actualizacion-de-googlehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En esta nueva actividad, se ha evidenciado una nueva variante del ransomware denominado HavanaCrypt el cual suplanta a una actualización de Google Chrome con el objetivo de obtener acceso, evadir las herramientas antimalware de los equipos comprometidos y cifrar sus archivos; esta amenaza contiene técnicas sofisticadas de anti-análisis y emplea funciones criptográficas para operar.
Nuevo ciberataque de ransomware afecta a entidad gubernamental en América LatinaEn el transcurso del año, se han evidenciado múltiples ataques cibernéticos, los cuales han tenido como objetivo impactar infraestructuras tecnológicas de diversas entidades gubernamentales en América Latina; donde fueron afectadas a tal nivel que, los países han declarado su situación como alerta roja debido a la alta filtración de información sensible que fue publicada en foros de la Deep y Dark web.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ciberataque-de-ransomware-afecta-a-entidad-gubernamental-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el transcurso del año, se han evidenciado múltiples ataques cibernéticos, los cuales han tenido como objetivo impactar infraestructuras tecnológicas de diversas entidades gubernamentales en América Latina; donde fueron afectadas a tal nivel que, los países han declarado su situación como alerta roja debido a la alta filtración de información sensible que fue publicada en foros de la Deep y Dark web.
Nuevo ransomware denominado Moisha dirigido a múltiples organizacionesDe forma reciente, se ha detectado una nueva variante de ransomware que fue denominada como Moisha, los ciberdelincuentes detrás de esta amenaza están dirigiendo sus esfuerzos a comprometer múltiples organizaciones alrededor del mundo y evitan afectar a usuarios individuales. Este ransomware está diseñado con la tarea de cifrar archivos alojados en las infraestructuras tecnológicas, eliminar las instantáneas de volumen y exigir un pago por el rescate de la información comprometida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-moisha-dirigido-a-multiples-organizacioneshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
De forma reciente, se ha detectado una nueva variante de ransomware que fue denominada como Moisha, los ciberdelincuentes detrás de esta amenaza están dirigiendo sus esfuerzos a comprometer múltiples organizaciones alrededor del mundo y evitan afectar a usuarios individuales. Este ransomware está diseñado con la tarea de cifrar archivos alojados en las infraestructuras tecnológicas, eliminar las instantáneas de volumen y exigir un pago por el rescate de la información comprometida.
Nueva actividad maliciosa relacionada al ransomware BlueSkySe ha identificado nueva actividad relacionada al ransomware BlueSky, el cual ha realizado nuevas actividades maliciosas con nuevas características, donde destaca la capacidad de efectuar movimientos laterales a través de SMB.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-al-ransomware-blueskyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado nueva actividad relacionada al ransomware BlueSky, el cual ha realizado nuevas actividades maliciosas con nuevas características, donde destaca la capacidad de efectuar movimientos laterales a través de SMB.
Nueva variante de ransomware denominada BleachgapEn el ciberespacio hay una constante evolución por parte de la gran variedad de amenazas que se suelen desarrollar los actores malintencionados, es común ver que implementen nuevas técnicas para lograr afectar de manera crítica organizaciones objetivo, en ese orden de ideas se ha rastreado un stealer conocido en la naturaleza como Bleachgap descubierto en 2021, sin embargo los ciberdelincuentes han desarrollado nuevas capacidades en su carga útil convirtiéndolo en una nueva variedad de ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-denominada-bleachgaphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ciberespacio hay una constante evolución por parte de la gran variedad de amenazas que se suelen desarrollar los actores malintencionados, es común ver que implementen nuevas técnicas para lograr afectar de manera crítica organizaciones objetivo, en ese orden de ideas se ha rastreado un stealer conocido en la naturaleza como Bleachgap descubierto en 2021, sin embargo los ciberdelincuentes han desarrollado nuevas capacidades en su carga útil convirtiéndolo en una nueva variedad de ransomware.
A través de sitios web de descarga de software son distribuidas familias de malware tipo stealerEs evidente que en el ámbito del ciberespacio los actores de amenaza mantienen en constantes actualizaciones de nuevas técnicas y tácticas con las que intentan impactar entidades y organizaciones mediante nuevos métodos de distribución para que llegar afectar y generar ataques elaborados contra la infraestructura de las entidades; el equipo de analistas del Csirt identifico una nueva campaña de distribución por medio de sitios web de descarga de software donde se está implantando Redline Stealer y RecordBreaker Stealer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/a-traves-de-sitios-web-de-descarga-de-software-son-distribuidas-familias-de-malware-tipo-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es evidente que en el ámbito del ciberespacio los actores de amenaza mantienen en constantes actualizaciones de nuevas técnicas y tácticas con las que intentan impactar entidades y organizaciones mediante nuevos métodos de distribución para que llegar afectar y generar ataques elaborados contra la infraestructura de las entidades; el equipo de analistas del Csirt identifico una nueva campaña de distribución por medio de sitios web de descarga de software donde se está implantando Redline Stealer y RecordBreaker Stealer.
