Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Ransomware Monster implementa interfaz gráfica avanzadaLos ciberdelincuentes, mediante nuevas técnicas y tácticas realizan constantes actualizaciones en sus campañas, desarrollando nuevas amenazas que pueden afectar entidades y organizaciones; el equipo de analistas del Csirt Financiero identificó una nueva actualización del ransomware Monster, el cual es uno de los primeros en contar con una interfaz gráfica avanzada del usuario (GUI), que para los actores de amenaza lo hace mucho más sencillo y accesible al momento de realizar un ataque.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-monster-implementa-interfaz-grafica-avanzadahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberdelincuentes, mediante nuevas técnicas y tácticas realizan constantes actualizaciones en sus campañas, desarrollando nuevas amenazas que pueden afectar entidades y organizaciones; el equipo de analistas del Csirt Financiero identificó una nueva actualización del ransomware Monster, el cual es uno de los primeros en contar con una interfaz gráfica avanzada del usuario (GUI), que para los actores de amenaza lo hace mucho más sencillo y accesible al momento de realizar un ataque.
Nuevos artefactos del troyano bancario IcedIDAunque el troyano bancario IcedID, ha sido reportado en ocasiones anteriores, los ciberdelincuentes mantienen en constantes actualizaciones de los artefactos utilizados en nuevas campañas y ataques que pueden llegar afectar entidades y organizaciones; en esta ocasión el equipo de analistas del Csirt Financiero identifico nuevos indicadores de compromiso (IoC) de IcedID, el cual está dirigido a sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-del-troyano-bancario-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano bancario IcedID, ha sido reportado en ocasiones anteriores, los ciberdelincuentes mantienen en constantes actualizaciones de los artefactos utilizados en nuevas campañas y ataques que pueden llegar afectar entidades y organizaciones; en esta ocasión el equipo de analistas del Csirt Financiero identifico nuevos indicadores de compromiso (IoC) de IcedID, el cual está dirigido a sistemas operativos Windows.
Nueva amenaza distribuida a través de Google Play denominada DawDropperA medida que los fabricantes de tecnología y servicios mejoran su seguridad, los ciberdelincuentes identifican y desarrollan nuevas formas para inyectar o distribuir malware; en esta ocasión el equipo de analistas del Csirt Financiero identifico una nueva amenaza denominada DawDropper, un dropper bancario distribuido a través de diferentes aplicaciones que tiene la finalidad de entregar troyanos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-distribuida-a-traves-de-google-play-denominada-dawdropperhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que los fabricantes de tecnología y servicios mejoran su seguridad, los ciberdelincuentes identifican y desarrollan nuevas formas para inyectar o distribuir malware; en esta ocasión el equipo de analistas del Csirt Financiero identifico una nueva amenaza denominada DawDropper, un dropper bancario distribuido a través de diferentes aplicaciones que tiene la finalidad de entregar troyanos.
Nuevos artefactos asociados al troyano FormbookTeniendo en cuenta las constantes actualizaciones de campañas y de amenazas que realizan los ciberdelincuentes, en esta ocasión el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso (IoC) relacionados al troyano conocido como Formbook.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-asociados-al-troyano-formbook-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Teniendo en cuenta las constantes actualizaciones de campañas y de amenazas que realizan los ciberdelincuentes, en esta ocasión el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso (IoC) relacionados al troyano conocido como Formbook.
1More un ransomware basado en VoidCryptEl panorama en la naturaleza de amenazas presentes en el ciberespacio continúa ampliándose cada vez más, en ese orden de ideas el ransomware hace parte de la superficie de ataque más empleada por ciberdelincuentes puesto que es un negocio rentable para estos actores; con base a lo anterior se ha detectado una variante de la familia de ransomware denominada VoidCrypt cuyo código está disponible en la Darknet, esta nueva amenaza ha sido denominado 1More.http://csirtasobancaria.com/Plone/alertas-de-seguridad/1more-un-ransomware-basado-en-voidcrypthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama en la naturaleza de amenazas presentes en el ciberespacio continúa ampliándose cada vez más, en ese orden de ideas el ransomware hace parte de la superficie de ataque más empleada por ciberdelincuentes puesto que es un negocio rentable para estos actores; con base a lo anterior se ha detectado una variante de la familia de ransomware denominada VoidCrypt cuyo código está disponible en la Darknet, esta nueva amenaza ha sido denominado 1More.
