-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Nuevos IoC asociados al ransomware Black Basta
Publicado: 12/06/2023 | Importancia: Media
A medida que pasa el tiempo, los cibercriminales detrás del ransomware Black Basta actualizan esta amenaza y sus herramientas en pro de lograr tener éxito en sus actividades maliciosas, ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.
Nuevos IoC asociados con el troyano bancario Dridex
Publicado: 11/06/2023 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificaron nuevas actividades y artefactos relacionados a Dridex, un troyano bancario diseñado para capturar información de cuentas bancarias en línea; fue descubierto por primera vez en 2014 y desde entonces ha sido uno de los troyanos bancarios más relevantes en todo el mundo generando grandes impactos en diversos sectores, principalmente en las instituciones financieras y proveedores de servicio de pago.
Nuevos indicadores de compromiso vinculados al troyano de acceso remoto Quasar
Publicado: 11/06/2023 | Importancia: Media
Quasar RAT es una familia de malware que permite a los ciberdelincuentes controlar de forma remota los sistemas comprometidos, este funciona como un troyano y se instala en el equipo de la víctima sin su conocimiento. Quasar, se caracteriza por poseer una interfaz de usuario fácil de usar y su amplia gama de funciones, lo que lo hace atractivo para los ciberdelincuentes con diferentes niveles de experiencia técnica.
Nuevos IoC asociados a Emotet
Publicado: 11/06/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto, se han observado nuevos indicadores de compromiso (IOC) relacionados al troyano Emotet, donde su principal objetivo es la recopilación de información alojada en los equipos comprometidos como credenciales de acceso.
Asylum Ambuscade: un actor de amenazas que combina cibercrimen y ciberespionaje
Publicado: 10/06/2023 | Importancia: Media
Un actor de amenazas conocido como Asylum Ambuscade ha estado operando en el ámbito del cibercrimen y el ciberespionaje desde principios de 2020. Este grupo se ha enfocado en atacar a clientes bancarios, comerciantes de criptomonedas y entidades gubernamentales en América del Norte, Europa y Asia Central. Asylum Ambuscade fue inicialmente identificado como una campaña de phishing patrocinada por un estado-nación, dirigida a entidades gubernativas europeas con el objetivo de extraer información confidencial y credenciales de correo electrónico de portales de gobierno.
Nueva campaña de skimmer
Publicado: 10/06/2023 | Importancia: Media
Recientemente, investigadores de seguridad identificaron una nueva campaña de skimmer web al estilo de Magecart, con la finalidad de capturar y exfiltrar información relacionada con temas financieros donde se incluye la identificación personal de las víctimas como también la data asociada a los métodos de pago utilizados en sitios web de comercio digital.
Storm-1167: Una campaña de ataques AiTM y BEC amenaza a organizaciones financieras
Publicado: 09/06/2023 | Importancia: Media
Microsoft ha revelado que las organizaciones de servicios bancarios y financieros están siendo objetivo de un nuevo tipo de ataque cibernético. Este ataque en varias etapas, llevado a cabo mediante un enfoque de adversario en el medio (AiTM), se originó a partir de un proveedor de confianza comprometido y se ha extendido a través de múltiples organizaciones. Aunque el ataque logró su objetivo final, se destacan aspectos notables como el uso de un proxy indirecto en lugar de las técnicas tradicionales de proxy inverso, lo que demuestra la evolución constante de estas amenazas.
Nuevas campañas maliciosas del grupo BlindEagle distribuyen NjRAT
Publicado: 09/06/2023 | Importancia: Media
Mediante el monitoreo generado por el equipo de analistas del Csirt Financiero se identificaron nuevas campañas maliciosas de BlindEagle dirigidas a diversas entidades de Colombia, este grupo también conocido como APT-C-36 es un actor de amenaza activo desde 2018, especializado en actividades de ciberespionaje y captura de información financiera, el cual ha ganado gran reputación por realizar ataques a instituciones y corporaciones de Latinoamérica.
Amenaza en auge: el grupo de ransomware Cl0p explota vulnerabilidades en soluciones de transferencia de archivos
Publicado: 08/06/2023 | Importancia: Media
El grupo de ransomware CL0P, también conocido como TA505, ha comenzado a aprovechar una vulnerabilidad de inyección SQL en la solución de transferencia de archivos administrados de Progress Software (MOVEit Transfer). Esta vulnerabilidad permite al grupo capturar datos de las bases de datos subyacentes de MOVEit Transfer. TA505, conocido por su uso de ransomware y phishing, ha utilizado tácticas de doble extorsión en el pasado. Además, el grupo ha explotado otras soluciones de transferencia de archivos, como Accellion File Transfer (FTA) y Fortra/Linoma GoAnywhere MFT.
Surge una nueva amenaza denominada KrakenKeylogger
Publicado: 08/06/2023 | Importancia: Media
Mediante los monitoreos realizados por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a generar impactos en las infraestructuras tecnológicas de los asociados, se identificó un nuevo software malicioso comercializado en foros clandestinos de la Deep y Dark web denominado KrakenKeylogger con grandes capacidades para la captura de datos sensibles.
Nuevos artefactos relacionados con el troyano de acceso remoto AsyncRAT
Publicado: 08/06/2023 | Importancia: Media
Mediante constantes monitoreos realizados por el equipo de analistas del Csirt Financiero, en busca de amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificaron nuevos artefactos relacionados con el troyano de acceso remoto denominado AsyncRAT.
