Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevos indicadores de compromiso del troyano bancario IcedID.El equipo de analistas del Csirt Financiero en un monitoreo realizado en el ciberespacio, con el objetivo de encontrar nuevas amenazas y artefactos que puedan afectar la infraestructura tecnológica de nuestros asociados se identificaron nuevos indicadores de compromiso (IoC) relacionados al troyano bancario IcedID también conocido como Bokbot el cual fue visto por primera vez en 2017.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-del-troyano-bancario-icedidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero en un monitoreo realizado en el ciberespacio, con el objetivo de encontrar nuevas amenazas y artefactos que puedan afectar la infraestructura tecnológica de nuestros asociados se identificaron nuevos indicadores de compromiso (IoC) relacionados al troyano bancario IcedID también conocido como Bokbot el cual fue visto por primera vez en 2017.
Nuevas actividades de la Botnet Amadey.El equipo de analistas del Csirt Financiero realiza un monitoreo en el ciberespacio en busca de nuevas amenazas o actividades maliciosas que puedan afectar la infraestructura tecnológica de nuestros asociados, observado una reciente actividad maliciosa realizada por la botnet Amadey, la cual fue vista por primera vez en 2018.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actividades-de-la-botnet-amadeyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realiza un monitoreo en el ciberespacio en busca de nuevas amenazas o actividades maliciosas que puedan afectar la infraestructura tecnológica de nuestros asociados, observado una reciente actividad maliciosa realizada por la botnet Amadey, la cual fue vista por primera vez en 2018.
Nueva campaña de distribución por parte del grupo Black Basta RansomwareDe forma continua se detectan nuevas metodologías empleadas por lo cibercriminales en el ciber espacio; el caso más reciente es el del grupo de ransomware Black Basta, los cuales se encuentran desplegando campañas que tienen el objetivo de entregar Black Basta en los sistemas informáticos comprometidos, además, en la primera etapa de dicha infección usan Qakbot como punto de apoyo permitiéndoles realizar sus actividades maliciosas y entregar en ransomware mencionado anteriormente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-por-parte-del-grupo-black-basta-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
De forma continua se detectan nuevas metodologías empleadas por lo cibercriminales en el ciber espacio; el caso más reciente es el del grupo de ransomware Black Basta, los cuales se encuentran desplegando campañas que tienen el objetivo de entregar Black Basta en los sistemas informáticos comprometidos, además, en la primera etapa de dicha infección usan Qakbot como punto de apoyo permitiéndoles realizar sus actividades maliciosas y entregar en ransomware mencionado anteriormente.
El nuevo downloader denominado IronRiderLa superficie de ataques continúa creciendo conforme se desarrollan nuevas actualizaciones y funcionalidades en sistemas operativos, software y tecnologías emergentes, razón por la que en la naturaleza emergen nuevas amenazas alineadas con esas nuevas capacidades; en ese orden de ideas se ha detectado recientemente una sucesión de ataques desplegados en Europa del Este en los que se empleó el nuevo downloader IronRider.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-nuevo-downloader-denominado-ironriderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La superficie de ataques continúa creciendo conforme se desarrollan nuevas actualizaciones y funcionalidades en sistemas operativos, software y tecnologías emergentes, razón por la que en la naturaleza emergen nuevas amenazas alineadas con esas nuevas capacidades; en ese orden de ideas se ha detectado recientemente una sucesión de ataques desplegados en Europa del Este en los que se empleó el nuevo downloader IronRider.
Nueva actividad maliciosa de RapperbotLos ataques de DDoS generalmente son desplegados en diferentes modelos de redes de bots, de las que hacen parte dispositivos IoT comprometidos, con el objetivo de lograr impactar la disponibilidad de las infraestructuras tecnológicas que tengan como objetivo los atacantes, en ese orden de ideas se han identificado una serie de ataques cibernéticos relacionados con la botnet RapperBot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-rapperbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ataques de DDoS generalmente son desplegados en diferentes modelos de redes de bots, de las que hacen parte dispositivos IoT comprometidos, con el objetivo de lograr impactar la disponibilidad de las infraestructuras tecnológicas que tengan como objetivo los atacantes, en ese orden de ideas se han identificado una serie de ataques cibernéticos relacionados con la botnet RapperBot.
