Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Sappirestealer: nueva amenaza en constante evoluciónEl equipo de analistas del Csirt Financiero ha identificado una amenaza de código abierto basado en .NET denominada SapphireStealer, este malware es catalogado como un stealer y se ha convertido en una amenaza en constante evolución donde se han identificado un aumento significativo de su presencia en foros clandestinos y repositorios de GitHub desde su primera publicación en diciembre de 2022.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/sappirestealer-nueva-amenaza-en-constante-evolucionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una amenaza de código abierto basado en .NET denominada SapphireStealer, este malware es catalogado como un stealer y se ha convertido en una amenaza en constante evolución donde se han identificado un aumento significativo de su presencia en foros clandestinos y repositorios de GitHub desde su primera publicación en diciembre de 2022.
Saint Bot, nuevo Downloader utilizado para descargar y ejecutar malwareEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo downloader denominado Saint Bot el cual está siendo utilizado para distribuir, descargar y ejecutar malware adicional en un equipo comprometido como lo es el malware Taurus, que consiste en un Stealer de credenciales que afecta a equipos con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/saint-bot-nuevo-downloader-utilizado-para-descargar-y-ejecutar-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo downloader denominado Saint Bot el cual está siendo utilizado para distribuir, descargar y ejecutar malware adicional en un equipo comprometido como lo es el malware Taurus, que consiste en un Stealer de credenciales que afecta a equipos con sistema operativo Windows.
Ryuk Ransomware utiliza Wake-on-LanEl equipo del Csirt Financiero mediante búsquedas e investigaciones en fuentes de información abierta, identificó una funcionalidad utilizada por el ransomwaer Ryuk sobre los equipos conectados a una red LAN.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ryuk-ransomware-utiliza-wake-on-lanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero mediante búsquedas e investigaciones en fuentes de información abierta, identificó una funcionalidad utilizada por el ransomwaer Ryuk sobre los equipos conectados a una red LAN.
Ryuk Ransomware que afecta empresas a nivel internacionalPor medio de fuentes de inteligencia del CSIRT Financiero, se advierte sobre el incremento de la distribución del ransomware Ryuk. El último mes se han visto afectadas empresas españolas, con grandes pérdidas de información, este tipo de ciberamenazas podrían ser utilizadas para afectar a usuarios de la región, por lo tanto, se recomienda tener los debidos cuidados, para no ser víctima de ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ryuk-ransomware-que-afecta-empresas-a-nivel-internacionalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de inteligencia del CSIRT Financiero, se advierte sobre el incremento de la distribución del ransomware Ryuk. El último mes se han visto afectadas empresas españolas, con grandes pérdidas de información, este tipo de ciberamenazas podrían ser utilizadas para afectar a usuarios de la región, por lo tanto, se recomienda tener los debidos cuidados, para no ser víctima de ciberdelincuentes.
Ryuk RansomwareDesde el CSIRT Financiero se detecta una amenaza la cual podría impactar sobre el sector financiero, se trata de un Ransomware llamado Ryuk el cual ataca activamente a organizaciones globales, asociado a Emotet y Trickbot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ryuk-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una amenaza la cual podría impactar sobre el sector financiero, se trata de un Ransomware llamado Ryuk el cual ataca activamente a organizaciones globales, asociado a Emotet y Trickbot.
RTM Locker: RaaS emergente causa preocupación en el ámbito de ciberseguridadLa seguridad en línea sigue siendo un tema de preocupación constante para empresas y particulares. A medida que las tecnologías avanzan, también lo hacen los métodos de ataque cibernético, y un nuevo grupo cibercriminal ha llamado la atención de los expertos en ciberseguridad. Se trata de "Read The Manual Locker, por sus siglas en inglés" (RTM) Locker, un proveedor privado de ransomware como servicio (RaaS) que ha llevado a cabo ataques oportunistas para generar ganancias ilícitas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rtm-locker-raas-emergente-causa-preocupacion-en-el-ambito-de-ciberseguridadhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad en línea sigue siendo un tema de preocupación constante para empresas y particulares. A medida que las tecnologías avanzan, también lo hacen los métodos de ataque cibernético, y un nuevo grupo cibercriminal ha llamado la atención de los expertos en ciberseguridad. Se trata de "Read The Manual Locker, por sus siglas en inglés" (RTM) Locker, un proveedor privado de ransomware como servicio (RaaS) que ha llevado a cabo ataques oportunistas para generar ganancias ilícitas.