Darkrace: El emergente ransomware que amenaza la seguridad de los sistemas Windows
Publicado: 07/06/2023 | Importancia: Media
El ransomware continúa siendo una de las amenazas más críticas en el ámbito de la ciberseguridad, representando un peligro para la infraestructura de las organizaciones. Recientemente se ha descubierto un nuevo tipo de ransomware llamado Darkrace, el cual comparte similitudes con LockBit Ransomware. Darkrace está diseñado para atacar específicamente sistemas operativos Windows y utiliza diversas tácticas para llevar a cabo sus operaciones.
Nueva variante de ransomware identificada como Thx
Publicado: 07/06/2023 | Importancia: Media
Thx es una nueva familia perteneciente a otra amenaza conocida como Dharma, este es un ransomware que tiene la finalidad de cifrar datos y con esto generar la capacidad de extorsionar a sus víctimas a través de la exigencia de un rescate a cambio de un beneficio económico para posteriormente entregar una clave de descifrado, todo esto lo hace con base en el tipo de información comprometida.
Nuevos indicadores de compromiso asociados a Bumblebee
Publicado: 06/06/2023 | Importancia: Media
Bumblebee era backdoor que desde su creación ha adquirido mucha popularidad entre los ciberdelincuentes debido a sus amplias capacidades, sin embargo, los actores de amenaza de tras de este con el tiempo lo han desarrollado hasta convertirlo en un Loader.
Nuevo troyano bancario denominado HelloTeacher
Publicado: 06/06/2023 | Importancia: Media
En el ecosistema de ciberseguridad en el sector financiero, los actores de amenaza implementan diversas familias de malware que tienen como propósito recopilar información bancaria de las víctimas para beneficio económico propio; estas amenazas son comúnmente conocidas como troyanos bancarios.
CMDStealer, operación dirigida al sector financiero
Publicado: 05/06/2023 | Importancia: Media
Un desconocido actor de amenazas con objetivos financieros está desplegando campañas maliciosas a países como Portugal, México y Perú, con la finalidad de exfiltrar información bancaria de sus víctimas, dentro de las cuales se encuentran las credenciales de acceso. Para ello, emplean una táctica conocida como LOLBaS (Living Off the Land Binaries and Scripts) la cual se basa en la manipulación de binarios legítimos de los sistemas operativos para lograr sus actividades maliciosas, además, los cibercriminales se apoyan con scripts basados en CMD para comprometer la información de la víctima.
Nueva actividad maliciosa relacionada con la Botnet TrueBot.
Publicado: 04/06/2023 | Importancia: Media
A través de monitoreo constante a diversas fuentes de información, el equipo de analistas del Csirt Financiero identificó actividades recientes del software malicioso denominado TrueBot, botnet de descarga que ha estado activa desde el 2017.
NoEscape RaaS: amenaza dual para sistemas Windows y Linux
Publicado: 04/06/2023 | Importancia: Media
Recientemente, se ha descubierto una nueva iniciativa de Ransomware-as-a-Service (RaaS) llamada 'NoEscape'. Esta nueva amenaza fue promocionada en un foro de cibercrimen a finales de mayo de 2023, y sus creadores buscaban activamente afiliados para unirse a su red. NoEscape ofrece a los afiliados una variedad de opciones de construcción de ejecutables de ransomware para sistemas Windows y Linux.
IOC recientes del troyano IcedID
Publicado: 04/06/2023 | Importancia: Media
Durante procesos de monitoreo, se identificaron nuevos indicadores de compromiso (IOC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalar y/o ejecutar otras familias de malware para maximizar su impacto.
Nuevos IoC relacionados con el troyano de acceso remoto NjRAT
Publicado: 03/06/2023 | Importancia: Media
Mediante un monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información abiertas, en busca de campañas, artefactos o nuevas amenazas que puedan afectar la infraestructura tecnológica de los asociados, se identificaron indicadores de compromiso recientes y relacionados con el troyano de acceso remoto NjRAT.
Makop Ransomware: Un peligroso actor de amenazas en constante evolución
Publicado: 02/06/2023 | Importancia: Media
En el mundo digital actual, los ataques de ransomware representan una amenaza creciente para las empresas y organizaciones de todo el mundo. Entre los diversos actores de ransomware, se encuentra la pandilla Makop, que ha estado activo desde 2020. A pesar de su reputación relativamente baja, Makop ha logrado comprometer infraestructuras tecnológicas con éxito mediante el uso de un arsenal de herramientas híbridas y personalizadas.
Campaña de ciberataque "Horabot" amenaza a usuarios de habla hispana en América Latina
Publicado: 01/06/2023 | Importancia: Media
Una campaña de malware denominada Horabot ha sido descubierta recientemente, afectando a usuarios de habla hispana en América Latina. Este malware de tipo botnet se dirige a usuarios de habla hispana en Latinoamérica, con un enfoque particular en México, Horabot utiliza un troyano bancario y una herramienta de spam para comprometer las cuentas de correo web y controlar el buzón de Outlook de las víctimas. El troyano recopila credenciales de inicio de sesión, información del sistema operativo y pulsaciones de teclas, mientras que la herramienta de spam envía correos electrónicos no deseados a los contactos de la víctima.
IZ1H9: La activa y peligrosa variante Mirai que amenaza la seguridad de dispositivos Linux
Publicado: 31/05/2023 | Importancia: Media
Recientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.
Nuevos indicadores de compromiso asociados a LockBit y su versión 3.0
Publicado: 31/05/2023 | Importancia: Media
A través del monitoreo realizado a diversas fuentes de información en búsqueda de nuevas amenazas o campañas que puedan afectar el ecosistema de ciberseguridad del sector financiero, se identificaron nuevos indicadores de compromiso relacionados a LockBit y su versión 3.5.