Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Ransomware Kanti: una nueva amenaza escrita en lenguaje de programación NIMMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información y en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo ransomware denominado Kanti escrito en lenguaje de programación NIM, lo que permite una ejecución eficiente y la compilación de código en archivos ejecutables adecuados para los sistemas operativos Windows y Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-kanti-una-nueva-amenaza-escrita-en-lenguaje-de-programacion-nimhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información y en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo ransomware denominado Kanti escrito en lenguaje de programación NIM, lo que permite una ejecución eficiente y la compilación de código en archivos ejecutables adecuados para los sistemas operativos Windows y Linux.
Ransomware Lilocked (Lilu) infecta servidores linuxNuevo Ransomware llamado Lilocked (Lilu), que entro en actividad desde el mes de julio de 2019 y que afecta servidores Linux enfocado en archivos con extensión HTML, PHP, JS e imágenes con cualquier tipo de extensión, este Ransomware cifra solo archivos almacenados que no tienen que ver con el sistema operativo de la máquina.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-lilocked-lilu-infecta-servidores-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevo Ransomware llamado Lilocked (Lilu), que entro en actividad desde el mes de julio de 2019 y que afecta servidores Linux enfocado en archivos con extensión HTML, PHP, JS e imágenes con cualquier tipo de extensión, este Ransomware cifra solo archivos almacenados que no tienen que ver con el sistema operativo de la máquina.
Ransomware Lockbit emplea Tácticas, Técnicas y Procedimientos para mejorar el cifradoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia LockBit, un ransomware con la capacidad de realizar el proceso de cifrado de archivos en corto tiempo y una rápida difusión por la red comprometiendo más equipos de cómputo con Sistema Operativo Windows. Los ciberdelincuentes detrás del ransomware desarrollaron e implementaron tácticas, técnicas y procedimientos encargados de eliminar los archivos utilizados para la infección, luego de realizar la instalación, ejecución e infección de los equipos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-lockbit-emplea-tacticas-tecnicas-y-procedimientos-para-mejorar-el-cifradohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia LockBit, un ransomware con la capacidad de realizar el proceso de cifrado de archivos en corto tiempo y una rápida difusión por la red comprometiendo más equipos de cómputo con Sistema Operativo Windows. Los ciberdelincuentes detrás del ransomware desarrollaron e implementaron tácticas, técnicas y procedimientos encargados de eliminar los archivos utilizados para la infección, luego de realizar la instalación, ejecución e infección de los equipos.
Ransomware LockFile apunta a servidores de Microsoft ExchangeEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada al ransomware LockFile el cual tiene como objetivo a servidores de Microsoft Exchange (expuestos a Internet) al aprovechar las vulnerabilidades de ProxyShell.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-lockfile-apunta-a-servidores-de-microsoft-exchangehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada al ransomware LockFile el cual tiene como objetivo a servidores de Microsoft Exchange (expuestos a Internet) al aprovechar las vulnerabilidades de ProxyShell.
Ransomware M142 HIMARS una nueva amenaza basada en MedusaLockerA través del monitoreo continúo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de ransomware denominada M142 HIMARS, la cual pertenece a la familia MedusaLocker, un grupo de ransomware activo desde 2019 que opera bajo el modelo de "Ransomware-as-a-Service" (RaaS)http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-m142-himars-una-nueva-amenaza-basada-en-medusalockerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo continúo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de ransomware denominada M142 HIMARS, la cual pertenece a la familia MedusaLocker, un grupo de ransomware activo desde 2019 que opera bajo el modelo de "Ransomware-as-a-Service" (RaaS)
Ransomware Magniber es distribuido mediante actualizaciones falsasEl equipo de analistas del Csirt Financiero ha identificado un nuevo método de distribución para implementar Magniber, un ransomware detectado por primera vez en el año 2017 y que es conocido por ser entregado mediante la explotación de vulnerabilidades del navegador internet explorer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-magniber-es-distribuido-mediante-actualizaciones-falsashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado un nuevo método de distribución para implementar Magniber, un ransomware detectado por primera vez en el año 2017 y que es conocido por ser entregado mediante la explotación de vulnerabilidades del navegador internet explorer.
Ransomware MedusaLockerEn el continuo monitoreo realizado por el Csirt Financiero a nuevos vectores de amenazas se ha evidenciado a MedusaLocker, troyano de tipo ransomware que adicionalmente cuenta con capacidades que lo hacen diferente a otras familias.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-medusalockerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevos vectores de amenazas se ha evidenciado a MedusaLocker, troyano de tipo ransomware que adicionalmente cuenta con capacidades que lo hacen diferente a otras familias.
