-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Nuevo método de infección del ransomware BlackByte
Publicado: 09/10/2022 | Importancia: Media
Entre las nuevas actualizaciones y novedades de las amenazas reportadas anteriormente por el Csirt Financiero se ha identificado una nueva actividad maliciosa relacionada con el ransomware BlackByte, donde se evidenció que esta amenaza se está aprovechando de una vulnerabilidad en un controlador legítimo de Windows para evadir soluciones antimalware.
Nuevos indicadores de compromiso del troyano Formbook
Publicado: 09/10/2022 | Importancia: Media
A través de actividades de monitoreo en distintas fuentes de información, el equipo de analista del Csirt financiero realizó un seguimiento a las amenazas reportadas en ocasiones anteriores, ya que los actores de amenaza mantienen constantes actualizaciones de técnicas y tácticas con los que buscan generar un impacto en la seguridad de la información de las entidades y organizaciones.
Identificados nuevos indicadores de compromiso del troyano bancario Lokibot
Publicado: 08/10/2022 | Importancia: Media
El troyano bancario Lokibot ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero siendo una de las amenazas más utilizadas a nivel global por diferentes grupos de ciberdelincuentes debido a sus grandes capacidades, esto con el objetivo principal de capturar datos bancarios confidenciales y exfiltrarlos a servidores de comando y control C2, dicho troyano se encuentra dirigido a equipos con sistemas operativos Windows y dispositivos Android.
Nueva actividad detectada del RAT Agent Tesla
Publicado: 08/10/2022 | Importancia: Media
Agent Tesla es una de las familias de malware más renombradas en la naturaleza, desde su aparición en el ciberespacio en 2014 ha tenido una gran trayectoria gracias a las exitosas campañas que han desplegado distintos ciberdelincuentes; este troyano de acceso remoto como se ha mencionado anteriormente se comercializa bajo la modalidad de negocio (MaaS) y es distribuido a nivel global.
Nuevos indicadores de compromiso sobre reciente actividad maliciosa de Mirai
Publicado: 08/10/2022 | Importancia: Media
A través de actividades de monitoreo en diferentes fuentes de información el equipo de analistas del Csirt Financiero realizó un seguimiento a las amenazas reportadas en ocasiones anteriores, teniendo en cuenta que en el ámbito de ciberespacio los actores de estas amenazas mantienen constantes actualizaciones de técnicas y tácticas con los que buscan generar un impacto en la seguridad de la información de las entidades y organizaciones.
El grupo de amenazas Eternity y su nuevo botnet Lilith
Publicado: 07/10/2022 | Importancia: Media
Los actores de amenazas continúan propagando nuevas familias de malware en la naturaleza, por lo cual es normal frecuentar el modelo de negocio MaaS (Malware as a Service) ofrecido en distintos medios, por ejemplo, se puede encontrar la comercialización de malware en foros clandestinos de la Darknet y durante los últimos años en canales de Telegram; es así como se reconoce el grupo ruso Eternity quienes desarrollan distintos tipos de malware y recientemente adicionaron a su arsenal un nuevo botnet denominado Lilith.
El troyano Xloader distribuido en foros populares de la Deep y Dark web
Publicado: 06/10/2022 | Importancia: Media
Xloader es un troyano conocido por sus altas capacidades de capturar información confidencial de equipos con sistemas operativos Microsoft Windows y Mac Os, donde el código de este troyano se encuentra basado en otro troyano muy popular como lo es FormBook.
Maggie el nuevo backdoor dirigido a servidores Microsoft Server SQL
Publicado: 05/10/2022 | Importancia: Media
En el ejercicio de monitorear constantemente las nuevas amenazas descubiertas en la naturaleza, se ha rastreado un nuevo backdoor denominado Maggie, el cual se ha estado distribuyendo a nivel global y ha comprometido exitosamente servidores MSSQL (Microsoft SQL) de diferentes organizaciones; esta amenaza brinda a los ciberdelincuentes capacidades notorias como la ejecución remota de comandos y la posibilidad de realizar movimientos laterales.
NUEVO RAT DIRIGIDO A DISPOSITIVOS ANDROID DENOMINADO RATMILAD
Publicado: 04/10/2022 | Importancia: Media
Las familias de malware desarrolladas para sistemas Android se han vuelto bastante frecuentes en el ciberespacio esencialmente por las prestaciones que pueden ofrecer a un ciberdelincuente, no obstante, el malware de tipo spyware es utilizado por gobiernos en operaciones de espionaje; por lo cual estas amenazas pueden ser adquiridas por cualquier adversario en foros clandestinos de la Darknet, en ese orden de ideas se descubrió un nuevo troyano de acceso remoto (RAT) con capacidades de spyware denominado RatMilad.
