Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevo loader denominado DarkGateEn recientes hallazgos en investigaciones y a través del monitoreo al mercado de los cibercriminales se ha identificado un loader con un elevado grado de elaboración, polivalente y con la capacidad de realizar diversas actividades de otros tipos de malware; esta nueva amenaza es denominada como DarkGate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-loader-denominado-darkgatehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En recientes hallazgos en investigaciones y a través del monitoreo al mercado de los cibercriminales se ha identificado un loader con un elevado grado de elaboración, polivalente y con la capacidad de realizar diversas actividades de otros tipos de malware; esta nueva amenaza es denominada como DarkGate.
Crysis y Venus convergen para realizar ataques RDPRecientemente, se ha confirmado una nueva tendencia, los atacantes del ransomware Crysis están utilizando conjuntamente otro tipo de ransomware llamado Venus en sus ataques. Ambos se dirigen principalmente a servicios de escritorio remoto expuestos externamente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/crysis-y-venus-convergen-para-realizar-ataques-rdphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha confirmado una nueva tendencia, los atacantes del ransomware Crysis están utilizando conjuntamente otro tipo de ransomware llamado Venus en sus ataques. Ambos se dirigen principalmente a servicios de escritorio remoto expuestos externamente.
ThirdEye: Un nuevo Infostealer que captura diversa información de los sistemas infectados.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero y con apoyo de diversas fuentes de información abiertas, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo Infostealer denominado ThirdEye, el cual tiene grandes capacidades para recopilar diversa información del sistema infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/thirdeye-un-nuevo-infostealer-que-captura-diversa-informacion-de-los-sistemas-infectadoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero y con apoyo de diversas fuentes de información abiertas, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo Infostealer denominado ThirdEye, el cual tiene grandes capacidades para recopilar diversa información del sistema infectado.
Expansión del troyano bancario Javali: de América Latina a EuropaEl ciberespacio continúa siendo un terreno fértil para la propagación de amenazas virtuales, y el troyano bancario Javali es un ejemplo destacado de ello. Desde su aparición en 2017, este malware ha estado dirigido a clientes de instituciones financieras en América Latina, con un enfoque particular en Brasil y Chile. Sin embargo, recientemente se ha observado un cambio significativo en sus objetivos, ya que el grupo responsable de Javali ha iniciado una expansión hacia Europa, centrándose específicamente en clientes de la banca española y portuguesa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/expansion-del-troyano-bancario-javali-de-america-latina-a-europahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ciberespacio continúa siendo un terreno fértil para la propagación de amenazas virtuales, y el troyano bancario Javali es un ejemplo destacado de ello. Desde su aparición en 2017, este malware ha estado dirigido a clientes de instituciones financieras en América Latina, con un enfoque particular en Brasil y Chile. Sin embargo, recientemente se ha observado un cambio significativo en sus objetivos, ya que el grupo responsable de Javali ha iniciado una expansión hacia Europa, centrándose específicamente en clientes de la banca española y portuguesa.
Aumento de actividad del ransomware 8BaseSe ha detectado una creciente amenaza de ransomware conocida como 8Base, que ha estado operando en secreto durante más de un año. Durante los meses de mayo y junio de 2023, se ha observado un aumento significativo en su actividad. El grupo detrás de 8Base utiliza técnicas de cifrado y "name-and-shame" para obligar a sus víctimas a pagar rescates.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-del-ransomware-8basehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado una creciente amenaza de ransomware conocida como 8Base, que ha estado operando en secreto durante más de un año. Durante los meses de mayo y junio de 2023, se ha observado un aumento significativo en su actividad. El grupo detrás de 8Base utiliza técnicas de cifrado y "name-and-shame" para obligar a sus víctimas a pagar rescates.
Ransomware Akira apunta a distribuciones LinuxAkira es un ransomware que fue identificado en abril del presente año y el cual se ha destacado por afectar múltiples países. Entre los sectores que más suele afectar se observa la banca, servicios financieros y seguros (BFSI, por sus siglas en inglés) por lo cual se resalta la importancia de esta amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-akira-apunta-a-distribuciones-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Akira es un ransomware que fue identificado en abril del presente año y el cual se ha destacado por afectar múltiples países. Entre los sectores que más suele afectar se observa la banca, servicios financieros y seguros (BFSI, por sus siglas en inglés) por lo cual se resalta la importancia de esta amenaza.
