Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Grupo cibercriminal TeamTNT dirigen sus campañas a la captura de credenciales de acceso para Azure y Google CloudRecientemente, actores de amenaza identificados como TeamTNT han sido vinculados a campañas maliciosas que tiene la finalidad de capturar credenciales de acceso asociadas a los servicios de Microsoft Azure y Google Cloud Plataform (GCP).http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-cibercriminal-teamtnt-dirigen-sus-campanas-a-la-captura-de-credenciales-de-acceso-para-azure-y-google-cloudhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, actores de amenaza identificados como TeamTNT han sido vinculados a campañas maliciosas que tiene la finalidad de capturar credenciales de acceso asociadas a los servicios de Microsoft Azure y Google Cloud Plataform (GCP).
Nuevos indicadores de compromiso relacionados con el RAT Ave MariaMediante el monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se identificaron nuevos indicadores de compromiso (IoC) relacionados con el troyano de acceso remoto (RAT) Ave Maria, una amenaza altamente sofisticada que afecta a sistemas operativos Windows y se caracteriza por su capacidad para tomar el control completo de los sistemas infectados de forma remota.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-el-rat-ave-mariahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se identificaron nuevos indicadores de compromiso (IoC) relacionados con el troyano de acceso remoto (RAT) Ave Maria, una amenaza altamente sofisticada que afecta a sistemas operativos Windows y se caracteriza por su capacidad para tomar el control completo de los sistemas infectados de forma remota.
Nueva actividad del troyano LokiBot: explotación de vulnerabilidades en documentos de Microsoft Office.En el ámbito de la seguridad informática, es fundamental estar al tanto de las amenazas emergentes y las tácticas utilizadas por los ciberdelincuentes para infiltrarse en los sistemas. Recientemente, se ha descubierto una serie de documentos maliciosos de Microsoft Office que aprovechan vulnerabilidades conocidas, en particular, CVE-2021-40444 y CVE-2022-30190, que son vulnerabilidades de ejecución remota de código. Estas vulnerabilidades permitieron a los atacantes insertar macros maliciosas en los documentos de Microsoft, lo que resultó en la instalación del troyano LokiBot en el sistema de las víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-lokibot-explotacion-de-vulnerabilidades-en-documentos-de-microsoft-officehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito de la seguridad informática, es fundamental estar al tanto de las amenazas emergentes y las tácticas utilizadas por los ciberdelincuentes para infiltrarse en los sistemas. Recientemente, se ha descubierto una serie de documentos maliciosos de Microsoft Office que aprovechan vulnerabilidades conocidas, en particular, CVE-2021-40444 y CVE-2022-30190, que son vulnerabilidades de ejecución remota de código. Estas vulnerabilidades permitieron a los atacantes insertar macros maliciosas en los documentos de Microsoft, lo que resultó en la instalación del troyano LokiBot en el sistema de las víctimas.
NokNok: La nueva amenaza para sistemas MacOS distribuida por el APT Charming KittenEn el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se identificó una nueva amenaza llamada NokNok dirigida a sistemas macOS y distribuida por el grupo de ciberdelincuentes conocido como APT Charming Kitten (APT42 o Phosphorus). Este grupo ha estado activo desde al menos 2014 y se cree que opera desde Irán.http://csirtasobancaria.com/Plone/alertas-de-seguridad/noknok-la-nueva-amenaza-para-sistemas-macos-distribuida-por-el-apt-charming-kittenhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se identificó una nueva amenaza llamada NokNok dirigida a sistemas macOS y distribuida por el grupo de ciberdelincuentes conocido como APT Charming Kitten (APT42 o Phosphorus). Este grupo ha estado activo desde al menos 2014 y se cree que opera desde Irán.
Letscall: nuevo kit de herramientas de VishingEl Vishing, ha experimentado un aumento en popularidad en los últimos años, lo que ha llevado a una disminución de la confianza en las llamadas de números desconocidos. Este fenómeno ha llevado a que las personas sean cautelosas al recibir llamadas de supuestos empleados bancarios, ya que existe una alta posibilidad de que sean estafadores. En este contexto, ha surgido un grupo de aplicaciones maliciosas llamado "Letscall" que se dirige principalmente a personas en Corea del Sur, pero que podría expandirse a otros países. Este grupo de amenazas utiliza un framework completo que proporciona instrucciones y herramientas para operar los dispositivos afectados y comunicarse con las víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/letscall-nuevo-kit-de-herramientas-de-vishinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Vishing, ha experimentado un aumento en popularidad en los últimos años, lo que ha llevado a una disminución de la confianza en las llamadas de números desconocidos. Este fenómeno ha llevado a que las personas sean cautelosas al recibir llamadas de supuestos empleados bancarios, ya que existe una alta posibilidad de que sean estafadores. En este contexto, ha surgido un grupo de aplicaciones maliciosas llamado "Letscall" que se dirige principalmente a personas en Corea del Sur, pero que podría expandirse a otros países. Este grupo de amenazas utiliza un framework completo que proporciona instrucciones y herramientas para operar los dispositivos afectados y comunicarse con las víctimas.
