Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
El nuevo downloader denominado IronRiderLa superficie de ataques continúa creciendo conforme se desarrollan nuevas actualizaciones y funcionalidades en sistemas operativos, software y tecnologías emergentes, razón por la que en la naturaleza emergen nuevas amenazas alineadas con esas nuevas capacidades; en ese orden de ideas se ha detectado recientemente una sucesión de ataques desplegados en Europa del Este en los que se empleó el nuevo downloader IronRider.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-nuevo-downloader-denominado-ironriderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La superficie de ataques continúa creciendo conforme se desarrollan nuevas actualizaciones y funcionalidades en sistemas operativos, software y tecnologías emergentes, razón por la que en la naturaleza emergen nuevas amenazas alineadas con esas nuevas capacidades; en ese orden de ideas se ha detectado recientemente una sucesión de ataques desplegados en Europa del Este en los que se empleó el nuevo downloader IronRider.
Nueva familia de ransomware denominada Ransomexx2Dentro del ciberespacio es constante las actualizaciones y diversas variantes de amenazas que los ciberdelincuentes realizan en pro de afectar entidades y organizaciones con el fin de obtener alguna ganancia ya se económica o reputacional, es por eso que a través de fuentes abiertas de información el equipo de analistas del Csirt identifico una variante de ransomware denominada como RansomExx2 el cual principalmente afecta a equipos con sistema operativo Linux y donde posiblemente también se encuentre una versión para Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-ransomware-denominada-ransomexx2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro del ciberespacio es constante las actualizaciones y diversas variantes de amenazas que los ciberdelincuentes realizan en pro de afectar entidades y organizaciones con el fin de obtener alguna ganancia ya se económica o reputacional, es por eso que a través de fuentes abiertas de información el equipo de analistas del Csirt identifico una variante de ransomware denominada como RansomExx2 el cual principalmente afecta a equipos con sistema operativo Linux y donde posiblemente también se encuentre una versión para Windows.
Nueva actividad del troyano bancario SharkbotRecientemente se han evidenciado nuevas actualizaciones dentro de la tienda de aplicaciones conocida como Google Play store, donde se está distribuyendo una amenaza conocida como el troyano bancario denominado Sharkbot el cual ha sido reportado anteriormente por el equipo de analistas del Csirt Financiero donde en esta ocasión se identificaron nuevas aplicaciones para su distribución y con esto se observaron nuevos indicadores de compromiso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-bancario-sharkbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se han evidenciado nuevas actualizaciones dentro de la tienda de aplicaciones conocida como Google Play store, donde se está distribuyendo una amenaza conocida como el troyano bancario denominado Sharkbot el cual ha sido reportado anteriormente por el equipo de analistas del Csirt Financiero donde en esta ocasión se identificaron nuevas aplicaciones para su distribución y con esto se observaron nuevos indicadores de compromiso.
Nueva actividad maliciosa de RapperbotLos ataques de DDoS generalmente son desplegados en diferentes modelos de redes de bots, de las que hacen parte dispositivos IoT comprometidos, con el objetivo de lograr impactar la disponibilidad de las infraestructuras tecnológicas que tengan como objetivo los atacantes, en ese orden de ideas se han identificado una serie de ataques cibernéticos relacionados con la botnet RapperBot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-rapperbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ataques de DDoS generalmente son desplegados en diferentes modelos de redes de bots, de las que hacen parte dispositivos IoT comprometidos, con el objetivo de lograr impactar la disponibilidad de las infraestructuras tecnológicas que tengan como objetivo los atacantes, en ese orden de ideas se han identificado una serie de ataques cibernéticos relacionados con la botnet RapperBot.
Se identifican nuevos indicadores de compromiso del troyano de acceso remoto DCRATEl troyano de acceso remoto conocido como DCRat o Dark Crystal RAT, ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero y como es común en el ámbito de la ciberseguridad los ciberdelincuentes mantienen constantes actualizaciones de estas amenazas, por lo que se identificaron nuevos indicadores de compromiso relacionados a DCRat en el mes de noviembre.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-indicadores-de-compromiso-del-troyano-de-acceso-remoto-dcrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano de acceso remoto conocido como DCRat o Dark Crystal RAT, ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero y como es común en el ámbito de la ciberseguridad los ciberdelincuentes mantienen constantes actualizaciones de estas amenazas, por lo que se identificaron nuevos indicadores de compromiso relacionados a DCRat en el mes de noviembre.