Nueva actividad maliciosa del troyano de acceso remoto NanoCore RAT
Publicado: 04/10/2022 | Importancia: Media
Aunque el troyano de acceso remoto denominado NanoCore RAT ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero se mantiene un monitoreo constante de estas amenazas ya que por sus grandes capacidades los ciberdelincuentes han optado por emplear y actualizar esta amenaza, por lo que se han identificado nuevos indicadores de compromiso de NanoCore RAT.
Agent Tesla y NjRat distribuidos en una nueva campaña de maldocs
Publicado: 03/10/2022 | Importancia: Media
La creciente ola de ataques cibernéticos dirigidos a distintos sectores económicos es un comportamiento habitual en el ciberespacio, esta actividad a su vez conlleva que los ciberdelincuentes empleen familias de malware para lograr sus objetivos de ahí que se halla rastreado una nueva campaña desplegada desde el mes pasado.
Nuevo vector de distribución del ransomware Bisamware
Publicado: 03/10/2022 | Importancia: Media
Teniendo en cuenta el monitoreo realizado sobre las nuevas amenazas que puedan a llegar afectar al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa del ransomware conocido como Bisamware, y aunque fue reportado anteriormente en esta ocasión se identificó un aumento en el número de muestras encontradas además de una nueva actividad maliciosa donde se está distribuyendo por medio de explotación de vulnerabilidades.
Evolución continúa de Bumblebee en la naturaleza
Publicado: 02/10/2022 | Importancia: Media
La evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.
Actores de amenaza utilizan el movimiento del mouse en plantillas PowerPoint para distribuir malware
Publicado: 02/10/2022 | Importancia: Media
Múltiples análisis de la seguridad de la información han identificado una técnica basada en el movimiento del ratón (mouse) en documentos de Microsoft PowerPoint con la finalidad de desplegar malware; este procedimiento de infección inicia luego de que el usuario abre estos archivos y no importa si se encuentran en vista protegida ya que dicha acción desencadena un dropper a través de un script de PowerShell contenido en los documentos maliciosos.
Se identifica técnica de persistencia en los hipervisores de VMware ESXi
Publicado: 01/10/2022 | Importancia: Media
Recientemente, investigadores de seguridad informática identificaron y detallaron una novedosa técnica empleada por los cibercriminales con el objetivo de tener acceso administrativo dentro de los hipervisores de VMware ESXi, con esto se apropian del manejo de los servidores vCenter (software de gestión de servidores avanzado que ofrece una plataforma centralizada para controlar los entornos de vSphere y obtener visibilidad en las nubes híbridas) y las máquinas virtualizadas ya sean para Windows o Linux.
Nuevo grupo de ciberdelincuentes denominado Guacamaya afecta entidades gubernamentales en América latina
Publicado: 01/10/2022 | Importancia: Media
En el ámbito del ciberespacio y la seguridad de la información, recientemente se ha evidenciado un nuevo caso de filtración de datos sensibles a organizaciones gubernamentales relacionados con el sector militar y policial. Este ataque es atribuido al grupo hacktivista denominado Guacamaya; donde, en el transcurso del año se observó que ha impactado países de América latina como Chile, México y Colombia, por decir algunos.
El actor de amenazas Zinc despliega un backdoor en su operación denominado ZetaNile
Publicado: 30/09/2022 | Importancia: Media
Los grupos de cibersoldados que operan actividades de estado-nación, son bastante activos en la naturaleza como es el caso de Zinc, quienes han perpetrado ataques cibernéticos sofisticados y destructivos desde 2009; el éxito de sus misiones es incursionar herramientas personalizadas como troyanos de acceso remoto (RAT), en ese orden de ideas se ha visto en el ciberespacio una creciente ola de campañas de ingeniería social atribuida a este grupo, en la que utilizan versiones modificadas de software de libre acceso para comprometer los equipos.
Evolución de la amenaza Prilex.
Publicado: 30/09/2022 | Importancia: Media
En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó la evolución de la amenaza Prilex el cual anteriormente realizaba ataques a cajeros automáticos (ATM) para obtener la información de las tarjetas de crédito utilizadas en ellos. Por lo anterior los ciberdelincuentes han ampliado su rango de acción centrándose ahora en ataques a sistemas de punto de venta (PoS).