Nueva actividad de la botnet Truebot en América del Norte.Mediante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, en busca de nuevas amenazas o actividades maliciosas que puedan afectar la infraestructura tecnológica de los asociados, se identificaron nuevas campañas maliciosas relacionadas con Truebot dirigidas a diversas organizaciones en los Estados Unidos y Canadá.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-la-botnet-truebot-en-america-del-nortehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, en busca de nuevas amenazas o actividades maliciosas que puedan afectar la infraestructura tecnológica de los asociados, se identificaron nuevas campañas maliciosas relacionadas con Truebot dirigidas a diversas organizaciones en los Estados Unidos y Canadá.
El auge del troyano TOITOIN y su cadena de infección sofisticada que afecta a entidades en América LatinaEn el mundo en constante cambio de las amenazas cibernéticas, ha surgido recientemente una nueva y sofisticada campaña de ataque dirigido en la región de América Latina (LATAM). Esta campaña utiliza un troyano de múltiples etapas llamado TOITOIN, con módulos diseñados específicamente en cada etapa para llevar a cabo actividades maliciosas. Este troyano se destaca por su técnica única de descifrado XOR, que utiliza para decodificar su archivo de configuración y recopilar información crucial del sistema y datos relacionados con los navegadores instalados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-auge-del-troyano-toitoin-y-su-cadena-de-infeccion-sofisticada-que-afecta-a-entidades-en-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo en constante cambio de las amenazas cibernéticas, ha surgido recientemente una nueva y sofisticada campaña de ataque dirigido en la región de América Latina (LATAM). Esta campaña utiliza un troyano de múltiples etapas llamado TOITOIN, con módulos diseñados específicamente en cada etapa para llevar a cabo actividades maliciosas. Este troyano se destaca por su técnica única de descifrado XOR, que utiliza para decodificar su archivo de configuración y recopilar información crucial del sistema y datos relacionados con los navegadores instalados.
Nuevos indicadores de compromiso vinculados al stealer VidarA través del monitoreo a ciberamenazas que puedan afectar el ecosistema del sector financiero, recientemente se identificaron nuevos indicadores de compromiso vinculados a la familia de malware Vidar stealer, una amenaza que se encuentra vigente en Colombia y que continua sus operaciones de afectación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-vinculados-al-stealer-vidarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo a ciberamenazas que puedan afectar el ecosistema del sector financiero, recientemente se identificaron nuevos indicadores de compromiso vinculados a la familia de malware Vidar stealer, una amenaza que se encuentra vigente en Colombia y que continua sus operaciones de afectación.
Nuevos indicadores de compromiso relacionados con el troyano FormBookEn el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan generar afectaciones en la infraestructura de los asociados, se identificaron y recopilaron nuevos indicadores de compromiso relacionados con FormBook, un troyano Infostealer que se ha vuelto cada vez más frecuente en los ataques cibernéticos recientes. Esta amenaza está disponible como Malware as a Service "malware como servicio", lo que permite que atacantes con pocos conocimientos técnicos y de programación utilicen este malware para capturar diversa información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-el-troyano-formbookhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan generar afectaciones en la infraestructura de los asociados, se identificaron y recopilaron nuevos indicadores de compromiso relacionados con FormBook, un troyano Infostealer que se ha vuelto cada vez más frecuente en los ataques cibernéticos recientes. Esta amenaza está disponible como Malware as a Service "malware como servicio", lo que permite que atacantes con pocos conocimientos técnicos y de programación utilicen este malware para capturar diversa información sensible.
Nueva actividad del ransomware Blackbyte 2.0Los ataques de ransomware se han convertido en una preocupación crítica para las organizaciones en todo el mundo. Recientemente, el equipo de analistas del Csirt Financiero ha descubierto una nueva actividad del ransomware BlackByte 2.0, el cual destaca por su velocidad y las graves consecuencias que implica. Los ciberdelincuentes son capaces de llevar a cabo un ataque completo en pocos días, lo cual plantea un desafío significativo para las organizaciones que buscan protegerse de estas operaciones maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nueva-actividad-del-ransomware-blackbyte-2.0http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ataques de ransomware se han convertido en una preocupación crítica para las organizaciones en todo el mundo. Recientemente, el equipo de analistas del Csirt Financiero ha descubierto una nueva actividad del ransomware BlackByte 2.0, el cual destaca por su velocidad y las graves consecuencias que implica. Los ciberdelincuentes son capaces de llevar a cabo un ataque completo en pocos días, lo cual plantea un desafío significativo para las organizaciones que buscan protegerse de estas operaciones maliciosas.