Nuevos indicadores de compromiso asociados a NanoCore RATRecientemente se han evidenciado nuevos indicadores de compromiso asociados a NanoCore RAT, un troyano de acceso remoto que destaca por sus capacidades de recopilar información confidencial a través de múltiples acciones relacionadas con spyware. Así mismo, se observa que este se distribuye por medio foros clandestinos en la Deep y Dark web, donde es ofrecido a un precio muy bajo; esto permite que muchos grupos de ciberdelincuentes que no poseen conocimiento sobre elaboración de malware puedan adquirir uno e incluirlo en sus campañas maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-nanocore-rat-4http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se han evidenciado nuevos indicadores de compromiso asociados a NanoCore RAT, un troyano de acceso remoto que destaca por sus capacidades de recopilar información confidencial a través de múltiples acciones relacionadas con spyware. Así mismo, se observa que este se distribuye por medio foros clandestinos en la Deep y Dark web, donde es ofrecido a un precio muy bajo; esto permite que muchos grupos de ciberdelincuentes que no poseen conocimiento sobre elaboración de malware puedan adquirir uno e incluirlo en sus campañas maliciosas.
Nuevos métodos de distribución de Hive RansomwareHive ransomware ha seguido activo en el ciberespacio atacando múltiples organizaciones en todo el mundo, tanto así que los actores detrás de esta amenaza se han beneficiado de más de 100 millones de dólares en los pagos de rescate, esta amenaza lleva activa desde junio del 2021 y sigue el modelo de Ransomware-as-a-Service (RaaS).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-metodos-de-distribucion-de-hive-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Hive ransomware ha seguido activo en el ciberespacio atacando múltiples organizaciones en todo el mundo, tanto así que los actores detrás de esta amenaza se han beneficiado de más de 100 millones de dólares en los pagos de rescate, esta amenaza lleva activa desde junio del 2021 y sigue el modelo de Ransomware-as-a-Service (RaaS).
Ciberdelincuentes realizan nuevas actividades para la entrega de malwareDe forma reciente se ha identificado al grupo DEV-0569 desplegando campañas de malvertising (introducir malware en la publicidad en línea para extender otro malware) para distribuir payload de diferentes familias de malware a través del servicio Google Ads.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-realizan-nuevas-actividades-para-la-entrega-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
De forma reciente se ha identificado al grupo DEV-0569 desplegando campañas de malvertising (introducir malware en la publicidad en línea para extender otro malware) para distribuir payload de diferentes familias de malware a través del servicio Google Ads.
Nuevos Ransomware denominados AXLocker, Octocrypt y Alice.El equipo de analistas del Csirt Financiero realizo un monitoreo en el ciber espacio de nuevas amenazas que puedan llegar a afectar la infraestructura y pilares de la información de nuestros asociados, donde se encontraron tres nuevas familias de Ransomware denominadas AXLocker, Octocrypt y Alice.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ransomware-denominados-axlocker-octocrypt-y-alicehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizo un monitoreo en el ciber espacio de nuevas amenazas que puedan llegar a afectar la infraestructura y pilares de la información de nuestros asociados, donde se encontraron tres nuevas familias de Ransomware denominadas AXLocker, Octocrypt y Alice.
LodaRAT implementa diversas variantes de malwareRecientemente, se ha identificado una nueva variante de LodaRAT que también es conocido por otro nombre como Nymeria; en sus nuevas actividades se ha observado que se implementa junto con otros malware conocidos como RedLine Stealer y Neshta. LodaRAT está desarrollado en AutoIT y es capaz de recopilar y exfiltrar la información alojada en las infraestructuras informáticas comprometidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/lodarat-implementa-diversas-variantes-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una nueva variante de LodaRAT que también es conocido por otro nombre como Nymeria; en sus nuevas actividades se ha observado que se implementa junto con otros malware conocidos como RedLine Stealer y Neshta. LodaRAT está desarrollado en AutoIT y es capaz de recopilar y exfiltrar la información alojada en las infraestructuras informáticas comprometidas.
Nueva actividad maliciosa atribuida a QbotRecientemente se ha identificado un nuevo vector de infección del troyano Qbot, donde los actores de amenaza se aprovechan de una falla presentada en el ejecutable del panel de control de Windows 10 (control.exe), esta brecha de seguridad les permite realizar “el secuestro de DLL”, este método es utilizado para suplantar librerías legitimas del sistema por archivos maliciosos creados por los ciberdelincuentes para implementar la carga útil de Qakbot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-atribuida-a-qbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado un nuevo vector de infección del troyano Qbot, donde los actores de amenaza se aprovechan de una falla presentada en el ejecutable del panel de control de Windows 10 (control.exe), esta brecha de seguridad les permite realizar “el secuestro de DLL”, este método es utilizado para suplantar librerías legitimas del sistema por archivos maliciosos creados por los ciberdelincuentes para implementar la carga útil de Qakbot.