Ransomware MegaCortexCampaña de rescate se registro su primer indicio el 1 de mayo de 2019 en todo el mundo, incluyendo Italia, Estados Unidos, Irlanda y Francia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-megacortexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ransomware Monster implementa interfaz gráfica avanzadaLos ciberdelincuentes, mediante nuevas técnicas y tácticas realizan constantes actualizaciones en sus campañas, desarrollando nuevas amenazas que pueden afectar entidades y organizaciones; el equipo de analistas del Csirt Financiero identificó una nueva actualización del ransomware Monster, el cual es uno de los primeros en contar con una interfaz gráfica avanzada del usuario (GUI), que para los actores de amenaza lo hace mucho más sencillo y accesible al momento de realizar un ataque.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-monster-implementa-interfaz-grafica-avanzadahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberdelincuentes, mediante nuevas técnicas y tácticas realizan constantes actualizaciones en sus campañas, desarrollando nuevas amenazas que pueden afectar entidades y organizaciones; el equipo de analistas del Csirt Financiero identificó una nueva actualización del ransomware Monster, el cual es uno de los primeros en contar con una interfaz gráfica avanzada del usuario (GUI), que para los actores de amenaza lo hace mucho más sencillo y accesible al momento de realizar un ataque.
Ransomware Mount Locker exige rescates millonariosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-mount-locker-exige-rescates-millonarioshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.
Ransomware Phobos afecta Sistema Microsoft WindowsEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, conoció del ransomware Phobos, el cual tiene como característica principal el constante cambio de la extensión de los archivos cifrados, además se ha evidenciado el incumplimiento de la liberación de los archivos, así las víctimas hayan cancelado el valor del rescate.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-phobos-afecta-sistema-microsoft-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, conoció del ransomware Phobos, el cual tiene como característica principal el constante cambio de la extensión de los archivos cifrados, además se ha evidenciado el incumplimiento de la liberación de los archivos, así las víctimas hayan cancelado el valor del rescate.
Ransomware ProLock y troyano Qakbot en trabajo colaborativoEl ransomware ProLock se asocia con el conocido troyano bancario Qakbot para ingresar a la red interna, sustraer datos confidenciales, cifrarlos y cobrar un rescate para la devolución de la información exfiltrada. Las nuevas capacidades de Qakbot, convierten este ataque colaborativo en una amenaza persistente, con movimiento lateral para alcanzar más víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-prolock-y-troyano-qakbot-en-trabajo-colaborativohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware ProLock se asocia con el conocido troyano bancario Qakbot para ingresar a la red interna, sustraer datos confidenciales, cifrarlos y cobrar un rescate para la devolución de la información exfiltrada. Las nuevas capacidades de Qakbot, convierten este ataque colaborativo en una amenaza persistente, con movimiento lateral para alcanzar más víctimas.
Ransomware Pysa/Mespinoza exfiltra credenciales para cifrar datosEn el constante monitoreo realizado por el equipo del Csirt Financiero, se evidenció actividad de un nuevo ransomware denominado PYSA/MESPINOZA que centra su interés en moverse lateralmente haciendo uso del protocolo RDP, con cuentas legítimas previamente comprometidas. Además de esto, hace uso de la herramienta PsExec que ejecuta scripts para recolectar credenciales como las de administrador de dominio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-pysa-mespinoza-exfiltra-credenciales-para-cifrar-datoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo realizado por el equipo del Csirt Financiero, se evidenció actividad de un nuevo ransomware denominado PYSA/MESPINOZA que centra su interés en moverse lateralmente haciendo uso del protocolo RDP, con cuentas legítimas previamente comprometidas. Además de esto, hace uso de la herramienta PsExec que ejecuta scripts para recolectar credenciales como las de administrador de dominio.
Ransomware RagnarLocker afecta infraestructuras tecnológicas críticas en Estados UnidosEl equipo de analistas del Csirt Financiero ha identificado una nueva actividad del ransomware RagnarLocker, en esta ocasión este ransomware ha vulnerado las redes de al menos 52 organizaciones de múltiples sectores de infraestructura crítica de los Estados Unidos incluidas entidades en los sectores críticos de fabricación, energía, servicios financieros, gobierno y tecnología de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-ragnarlocker-afecta-infraestructuras-tecnologicas-criticas-en-estados-unidoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva actividad del ransomware RagnarLocker, en esta ocasión este ransomware ha vulnerado las redes de al menos 52 organizaciones de múltiples sectores de infraestructura crítica de los Estados Unidos incluidas entidades en los sectores críticos de fabricación, energía, servicios financieros, gobierno y tecnología de la información.