Underground Team Ransomware: una nueva amenaza cibernéticaA medida que evoluciona el panorama de la ciberdelincuencia, los grupos de ransomware están adoptando nuevas estrategias y tácticas para maximizar su impacto. En este contexto, se ha descubierto una nueva cepa de ransomware llamada "Underground team ransomware", que presenta características distintivas en su nota de rescate y en sus métodos de ataque.http://csirtasobancaria.com/Plone/alertas-de-seguridad/underground-team-ransomware-una-nueva-amenaza-ciberneticahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que evoluciona el panorama de la ciberdelincuencia, los grupos de ransomware están adoptando nuevas estrategias y tácticas para maximizar su impacto. En este contexto, se ha descubierto una nueva cepa de ransomware llamada "Underground team ransomware", que presenta características distintivas en su nota de rescate y en sus métodos de ataque.
Nueva variante de ARCrypter ransomware con diversos canales de comunicaciónEl equipo de analistas del Csirt Financiero realizó un monitoreo con apoyo de distintas fuentes de información en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar a infraestructura de los asociados, donde se identificó una nueva variante del ransomware ARCrypter el cual surgió en 2022 ganando popularidad después de un ataque a una entidad ubicada en Chile y que ha comenzado a dirigirse a organizaciones de todo el mundo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-arcrypter-ransomware-con-diversos-canales-de-comunicacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo con apoyo de distintas fuentes de información en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar a infraestructura de los asociados, donde se identificó una nueva variante del ransomware ARCrypter el cual surgió en 2022 ganando popularidad después de un ataque a una entidad ubicada en Chile y que ha comenzado a dirigirse a organizaciones de todo el mundo.
Analisis de la actividad maliciosa de Redline StealerRedLine es un stealer que se comercializa en la Deep y Dark web como un servicio de malware. El equipo de Csirt financiero ha descubierto nuevos indicadores de compromiso asociados a esta amenaza, que incluyen archivos ejecutables y una dirección IP utilizada por grupos de ciberdelincuentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-la-actividad-maliciosa-de-redline-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
RedLine es un stealer que se comercializa en la Deep y Dark web como un servicio de malware. El equipo de Csirt financiero ha descubierto nuevos indicadores de compromiso asociados a esta amenaza, que incluyen archivos ejecutables y una dirección IP utilizada por grupos de ciberdelincuentes.
Neo_Net: La mente maestra detrás de la campaña global de eCrime contra instituciones financierasDurante el período de junio de 2021 a abril de 2023, se ha llevado a cabo una extensa campaña de eCrime dirigida a clientes de importantes entidades financieras a nivel mundial. Los actores de amenazas han centrado su atención principalmente en países como España y Chile. Además, se ha relacionado a esta campaña con un actor de delitos electrónicos mexicano conocido como Neo_Net.http://csirtasobancaria.com/Plone/alertas-de-seguridad/neo_net-la-mente-maestra-detras-de-la-campana-global-de-ecrime-contra-instituciones-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el período de junio de 2021 a abril de 2023, se ha llevado a cabo una extensa campaña de eCrime dirigida a clientes de importantes entidades financieras a nivel mundial. Los actores de amenazas han centrado su atención principalmente en países como España y Chile. Además, se ha relacionado a esta campaña con un actor de delitos electrónicos mexicano conocido como Neo_Net.
Evolución del ransomware Royal para afectar entornos Unix y LinuxEl equipo de analistas del Csirt ha detectado nueva actividad relacionada con el grupo Royal Ransomware. Este grupo malicioso emergió en septiembre de 2022 y se cree que está conformado principalmente por exmiembros del grupo de ransomware Conti, también conocido como Team One. A diferencia de otros grupos, Royal Ransomware opera como un Ransomware-as-a-Service (RaaS) privado, en lugar de utilizar un modelo público. En su historial, han llevado a cabo ataques de gran magnitud dirigidos a infraestructuras críticas, el sector de la salud, la industria manufacturera, el sector educativo y el sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-ransomware-royal-para-afectar-entornos-unix-y-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt ha detectado nueva actividad relacionada con el grupo Royal Ransomware. Este grupo malicioso emergió en septiembre de 2022 y se cree que está conformado principalmente por exmiembros del grupo de ransomware Conti, también conocido como Team One. A diferencia de otros grupos, Royal Ransomware opera como un Ransomware-as-a-Service (RaaS) privado, en lugar de utilizar un modelo público. En su historial, han llevado a cabo ataques de gran magnitud dirigidos a infraestructuras críticas, el sector de la salud, la industria manufacturera, el sector educativo y el sector financiero.
