Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Crysis y Venus convergen para realizar ataques RDPRecientemente, se ha confirmado una nueva tendencia, los atacantes del ransomware Crysis están utilizando conjuntamente otro tipo de ransomware llamado Venus en sus ataques. Ambos se dirigen principalmente a servicios de escritorio remoto expuestos externamente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/crysis-y-venus-convergen-para-realizar-ataques-rdphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha confirmado una nueva tendencia, los atacantes del ransomware Crysis están utilizando conjuntamente otro tipo de ransomware llamado Venus en sus ataques. Ambos se dirigen principalmente a servicios de escritorio remoto expuestos externamente.
Cuatro amenazas potenciales de ransomware en América LatinaEn el monitoreo a fuentes abiertas de información y en la búsqueda de nuevas amenazas o vulnerabilidades que puedan llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado cuatro (4) amenazas potenciales asociadas a grupos de ciberdelincuentes con sus respectivas familias de ransomware, las cuales están afectando a algunos países de América Latina y que podrían llegar a generar impacto en Colombia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/cuatro-amenazas-potenciales-de-ransomware-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información y en la búsqueda de nuevas amenazas o vulnerabilidades que puedan llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado cuatro (4) amenazas potenciales asociadas a grupos de ciberdelincuentes con sus respectivas familias de ransomware, las cuales están afectando a algunos países de América Latina y que podrían llegar a generar impacto en Colombia.
Dagon Locker evoluciona y cambia su nombre a Dagon RansomwareSe conoce que Dagon Ransomware es una variante de Mount Locker ransomware, sin embargo, ha sido capacitado con nuevas herramientas que lo hacen más efectivo en la ejecución de sus actividades maliciosas dentro de las infraestructuras comprometidas; durante su proceso de cifrado manipula los archivos y les agrega la extensión .dagoned, con el objetivo de inhabilitar el acceso a estos por parte de sus víctimas, posteriormente genera una nota de rescate denominada README_TO_DECRYPT.html donde se incluyen las instrucciones que conllevan a recuperar la información comprometida por los cibercriminales a través de esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/dagon-locker-evoluciona-y-cambia-su-nombre-a-dagon-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se conoce que Dagon Ransomware es una variante de Mount Locker ransomware, sin embargo, ha sido capacitado con nuevas herramientas que lo hacen más efectivo en la ejecución de sus actividades maliciosas dentro de las infraestructuras comprometidas; durante su proceso de cifrado manipula los archivos y les agrega la extensión .dagoned, con el objetivo de inhabilitar el acceso a estos por parte de sus víctimas, posteriormente genera una nota de rescate denominada README_TO_DECRYPT.html donde se incluyen las instrucciones que conllevan a recuperar la información comprometida por los cibercriminales a través de esta amenaza.
Danabot: la evolución de un troyano bancarioEl Csirt Financiero ha identificado una nueva actividad maliciosa asociada con el troyano bancario DanaBot, planteando serios riesgos para la seguridad financiera. Los ciberdelincuentes han adoptado métodos innovadores para distribuir esta amenaza, que está activa desde 2014 y se ofrece como un servicio conocido como Malware as a Service (MaaS), escrito en Delphi.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/danabot-la-evolucion-de-un-troyano-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha identificado una nueva actividad maliciosa asociada con el troyano bancario DanaBot, planteando serios riesgos para la seguridad financiera. Los ciberdelincuentes han adoptado métodos innovadores para distribuir esta amenaza, que está activa desde 2014 y se ofrece como un servicio conocido como Malware as a Service (MaaS), escrito en Delphi.
DanaBot Troyano Bancario que agrego un componente de Ransomware.Desde el CSIRT Financiero se detecta una campaña distribuida a través del correo electrónico mediante la técnica de phishing, con enlaces de redirección a un dropper de JavaScript o PowerShell, Adicionalmente el troyano contiene múltiples capacidades como el robo de credenciales, inyección de sitios web, control remoto de máquinas y ejecución de comando desde servidores C&C.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/danabot-troyano-bancario-que-agrego-un-componente-de-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una campaña distribuida a través del correo electrónico mediante la técnica de phishing, con enlaces de redirección a un dropper de JavaScript o PowerShell, Adicionalmente el troyano contiene múltiples capacidades como el robo de credenciales, inyección de sitios web, control remoto de máquinas y ejecución de comando desde servidores C&C.
Dark Caracal APT emplea una nueva versión del spyware Bandook en objetivos de América LatinaEl grupo de Dark Caracal APT ha reaparecido con una nueva campaña de infección de computadoras en América Central y Latina. La campaña está activa desde marzo de 2022, desde entonces han conseguido establecerse en cientos de equipos en más de una docena de países. El grupo utiliza una nueva versión del spyware Bandook para apuntar a sistemas operativos Microsoft Windows, teniendo como foco principal la República Dominicana y Venezuela.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/dark-caracal-apt-emplea-una-nueva-version-del-spyware-bandook-en-objetivos-de-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de Dark Caracal APT ha reaparecido con una nueva campaña de infección de computadoras en América Central y Latina. La campaña está activa desde marzo de 2022, desde entonces han conseguido establecerse en cientos de equipos en más de una docena de países. El grupo utiliza una nueva versión del spyware Bandook para apuntar a sistemas operativos Microsoft Windows, teniendo como foco principal la República Dominicana y Venezuela.