Nuevo framework denominado ManjusakaEl panorama de amenazas es cada vez más amplio, del cual se desglosan múltiples tácticas, técnicas y procedimientos (TTP) empleados por los cibercriminales en la naturaleza, así mismo se ha observado un nuevo framework de ataque denominado Manjusaka, el cual podrán implementar los adversarios en sus acciones posteriores a la fase de explotación en un ataque cibernético por lo que tiene el potencial de prevalecer en el ciberespacio como una alternativa de Cobalt Strike.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-framework-denominado-manjusakahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de amenazas es cada vez más amplio, del cual se desglosan múltiples tácticas, técnicas y procedimientos (TTP) empleados por los cibercriminales en la naturaleza, así mismo se ha observado un nuevo framework de ataque denominado Manjusaka, el cual podrán implementar los adversarios en sus acciones posteriores a la fase de explotación en un ataque cibernético por lo que tiene el potencial de prevalecer en el ciberespacio como una alternativa de Cobalt Strike.
Nueva actividad maliciosa del troyano de acceso remoto NetwireEl troyano de acceso remoto (RAT) Netwire, fue identificado por primera vez en el año 2012 desde entonces los ciberdelincuentes realizan constantes actualizaciones y generan nuevos artefactos de este RAT; actualmente el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso (IoC) en el mes de agosto, el cual tiene como objetivo la captura y exfiltración de datos confidenciales dirigida a equipos con sistemas operativos Windows, Linux y MacOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-de-acceso-remoto-netwirehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano de acceso remoto (RAT) Netwire, fue identificado por primera vez en el año 2012 desde entonces los ciberdelincuentes realizan constantes actualizaciones y generan nuevos artefactos de este RAT; actualmente el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso (IoC) en el mes de agosto, el cual tiene como objetivo la captura y exfiltración de datos confidenciales dirigida a equipos con sistemas operativos Windows, Linux y MacOS.
Nuevo troyano de acceso remoto denominado WoodyA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero recientemente identificaron un nuevo troyano de acceso remoto denominado Woody, este ha estado activo desde 2021 y desde entonces logró impactar a diferentes organizaciones en las cuales encontramos que algunas hacen parte del sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-woodyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero recientemente identificaron un nuevo troyano de acceso remoto denominado Woody, este ha estado activo desde 2021 y desde entonces logró impactar a diferentes organizaciones en las cuales encontramos que algunas hacen parte del sector financiero.
Nueva vulnerabilidad afecta VPN de KasperskyKaspersky, una organización conocida a nivel mundial de origen ruso, destacada por sus herramientas de seguridad informática, fue vulnerada en uno de sus productos el cual permite una escalada de privilegios locales en la VPN Secure Connection de Kaspersky, la vulnerabilidad fue identificada como CVE-2022-27535 y está dirigida a sistemas operativos Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-vulnerabilidad-afecta-vpn-de-kasperskyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Kaspersky, una organización conocida a nivel mundial de origen ruso, destacada por sus herramientas de seguridad informática, fue vulnerada en uno de sus productos el cual permite una escalada de privilegios locales en la VPN Secure Connection de Kaspersky, la vulnerabilidad fue identificada como CVE-2022-27535 y está dirigida a sistemas operativos Microsoft Windows.
Nueva campaña de phishing en servicios de correo electrónico de MicrosoftEn la constante evolución de las tácticas y técnicas que utilizan los ciberdelincuentes con el objetivo de comprometer usuarios, entidades u organizaciones; el equipo de analistas del Csirt Financiero en su firme monitoreo a amenazas que puedan llegar a impactar el sector observó una nueva campaña tipo phishing, una técnica muy utilizada por los ciberdelincuentes, donde envían correos electrónicos a cuentas de usuarios de Microsoft con el objetivó de capturar credenciales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-en-servicios-de-correo-electronico-de-microsofthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la constante evolución de las tácticas y técnicas que utilizan los ciberdelincuentes con el objetivo de comprometer usuarios, entidades u organizaciones; el equipo de analistas del Csirt Financiero en su firme monitoreo a amenazas que puedan llegar a impactar el sector observó una nueva campaña tipo phishing, una técnica muy utilizada por los ciberdelincuentes, donde envían correos electrónicos a cuentas de usuarios de Microsoft con el objetivó de capturar credenciales.
