Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
El cargador GuLoader es distribuido mediante facturas fiscales y hojas de ruta disfrazadas.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó una nueva actividad del cargador GuLoader el cual está siendo distribuido mediante correos electrónicos que contienen archivos adjuntos disfrazados de facturas fiscales y hojas de ruta, estas hojas acompañan al contrato de transporte de mercancías que se realiza entre un expedidor y el transportista.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-cargador-guloader-es-distribuido-mediante-facturas-fiscales-y-hojas-de-ruta-disfrazadashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó una nueva actividad del cargador GuLoader el cual está siendo distribuido mediante correos electrónicos que contienen archivos adjuntos disfrazados de facturas fiscales y hojas de ruta, estas hojas acompañan al contrato de transporte de mercancías que se realiza entre un expedidor y el transportista.
El downloader Pure crypter descarga diversas familias de malwareRecientemente el equipo de analistas del Csirt Financiero identificó nueva actividad relacionada a Pure Crypter un downloader el cual está reapareciendo y realizando afectaciones a organizaciones gubernamentales a nivel mundial, generando la descarga de diversos tipos de malware como ransomware y troyanos de acceso remoto, gracias a estas nuevas actividades se generan nuevos indicadores de compromiso relacionados a Pure Crypter.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-downloader-pure-crypter-descarga-diversas-familias-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el equipo de analistas del Csirt Financiero identificó nueva actividad relacionada a Pure Crypter un downloader el cual está reapareciendo y realizando afectaciones a organizaciones gubernamentales a nivel mundial, generando la descarga de diversos tipos de malware como ransomware y troyanos de acceso remoto, gracias a estas nuevas actividades se generan nuevos indicadores de compromiso relacionados a Pure Crypter.
El grupo APT15 lleva utilizando desde hace más de dos años un backdoor, llamada Okrum, para atacar misiones diplomáticasUn backdoor o puerta trasera llamado Okrum, detectada por primera vez a finales de 2016 por ESET, está siendo utilizada para atacar misiones diplomáticas en varios países de Europa y América Latina. Este backdoor, hasta ahora sin documentar, permite a los atacantes descargar y cargar archivos y ejecutar comandos binarios o Shell.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-apt15-lleva-utilizando-desde-hace-mas-de-dos-anos-un-backdoor-llamada-okrum-para-atacar-misiones-diplomaticashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un backdoor o puerta trasera llamado Okrum, detectada por primera vez a finales de 2016 por ESET, está siendo utilizada para atacar misiones diplomáticas en varios países de Europa y América Latina. Este backdoor, hasta ahora sin documentar, permite a los atacantes descargar y cargar archivos y ejecutar comandos binarios o Shell.
El grupo Blind Eagle utiliza un loader para difundir troyanosMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó el grupo Blind Eagle utilizando un loader llamado Ande Loader.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-blind-eagle-utiliza-un-loader-para-difundir-troyanoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó el grupo Blind Eagle utilizando un loader llamado Ande Loader.
El grupo de amenazas APT FIN8 podría estar relacionado con los ataques dirigidos a estaciones de servicio en Estados UnidosDesde el CSIRT Financiero se ha identificado una campaña de ataques dirigidos a dispensadores de combustible en estaciones de servicio [Estados Unidos], mediante el envío de correos de tipo phishing, los ciberdelincuentes lograron acceder a la red corporativa y posteriormente a través de movimientos laterales comprometieron los dispositivos POS [Punto de Venta, por sus siglas en inglés], obteniendo la información de las tarjetas de crédito de los usuarios que realizaban el pago por estos medios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-de-amenazas-apt-fin8-podria-estar-relacionado-con-los-ataques-dirigidos-a-estaciones-de-servicio-en-estados-unidoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una campaña de ataques dirigidos a dispensadores de combustible en estaciones de servicio [Estados Unidos], mediante el envío de correos de tipo phishing, los ciberdelincuentes lograron acceder a la red corporativa y posteriormente a través de movimientos laterales comprometieron los dispositivos POS [Punto de Venta, por sus siglas en inglés], obteniendo la información de las tarjetas de crédito de los usuarios que realizaban el pago por estos medios.
