Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Ranzy ransomware actualiza características de ThunderxEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el surgimiento de Ranzy una nueva amenaza ofrecida como RaaS (Ransomware como Servicio) derivada de ThunderX. El cambio que los ciberdelincuentes han realizado a este ransomware se debe al desarrollo y publicación de herramientas de descifrado gratuito para ThunderX.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ranzy-ransomware-actualiza-caracteristicas-de-thunderxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el surgimiento de Ranzy una nueva amenaza ofrecida como RaaS (Ransomware como Servicio) derivada de ThunderX. El cambio que los ciberdelincuentes han realizado a este ransomware se debe al desarrollo y publicación de herramientas de descifrado gratuito para ThunderX.
Ransomware Zeppelin retorna a sus actividades maliciosasEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero, ha identificado que el ransomware denominado Zeppelin retorna a sus actividades maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-zeppelin-retorna-a-sus-actividades-maliciosashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero, ha identificado que el ransomware denominado Zeppelin retorna a sus actividades maliciosas.
Ransomware Zeoticus se ejecuta offlineEn el monitoreo realizado por el equipo de Csirt Financiero, se encontró un ransomware denominado Zeoticus. Este ransomware visto por primera vez a inicio del año 2020, se caracterizada por brindar sus servicios como RaaS, Ransomware as a Service personalizado para el comprador.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-zeoticus-se-ejecuta-offlinehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de Csirt Financiero, se encontró un ransomware denominado Zeoticus. Este ransomware visto por primera vez a inicio del año 2020, se caracterizada por brindar sus servicios como RaaS, Ransomware as a Service personalizado para el comprador.
Ransomware Xelera, nueva amenaza para solicitantes de empleoDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución de Xelera, un ransomware que tiene como objetivo cifrar los archivos almacenados en los sistemas comprometidos, impidiendo el acceso a la información y exigiendo un rescate para su recuperación; adicionalmente, implementa mecanismos que dificultan la restauración del sistema.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-xelera-nueva-amenaza-para-solicitantes-de-empleohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución de Xelera, un ransomware que tiene como objetivo cifrar los archivos almacenados en los sistemas comprometidos, impidiendo el acceso a la información y exigiendo un rescate para su recuperación; adicionalmente, implementa mecanismos que dificultan la restauración del sistema.
Whispeargate un malware utilizado en campañas contra entidades gubernamentales de UcraniaEn el constante monitoreo a fuentes abiertas de información y realizando el respectivo análisis de amenazas a nivel global, el equipo de analistas del Csirt Financiero identificó un Wiper denominado Whispergate, el cual está siendo utilizado en el conflicto visto a nivel mundial entre los países de Rusia y Ucrania.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-whispergate-utilizado-en-campanas-contra-entidades-gubernamentales-de-ucraniahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas de información y realizando el respectivo análisis de amenazas a nivel global, el equipo de analistas del Csirt Financiero identificó un Wiper denominado Whispergate, el cual está siendo utilizado en el conflicto visto a nivel mundial entre los países de Rusia y Ucrania.
Ransomware Try2cry con capacidades de gusano en dispositivos USBEl Csirt Financiero han evidenciado nuevo ransomware denominado Try2Cry tiene como objetivo cifrar los archivos de equipos con sistema operativo Windows para exigir un pago a cambio de la liberación de los archivos comprometidos. Cuenta con un componente que le otorga capacidades de gusano para propagarse y afectar archivos de los dispositivos extraíbles como USB, extendiendo su vector de ataque.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-try2cry-con-capacidades-de-gusano-en-dispositivos-usbhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero han evidenciado nuevo ransomware denominado Try2Cry tiene como objetivo cifrar los archivos de equipos con sistema operativo Windows para exigir un pago a cambio de la liberación de los archivos comprometidos. Cuenta con un componente que le otorga capacidades de gusano para propagarse y afectar archivos de los dispositivos extraíbles como USB, extendiendo su vector de ataque.
Ransomware Thanos utiliza nueva técnica para evadir su detecciónEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque que puedan afectar al sector, se ha identificado una muestra de ransomware que usa distintas técnicas para la evasión de las aplicaciones y herramientas de seguridad con la técnica RIPlace.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-thanos-utiliza-nueva-tecnica-para-evadir-su-deteccionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque que puedan afectar al sector, se ha identificado una muestra de ransomware que usa distintas técnicas para la evasión de las aplicaciones y herramientas de seguridad con la técnica RIPlace.