Se identifican nuevos indicadores de compromiso del troyano de acceso remoto DCRATEl troyano de acceso remoto conocido como DCRat o Dark Crystal RAT, ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero y como es común en el ámbito de la ciberseguridad los ciberdelincuentes mantienen constantes actualizaciones de estas amenazas, por lo que se identificaron nuevos indicadores de compromiso relacionados a DCRat en el mes de noviembre.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-indicadores-de-compromiso-del-troyano-de-acceso-remoto-dcrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano de acceso remoto conocido como DCRat o Dark Crystal RAT, ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero y como es común en el ámbito de la ciberseguridad los ciberdelincuentes mantienen constantes actualizaciones de estas amenazas, por lo que se identificaron nuevos indicadores de compromiso relacionados a DCRat en el mes de noviembre.
Nuevos indicadores de compromiso asociados a NanoCore RATRecientemente se han evidenciado nuevos indicadores de compromiso asociados a NanoCore RAT, un troyano de acceso remoto que destaca por sus capacidades de recopilar información confidencial a través de múltiples acciones relacionadas con spyware. Así mismo, se observa que este se distribuye por medio foros clandestinos en la Deep y Dark web, donde es ofrecido a un precio muy bajo; esto permite que muchos grupos de ciberdelincuentes que no poseen conocimiento sobre elaboración de malware puedan adquirir uno e incluirlo en sus campañas maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-nanocore-rat-4http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se han evidenciado nuevos indicadores de compromiso asociados a NanoCore RAT, un troyano de acceso remoto que destaca por sus capacidades de recopilar información confidencial a través de múltiples acciones relacionadas con spyware. Así mismo, se observa que este se distribuye por medio foros clandestinos en la Deep y Dark web, donde es ofrecido a un precio muy bajo; esto permite que muchos grupos de ciberdelincuentes que no poseen conocimiento sobre elaboración de malware puedan adquirir uno e incluirlo en sus campañas maliciosas.
Nuevos métodos de distribución de Hive RansomwareHive ransomware ha seguido activo en el ciberespacio atacando múltiples organizaciones en todo el mundo, tanto así que los actores detrás de esta amenaza se han beneficiado de más de 100 millones de dólares en los pagos de rescate, esta amenaza lleva activa desde junio del 2021 y sigue el modelo de Ransomware-as-a-Service (RaaS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-metodos-de-distribucion-de-hive-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Hive ransomware ha seguido activo en el ciberespacio atacando múltiples organizaciones en todo el mundo, tanto así que los actores detrás de esta amenaza se han beneficiado de más de 100 millones de dólares en los pagos de rescate, esta amenaza lleva activa desde junio del 2021 y sigue el modelo de Ransomware-as-a-Service (RaaS).
Ciberdelincuentes realizan nuevas actividades para la entrega de malwareDe forma reciente se ha identificado al grupo DEV-0569 desplegando campañas de malvertising (introducir malware en la publicidad en línea para extender otro malware) para distribuir payload de diferentes familias de malware a través del servicio Google Ads.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-realizan-nuevas-actividades-para-la-entrega-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
De forma reciente se ha identificado al grupo DEV-0569 desplegando campañas de malvertising (introducir malware en la publicidad en línea para extender otro malware) para distribuir payload de diferentes familias de malware a través del servicio Google Ads.
Nuevos Ransomware denominados AXLocker, Octocrypt y Alice.El equipo de analistas del Csirt Financiero realizo un monitoreo en el ciber espacio de nuevas amenazas que puedan llegar a afectar la infraestructura y pilares de la información de nuestros asociados, donde se encontraron tres nuevas familias de Ransomware denominadas AXLocker, Octocrypt y Alice.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ransomware-denominados-axlocker-octocrypt-y-alicehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizo un monitoreo en el ciber espacio de nuevas amenazas que puedan llegar a afectar la infraestructura y pilares de la información de nuestros asociados, donde se encontraron tres nuevas familias de Ransomware denominadas AXLocker, Octocrypt y Alice.