El grupo de amenazas Blind Eagle distribuye el troyano de acceso remoto Quasar RATEl equipo del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o campañas que puedan impactar la infraestructura tecnológica de los asociados, donde se observó actividad del grupo de amenazas conocido como Blind Eagle, distribuyendo el troyano Quasar RAT y afectando a entidades financieras de Latinoamérica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-de-amenazas-blind-eagle-distribuye-el-troyano-de-acceso-remoto-quasar-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o campañas que puedan impactar la infraestructura tecnológica de los asociados, donde se observó actividad del grupo de amenazas conocido como Blind Eagle, distribuyendo el troyano Quasar RAT y afectando a entidades financieras de Latinoamérica.
El grupo de amenazas Eternity y su nuevo botnet LilithLos actores de amenazas continúan propagando nuevas familias de malware en la naturaleza, por lo cual es normal frecuentar el modelo de negocio MaaS (Malware as a Service) ofrecido en distintos medios, por ejemplo, se puede encontrar la comercialización de malware en foros clandestinos de la Darknet y durante los últimos años en canales de Telegram; es así como se reconoce el grupo ruso Eternity quienes desarrollan distintos tipos de malware y recientemente adicionaron a su arsenal un nuevo botnet denominado Lilith.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-de-amenazas-eternity-y-su-nuevo-botnet-lilithhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenazas continúan propagando nuevas familias de malware en la naturaleza, por lo cual es normal frecuentar el modelo de negocio MaaS (Malware as a Service) ofrecido en distintos medios, por ejemplo, se puede encontrar la comercialización de malware en foros clandestinos de la Darknet y durante los últimos años en canales de Telegram; es así como se reconoce el grupo ruso Eternity quienes desarrollan distintos tipos de malware y recientemente adicionaron a su arsenal un nuevo botnet denominado Lilith.
El grupo de Play ransomware implementa nuevas herramientas para sus actividades maliciosasMediante un monitoreo realizado a diversas fuentes de información, se identificó nuevas actividades maliciosas del grupo de Play ransomware, en las que utilizan dos herramientas personalizadas para el desarrollo de sus actividades maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-de-play-ransomware-implementa-nuevas-herramientas-para-sus-actividades-maliciosashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante un monitoreo realizado a diversas fuentes de información, se identificó nuevas actividades maliciosas del grupo de Play ransomware, en las que utilizan dos herramientas personalizadas para el desarrollo de sus actividades maliciosas.
El Grupo DEATHSTALKER incluye en sus ataques a Entidades FinancierasEn el monitoreo realizado por el Csirt Financiero se ha evidenciado la actividad del grupo cibercriminal DeathStalker. Se tiene conocimiento sobre DeathStalker desde 2012 y, en la actualidad, están dirigiendo sus campañas a empresas del sector financiero y bufetes de abogados. Aunque el grupo está dirigiendo sus campañas a estos sectores, su motivación principal no es la ganancia económica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-deathstalker-incluye-en-sus-ataques-a-entidades-financierashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado la actividad del grupo cibercriminal DeathStalker. Se tiene conocimiento sobre DeathStalker desde 2012 y, en la actualidad, están dirigiendo sus campañas a empresas del sector financiero y bufetes de abogados. Aunque el grupo está dirigiendo sus campañas a estos sectores, su motivación principal no es la ganancia económica.
El malware FormBook utiliza un nuevo dropper de distribución.Desde el CSIRT Financiero, se ha detectado un nuevo dropper adjunto a documentos PDF, DOC y XLS, distribuido en campañas de spam, que es utilizado como fase inicial de infección del Keylogger FormBook. Este dropper hace aumentar la persistencia y capacidades de ofuscación del malware al ser ejecutado desde la memoria.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-malware-formbook-utiliza-un-nuevo-dropper-de-distribucionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero, se ha detectado un nuevo dropper adjunto a documentos PDF, DOC y XLS, distribuido en campañas de spam, que es utilizado como fase inicial de infección del Keylogger FormBook. Este dropper hace aumentar la persistencia y capacidades de ofuscación del malware al ser ejecutado desde la memoria.
