Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Actividad maliciosa por parte del troyano bancario JaneleiroMediante el continuo monitoreo a fuentes abiertas, el Csirt Financiero logró evidenciar el troyano bancario denominado Janeleiro, el cual cuenta con actividad cibercriminal desde el año 2018, con principal enfoque en Brasil en infraestructuras tecnológicas con sistema operativo Windows, afectando sectores como el financiero, salud, educación, Pymes y manufactura. Mantiene similitudes con otros troyanos bancarios como Casbaneiro, Grandoreiro y Mekotio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-por-parte-del-troyano-bancario-janeleirohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el continuo monitoreo a fuentes abiertas, el Csirt Financiero logró evidenciar el troyano bancario denominado Janeleiro, el cual cuenta con actividad cibercriminal desde el año 2018, con principal enfoque en Brasil en infraestructuras tecnológicas con sistema operativo Windows, afectando sectores como el financiero, salud, educación, Pymes y manufactura. Mantiene similitudes con otros troyanos bancarios como Casbaneiro, Grandoreiro y Mekotio.
Actividad maliciosa ransomware BlackCocaineEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un nuevo grupo de distribución de ransomware denominado BlackCocaine el cual se encarga de cifrar los archivos contenidos en equipos con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-ransomware-blackcocainehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un nuevo grupo de distribución de ransomware denominado BlackCocaine el cual se encarga de cifrar los archivos contenidos en equipos con sistema operativo Windows.
Actividad maliciosa ransomware MountlockerEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa por parte del Ransomware denominado Mountlocker, el cual ha estado en operación desde Julio del 2020 mediante el modelo de Ransomware as a Service (RaaS) con repercusión sobre equipos de cómputo con sistemas operativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-ransomware-mountlockerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa por parte del Ransomware denominado Mountlocker, el cual ha estado en operación desde Julio del 2020 mediante el modelo de Ransomware as a Service (RaaS) con repercusión sobre equipos de cómputo con sistemas operativos Windows.
Actividad maliciosa relacionada a CaddyWiperEn el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que generen impacto en infraestructuras críticas, el equipo de analistas del Csirt Financiero ha identificado actividad de un Wiper denominado CaddyWiper, el cual ha generado afectaciones durante los conflictos entre en Ucrania y Rusia, comprometiendo equipos con sistemas operativos Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-a-caddywiperhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que generen impacto en infraestructuras críticas, el equipo de analistas del Csirt Financiero ha identificado actividad de un Wiper denominado CaddyWiper, el cual ha generado afectaciones durante los conflictos entre en Ucrania y Rusia, comprometiendo equipos con sistemas operativos Microsoft Windows.
Actividad maliciosa relacionada a DarkCloudDurante las labores de monitoreo adelantadas por el Csirt Financiero se identificó actividad relacionada con DarkCloud, un stealer especializado en la recolección y exfiltración de información el cual ha sido observado en campañas de distribución sustentadas en correos electrónicos maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-a-darkcloudhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo adelantadas por el Csirt Financiero se identificó actividad relacionada con DarkCloud, un stealer especializado en la recolección y exfiltración de información el cual ha sido observado en campañas de distribución sustentadas en correos electrónicos maliciosos.
Actividad maliciosa relacionada al troyano de acceso remoto Konni RATEn el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad de Konni RAT, un troyano de acceso remoto dirigida principalmente a instituciones gubernamentales y financieras de Rusia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-al-troyano-de-acceso-remoto-konni-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad de Konni RAT, un troyano de acceso remoto dirigida principalmente a instituciones gubernamentales y financieras de Rusia.
Actividad maliciosa relacionada con campañas de troyanos de acceso remotoDurante el monitoreo continúo realizado por el Csirt Financiero, se ha identificado actividad maliciosa vinculada a troyanos de acceso remoto (RAT) como WSHRAT, QuasarRAT y njRAT, los cuales han sido utilizadas por diversos actores de amenaza para comprometer equipos en múltiples sectores, facilitando la exfiltración de información sensible y el control remoto completo de los equipos afectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-con-campanas-de-troyanos-de-acceso-remotohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo continúo realizado por el Csirt Financiero, se ha identificado actividad maliciosa vinculada a troyanos de acceso remoto (RAT) como WSHRAT, QuasarRAT y njRAT, los cuales han sido utilizadas por diversos actores de amenaza para comprometer equipos en múltiples sectores, facilitando la exfiltración de información sensible y el control remoto completo de los equipos afectados.
Actividad maliciosa relacionada con CrimsonRAT y WshRATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó nueva actividad maliciosa asociada a los troyanos de acceso remoto CrimsonRAT y WshRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-con-crimsonrat-y-wshrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó nueva actividad maliciosa asociada a los troyanos de acceso remoto CrimsonRAT y WshRAT.