Nuevo clipper denominado IBANClipper es un tipo de malware y/o una técnica implementada por los actores de amenaza, muy conocido en el ciberespacio por sus capacidades de afectar un sistema o usuario, este destaca por tener la particularidad de capturar información sensible o modificar la data a través del portapapeles; este entra en acción cuando la víctima hace uso de la función copiar y pegar del equipo, donde reemplaza los datos de la persona con los del ciberdelincuente para llevar a cabo actos delictivos como fraude financiero y transacciones ilícitas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-clipper-denominado-ibanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Clipper es un tipo de malware y/o una técnica implementada por los actores de amenaza, muy conocido en el ciberespacio por sus capacidades de afectar un sistema o usuario, este destaca por tener la particularidad de capturar información sensible o modificar la data a través del portapapeles; este entra en acción cuando la víctima hace uso de la función copiar y pegar del equipo, donde reemplaza los datos de la persona con los del ciberdelincuente para llevar a cabo actos delictivos como fraude financiero y transacciones ilícitas.
Nueva variante de ransomware denominada SolidbitSolidbit, identificado por primera vez en julio del presente año distribuido bajo la modalidad de Ransomware como Servicio (RaaS), con el objetivo de cifrar datos y a través de esta capacidad poder exigir un rescate a cambio de una clave para el descifrado donde la victima tendría que realizar el pago de un monto económico para obtener dicha clave; teniendo en cuenta la importancia de la información comprometida muchas organizaciones acceden al pago de esta extorsión.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-denominada-solidbithttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Solidbit, identificado por primera vez en julio del presente año distribuido bajo la modalidad de Ransomware como Servicio (RaaS), con el objetivo de cifrar datos y a través de esta capacidad poder exigir un rescate a cambio de una clave para el descifrado donde la victima tendría que realizar el pago de un monto económico para obtener dicha clave; teniendo en cuenta la importancia de la información comprometida muchas organizaciones acceden al pago de esta extorsión.
Actualizaciones implementadas en el stealer XCSSET dirigido a usuarios MacOSEl malware desarrollado para sistemas MacOS existe en la naturaleza en menor cantidad comparada con Windows, sin embargo, los actores de amenazas también tienen como objetivo los usuarios de este S.O; basado en lo anterior se ha visto anteriormente en la naturaleza un stealer denominado XCSSET que ha afectado organizaciones e individuos, no obstante se han rastreado nuevas actualizaciones, evidenciando que ha implementado algunos cambios que pretenden solventar la obsolescencia de versiones anteriores de Python que no serán compatibles con las nuevas versiones de MacOS como la más reciente distribución Monterey.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizaciones-implementadas-en-el-stealer-xcsset-dirigido-a-usuarios-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware desarrollado para sistemas MacOS existe en la naturaleza en menor cantidad comparada con Windows, sin embargo, los actores de amenazas también tienen como objetivo los usuarios de este S.O; basado en lo anterior se ha visto anteriormente en la naturaleza un stealer denominado XCSSET que ha afectado organizaciones e individuos, no obstante se han rastreado nuevas actualizaciones, evidenciando que ha implementado algunos cambios que pretenden solventar la obsolescencia de versiones anteriores de Python que no serán compatibles con las nuevas versiones de MacOS como la más reciente distribución Monterey.
Nuevos artefactos asociados al RAT AveMariaAveMaria es un RAT modular con capacidades avanzadas, las cuales le permiten exfiltrar múltiple información de los equipos infectados, cabe resaltar que también es conocido como WARZONE RAT y que además esta amenaza está dirigida a diversos sectores, donde encontramos el ámbito financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-asociados-al-rat-avemariahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
AveMaria es un RAT modular con capacidades avanzadas, las cuales le permiten exfiltrar múltiple información de los equipos infectados, cabe resaltar que también es conocido como WARZONE RAT y que además esta amenaza está dirigida a diversos sectores, donde encontramos el ámbito financiero.
Troyano bancario Astaroth dirigido a LatinoaméricaEl troyano bancario Astaroth fue identificado por primera vez en el año 2017 dirigido a organizaciones de Latinoamérica, principalmente en Brasil donde fue observado impactando una entidad de dicho país, este troyano está escrito en lenguaje de programación Delphi, cuenta con capacidades de captura de datos bancarios y afecta a sistemas operativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-astaroth-dirigido-a-latinoamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano bancario Astaroth fue identificado por primera vez en el año 2017 dirigido a organizaciones de Latinoamérica, principalmente en Brasil donde fue observado impactando una entidad de dicho país, este troyano está escrito en lenguaje de programación Delphi, cuenta con capacidades de captura de datos bancarios y afecta a sistemas operativos Windows.