Nueva actividad de la variante Lockbit greenEn el mundo de la ciberseguridad, constantemente surgen nuevas amenazas y variantes de malware que representan un desafío para la protección de sistemas y datos. Una de estas amenazas recientes es Lockbit Green, una variante del ransomware que fue observado a principios del año 2023 y en esta ocasión el equipo de analistas del Csirt Financiero identifico nuevos indicadores de compromiso de esta amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-la-variante-lockbit-greenhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo de la ciberseguridad, constantemente surgen nuevas amenazas y variantes de malware que representan un desafío para la protección de sistemas y datos. Una de estas amenazas recientes es Lockbit Green, una variante del ransomware que fue observado a principios del año 2023 y en esta ocasión el equipo de analistas del Csirt Financiero identifico nuevos indicadores de compromiso de esta amenaza.
Nueva campaña del troyano DCRATEl troyano de acceso remoto (RAT) conocido como DarkCrystal o DCRat ha surgido como una amenaza persistente en el mundo de la ciberseguridad. Este malware en constante evolución se ofrece en foros de la Deep y Dark web como Malware as a Service (MaaS). Los actores de amenazas detrás de DarkCrystal continúan perfeccionando su código y añadiendo nuevas capacidades para satisfacer las demandas de los compradores. Su distribución se lleva a cabo en la Darknet, particularmente en foros de idioma ruso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-dcrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano de acceso remoto (RAT) conocido como DarkCrystal o DCRat ha surgido como una amenaza persistente en el mundo de la ciberseguridad. Este malware en constante evolución se ofrece en foros de la Deep y Dark web como Malware as a Service (MaaS). Los actores de amenazas detrás de DarkCrystal continúan perfeccionando su código y añadiendo nuevas capacidades para satisfacer las demandas de los compradores. Su distribución se lleva a cabo en la Darknet, particularmente en foros de idioma ruso.
Nueva campaña del troyano bancario AnatsaEn el mundo actual, donde la tecnología móvil se ha vuelto constante en el ámbito laboral y en el día a día de las personas, también ha habido un aumento en las amenazas cibernéticas dirigidas a dispositivos móviles. Una de las últimas campañas maliciosas que ha surgido es la del troyano bancario de Android llamado Anatsa. Desde marzo de 2023, esta amenaza ha estado afectando a los usuarios de banca en línea en países como Estados Unidos, Reino Unido, Alemania, Austria y Suiza. Los ciberdelincuentes están utilizando la Play Store, la tienda oficial de aplicaciones de Android, como medio de distribución.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-bancario-anatsahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo actual, donde la tecnología móvil se ha vuelto constante en el ámbito laboral y en el día a día de las personas, también ha habido un aumento en las amenazas cibernéticas dirigidas a dispositivos móviles. Una de las últimas campañas maliciosas que ha surgido es la del troyano bancario de Android llamado Anatsa. Desde marzo de 2023, esta amenaza ha estado afectando a los usuarios de banca en línea en países como Estados Unidos, Reino Unido, Alemania, Austria y Suiza. Los ciberdelincuentes están utilizando la Play Store, la tienda oficial de aplicaciones de Android, como medio de distribución.
Ransomware Black Basta: amenaza persistente y tácticas avanzadas de distribuciónEl ransomware Black Basta ha ganado notoriedad en los últimos meses por atacar a organizaciones de alto perfil en Europa y América del Norte en diversas industrias. Se cree que este ransomware es un sucesor del Conti ransomware, y se ha relacionado con el grupo de amenazas Fin7. Black Basta opera bajo un modelo Ransomware-as-a-Service (RaaS), proporcionando herramientas y soporte técnico a sus afiliados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-black-basta-amenaza-persistente-y-tacticas-avanzadas-de-distribucionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Black Basta ha ganado notoriedad en los últimos meses por atacar a organizaciones de alto perfil en Europa y América del Norte en diversas industrias. Se cree que este ransomware es un sucesor del Conti ransomware, y se ha relacionado con el grupo de amenazas Fin7. Black Basta opera bajo un modelo Ransomware-as-a-Service (RaaS), proporcionando herramientas y soporte técnico a sus afiliados.