Despliegue de campañas maliciosas a través del servicio c2aas de dark utilities.Recientemente desde el Csirt Financiero se observó un nuevo servicio de C2 que está siendo utilizado por ciberdelincuentes a través de una plataforma conocida en el presente año y denominada como Dark Utilities, la idea de su uso es emplear un método sencillo para realizar diferentes tipos de ciberactividades malintencionadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/despliegue-de-campanas-maliciosas-a-traves-del-servicio-c2aas-de-dark-utilitieshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente desde el Csirt Financiero se observó un nuevo servicio de C2 que está siendo utilizado por ciberdelincuentes a través de una plataforma conocida en el presente año y denominada como Dark Utilities, la idea de su uso es emplear un método sencillo para realizar diferentes tipos de ciberactividades malintencionadas.
Nueva campaña maliciosa relacionada a BumblebeeLos actores de amenaza conocidos como Projector Libra o EXOTIC LILY son los principales responsables de esta nueva campaña en la que se realiza la distribución del loader Bumblebee, este utiliza servicios de intercambio de archivos maliciosos mediante correos electrónicos para distribuir malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-relacionada-a-bumblebeehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza conocidos como Projector Libra o EXOTIC LILY son los principales responsables de esta nueva campaña en la que se realiza la distribución del loader Bumblebee, este utiliza servicios de intercambio de archivos maliciosos mediante correos electrónicos para distribuir malware.
China inicia un ambiente belicista a nivel interno a través de ataques cibernéticos dirigidosEn los últimos días se han estado librando ataques cibernéticos en China de manera constante, estos están dirigidos a entidades gubernamentales y estaciones de tren con el fin de afectar sus infraestructuras tecnológicas e interrumpir su disponibilidad; se presume que podrían ser parte de estrategias políticas para desencadenar conflictos en los sistemas de computadores o redes de otros países y hacía muchos más sectores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/china-inicia-un-ambiente-belicista-a-nivel-interno-a-traves-de-ataques-ciberneticos-dirigidoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos días se han estado librando ataques cibernéticos en China de manera constante, estos están dirigidos a entidades gubernamentales y estaciones de tren con el fin de afectar sus infraestructuras tecnológicas e interrumpir su disponibilidad; se presume que podrían ser parte de estrategias políticas para desencadenar conflictos en los sistemas de computadores o redes de otros países y hacía muchos más sectores.
Nueva capacidad de autopropagación implementada en Black BastaEvidentemente el ransomware Black Basta se ha convertido en una ciberamenaza relevante debido a su capacidad de afectación, este dirige sus actividades a sistemas operativos Windows, Linux y ESXi. En su versión más reciente, tiene la capacidad de autopropagarse a través de la red durante el proceso de cifrado, para esto utiliza el protocolo LDAP de acceso a los directorios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-capacidad-de-autopropagacion-implementada-en-black-bastahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Evidentemente el ransomware Black Basta se ha convertido en una ciberamenaza relevante debido a su capacidad de afectación, este dirige sus actividades a sistemas operativos Windows, Linux y ESXi. En su versión más reciente, tiene la capacidad de autopropagarse a través de la red durante el proceso de cifrado, para esto utiliza el protocolo LDAP de acceso a los directorios.
Ciberdelincuentes abusan de vulnerabilidad para implementar nuevas campañas de phishing.Phishing es una de las técnicas más utilizadas por los ciberdelincuentes para capturar información confidencial de las víctimas, esto es debido a que la preparación de este ataque no requiere de gran complejidad a comparación de otras campañas maliciosas que implementan diversas familias de malware, donde en algunas ocasiones es necesario haber estudiado previamente la infraestructura tecnológica que se pretende afectar.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-abusan-de-vulnerabilidad-para-implementar-nuevas-campanas-de-phishinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Phishing es una de las técnicas más utilizadas por los ciberdelincuentes para capturar información confidencial de las víctimas, esto es debido a que la preparación de este ataque no requiere de gran complejidad a comparación de otras campañas maliciosas que implementan diversas familias de malware, donde en algunas ocasiones es necesario haber estudiado previamente la infraestructura tecnológica que se pretende afectar.