El nuevo downloader denominado IronRiderLa superficie de ataques continúa creciendo conforme se desarrollan nuevas actualizaciones y funcionalidades en sistemas operativos, software y tecnologías emergentes, razón por la que en la naturaleza emergen nuevas amenazas alineadas con esas nuevas capacidades; en ese orden de ideas se ha detectado recientemente una sucesión de ataques desplegados en Europa del Este en los que se empleó el nuevo downloader IronRider.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-nuevo-downloader-denominado-ironriderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La superficie de ataques continúa creciendo conforme se desarrollan nuevas actualizaciones y funcionalidades en sistemas operativos, software y tecnologías emergentes, razón por la que en la naturaleza emergen nuevas amenazas alineadas con esas nuevas capacidades; en ese orden de ideas se ha detectado recientemente una sucesión de ataques desplegados en Europa del Este en los que se empleó el nuevo downloader IronRider.
El nuevo framework EX-22 emerge entre las herramientas de los adversariosAl realizar seguimiento a las principales herramientas que hacen parte del arsenal actual de los ciberdelincuentes en la orquestación de sus ataques, se ha observado un nuevo framework de ataque denominado EXFILTRATOR-22 (EX-22) que tiene como objetivo desplegar ransomware dentro de las redes de sus víctimas de forma encubierta.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-nuevo-framework-ex-22-emerge-entre-las-herramientas-de-los-adversarioshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Al realizar seguimiento a las principales herramientas que hacen parte del arsenal actual de los ciberdelincuentes en la orquestación de sus ataques, se ha observado un nuevo framework de ataque denominado EXFILTRATOR-22 (EX-22) que tiene como objetivo desplegar ransomware dentro de las redes de sus víctimas de forma encubierta.
El nuevo ransomware RAR1 como parte del arsenal de una campaña que distribuye distintas amenazasUno de los vectores de infección implementados por los actores de amenaza en la naturaleza es la explotación de vulnerabilidades especialmente las de clasificación crítica dado que rápidamente aparecen exploits para aprovecharse de esta y así obtener acceso a los sistemas; recientemente se descubrió una campaña en curso que explota una vulnerabilidad de VMware que permite la inyección de una carga útil y la ejecución remota de código, con el fin de implantar un nuevo ransomware denominado RAR1, junto a nueva variante del botnet Mirai y un minero en su operación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-nuevo-ransomware-rar1-como-parte-del-arsenal-de-una-campana-que-distribuye-distintas-amenazashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Uno de los vectores de infección implementados por los actores de amenaza en la naturaleza es la explotación de vulnerabilidades especialmente las de clasificación crítica dado que rápidamente aparecen exploits para aprovecharse de esta y así obtener acceso a los sistemas; recientemente se descubrió una campaña en curso que explota una vulnerabilidad de VMware que permite la inyección de una carga útil y la ejecución remota de código, con el fin de implantar un nuevo ransomware denominado RAR1, junto a nueva variante del botnet Mirai y un minero en su operación.
El nuevo Stealer Stealc toma popularidad entre ciberdelincuentesÚltimamente emergen nuevas familias de malware casi a diario en el panorama de amenazas, es así como se ha rastreado Stealc un nuevo stealer que ha ganado popularidad en la web oscura debido a su agresiva promoción de capacidades de captura de datos, además de tener funcionalidades basadas en los stealer Vidar, Raccoon, Mars y Redline.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-nuevo-stealer-stealc-toma-popularidad-entre-ciberdelincuenteshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Últimamente emergen nuevas familias de malware casi a diario en el panorama de amenazas, es así como se ha rastreado Stealc un nuevo stealer que ha ganado popularidad en la web oscura debido a su agresiva promoción de capacidades de captura de datos, además de tener funcionalidades basadas en los stealer Vidar, Raccoon, Mars y Redline.
El ransomware Akira sigue activo: una mirada a su última operación y capacidadesLa amenaza de ransomware siempre ha sido una preocupación para las empresas y organizaciones de todo el mundo. El último operador en unirse a la lista de criminales cibernéticos es Akira, que retomo su operación en marzo de 2023. El ransomware ha afectado a dieciséis empresas en diferentes sectores, incluidos educación, finanzas, bienes raíces, manufactura y consultoría.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-akira-sigue-activo-una-mirada-a-su-ultima-operacion-y-capacidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La amenaza de ransomware siempre ha sido una preocupación para las empresas y organizaciones de todo el mundo. El último operador en unirse a la lista de criminales cibernéticos es Akira, que retomo su operación en marzo de 2023. El ransomware ha afectado a dieciséis empresas en diferentes sectores, incluidos educación, finanzas, bienes raíces, manufactura y consultoría.