Nuevas actividades del stealer RecordBreakerEl equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas o amenazas que puedan llegar a afectar la infraestructura de los asociados, donde se identificó nueva actividad del stealer RecordBreaker, también conocido como Raccoon Stealer V2, el cual es un tipo de software malicioso que se hace pasar por un instalador de .NET distribuye, utilizando técnicas de persuasión y ha evolucionado con el pasar de los años.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actividades-del-stealer-recordbreakerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas o amenazas que puedan llegar a afectar la infraestructura de los asociados, donde se identificó nueva actividad del stealer RecordBreaker, también conocido como Raccoon Stealer V2, el cual es un tipo de software malicioso que se hace pasar por un instalador de .NET distribuye, utilizando técnicas de persuasión y ha evolucionado con el pasar de los años.
Amenaza cibernética: El APT Flea ataca ministerios y corporaciones con la nueva puerta trasera GraphicanDurante el periodo que abarcó desde finales de 2022 hasta principios de 2023, los ministerios de asuntos exteriores en las Américas fueron objeto de una serie de ataques cibernéticos. Estos ataques fueron llevados a cabo por un grupo chino patrocinado por el estado llamado Flea, también conocido como APT15, que ha estado operando desde al menos 2004. Los informes indican que la campaña reciente también tuvo como objetivo otros sectores, como un departamento de finanzas del gobierno y una corporación que opera en las Américas. El grupo utiliza una variedad de herramientas, incluyendo una nueva puerta trasera denominada Graphican, así como otras herramientas previamente asociadas con Flea.http://csirtasobancaria.com/Plone/alertas-de-seguridad/amenaza-cibernetica-el-apt-flea-ataca-ministerios-y-corporaciones-con-la-nueva-puerta-trasera-graphicanhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el periodo que abarcó desde finales de 2022 hasta principios de 2023, los ministerios de asuntos exteriores en las Américas fueron objeto de una serie de ataques cibernéticos. Estos ataques fueron llevados a cabo por un grupo chino patrocinado por el estado llamado Flea, también conocido como APT15, que ha estado operando desde al menos 2004. Los informes indican que la campaña reciente también tuvo como objetivo otros sectores, como un departamento de finanzas del gobierno y una corporación que opera en las Américas. El grupo utiliza una variedad de herramientas, incluyendo una nueva puerta trasera denominada Graphican, así como otras herramientas previamente asociadas con Flea.
Se identifica campaña de phishing distribuyendo Lokibot (LokiPWS)Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero con apoyo de diversas fuentes de información, se identificó una campaña de phishing reciente, que ha sido distribuida en diversos países de norte América, Europa y África, donde utilizan el troyano conocido como LokiBot o LokiPWS para comprometer los sistemas de las víctimas y exfiltrar credenciales de acceso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-campana-de-phishing-distribuyendo-lokibot-lokipwshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero con apoyo de diversas fuentes de información, se identificó una campaña de phishing reciente, que ha sido distribuida en diversos países de norte América, Europa y África, donde utilizan el troyano conocido como LokiBot o LokiPWS para comprometer los sistemas de las víctimas y exfiltrar credenciales de acceso.
Campaña de phishing "MULTI # STORM" utiliza archivos JavaScript para distribuir los RAT AveMaria y QuasarRecientemente se ha descubierto una campaña de phishing que utiliza tácticas de ingeniería social para comprometer a las víctimas. La campaña, denominada MULTI # STORM, tiene como objetivo principalmente a usuarios en los Estados Unidos e India.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-multi-storm-utiliza-archivos-javascript-para-distribuir-los-rat-avemaria-y-quasarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha descubierto una campaña de phishing que utiliza tácticas de ingeniería social para comprometer a las víctimas. La campaña, denominada MULTI # STORM, tiene como objetivo principalmente a usuarios en los Estados Unidos e India.
Nueva amenaza de tipo Dropper denominada PindOSLa ciberseguridad es un tema cada vez más relevante en nuestra era digital, ya que las amenazas y los ataques informáticos continúan evolucionando y representando un riesgo para los pilares de la seguridad de la información de las entidades, en este contexto, se ha observado recientemente la aparición de una nueva variedad de cuentagotas de JavaScript que plantea una preocupación en el ámbito de la seguridad en línea. Esta nueva amenaza, conocida como PindOS, el cual es ejecutada a través del troyano bancario Iced ID y Bumblebee.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-de-tipo-dropper-denominada-pindoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La ciberseguridad es un tema cada vez más relevante en nuestra era digital, ya que las amenazas y los ataques informáticos continúan evolucionando y representando un riesgo para los pilares de la seguridad de la información de las entidades, en este contexto, se ha observado recientemente la aparición de una nueva variedad de cuentagotas de JavaScript que plantea una preocupación en el ámbito de la seguridad en línea. Esta nueva amenaza, conocida como PindOS, el cual es ejecutada a través del troyano bancario Iced ID y Bumblebee.