Ransomware REvil lanza herramienta de cifrado en Linux para máquinas virtuales de VMware ESXIEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas de información, se ha identificado un nuevo blanco de ataque por parte del ransomware REvil, el cual apunta a cifrar máquinas virtuales de VMware ESXI.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-revil-lanza-herramienta-de-cifrado-en-linux-para-maquinas-virtuales-de-vmware-esxihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas de información, se ha identificado un nuevo blanco de ataque por parte del ransomware REvil, el cual apunta a cifrar máquinas virtuales de VMware ESXI.
Ransomware Rhysida y sus métodos operativosRhysida es una amenaza de tipo ransomware que fue identificada recientemente y operada como Ransomware-as-a-Service (RaaS), que se encuentra desarrollado en C++ y compilado utilizando MinGW, la cual es una herramienta para desarrolladores que desean crear o portar aplicaciones a la plataforma de Windows utilizando las herramientas y bibliotecas del sistema GNU.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-rhysida-y-sus-metodos-operativoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Rhysida es una amenaza de tipo ransomware que fue identificada recientemente y operada como Ransomware-as-a-Service (RaaS), que se encuentra desarrollado en C++ y compilado utilizando MinGW, la cual es una herramienta para desarrolladores que desean crear o portar aplicaciones a la plataforma de Windows utilizando las herramientas y bibliotecas del sistema GNU.
Ransomware RobbinHood estaría usando un driver vulnerable para evitar la detección de las herramientas antimalware.Los ciberdelincuentes detrás del ransomware RobbinHood están haciendo uso de una vulnerabilidad conocida sobre un controlador de GIGABYTE (CVE-2018-19320).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-robbinhood-estaria-usando-un-driver-vulnerable-para-evitar-la-deteccion-de-las-herramientas-antimalwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberdelincuentes detrás del ransomware RobbinHood están haciendo uso de una vulnerabilidad conocida sobre un controlador de GIGABYTE (CVE-2018-19320).
Ransomware Ryuk implementa nuevas técnicas de ataqueEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha constatado una nueva actividad maliciosa del ransomware Ryuk, programa malicioso conocido desde el año 2018 por ser una amenaza altamente peligrosa por su velocidad de ejecución y cifrado de los datos en la red comprometida, además de la evasión frente a herramientas de seguridad y programas antimalware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-ryuk-implementa-nuevas-tecnicas-de-ataquehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha constatado una nueva actividad maliciosa del ransomware Ryuk, programa malicioso conocido desde el año 2018 por ser una amenaza altamente peligrosa por su velocidad de ejecución y cifrado de los datos en la red comprometida, además de la evasión frente a herramientas de seguridad y programas antimalware.
Ransomware Thanos utiliza nueva técnica para evadir su detecciónEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque que puedan afectar al sector, se ha identificado una muestra de ransomware que usa distintas técnicas para la evasión de las aplicaciones y herramientas de seguridad con la técnica RIPlace.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-thanos-utiliza-nueva-tecnica-para-evadir-su-deteccionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque que puedan afectar al sector, se ha identificado una muestra de ransomware que usa distintas técnicas para la evasión de las aplicaciones y herramientas de seguridad con la técnica RIPlace.
Ransomware Try2cry con capacidades de gusano en dispositivos USBEl Csirt Financiero han evidenciado nuevo ransomware denominado Try2Cry tiene como objetivo cifrar los archivos de equipos con sistema operativo Windows para exigir un pago a cambio de la liberación de los archivos comprometidos. Cuenta con un componente que le otorga capacidades de gusano para propagarse y afectar archivos de los dispositivos extraíbles como USB, extendiendo su vector de ataque.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-try2cry-con-capacidades-de-gusano-en-dispositivos-usbhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero han evidenciado nuevo ransomware denominado Try2Cry tiene como objetivo cifrar los archivos de equipos con sistema operativo Windows para exigir un pago a cambio de la liberación de los archivos comprometidos. Cuenta con un componente que le otorga capacidades de gusano para propagarse y afectar archivos de los dispositivos extraíbles como USB, extendiendo su vector de ataque.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}