Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Cisco lanza actualizaciones de seguridadCisco lanza varias actualizaciones de seguridad en varios de sus productos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/cisco-lanza-actualizaciones-de-seguridadhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Clop Ransomware ha sido actualizadoRansomware Clop utilizado por grupos de ciberdelincuentes como TA505, han mejorado y actualizado sus capacidades en cuanto a técnicas y tácticas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/clop-ransomware-ha-sido-actualizadohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
CLR SqlShell: La amenaza creciente que ataca servidores MS SQLLa seguridad cibernética sigue siendo una preocupación importante en el mundo digital, y los servidores Microsoft SQL (MS SQL) mal administrados se han convertido en el objetivo de una nueva campaña maliciosa. Esta campaña tiene como objetivo propagar el loader conocido como CLR SqlShell, que facilita la instalación de criptomineros y ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/clr-sqlshell-la-amenaza-creciente-que-ataca-servidores-ms-sqlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad cibernética sigue siendo una preocupación importante en el mundo digital, y los servidores Microsoft SQL (MS SQL) mal administrados se han convertido en el objetivo de una nueva campaña maliciosa. Esta campaña tiene como objetivo propagar el loader conocido como CLR SqlShell, que facilita la instalación de criptomineros y ransomware.
CMDStealer, operación dirigida al sector financieroUn desconocido actor de amenazas con objetivos financieros está desplegando campañas maliciosas a países como Portugal, México y Perú, con la finalidad de exfiltrar información bancaria de sus víctimas, dentro de las cuales se encuentran las credenciales de acceso. Para ello, emplean una táctica conocida como LOLBaS (Living Off the Land Binaries and Scripts) la cual se basa en la manipulación de binarios legítimos de los sistemas operativos para lograr sus actividades maliciosas, además, los cibercriminales se apoyan con scripts basados en CMD para comprometer la información de la víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/cmdstealer-operacion-dirigida-al-sector-financierohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un desconocido actor de amenazas con objetivos financieros está desplegando campañas maliciosas a países como Portugal, México y Perú, con la finalidad de exfiltrar información bancaria de sus víctimas, dentro de las cuales se encuentran las credenciales de acceso. Para ello, emplean una táctica conocida como LOLBaS (Living Off the Land Binaries and Scripts) la cual se basa en la manipulación de binarios legítimos de los sistemas operativos para lograr sus actividades maliciosas, además, los cibercriminales se apoyan con scripts basados en CMD para comprometer la información de la víctima.
Cobalt Strike distribuido mediante sitios web tipo phishing suplantando a SophosEn el monitoreo realizado por el equipo del Csirt Financiero, se ha identificado una nueva campaña de phishing donde los actores de amenaza se hacen pasar por la compañía Sophos para distribuir la herramienta de pentesting conocida como Cobalt Strike, la cual también es utilizada por ciberdelincuentes para fines maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/cobalt-strike-distribuido-mediante-sitios-web-tipo-phishing-suplantando-a-sophoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero, se ha identificado una nueva campaña de phishing donde los actores de amenaza se hacen pasar por la compañía Sophos para distribuir la herramienta de pentesting conocida como Cobalt Strike, la cual también es utilizada por ciberdelincuentes para fines maliciosos.
Código fuente de Cerberus publicado en foros clandestinosEn el monitoreo realizado por el Csirt Financiero se ha identificado nueva información relacionada al malware bancario Cerberus, malware distribuido bajo la modalidad malware-as-a-Service (MaaS) a través de foros clandestinos de la Deep Web.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/codigo-fuente-de-cerberus-publicado-en-foros-clandestinoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado nueva información relacionada al malware bancario Cerberus, malware distribuido bajo la modalidad malware-as-a-Service (MaaS) a través de foros clandestinos de la Deep Web.