LodaRAT implementa diversas variantes de malwareRecientemente, se ha identificado una nueva variante de LodaRAT que también es conocido por otro nombre como Nymeria; en sus nuevas actividades se ha observado que se implementa junto con otros malware conocidos como RedLine Stealer y Neshta. LodaRAT está desarrollado en AutoIT y es capaz de recopilar y exfiltrar la información alojada en las infraestructuras informáticas comprometidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/lodarat-implementa-diversas-variantes-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una nueva variante de LodaRAT que también es conocido por otro nombre como Nymeria; en sus nuevas actividades se ha observado que se implementa junto con otros malware conocidos como RedLine Stealer y Neshta. LodaRAT está desarrollado en AutoIT y es capaz de recopilar y exfiltrar la información alojada en las infraestructuras informáticas comprometidas.
Nueva actividad maliciosa atribuida a QbotRecientemente se ha identificado un nuevo vector de infección del troyano Qbot, donde los actores de amenaza se aprovechan de una falla presentada en el ejecutable del panel de control de Windows 10 (control.exe), esta brecha de seguridad les permite realizar “el secuestro de DLL”, este método es utilizado para suplantar librerías legitimas del sistema por archivos maliciosos creados por los ciberdelincuentes para implementar la carga útil de Qakbot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-atribuida-a-qbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado un nuevo vector de infección del troyano Qbot, donde los actores de amenaza se aprovechan de una falla presentada en el ejecutable del panel de control de Windows 10 (control.exe), esta brecha de seguridad les permite realizar “el secuestro de DLL”, este método es utilizado para suplantar librerías legitimas del sistema por archivos maliciosos creados por los ciberdelincuentes para implementar la carga útil de Qakbot.
Operadores de Emotet implementan nuevas tácticas en la cadena de infecciónRecientemente se había identificado el retorno del troyano polimórfico conocido como Emotet clasificado como un botnet gracias a sus constantes actualizaciones, ya que inicialmente se categorizo como un troyano bancario, sin embargo la implementación de un módulo de botnet spam hizo que evolucionara; desde su aparición en 2014 los atacantes que han distribuido esta amenaza a través de campañas que entregan la carga útil de Emotet, en documentos maliciosos para impactar empresas de distintos sectores económicos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/operadores-de-emotet-implementan-nuevas-tacticas-en-la-cadena-de-infeccionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se había identificado el retorno del troyano polimórfico conocido como Emotet clasificado como un botnet gracias a sus constantes actualizaciones, ya que inicialmente se categorizo como un troyano bancario, sin embargo la implementación de un módulo de botnet spam hizo que evolucionara; desde su aparición en 2014 los atacantes que han distribuido esta amenaza a través de campañas que entregan la carga útil de Emotet, en documentos maliciosos para impactar empresas de distintos sectores económicos.
Múltiples campañas se han visto distribuyendo BatloaderLas amenazas de acceso inicial abundan en la naturaleza, de ahí que los ciberdelincuentes las empleen para tener éxito en sus ataques cibernéticos, por medio de estos loader pueden instaurar cargas útiles de otras familias en los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-campanas-se-han-visto-distribuyendo-batloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las amenazas de acceso inicial abundan en la naturaleza, de ahí que los ciberdelincuentes las empleen para tener éxito en sus ataques cibernéticos, por medio de estos loader pueden instaurar cargas útiles de otras familias en los equipos comprometidos.
Nuevo stealer denominado SMSeyeRecientemente, se ha identificado una nueva campaña maliciosa dirigida a una entidad financiera ubicada en Indonesia, donde los actores de amenaza implementan múltiples sitios web phishing y stealers, con el propósito de recopilar información sensible de los usuarios suscritos a esta organización.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-smseyehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una nueva campaña maliciosa dirigida a una entidad financiera ubicada en Indonesia, donde los actores de amenaza implementan múltiples sitios web phishing y stealers, con el propósito de recopilar información sensible de los usuarios suscritos a esta organización.