Actividad maliciosa relacionada con DragonForce RansomwareDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectó una técnica reciente utilizada para distribuir DragonForce, un ransomware que opera bajo el esquema de ransomware como servicio (RaaS), este modelo facilita a los ciberdelincuentes la personalización de las cargas maliciosas de acuerdo con el entorno de la víctima, permitiendo desactivar mecanismos de protección, definir configuraciones específicas de cifrado y adaptar el contenido de las notas de rescate, lo que aumenta la efectividad de sus campañas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-con-dragonforce-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectó una técnica reciente utilizada para distribuir DragonForce, un ransomware que opera bajo el esquema de ransomware como servicio (RaaS), este modelo facilita a los ciberdelincuentes la personalización de las cargas maliciosas de acuerdo con el entorno de la víctima, permitiendo desactivar mecanismos de protección, definir configuraciones específicas de cifrado y adaptar el contenido de las notas de rescate, lo que aumenta la efectividad de sus campañas.
Actividad maliciosa relacionada con Nitrogen y el uso de Cobalt StrikeDurante actividades de monitoreo y análisis continuo, el equipo de analistas del Csirt Financiero identificó una nueva campaña de ransomware vinculada al grupo detrás de Nitrogen, caracterizada por el uso de publicidad maliciosa como vector de infección para desencadenar sus actividades maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-relacionada-con-nitrogen-y-el-uso-de-cobalt-strikehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y análisis continuo, el equipo de analistas del Csirt Financiero identificó una nueva campaña de ransomware vinculada al grupo detrás de Nitrogen, caracterizada por el uso de publicidad maliciosa como vector de infección para desencadenar sus actividades maliciosas.
Actividad reciente de APT31 con evolución táctica y nuevas capacidades ofensivasDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-apt31-con-evolucion-tactica-y-nuevas-capacidades-ofensivashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña reciente atribuida al grupo APT31, utilizando múltiples familias de malware, módulos especializados y técnicas de evasión que combinan infraestructura legítima con componentes personalizados. Entre los elementos observados destacan el abuso de servicios legítimos para establecer canales encubiertos de comunicación, así como la inserción de módulos como OWOWA en servidores IIS para la captura silenciosa de credenciales.
ACTIVIDAD RECIENTE DE GROUNDHOG BOTNETEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad reciente de Groundhog, una Botnet que afecta a sistemas Linux e infecta servicios alojados en la nube y sistemas con SSH con poca seguridad en sus credenciales, dado que su método de propagación predilecto son los ataques de fuerza bruta. Esta Botnet está compuesta por dos variantes XOR.DDOS y Groundhog para su correcto funcionamiento.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-groundhog-botnethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad reciente de Groundhog, una Botnet que afecta a sistemas Linux e infecta servicios alojados en la nube y sistemas con SSH con poca seguridad en sus credenciales, dado que su método de propagación predilecto son los ataques de fuerza bruta. Esta Botnet está compuesta por dos variantes XOR.DDOS y Groundhog para su correcto funcionamiento.
Actividad reciente de las amenazas CobInt y Cobalt Strike relacionados a Cobalt GroupDesde el CSIRT Financiero se han identificado actividad de los malware CobInt y Cobalt Strike. Programas maliciosos utilizados para descarga de malware y para pruebas de penetración, que tiene funciones propias diseñados para ejecutar ataques dirigidos. Se desconoce exactamente el método de distribución de estas amenazas, pero se tiene evidencia de muestras de estos que han sido propagados mediante correo con archivo de Office adjunto el cual induce mediante técnicas de engaño a usuarios a abrir los permisos de ejecución de macros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-las-amenazas-cobint-y-cobalt-strike-relacionados-a-cobalt-grouphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado actividad de los malware CobInt y Cobalt Strike. Programas maliciosos utilizados para descarga de malware y para pruebas de penetración, que tiene funciones propias diseñados para ejecutar ataques dirigidos. Se desconoce exactamente el método de distribución de estas amenazas, pero se tiene evidencia de muestras de estos que han sido propagados mediante correo con archivo de Office adjunto el cual induce mediante técnicas de engaño a usuarios a abrir los permisos de ejecución de macros.
Actividad reciente de Lumma Stealer y nuevas tácticas de distribución observadasDurante las labores de monitoreo realizadas por el equipo del Csirt Financiero, se identificó una nueva actividad atribuida a Lumma Stealer, en la que se evidencian cambios en su infraestructura y métodos de propagaciónhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-lumma-stealer-y-nuevas-tacticas-de-distribucion-observadashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo realizadas por el equipo del Csirt Financiero, se identificó una nueva actividad atribuida a Lumma Stealer, en la que se evidencian cambios en su infraestructura y métodos de propagación
Actividad reciente del malware EmotetEl CSIRT Financiero recientemente identifica una campaña de malware que se distribuye a través de campañas de malspam (correo electrónico con malware adjunto). Según análisis realizado por el equipo se encontraron 2280 indicadores de compromiso relacionados al malware Emotet, esta amenaza está orientada a extraer datos de usuarios que resultaran infectados con el malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-del-malware-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero recientemente identifica una campaña de malware que se distribuye a través de campañas de malspam (correo electrónico con malware adjunto). Según análisis realizado por el equipo se encontraron 2280 indicadores de compromiso relacionados al malware Emotet, esta amenaza está orientada a extraer datos de usuarios que resultaran infectados con el malware.