Código fuente del troyano acceso remoto CodeRAT expuesto en repositorios de GitHubCodeRAT, es un troyano de acceso remoto (RAT) el cual está siendo utilizado por los ciberdelincuentes gracias a las grandes capacidades que ofrece esta amenaza; en esta ocasión se identificó que el código fuente de CodeRAT fue filtrado y expuesto en un repositorio de GitHub el cual permite que más ciberdelincuentes puedan adquirirlo permitiendo ejecutar el RAT ofreciendo al usuario remoto una amplia gama capacidades posteriores a la infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/codigo-fuente-del-troyano-acceso-remoto-coderat-expuesto-en-repositorios-de-githubhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
CodeRAT, es un troyano de acceso remoto (RAT) el cual está siendo utilizado por los ciberdelincuentes gracias a las grandes capacidades que ofrece esta amenaza; en esta ocasión se identificó que el código fuente de CodeRAT fue filtrado y expuesto en un repositorio de GitHub el cual permite que más ciberdelincuentes puedan adquirirlo permitiendo ejecutar el RAT ofreciendo al usuario remoto una amplia gama capacidades posteriores a la infección.
Código malicioso TorneT Backdoor compromete la seguridad de equiposDurante el monitoreo realizado por equipo de analistas del Csirt Financiero, se identificó una nueva amenaza cibernética denominada TorneT backdoor, un código malicioso dirigido a entidades en Polonia y Alemania.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/codigo-malicioso-tornet-backdoor-compromete-la-seguridad-de-equiposhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por equipo de analistas del Csirt Financiero, se identificó una nueva amenaza cibernética denominada TorneT backdoor, un código malicioso dirigido a entidades en Polonia y Alemania.
Colaboración entre Gamaredon y Turla amplía capacidades de espionaje digitalDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la primera colaboración técnica conocida entre los grupos APT Gamaredon y Turla, observada en múltiples compromisos en Ucrania durante 2025.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/colaboracion-entre-gamaredon-y-turla-amplia-capacidades-de-espionaje-digitalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó la primera colaboración técnica conocida entre los grupos APT Gamaredon y Turla, observada en múltiples compromisos en Ucrania durante 2025.
Colección de kits de phishing a la venta en la deep webEl equipo del Csirt Financiero ha identificado la comercialización de un pack que contiene diversas plantillas para realizar phishing a todo tipo de organizaciones, entre las que se encuentran algunas entidades financieras. En total el pack está compuesto por más de 1300 kits de herramientas para realizar campañas de phishing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/coleccion-de-kits-de-phishing-a-la-venta-en-la-deep-webhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado la comercialización de un pack que contiene diversas plantillas para realizar phishing a todo tipo de organizaciones, entre las que se encuentran algunas entidades financieras. En total el pack está compuesto por más de 1300 kits de herramientas para realizar campañas de phishing.
Colibri Loader: nuevo cargador que contiene funciones de persistencia avanzadasEn el monitoreo continuo a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado un nuevo cargador denominado Colibri Loader, sus primeras apariciones se presentaron en el mes de agosto de 2021, esta amenaza se encarga de distribuir y manejar cargas útiles en máquinas infectadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/colibri-loader-nuevo-cargador-que-contiene-funciones-de-persistencia-avanzadashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado un nuevo cargador denominado Colibri Loader, sus primeras apariciones se presentaron en el mes de agosto de 2021, esta amenaza se encarga de distribuir y manejar cargas útiles en máquinas infectadas.
Comercio de tarjetas de crédito en el mercado negroEl equipo del Csirt financiero realiza seguimiento al comercio de las tarjetas de crédito en la Darknet. Se ha observado una disminución de los precios de las tarjetas en las diferentes tiendas del mercado negro.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/comercio-de-tarjetas-de-credito-en-el-mercado-negrohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero realiza seguimiento al comercio de las tarjetas de crédito en la Darknet. Se ha observado una disminución de los precios de las tarjetas en las diferentes tiendas del mercado negro.
Compañía Diebold Nixdorf víctima de ransomware ProLock.En el constante monitorio que el Csirt Financiero realiza, se observó que la empresa Diebold Nixdorf, proveedora de cajeros automáticos ATM y software de pago para bancos, fue atacada con el ransomware ProLock. Según medios oficiales el ataque solo afectó la red corporativa y no afecto cajeros automáticos ni redes de clientes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/compania-diebold-nixdorf-victima-de-ransomware-prolockhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitorio que el Csirt Financiero realiza, se observó que la empresa Diebold Nixdorf, proveedora de cajeros automáticos ATM y software de pago para bancos, fue atacada con el ransomware ProLock. Según medios oficiales el ataque solo afectó la red corporativa y no afecto cajeros automáticos ni redes de clientes.