El ransomware BlackCat implementa nuevas herramientas.Dentro de las últimas actualizaciones que se observan en el mundo de la ciberseguridad, es constante la implementación de nuevas herramientas destinadas a generar afectaciones en la tecnología y el sector financiero. En estas nuevas versiones, el equipo del Csirt identificó Sphynx, una variante del ransomware BlackCat que se evidenció a principios del año 2023. En esta ocasión, se han incorporado nuevas herramientas para llevar a cabo movimientos laterales y conexiones remotas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-blackcat-implementa-nuevas-herramientashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro de las últimas actualizaciones que se observan en el mundo de la ciberseguridad, es constante la implementación de nuevas herramientas destinadas a generar afectaciones en la tecnología y el sector financiero. En estas nuevas versiones, el equipo del Csirt identificó Sphynx, una variante del ransomware BlackCat que se evidenció a principios del año 2023. En esta ocasión, se han incorporado nuevas herramientas para llevar a cabo movimientos laterales y conexiones remotas.
El ransomware BlackCat utiliza nueva variante del cifrador SphynxEn el ámbito de las ciberamenazas, el grupo de ransomware BlackCat ha estado en constante evolución, siempre en busca de nuevas estrategias de ataque y explotación. En su evolución más reciente, BlackCat ha dado un paso significativo al incluir cuentas de Microsoft previamente comprometidas y adoptar un cifrador recién descubierto llamado Sphynx. Lo más alarmante es el soporte adicional que han integrado para el uso de credenciales personalizadas, lo que plantea un nuevo nivel de amenaza en el ciberespacio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-blackcat-utiliza-nueva-variante-del-cifrador-sphynxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito de las ciberamenazas, el grupo de ransomware BlackCat ha estado en constante evolución, siempre en busca de nuevas estrategias de ataque y explotación. En su evolución más reciente, BlackCat ha dado un paso significativo al incluir cuentas de Microsoft previamente comprometidas y adoptar un cifrador recién descubierto llamado Sphynx. Lo más alarmante es el soporte adicional que han integrado para el uso de credenciales personalizadas, lo que plantea un nuevo nivel de amenaza en el ciberespacio.
El ransomware Clop es distribuido por el grupo APT Fin7El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa relacionada con el ransomware Clop, llevada a cabo por el grupo de ciberdelincuentes conocido como FIN7. Este grupo, activo desde al menos 2015, se ha destacado por implementar malware en dispositivos de punto de venta (POS) y realizar ataques de phishing dirigidos a numerosas empresas a nivel global.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-clop-es-distribuido-por-el-grupo-apt-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa relacionada con el ransomware Clop, llevada a cabo por el grupo de ciberdelincuentes conocido como FIN7. Este grupo, activo desde al menos 2015, se ha destacado por implementar malware en dispositivos de punto de venta (POS) y realizar ataques de phishing dirigidos a numerosas empresas a nivel global.
El ransomware de SodinokibiLa vulnerabilidad de Oracle WebLogichttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-de-sodinokibihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware ESXiArgs es identificado explotando vulnerabilidades de servidores VMware ESXIEl equipo de analistas del Csirt Financiero identificó un nuevo ransomware denominado ESXiArgs, el cual está realizando constantes campañas a nivel mundial explotando una vulnerabilidad de ejecución remota de código a los servidores VMware ESXi, con el objetivo de cifrar información confidencial de los equipos infectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-esxiargs-es-identificado-explotando-vulnerabilidades-de-servidores-vmware-esxihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó un nuevo ransomware denominado ESXiArgs, el cual está realizando constantes campañas a nivel mundial explotando una vulnerabilidad de ejecución remota de código a los servidores VMware ESXi, con el objetivo de cifrar información confidencial de los equipos infectados.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}