DarkComet RAT vuelve a circular disfrazado como ejecutable legítimoDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano de acceso remoto DarkComet RAT oculto dentro de una supuesta herramienta vinculada a Bitcoin.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/darkcomet-rat-vuelve-a-circular-disfrazado-como-ejecutable-legitimohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano de acceso remoto DarkComet RAT oculto dentro de una supuesta herramienta vinculada a Bitcoin.
Darkgate: el ascenso del troyano de acceso remoto y sus tácticas evolutivasEl equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa relacionada con el troyano DarkGate. Desarrollado en Borland Delphi, este malware se ha comercializado como servicio en foros de Deep y Dark Web en ruso desde 2018. DarkGate es un troyano de acceso remoto (RAT) que ofrece diversas funcionalidades, como inyección de procesos, descarga y ejecución de archivos, exfiltración de datos, comandos shell y keylogging.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/darkgate-el-ascenso-del-troyano-de-acceso-remoto-y-sus-tacticas-evolutivashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa relacionada con el troyano DarkGate. Desarrollado en Borland Delphi, este malware se ha comercializado como servicio en foros de Deep y Dark Web en ruso desde 2018. DarkGate es un troyano de acceso remoto (RAT) que ofrece diversas funcionalidades, como inyección de procesos, descarga y ejecución de archivos, exfiltración de datos, comandos shell y keylogging.
DarkGate se distribuye a través de Skype y TeamsMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificaron nuevas formas de distribución de DarkGate.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/darkgate-se-distribuye-a-traves-de-skype-y-teamshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificaron nuevas formas de distribución de DarkGate.
Darkrace: El emergente ransomware que amenaza la seguridad de los sistemas WindowsEl ransomware continúa siendo una de las amenazas más críticas en el ámbito de la ciberseguridad, representando un peligro para la infraestructura de las organizaciones. Recientemente se ha descubierto un nuevo tipo de ransomware llamado Darkrace, el cual comparte similitudes con LockBit Ransomware. Darkrace está diseñado para atacar específicamente sistemas operativos Windows y utiliza diversas tácticas para llevar a cabo sus operaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/darkrace-el-emergente-ransomware-que-amenaza-la-seguridad-de-los-sistemas-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware continúa siendo una de las amenazas más críticas en el ámbito de la ciberseguridad, representando un peligro para la infraestructura de las organizaciones. Recientemente se ha descubierto un nuevo tipo de ransomware llamado Darkrace, el cual comparte similitudes con LockBit Ransomware. Darkrace está diseñado para atacar específicamente sistemas operativos Windows y utiliza diversas tácticas para llevar a cabo sus operaciones.
DarkWatch RAT busca evadir su detección mediante técnicas FilelessEn el monitoreo a fuentes de información y en búsqueda de posibles amenazas que puedan afectar a los usuarios y al sector, el equipo de analistas del Csirt Financiero ha identificado un troyano de acceso remoto (RAT) bajo el nombre de DarkWatch, el cual empleando técnicas de evasión busca eludir mecanismos de detección presentes en los equipos afectados con sistemas operativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/darkwatch-rat-busca-evadir-su-deteccion-mediante-tecnicas-filelesshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes de información y en búsqueda de posibles amenazas que puedan afectar a los usuarios y al sector, el equipo de analistas del Csirt Financiero ha identificado un troyano de acceso remoto (RAT) bajo el nombre de DarkWatch, el cual empleando técnicas de evasión busca eludir mecanismos de detección presentes en los equipos afectados con sistemas operativos Windows.
Daxin, el malware más avanzado de actores chinos descubiertoEn el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar a los usuarios y al sector, el equipo de analistas del Csirt Financiero ha identificado un backdoor de nombre Daxin; una pieza altamente sofisticada de malware utilizada por actores de amenazas vinculados a China, exhibiendo una complejidad en sus técnicas. La mayoría de los objetivos parecen ser organizaciones y gobiernos de interés estratégico, gubernamental, financiero y público para China.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/daxin-el-malware-mas-avanzado-de-actores-chinos-descubiertohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar a los usuarios y al sector, el equipo de analistas del Csirt Financiero ha identificado un backdoor de nombre Daxin; una pieza altamente sofisticada de malware utilizada por actores de amenazas vinculados a China, exhibiendo una complejidad en sus técnicas. La mayoría de los objetivos parecen ser organizaciones y gobiernos de interés estratégico, gubernamental, financiero y público para China.