RapperBot, bonet que utiliza ataques de fuerza bruta dirigida a servidores Linux SSHA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva amenaza denominada RapperBot, botnet dirigida a servidores Linux SSH que utiliza ataques de fuerza bruta para comprometerlos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rapperbot-bonet-que-utiliza-ataques-de-fuerza-bruta-dirigida-a-servidores-linux-sshhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva amenaza denominada RapperBot, botnet dirigida a servidores Linux SSH que utiliza ataques de fuerza bruta para comprometerlos.
Nueva familia de ransomware denominada HydroxGeneralmente el ransomware tiene como objetivo principal generar ganancias económicas, al cifrar la información confidencial de sus víctimas; asimismo en el ciberespacio existen distintos actores de amenazas dentro de los cuales se encuentran los Script Kiddies a quienes puede estar atribuido esta nueva familia denominada Hydrox que busca afectar sistemas operativos Microsoft Windows y MacOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-ransomware-denominada-hydroxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Generalmente el ransomware tiene como objetivo principal generar ganancias económicas, al cifrar la información confidencial de sus víctimas; asimismo en el ciberespacio existen distintos actores de amenazas dentro de los cuales se encuentran los Script Kiddies a quienes puede estar atribuido esta nueva familia denominada Hydrox que busca afectar sistemas operativos Microsoft Windows y MacOS.
Nuevos indicadores de compromiso del troyano bancario BrataAunque el troyano bancario Brata ha sido reportado en ocasiones anteriores, los ciberdelincuentes están en constantes actualizaciones de nuevos artefactos de estas amenazas las cuales pueden afectar la infraestructura de los asociados; en esta ocasión el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de Brata en el mes de agosto, dicho troyano afecta dispositivos con sistema operativo Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-del-troyano-bancario-bratahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano bancario Brata ha sido reportado en ocasiones anteriores, los ciberdelincuentes están en constantes actualizaciones de nuevos artefactos de estas amenazas las cuales pueden afectar la infraestructura de los asociados; en esta ocasión el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de Brata en el mes de agosto, dicho troyano afecta dispositivos con sistema operativo Android.
Tropical Scorpius implementa nuevas TTP para la distribución del ransomware CubaEl ransomware es una amenaza latente en el ciberespacio ganando cada vez más fuerza, esto debido a que es un negocio bastante lucrativo para los ciberdelincuentes; justamente esa es la razón de que Cuba ransomware continúe siendo parte de la naturaleza y resurja con nuevas técnicas, tácticas y procedimientos empleadas por un grupo de amenazas rastreado como Tropical Scorpius quienes lideran una gran campaña durante el último mes, la cual está afectando varios sectores económicos dentro de los cuales se encuentra el financiero como uno de sus principales objetivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/tropical-scorpius-implementa-nuevas-ttp-para-la-distribucion-del-ransomware-cubahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware es una amenaza latente en el ciberespacio ganando cada vez más fuerza, esto debido a que es un negocio bastante lucrativo para los ciberdelincuentes; justamente esa es la razón de que Cuba ransomware continúe siendo parte de la naturaleza y resurja con nuevas técnicas, tácticas y procedimientos empleadas por un grupo de amenazas rastreado como Tropical Scorpius quienes lideran una gran campaña durante el último mes, la cual está afectando varios sectores económicos dentro de los cuales se encuentra el financiero como uno de sus principales objetivos.
Ataque reciente a Cisco es atribuido al grupo YanlouwangRecientemente el gigante de las telecomunicaciones Cisco, reveló que el grupo de ransomware denominado Yanlouwang comprometió su red corporativa en el mes de mayo y además exfiltró datos propios de la compañía.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-reciente-a-cisco-es-atribuido-al-grupo-yanlouwanghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el gigante de las telecomunicaciones Cisco, reveló que el grupo de ransomware denominado Yanlouwang comprometió su red corporativa en el mes de mayo y además exfiltró datos propios de la compañía.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}