Nueva actividad del ransomware Clop explotando vulnerabilidades conocidasEl equipo de analistas del Csirt Financiero ha detectado recientemente una actividad maliciosa de Clop, una amenaza previamente conocida. Se han recopilado nuevos indicadores de compromiso (IoC), los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con el propósito de obtener información confidencial de manera ilícita.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-ransomware-clop-explotando-vulnerabilidades-conocidashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado recientemente una actividad maliciosa de Clop, una amenaza previamente conocida. Se han recopilado nuevos indicadores de compromiso (IoC), los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con el propósito de obtener información confidencial de manera ilícita.
Nuevos IoC relacionados con el troyano bancario QakbotMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en diversas fuentes de información y en busca de amenazas o campañas maliciosas que pueden llegar a afectar la infraestructura de los asociados, se logró identificar y recopilar nuevos indicadores de compromiso relacionados con el troyano bancario QakBot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-relacionados-con-el-troyano-bancario-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en diversas fuentes de información y en busca de amenazas o campañas maliciosas que pueden llegar a afectar la infraestructura de los asociados, se logró identificar y recopilar nuevos indicadores de compromiso relacionados con el troyano bancario QakBot.
Condi: La nueva Botnet DDoS que explota vulnerabilidades para ataques masivosEn un reciente descubrimiento, se ha identificado un nuevo botnet de tipo DDoS denominado Condi. Este botnet ha intentado expandirse aprovechando vulnerabilidades en los enrutadores TP-Link Archer AX21 (AX1800). Desde finales de mayo de 2023, se ha observado un aumento en el número de muestras de Condi recolectadas, lo que indica un activo intento de expansión de esta amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/condi-la-nueva-botnet-ddos-que-explota-vulnerabilidades-para-ataques-masivoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En un reciente descubrimiento, se ha identificado un nuevo botnet de tipo DDoS denominado Condi. Este botnet ha intentado expandirse aprovechando vulnerabilidades en los enrutadores TP-Link Archer AX21 (AX1800). Desde finales de mayo de 2023, se ha observado un aumento en el número de muestras de Condi recolectadas, lo que indica un activo intento de expansión de esta amenaza.
Mallox: ransomware dirigido a servidores MS-SQLEl ransomware Mallox ha surgido como una amenaza cibernética significativa en el panorama de la seguridad informática y se ha utilizado para atacar servidores MS-SQL que han sido administrados incorrectamente o que cuenten con vulnerabilidades no parchadas, poniendo en peligro la integridad de los datos y la operatividad de las organizaciones afectadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/mallox-ransomware-dirigido-a-servidores-ms-sqlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Mallox ha surgido como una amenaza cibernética significativa en el panorama de la seguridad informática y se ha utilizado para atacar servidores MS-SQL que han sido administrados incorrectamente o que cuenten con vulnerabilidades no parchadas, poniendo en peligro la integridad de los datos y la operatividad de las organizaciones afectadas.
Campaña del APT BlindEagle en Colombia distribuye activamente el troyano de acceso remoto AsyncRATUna nueva y peligrosa campaña de ciberataques ha sido detectada en Colombia, perpetrada por el conocido grupo de ciberespionaje APT BlindEagle. Esta organización ha desplegado una sofisticada cadena de operaciones que utiliza técnicas de phishing para distribuir de manera activa el troyano de acceso remoto conocido como AsyncRAT. Con el objetivo de infiltrarse en sistemas sensibles y capturar información confidencial, esta campaña representa una seria amenaza para empresas e individuos en el país.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-del-apt-blindeagle-en-colombia-distribuye-activamente-el-troyano-de-acceso-remoto-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una nueva y peligrosa campaña de ciberataques ha sido detectada en Colombia, perpetrada por el conocido grupo de ciberespionaje APT BlindEagle. Esta organización ha desplegado una sofisticada cadena de operaciones que utiliza técnicas de phishing para distribuir de manera activa el troyano de acceso remoto conocido como AsyncRAT. Con el objetivo de infiltrarse en sistemas sensibles y capturar información confidencial, esta campaña representa una seria amenaza para empresas e individuos en el país.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}