Comprometida plataforma en la nube de la OTANMediante el monitoreo a fuentes abiertas de información, se ha logrado identificar un ataque informático a la plataforma SOA & IdM que contiene información secreta de la Organización del Tratado del Atlántico (OTAN).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/comprometida-plataforma-en-la-nube-de-la-otanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo a fuentes abiertas de información, se ha logrado identificar un ataque informático a la plataforma SOA & IdM que contiene información secreta de la Organización del Tratado del Atlántico (OTAN).
Condi: La nueva Botnet DDoS que explota vulnerabilidades para ataques masivosEn un reciente descubrimiento, se ha identificado un nuevo botnet de tipo DDoS denominado Condi. Este botnet ha intentado expandirse aprovechando vulnerabilidades en los enrutadores TP-Link Archer AX21 (AX1800). Desde finales de mayo de 2023, se ha observado un aumento en el número de muestras de Condi recolectadas, lo que indica un activo intento de expansión de esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/condi-la-nueva-botnet-ddos-que-explota-vulnerabilidades-para-ataques-masivoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En un reciente descubrimiento, se ha identificado un nuevo botnet de tipo DDoS denominado Condi. Este botnet ha intentado expandirse aprovechando vulnerabilidades en los enrutadores TP-Link Archer AX21 (AX1800). Desde finales de mayo de 2023, se ha observado un aumento en el número de muestras de Condi recolectadas, lo que indica un activo intento de expansión de esta amenaza.
Constante actividad del troyano bancario NumandoNueva actividad del troyano bancario Numando, activo desde el año 2018 y dirigiendo sus campañas de infección principalmente a usuarios de Brasil.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/constante-actividad-del-troyano-bancario-numandohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Conti ransomware con características avanzadas de cifrado en redesEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una nueva variante de ransomware denominado Conti con varias características avanzadas para cifrar objetivos en redes a través del protocolo SMB.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/conti-ransomware-con-caracteristicas-avanzadas-de-cifrado-en-redeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una nueva variante de ransomware denominado Conti con varias características avanzadas para cifrar objetivos en redes a través del protocolo SMB.
Continua la propagación de StealeriumMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Stealerium.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/continua-la-propagacion-de-stealeriumhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de Stealerium.
Continúa proliferando el ransomware Magniber en la naturalezaEl ransomware Magniber apareció en la naturaleza desde 2017, desde ese entonces había mantenido un periodo activo en sus inicios, después mantuvo una actividad poco visible en la superficie de ataque implementada por ciberdelincuentes; sin embargo, en las actualizaciones que implementaron sus autores en este año, aumentó considerablemente la cantidad de ataques cibernéticos que distribuyen esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/continua-proliferando-el-ransomware-magniber-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Magniber apareció en la naturaleza desde 2017, desde ese entonces había mantenido un periodo activo en sus inicios, después mantuvo una actividad poco visible en la superficie de ataque implementada por ciberdelincuentes; sin embargo, en las actualizaciones que implementaron sus autores en este año, aumentó considerablemente la cantidad de ataques cibernéticos que distribuyen esta amenaza.
Copperhedge, Taintedscribe y Pebbledash, malware distribuido por Hidden CobraEl equipo del Csirt Financiero ha identificado indicadores de compromiso de nuevos malware asociados al grupo APT Hidden Cobra (conocidos también con el nombre de Lazarus), este grupo de ciberdelincuentes ha sido protagonista de ataques en los que han obtenido grandes sumas de dinero de entidades financieras en todo el mundo; ahora agregaron a su arsenal de malware los troyanos Copperhedge, Taintedscribe y Pebbledas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copperhedge-taintedscribe-y-pebbledash-malware-distribuido-por-hidden-cobrahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado indicadores de compromiso de nuevos malware asociados al grupo APT Hidden Cobra (conocidos también con el nombre de Lazarus), este grupo de ciberdelincuentes ha sido protagonista de ataques en los que han obtenido grandes sumas de dinero de entidades financieras en todo el mundo; ahora agregaron a su arsenal de malware los troyanos Copperhedge, Taintedscribe y Pebbledas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}