Actividad reciente del ransomware QilinDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectaron nuevos indicadores de compromiso asociados al ransomware Qilin, una amenaza que ha mostrado un aumento significativo en su actividad a nivel global. Esta variante opera bajo el modelo de Ransomware-as-a-Service (RaaS), lo que permite que múltiples afiliados utilicen su infraestructura para afectar a organizaciones pertenecientes a diversos sectores. Su objetivo principal consiste en restringir el acceso a la información de la víctima mediante un proceso de cifrado y, posteriormente, ejercer presión extorsiva exigiendo un pago a cambio de la eventual recuperación de los datos y la no divulgación del contenido exfiltrado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-del-ransomware-qilinhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se detectaron nuevos indicadores de compromiso asociados al ransomware Qilin, una amenaza que ha mostrado un aumento significativo en su actividad a nivel global. Esta variante opera bajo el modelo de Ransomware-as-a-Service (RaaS), lo que permite que múltiples afiliados utilicen su infraestructura para afectar a organizaciones pertenecientes a diversos sectores. Su objetivo principal consiste en restringir el acceso a la información de la víctima mediante un proceso de cifrado y, posteriormente, ejercer presión extorsiva exigiendo un pago a cambio de la eventual recuperación de los datos y la no divulgación del contenido exfiltrado.
Actividad reciente del troyano DanaBotPor medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al troyano DanaBot. Este malware generalmente se distribuye por medio de correo electrónico en la que se adjunta una url, o un archivo comprimido .rar o de office que contiene macros que al ser habilitados descargan este malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-del-troyano-danabothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al troyano DanaBot. Este malware generalmente se distribuye por medio de correo electrónico en la que se adjunta una url, o un archivo comprimido .rar o de office que contiene macros que al ser habilitados descargan este malware.
Actividad reciente grupo FIN7El CSIRT Financiero ha identificado que el grupo APT FIN7, continua sus campañas de correo malicioso a través de técnicas y tácticas utilizadas anteriormente como la distribución de archivos de office con macros de VBA (Visual Basic Application), con el único propósito de poder infectar con malware a usuarios y así lograr extraer información sensible para posteriormente ser usada con fines delictivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-grupo-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado que el grupo APT FIN7, continua sus campañas de correo malicioso a través de técnicas y tácticas utilizadas anteriormente como la distribución de archivos de office con macros de VBA (Visual Basic Application), con el único propósito de poder infectar con malware a usuarios y así lograr extraer información sensible para posteriormente ser usada con fines delictivos.
Actividad reciente identificada por parte del Backdoor Vyveva atribuido al grupo LazarusEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado despliegue de ataques cibernéticos empleando la puerta trasera o backdoor denominado Vyveva atribuido al APT Lazarus, debido a que, en el análisis realizado a equipos infectados, se encuentra que posee similitudes en su funcionamiento y código empleados puntualmente con la muestra de Nukeped que fue empleada en campañas anteriores asociadas a este APT; en esta ocasión el backdoor fue detectado en un ciberataque dirigido a una empresa en Sudáfrica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-identificada-por-parte-del-backdoor-vyveva-atribuido-al-grupo-lazarushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado despliegue de ataques cibernéticos empleando la puerta trasera o backdoor denominado Vyveva atribuido al APT Lazarus, debido a que, en el análisis realizado a equipos infectados, se encuentra que posee similitudes en su funcionamiento y código empleados puntualmente con la muestra de Nukeped que fue empleada en campañas anteriores asociadas a este APT; en esta ocasión el backdoor fue detectado en un ciberataque dirigido a una empresa en Sudáfrica.
Actividad reciente relacionada con Lokibot y AzorultDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha identificado actividad maliciosa relacionada con las familias de malware LokiBot y Azorult, ambas utilizadas por ciberdelincuentes para la captura de credenciales, información confidencial y otros datos sensibles, representando una amenaza significativa para la seguridad de los entornos digitales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-relacionada-con-lokibot-y-azorulthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha identificado actividad maliciosa relacionada con las familias de malware LokiBot y Azorult, ambas utilizadas por ciberdelincuentes para la captura de credenciales, información confidencial y otros datos sensibles, representando una amenaza significativa para la seguridad de los entornos digitales.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}