Royal ransomware y su conexión con Conti Team OneRecientemente se ha identificado conexión entre el nuevo grupo de ransomware Royal y Conti Team One, dado a que ciberdelincuentes experimentados de este último mencionado hacen parte de Royal ransomware; que fue nombrado en principio como Zeon ransomware y posteriormente fue a actualizado a como lo conocemos actualmente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/royal-ransomware-y-su-conexion-con-conti-team-onehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado conexión entre el nuevo grupo de ransomware Royal y Conti Team One, dado a que ciberdelincuentes experimentados de este último mencionado hacen parte de Royal ransomware; que fue nombrado en principio como Zeon ransomware y posteriormente fue a actualizado a como lo conocemos actualmente.
Royal ransomware es dirigido a servidores VMware ESXiDurante las últimas semanas diversos actores de amenazas han realizado ataques a servidores de VMware ESXi en gran parte del mundo, en esta ocasión royal ransomware se ha sumado a esta ola de amenazas que han afectado cientos de servidores VMware ESXi a nivel global, por lo que es importante destacar este tipo de actividades que pueden afectar la confidencialidad de su información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/royal-ransomware-es-dirigido-a-servidores-vmware-esxihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las últimas semanas diversos actores de amenazas han realizado ataques a servidores de VMware ESXi en gran parte del mundo, en esta ocasión royal ransomware se ha sumado a esta ola de amenazas que han afectado cientos de servidores VMware ESXi a nivel global, por lo que es importante destacar este tipo de actividades que pueden afectar la confidencialidad de su información.
Rotajakiro puerta trasera dirigida a distribuciones LinuxEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un backdoor de nombre Rotajakiro que tiene como objetivo distribuciones Linux con arquitectura X64. Los investigadores no habían visto detecciones en VirusTotal de esta backdoor solo hasta marzo de 2021; se tiene conocimiento que esta backdoor se había analizado en esta plataforma desde 2018.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rotajakiro-puerta-trasera-dirigida-a-distribuciones-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un backdoor de nombre Rotajakiro que tiene como objetivo distribuciones Linux con arquitectura X64. Los investigadores no habían visto detecciones en VirusTotal de esta backdoor solo hasta marzo de 2021; se tiene conocimiento que esta backdoor se había analizado en esta plataforma desde 2018.
Rootkits+BootkitsRevertir malware moderno y amenazas de próxima generaciónhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rootkits-bootkitshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Rootkit Moriya impacta equipos expuestos en internet con SO WindowsEn el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado un nuevo Rootkit denominado Moriya, el cual es usado para generar puertas traseras en equipos con sistema operativo Windows que se encuentran expuestos en internet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rootkit-moriya-impacta-equipos-expuestos-en-internet-con-so-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado un nuevo Rootkit denominado Moriya, el cual es usado para generar puertas traseras en equipos con sistema operativo Windows que se encuentran expuestos en internet.
RokRat apunta a usuarios Windows a través de accesos directos (Lnk)A través de actividades de monitoreo en búsqueda de amenazas emergentes o actividades maliciosas, el equipo del Csirt Financiero detectó una nueva campaña del malware denominado RokRat que utiliza accesos directos de Windows (LNK) para propagar malware. Esta se dirige a usuarios de Corea del Sur, particularmente a aquellos relacionados con temas de Corea del Norte.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rokrat-apunta-a-usuarios-windows-a-traves-de-accesos-directos-lnkhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo en búsqueda de amenazas emergentes o actividades maliciosas, el equipo del Csirt Financiero detectó una nueva campaña del malware denominado RokRat que utiliza accesos directos de Windows (LNK) para propagar malware. Esta se dirige a usuarios de Corea del Sur, particularmente a aquellos relacionados con temas de Corea del Norte.
Robin Banks retorna con nuevas funcionalidades y característicasMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se encontró que la plataforma de phishing como servicio (PhaaS) Robin Banks retornó sus operaciones, utilizando una infraestructura de una empresa de internet rusa que brinda servicios de protección contra ataques DDoS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/robin-banks-retorna-con-nuevas-funcionalidades-y-caracteristicashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se encontró que la plataforma de phishing como servicio (PhaaS) Robin Banks retornó sus operaciones, utilizando una infraestructura de una empresa de internet rusa que brinda servicios de protección contra ataques DDoS.
Riltok, troyano android dirigido al sector de banca móvil.Desde el CSIRT Financiero, se detecta un nuevo tipo de troyano bancario para dispositivos móviles Android, su objetivo principal es suplantar a la aplicación de mensajes de texto (SMS) e implementarse como aplicación por defecto en el dispositivo, de esta manera poder facilitar a los atacantes el robo de información sensible mediante phishing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/riltok-troyano-android-dirigido-al-sector-de-banca-movilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero, se detecta un nuevo tipo de troyano bancario para dispositivos móviles Android, su objetivo principal es suplantar a la aplicación de mensajes de texto (SMS) e implementarse como aplicación por defecto en el dispositivo, de esta manera poder facilitar a los atacantes el robo de información sensible mediante phishing.