Nuevas capacidades del Stealer Typhon.En el mundo del ciberespacio es muy común ver la evolución y nuevas capacidades que implementan los actores de amenaza en sus herramientas de malware, por lo cual el equipo de analistas del Csirt Financiero realizo un monitoreo en el cual encontró recientes actividades y actualizaciones de Typhon Stealer, el cual fue descubierto y reportado a principios de agosto del 2022.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-capacidades-del-stealer-typhonhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo del ciberespacio es muy común ver la evolución y nuevas capacidades que implementan los actores de amenaza en sus herramientas de malware, por lo cual el equipo de analistas del Csirt Financiero realizo un monitoreo en el cual encontró recientes actividades y actualizaciones de Typhon Stealer, el cual fue descubierto y reportado a principios de agosto del 2022.
Nuevos artefactos maliciosos asociados al ransomware Black BastaRecientemente, el ransomware Black Basta ha generado nueva actividad en la cual se observaron nuevos indicadores de compromiso donde a su vez mejoran sus técnicas para el éxito de sus actividades maliciosas; ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-maliciosos-asociados-al-ransomware-black-bastahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, el ransomware Black Basta ha generado nueva actividad en la cual se observaron nuevos indicadores de compromiso donde a su vez mejoran sus técnicas para el éxito de sus actividades maliciosas; ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.
Troyano bancario Dridex retorna sus actividades con nuevos indicadores de compromisoRecientemente, se han identificado nuevas campañas maliciosas por parte de los actores de amenaza, las cuales están distribuyendo el troyano bancario Dridex; esta familia de malware es reconocida en el ecosistema de ciberseguridad por su gran afectación al sector financiero a nivel global, llegando a impactar a más de 40 organizaciones en el año 2019.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-dridex-retorna-sus-actividades-con-nuevos-indicadores-de-compromisohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se han identificado nuevas campañas maliciosas por parte de los actores de amenaza, las cuales están distribuyendo el troyano bancario Dridex; esta familia de malware es reconocida en el ecosistema de ciberseguridad por su gran afectación al sector financiero a nivel global, llegando a impactar a más de 40 organizaciones en el año 2019.
Un nuevo brote de ransomware denominado SomniaLos actores de amenaza rusos suelen estar ligados con la creación de nuevas familias de malware dentro del panorama de amenazas, especialmente han estado activos en el ciberespacio a razón del conflicto que existe con Ucrania y sus aliados; es así como algunos grupos de hacktivistas rusos se involucran en la ciberguerra que se lidia actualmente, para lo cual crean nuevas herramientas que impacten eficientemente las infraestructuras tecnológicas de sus objetivos, de ahí que recientemente se descubriera una nueva cepa de ransomware denominada Somnia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-brote-de-ransomware-denominado-somniahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza rusos suelen estar ligados con la creación de nuevas familias de malware dentro del panorama de amenazas, especialmente han estado activos en el ciberespacio a razón del conflicto que existe con Ucrania y sus aliados; es así como algunos grupos de hacktivistas rusos se involucran en la ciberguerra que se lidia actualmente, para lo cual crean nuevas herramientas que impacten eficientemente las infraestructuras tecnológicas de sus objetivos, de ahí que recientemente se descubriera una nueva cepa de ransomware denominada Somnia.
Nueva actividad relacionada con los ransomware Inlock y XoristLos actores de amenaza continúan empleando el ransomware como uno de los medios para generar ganancias económicas de ahí que el aumento de infecciones por esta amenaza se vea constantemente en el ciberespacio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-los-ransomware-inlock-y-xoristhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza continúan empleando el ransomware como uno de los medios para generar ganancias económicas de ahí que el aumento de infecciones por esta amenaza se vea constantemente en el ciberespacio.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}