Nueva variante de RAT denominada Escanor es distribuida a través de documentos de Microsoft OfficeEn enero del presente año, salió a la venta en la Dark web y Telegram un nuevo RAT denominado Escanor, esta amenaza es dirigido a dispositivos móviles y equipos de cómputo, bajo el sistema Android y Microsoft Windows respectivamente, entregan un módulo HVNC (Módulo de Control Remoto) y el generador de exploits con el cual generan documentos de Microsoft Office o PDF en el cual es incluido el código malicioso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-rat-denominada-escanor-es-distribuida-a-traves-de-documentos-de-microsoft-officehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En enero del presente año, salió a la venta en la Dark web y Telegram un nuevo RAT denominado Escanor, esta amenaza es dirigido a dispositivos móviles y equipos de cómputo, bajo el sistema Android y Microsoft Windows respectivamente, entregan un módulo HVNC (Módulo de Control Remoto) y el generador de exploits con el cual generan documentos de Microsoft Office o PDF en el cual es incluido el código malicioso.
Dtrack, backdoor utilizado por grupos APTDtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado que el grupo APT denominado Lazarus patrocinados por el estado de Corea del Norte, continúan desplegando campañas maliciosas en varios países, donde en esta ocasión se observaron varios ataques a una corporación de Energía Nuclear de India.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/dtrack-backdoor-utilizado-por-grupos-apthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado que el grupo APT denominado Lazarus patrocinados por el estado de Corea del Norte, continúan desplegando campañas maliciosas en varios países, donde en esta ocasión se observaron varios ataques a una corporación de Energía Nuclear de India.
Nuevos IOC del loader SocGholish reportados de una campaña en cursoLas amenazas de acceso inicial son ampliamente utilizadas en el ciberespacio por los ciberdelincuentes para instaurar otras familias de malware que complementan la operación de cada campaña desplegada de estos actores malintencionados; por lo anterior durante el mes de agosto se observó nueva actividad relacionada con el Loader SocGholish, el cual aprovecha las descargas ocultas disfrazadas de actualizaciones de software especialmente diseñadas para sistemas operativos Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-del-loader-socgholish-reportados-de-una-campana-en-cursohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las amenazas de acceso inicial son ampliamente utilizadas en el ciberespacio por los ciberdelincuentes para instaurar otras familias de malware que complementan la operación de cada campaña desplegada de estos actores malintencionados; por lo anterior durante el mes de agosto se observó nueva actividad relacionada con el Loader SocGholish, el cual aprovecha las descargas ocultas disfrazadas de actualizaciones de software especialmente diseñadas para sistemas operativos Microsoft Windows.
Nueva campaña maliciosa distribuye AsyncRAT como archivos slnSi bien AsyncRAT fue desarrollado con fines educativos, los ciberdelincuentes han utilizado y evolucionado esta herramienta con el objetivo de impactar a diferentes organizaciones del sector bancario, desde el Csirt Financiero se da a conocer una nueva campaña en la cual distribuyen a este troyano de acceso remoto como archivos .sln (archivos de solución asociado a Microsoft Visual studio).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-distribuye-asyncrat-como-archivos-slnhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Si bien AsyncRAT fue desarrollado con fines educativos, los ciberdelincuentes han utilizado y evolucionado esta herramienta con el objetivo de impactar a diferentes organizaciones del sector bancario, desde el Csirt Financiero se da a conocer una nueva campaña en la cual distribuyen a este troyano de acceso remoto como archivos .sln (archivos de solución asociado a Microsoft Visual studio).
Nueva campaña del troyano bancario Grandoreiro dirigida a países de habla hispanaEl panorama de la ciberguerra es un escenario que vemos día tras día en tendencia debido a la constante actividad de los ciberdelincuentes que pretenden afectar la infraestructura tecnológica de distintos sectores, con el fin de obtener un beneficio; asimismo desde el Csirt Financiero se realiza seguimiento a las amenazas emergentes y a las amenazas que perduran en el ciberespacio como el troyano bancario Grandoreiro, que actualmente está siendo distribuido por medio de una campaña de spearphishing hacia México y España.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-bancario-grandoreiro-dirigida-a-paises-de-habla-hispanahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de la ciberguerra es un escenario que vemos día tras día en tendencia debido a la constante actividad de los ciberdelincuentes que pretenden afectar la infraestructura tecnológica de distintos sectores, con el fin de obtener un beneficio; asimismo desde el Csirt Financiero se realiza seguimiento a las amenazas emergentes y a las amenazas que perduran en el ciberespacio como el troyano bancario Grandoreiro, que actualmente está siendo distribuido por medio de una campaña de spearphishing hacia México y España.
Nueva variante de ransomware denominada BianLianBianLian es un ransomware que fue identificado en el mes de julio del presente año, este tiene como objetivo cifrar datos y a través de esta capacidad poder exigir un rescate a cambio de una clave para el descifrado, teniendo en cuenta la importancia de la información comprometida muchas organizaciones acceden al pago de esta extorsión; por lo tanto los ciberatacantes de esta amenaza tienen fines económicos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-denominada-bianlianhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
BianLian es un ransomware que fue identificado en el mes de julio del presente año, este tiene como objetivo cifrar datos y a través de esta capacidad poder exigir un rescate a cambio de una clave para el descifrado, teniendo en cuenta la importancia de la información comprometida muchas organizaciones acceden al pago de esta extorsión; por lo tanto los ciberatacantes de esta amenaza tienen fines económicos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}