Ransomware Ryuk implementa nuevas técnicas de ataqueEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha constatado una nueva actividad maliciosa del ransomware Ryuk, programa malicioso conocido desde el año 2018 por ser una amenaza altamente peligrosa por su velocidad de ejecución y cifrado de los datos en la red comprometida, además de la evasión frente a herramientas de seguridad y programas antimalware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-ryuk-implementa-nuevas-tecnicas-de-ataquehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha constatado una nueva actividad maliciosa del ransomware Ryuk, programa malicioso conocido desde el año 2018 por ser una amenaza altamente peligrosa por su velocidad de ejecución y cifrado de los datos en la red comprometida, además de la evasión frente a herramientas de seguridad y programas antimalware.
Ransomware RobbinHood estaría usando un driver vulnerable para evitar la detección de las herramientas antimalware.Los ciberdelincuentes detrás del ransomware RobbinHood están haciendo uso de una vulnerabilidad conocida sobre un controlador de GIGABYTE (CVE-2018-19320).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-robbinhood-estaria-usando-un-driver-vulnerable-para-evitar-la-deteccion-de-las-herramientas-antimalwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberdelincuentes detrás del ransomware RobbinHood están haciendo uso de una vulnerabilidad conocida sobre un controlador de GIGABYTE (CVE-2018-19320).
Ransomware Rhysida y sus métodos operativosRhysida es una amenaza de tipo ransomware que fue identificada recientemente y operada como Ransomware-as-a-Service (RaaS), que se encuentra desarrollado en C++ y compilado utilizando MinGW, la cual es una herramienta para desarrolladores que desean crear o portar aplicaciones a la plataforma de Windows utilizando las herramientas y bibliotecas del sistema GNU.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-rhysida-y-sus-metodos-operativoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Rhysida es una amenaza de tipo ransomware que fue identificada recientemente y operada como Ransomware-as-a-Service (RaaS), que se encuentra desarrollado en C++ y compilado utilizando MinGW, la cual es una herramienta para desarrolladores que desean crear o portar aplicaciones a la plataforma de Windows utilizando las herramientas y bibliotecas del sistema GNU.
Ransomware REvil lanza herramienta de cifrado en Linux para máquinas virtuales de VMware ESXIEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas de información, se ha identificado un nuevo blanco de ataque por parte del ransomware REvil, el cual apunta a cifrar máquinas virtuales de VMware ESXI.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-revil-lanza-herramienta-de-cifrado-en-linux-para-maquinas-virtuales-de-vmware-esxihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas de información, se ha identificado un nuevo blanco de ataque por parte del ransomware REvil, el cual apunta a cifrar máquinas virtuales de VMware ESXI.
Ransomware RagnarLocker afecta infraestructuras tecnológicas críticas en Estados UnidosEl equipo de analistas del Csirt Financiero ha identificado una nueva actividad del ransomware RagnarLocker, en esta ocasión este ransomware ha vulnerado las redes de al menos 52 organizaciones de múltiples sectores de infraestructura crítica de los Estados Unidos incluidas entidades en los sectores críticos de fabricación, energía, servicios financieros, gobierno y tecnología de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-ragnarlocker-afecta-infraestructuras-tecnologicas-criticas-en-estados-unidoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva actividad del ransomware RagnarLocker, en esta ocasión este ransomware ha vulnerado las redes de al menos 52 organizaciones de múltiples sectores de infraestructura crítica de los Estados Unidos incluidas entidades en los sectores críticos de fabricación, energía, servicios financieros, gobierno y tecnología de la información.
Ransomware Pysa/Mespinoza exfiltra credenciales para cifrar datosEn el constante monitoreo realizado por el equipo del Csirt Financiero, se evidenció actividad de un nuevo ransomware denominado PYSA/MESPINOZA que centra su interés en moverse lateralmente haciendo uso del protocolo RDP, con cuentas legítimas previamente comprometidas. Además de esto, hace uso de la herramienta PsExec que ejecuta scripts para recolectar credenciales como las de administrador de dominio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-pysa-mespinoza-exfiltra-credenciales-para-cifrar-datoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo realizado por el equipo del Csirt Financiero, se evidenció actividad de un nuevo ransomware denominado PYSA/MESPINOZA que centra su interés en moverse lateralmente haciendo uso del protocolo RDP, con cuentas legítimas previamente comprometidas. Además de esto, hace uso de la herramienta PsExec que ejecuta scripts para recolectar credenciales como las de administrador de dominio.