White Snake: La nueva amenaza de tipo stealer con múltiples funcionalidades.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó actividades maliciosas del nuevo stealer conocido como White Snake con amplias funcionalidades para la captura de información; esta amenaza ha tomado bastante popularidad en foros clandestinos de la Deep y Dark web y también fue reportado por el Csirt Financiero en el Bulletin del mes de marzo del presente año.http://csirtasobancaria.com/Plone/alertas-de-seguridad/white-snake-la-nueva-amenaza-de-tipo-stealer-con-multiples-funcionalidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó actividades maliciosas del nuevo stealer conocido como White Snake con amplias funcionalidades para la captura de información; esta amenaza ha tomado bastante popularidad en foros clandestinos de la Deep y Dark web y también fue reportado por el Csirt Financiero en el Bulletin del mes de marzo del presente año.
Meduza Stealer: El peligroso infostealer que amenaza la seguridad digitalEn el oscuro mundo de la ciberdelincuencia, la evolución de las amenazas digitales no conoce límites. Recientemente se ha descubierto un nuevo y peligroso infostealer conocido como Meduza. Este malware, diseñado para el sistema operativo Windows ha surgido como una amenaza sofisticada y lucrativa en el creciente ecosistema del crimeware como servicio (CaaS). Este stealer está siendo activamente desarrollado por su autor para evadir la detección de soluciones de software y se enfoca en la captura integral de datos de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/meduza-stealer-el-peligroso-infostealer-que-amenaza-la-seguridad-digitalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el oscuro mundo de la ciberdelincuencia, la evolución de las amenazas digitales no conoce límites. Recientemente se ha descubierto un nuevo y peligroso infostealer conocido como Meduza. Este malware, diseñado para el sistema operativo Windows ha surgido como una amenaza sofisticada y lucrativa en el creciente ecosistema del crimeware como servicio (CaaS). Este stealer está siendo activamente desarrollado por su autor para evadir la detección de soluciones de software y se enfoca en la captura integral de datos de los usuarios.
Ciberdelincuentes distribuyen BlackCat ransomware mediante técnicas de malvertisingEn el monitoreo realizado por el equipo de analistas del Csirt Financiero mediante diversas fuentes de información en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó que los operadores de BlackCat ransomware emplean técnicas de malvertising (publicidad maliciosa), para distribuir software malicioso a través de páginas web clonadas de organizaciones legítimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-distribuyen-blackcat-ransomware-mediante-tecnicas-de-malvertisinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del Csirt Financiero mediante diversas fuentes de información en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó que los operadores de BlackCat ransomware emplean técnicas de malvertising (publicidad maliciosa), para distribuir software malicioso a través de páginas web clonadas de organizaciones legítimas.
Nueva variante del backdoor RustBucket para MacOSEn la actualidad se está llevando a cabo una peligrosa campaña cibernética conocida como REF9135, orquestada por la República Popular Democrática de Corea (RPDC). Esta campaña emplea una variante actualizada de la puerta trasera para MacOS llamada RUSTBUCKET, caracterizada por sus mejoras en sus capacidades y detección de firmas reducida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-backdoor-rustbucket-para-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la actualidad se está llevando a cabo una peligrosa campaña cibernética conocida como REF9135, orquestada por la República Popular Democrática de Corea (RPDC). Esta campaña emplea una variante actualizada de la puerta trasera para MacOS llamada RUSTBUCKET, caracterizada por sus mejoras en sus capacidades y detección de firmas reducida.
RedEnergy Stealer: nueva amenaza con actividades de ransomware.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información y en busca de amenazas o campañas maliciosas que puedan afectar la infraestructura de los asociados y comprometer los pilares de la seguridad de la información, se identificó una nueva amenaza denominada RedEnergy Stealer altamente sofisticada con capacidades para la captura de información en varios navegadores, además de incorporar diferentes módulos para llevar a cabo actividades de ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/redenergy-stealer-nueva-amenaza-con-actividades-de-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información y en busca de amenazas o campañas maliciosas que puedan afectar la infraestructura de los asociados y comprometer los pilares de la seguridad de la información, se identificó una nueva amenaza denominada RedEnergy Stealer altamente sofisticada con capacidades para la captura de información en varios navegadores, además de incorporar diferentes módulos para llevar a cabo actividades de ransomware.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}