Db2 de IBMSe han detectado vulnerabilidades que conducen al desbordamiento de búferhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/db2-de-ibmhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
DBatloader: Cambios en sus Métodos y Nuevas Campañas de DistribuciónA través del monitoreo realizado por parte del Csirt Financiero, se ha identificado un aumento en la actividad de DBatLoader, un loader utilizado por múltiples actores de amenaza para distribuir una variedad de malware. Históricamente asociado con cargas útiles como Vidar Stealer y Ursnif, DBatLoader ahora está entregando ejecutables que contienen Remcos RAT y Formbook, según nuevos indicadores de compromiso descubiertos durante un monitoreo reciente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/dbatloader-cambios-en-sus-metodos-y-nuevas-campanas-de-distribucionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por parte del Csirt Financiero, se ha identificado un aumento en la actividad de DBatLoader, un loader utilizado por múltiples actores de amenaza para distribuir una variedad de malware. Históricamente asociado con cargas útiles como Vidar Stealer y Ursnif, DBatLoader ahora está entregando ejecutables que contienen Remcos RAT y Formbook, según nuevos indicadores de compromiso descubiertos durante un monitoreo reciente.
DBatLoader distribuye Remcos RATMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de DBatLoader y RemcosRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/dbatloader-distribuye-remcos-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de DBatLoader y RemcosRAT.
DBatLoader utiliza servicios en la nube para distribuir malwareEl Csirt Financiero observó que los actores de amenazas se encuentran utilizando DBatLoader también conocido como ModiLoader y/o NatsoLoader; un cargador (loader) malicioso de acceso inicial que generalmente es distribuido mediante campañas de tipo phishing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/dbatloader-utiliza-servicios-en-la-nube-para-distribuir-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero observó que los actores de amenazas se encuentran utilizando DBatLoader también conocido como ModiLoader y/o NatsoLoader; un cargador (loader) malicioso de acceso inicial que generalmente es distribuido mediante campañas de tipo phishing.
DeathGrip Ransomware-as-a-Service (RaaS)DeathGrip es una plataforma que comercializa ransomware como servicio (RaaS) fáciles de usar para los ciberdelincuentes menos experimentados. Este tipo de servicios ha ampliado significativamente la gama de vectores de infección disponibles para los ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/deathgrip-ransomware-as-a-service-raashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
DeathGrip es una plataforma que comercializa ransomware como servicio (RaaS) fáciles de usar para los ciberdelincuentes menos experimentados. Este tipo de servicios ha ampliado significativamente la gama de vectores de infección disponibles para los ciberdelincuentes.
Deathstalker implementa nuevo backdoor denominada PowerpepperEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha detectado a DeathStalker, un grupo de amenaza persistente (APT), el cual tiene una nueva BackDoor que destaca por sus tácticas de evasión. La puerta trasera recién descubierta, utiliza el protocolo DNS para establecer comunicación cifrada con el Comando y Control (C2).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/deathstalker-implementa-nuevo-backdoor-denominada-powerpepperhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha detectado a DeathStalker, un grupo de amenaza persistente (APT), el cual tiene una nueva BackDoor que destaca por sus tácticas de evasión. La puerta trasera recién descubierta, utiliza el protocolo DNS para establecer comunicación cifrada con el Comando y Control (C2).
Decoy Dog: un toolkit evasivo para ataques empresarialesDecoy Dog es un nuevo kit de herramientas de malware que está ganando popularidad en el mundo del cibercrimen. Diseñado para ayudar a los atacantes a comprometer sistemas informáticos sin ser detectados, este toolkit es una herramienta sofisticada que utiliza técnicas avanzadas de evasión para eludir la detección por parte de software antimalware y otras medidas de seguridad. Además de estar dirigido a redes empresariales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/decoy-dog-un-toolkit-evasivo-para-ataques-empresarialeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Decoy Dog es un nuevo kit de herramientas de malware que está ganando popularidad en el mundo del cibercrimen. Diseñado para ayudar a los atacantes a comprometer sistemas informáticos sin ser detectados, este toolkit es una herramienta sofisticada que utiliza técnicas avanzadas de evasión para eludir la detección por parte de software antimalware y otras medidas de seguridad. Además de estar dirigido a redes empresariales.
Delphi RAT usado por la familia de troyanos bancarios brasileños TetradeGracias a la red de colaboración e intercambio interna del Csirt Financiero, se ha recibido un reporte de una herramienta de acceso remoto (RAT) que es utilizado por la familia de troyanos bancarios denominada Tetrade de origen brasileño, este RAT se encuentra escrito en lenguaje de programación Delphi y se dirige a equipos con sistema operativo Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/delphi-rat-usado-por-la-familia-de-troyanos-bancarios-brasilenos-tetradehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la red de colaboración e intercambio interna del Csirt Financiero, se ha recibido un reporte de una herramienta de acceso remoto (RAT) que es utilizado por la familia de troyanos bancarios denominada Tetrade de origen brasileño, este RAT se encuentra escrito en lenguaje de programación Delphi y se dirige a equipos con sistema operativo Microsoft Windows.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}