Riesgos en la cadena de suministro y exposición de datos por brecha de seguridad en Oracle CloudDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado una brecha de seguridad en Oracle Cloud que expuso más de 140.000 entidades debido a una posible vulnerabilidad en su sistema de autenticación, la exfiltración incluyó credenciales cifradas y archivos clave, afectando la seguridad de la infraestructura en la nube. Este incidente representa un ataque a la cadena de suministro y pone en riesgo múltiples organizaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/riesgos-en-la-cadena-de-suministro-y-exposicion-de-datos-por-brecha-de-seguridad-en-oracle-cloudhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado una brecha de seguridad en Oracle Cloud que expuso más de 140.000 entidades debido a una posible vulnerabilidad en su sistema de autenticación, la exfiltración incluyó credenciales cifradas y archivos clave, afectando la seguridad de la infraestructura en la nube. Este incidente representa un ataque a la cadena de suministro y pone en riesgo múltiples organizaciones.
Rhadamanthys Stealer 0.9.2 evoluciona con técnicas de evasión y fingerprintingDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Rhadamanthys, actualmente en su versión 0.9.2. Esta amenaza, que comenzó en 2022 bajo la promoción del actor “kingcrete2022”, ha pasado de ser un producto en foros clandestinos a consolidarse como un servicio de suscripción.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rhadamanthys-stealer-0-9-2-evoluciona-con-tecnicas-de-evasion-y-fingerprintinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Rhadamanthys, actualmente en su versión 0.9.2. Esta amenaza, que comenzó en 2022 bajo la promoción del actor “kingcrete2022”, ha pasado de ser un producto en foros clandestinos a consolidarse como un servicio de suscripción.
Rhadamanthys entre las amenazas más utilizadas en el mes de marzoRhadamanthys una amenaza de tipo stealer, el cual fue identificado en el año 2022 y desde entonces los actores de amenaza han realizado la distribución de esta amenaza de forma continua en el último mes, donde el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de Rhadamanthys en los que se encuentran archivos de tipo ejecutable y algunas direcciones IP.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rhadamanthys-entre-las-amenazas-mas-utilizadas-en-el-mes-de-marzohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Rhadamanthys una amenaza de tipo stealer, el cual fue identificado en el año 2022 y desde entonces los actores de amenaza han realizado la distribución de esta amenaza de forma continua en el último mes, donde el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de Rhadamanthys en los que se encuentran archivos de tipo ejecutable y algunas direcciones IP.
Revocación De Certificados De DigiCert Por Incumplimiento En La Verificación De Control De Dominio (DCV)Recientemente, se observó que DigiCert, una empresa de seguridad digital que proporciona la infraestructura de clave pública y la validación necesaria para emitir certificados digitales o certificados TLS/SSL revocará miles de certificados que no tengan la verificación de control de dominio (DCV) adecuada.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/revocacion-de-certificados-de-digicert-por-incumplimiento-en-la-verificacion-de-control-de-dominio-dcvhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se observó que DigiCert, una empresa de seguridad digital que proporciona la infraestructura de clave pública y la validación necesaria para emitir certificados digitales o certificados TLS/SSL revocará miles de certificados que no tengan la verificación de control de dominio (DCV) adecuada.
Revil Ransomware compromete la cadena de suministros de Kaseya VSAEn el monitoreo a fuentes abiertas de información, se ha identificado una campaña en proceso del grupo cibercriminal REvil ransomware el cual ha comprometido a la plataforma de gestión de servicios TI de forma remota Kaseya VSA.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/revil-ransomware-compromete-la-cadena-de-suministro-de-kaseya-vsa-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, se ha identificado una campaña en proceso del grupo cibercriminal REvil ransomware el cual ha comprometido a la plataforma de gestión de servicios TI de forma remota Kaseya VSA.
Revil ejecuta modo seguro de Windows para cifrar archivosEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado un nuevo procedimiento previo al cifrado de archivos ejecutado por la familia de ransomware REvil, forzando el sistema operativo a que se reinicie en modo seguro mediante el comando -smode; algunas de las afectaciones ejecutadas por la amenaza cibernética consisten en modificar la llave de registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon agregando la nueva contraseña denominada “DTrump4ever.”.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/revil-ejecuta-modo-seguro-de-windows-para-cifrar-archivoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado un nuevo procedimiento previo al cifrado de archivos ejecutado por la familia de ransomware REvil, forzando el sistema operativo a que se reinicie en modo seguro mediante el comando -smode; algunas de las afectaciones ejecutadas por la amenaza cibernética consisten en modificar la llave de registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon agregando la nueva contraseña denominada “DTrump4ever.”.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}