Ransomware ProLock y troyano Qakbot en trabajo colaborativoEl ransomware ProLock se asocia con el conocido troyano bancario Qakbot para ingresar a la red interna, sustraer datos confidenciales, cifrarlos y cobrar un rescate para la devolución de la información exfiltrada. Las nuevas capacidades de Qakbot, convierten este ataque colaborativo en una amenaza persistente, con movimiento lateral para alcanzar más víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-prolock-y-troyano-qakbot-en-trabajo-colaborativohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware ProLock se asocia con el conocido troyano bancario Qakbot para ingresar a la red interna, sustraer datos confidenciales, cifrarlos y cobrar un rescate para la devolución de la información exfiltrada. Las nuevas capacidades de Qakbot, convierten este ataque colaborativo en una amenaza persistente, con movimiento lateral para alcanzar más víctimas.
Ransomware Phobos afecta Sistema Microsoft WindowsEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, conoció del ransomware Phobos, el cual tiene como característica principal el constante cambio de la extensión de los archivos cifrados, además se ha evidenciado el incumplimiento de la liberación de los archivos, así las víctimas hayan cancelado el valor del rescate.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-phobos-afecta-sistema-microsoft-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, conoció del ransomware Phobos, el cual tiene como característica principal el constante cambio de la extensión de los archivos cifrados, además se ha evidenciado el incumplimiento de la liberación de los archivos, así las víctimas hayan cancelado el valor del rescate.
Ransomware Mount Locker exige rescates millonariosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-mount-locker-exige-rescates-millonarioshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.
Ransomware Monster implementa interfaz gráfica avanzadaLos ciberdelincuentes, mediante nuevas técnicas y tácticas realizan constantes actualizaciones en sus campañas, desarrollando nuevas amenazas que pueden afectar entidades y organizaciones; el equipo de analistas del Csirt Financiero identificó una nueva actualización del ransomware Monster, el cual es uno de los primeros en contar con una interfaz gráfica avanzada del usuario (GUI), que para los actores de amenaza lo hace mucho más sencillo y accesible al momento de realizar un ataque.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-monster-implementa-interfaz-grafica-avanzadahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberdelincuentes, mediante nuevas técnicas y tácticas realizan constantes actualizaciones en sus campañas, desarrollando nuevas amenazas que pueden afectar entidades y organizaciones; el equipo de analistas del Csirt Financiero identificó una nueva actualización del ransomware Monster, el cual es uno de los primeros en contar con una interfaz gráfica avanzada del usuario (GUI), que para los actores de amenaza lo hace mucho más sencillo y accesible al momento de realizar un ataque.
Ransomware MegaCortexCampaña de rescate se registro su primer indicio el 1 de mayo de 2019 en todo el mundo, incluyendo Italia, Estados Unidos, Irlanda y Francia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-megacortexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ransomware MedusaLockerEn el continuo monitoreo realizado por el Csirt Financiero a nuevos vectores de amenazas se ha evidenciado a MedusaLocker, troyano de tipo ransomware que adicionalmente cuenta con capacidades que lo hacen diferente a otras familias.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-medusalockerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevos vectores de amenazas se ha evidenciado a MedusaLocker, troyano de tipo ransomware que adicionalmente cuenta con capacidades que lo hacen diferente a otras familias.
Ransomware Magniber es distribuido mediante actualizaciones falsasEl equipo de analistas del Csirt Financiero ha identificado un nuevo método de distribución para implementar Magniber, un ransomware detectado por primera vez en el año 2017 y que es conocido por ser entregado mediante la explotación de vulnerabilidades del navegador internet explorer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-magniber-es-distribuido-mediante-actualizaciones-falsashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado un nuevo método de distribución para implementar Magniber, un ransomware detectado por primera vez en el año 2017 y que es conocido por ser entregado mediante la explotación de vulnerabilidades del navegador internet explorer.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}