Operadores de Emotet implementan nuevas tácticas en la cadena de infecciónRecientemente se había identificado el retorno del troyano polimórfico conocido como Emotet clasificado como un botnet gracias a sus constantes actualizaciones, ya que inicialmente se categorizo como un troyano bancario, sin embargo la implementación de un módulo de botnet spam hizo que evolucionara; desde su aparición en 2014 los atacantes que han distribuido esta amenaza a través de campañas que entregan la carga útil de Emotet, en documentos maliciosos para impactar empresas de distintos sectores económicos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/operadores-de-emotet-implementan-nuevas-tacticas-en-la-cadena-de-infeccionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se había identificado el retorno del troyano polimórfico conocido como Emotet clasificado como un botnet gracias a sus constantes actualizaciones, ya que inicialmente se categorizo como un troyano bancario, sin embargo la implementación de un módulo de botnet spam hizo que evolucionara; desde su aparición en 2014 los atacantes que han distribuido esta amenaza a través de campañas que entregan la carga útil de Emotet, en documentos maliciosos para impactar empresas de distintos sectores económicos.
Campaña maliciosa distribuye Wiki ransomwareWiki es un software malicioso que es identificado como una variante de otro ransomware identificado como Crysis, diseñado con las capacidades de cifrar archivos y así mismo mantenerlos bloqueados gracias a su método de cifrado utilizado, lo cual afecta de forma directa a la disponibilidad de la información y servicios de las organizaciones comprometidas por esta amenaza, además, en el transcurso de su proceso de cifrado, a cada archivo le cambia el nombre agregándole un número de identificación único, dirección de correo electrónico de los actores de amenaza y la extensión .wiki.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-distribuye-wiki-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Wiki es un software malicioso que es identificado como una variante de otro ransomware identificado como Crysis, diseñado con las capacidades de cifrar archivos y así mismo mantenerlos bloqueados gracias a su método de cifrado utilizado, lo cual afecta de forma directa a la disponibilidad de la información y servicios de las organizaciones comprometidas por esta amenaza, además, en el transcurso de su proceso de cifrado, a cada archivo le cambia el nombre agregándole un número de identificación único, dirección de correo electrónico de los actores de amenaza y la extensión .wiki.
Múltiples campañas se han visto distribuyendo BatloaderLas amenazas de acceso inicial abundan en la naturaleza, de ahí que los ciberdelincuentes las empleen para tener éxito en sus ataques cibernéticos, por medio de estos loader pueden instaurar cargas útiles de otras familias en los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-campanas-se-han-visto-distribuyendo-batloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las amenazas de acceso inicial abundan en la naturaleza, de ahí que los ciberdelincuentes las empleen para tener éxito en sus ataques cibernéticos, por medio de estos loader pueden instaurar cargas útiles de otras familias en los equipos comprometidos.
Nueva actividad del ransomware KoxicRecientemente se ha identificado una campaña de distribución del ransomware Koxic, el cual fue identificado por primera vez a inicios del presente año, teniendo capacidades que le permiten cifrar archivos alojados en las infraestructuras tecnológicas comprometidas y agregándoles la extensión .KOXIC_PLCAW, por último, suele generar una nota de rescate en cada ruta del sistema operativo conocida como WANNA_RECOVER_KOXIC_FILEZ_PLCAW.txt, esta puede ser diferente en cada infraestructura comprometida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-ransomware-koxichttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado una campaña de distribución del ransomware Koxic, el cual fue identificado por primera vez a inicios del presente año, teniendo capacidades que le permiten cifrar archivos alojados en las infraestructuras tecnológicas comprometidas y agregándoles la extensión .KOXIC_PLCAW, por último, suele generar una nota de rescate en cada ruta del sistema operativo conocida como WANNA_RECOVER_KOXIC_FILEZ_PLCAW.txt, esta puede ser diferente en cada infraestructura comprometida.
Nuevo stealer denominado SMSeyeRecientemente, se ha identificado una nueva campaña maliciosa dirigida a una entidad financiera ubicada en Indonesia, donde los actores de amenaza implementan múltiples sitios web phishing y stealers, con el propósito de recopilar información sensible de los usuarios suscritos a esta organización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-smseyehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una nueva campaña maliciosa dirigida a una entidad financiera ubicada en Indonesia, donde los actores de amenaza implementan múltiples sitios web phishing y stealers, con el propósito de recopilar información sensible de los usuarios suscritos a esta organización.
Nuevas capacidades del Stealer Typhon.En el mundo del ciberespacio es muy común ver la evolución y nuevas capacidades que implementan los actores de amenaza en sus herramientas de malware, por lo cual el equipo de analistas del Csirt Financiero realizo un monitoreo en el cual encontró recientes actividades y actualizaciones de Typhon Stealer, el cual fue descubierto y reportado a principios de agosto del 2022.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-capacidades-del-stealer-typhonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo del ciberespacio es muy común ver la evolución y nuevas capacidades que implementan los actores de amenaza en sus herramientas de malware, por lo cual el equipo de analistas del Csirt Financiero realizo un monitoreo en el cual encontró recientes actividades y actualizaciones de Typhon Stealer, el cual fue descubierto y reportado a principios de agosto del 2022.
Nuevos artefactos maliciosos asociados al ransomware Black BastaRecientemente, el ransomware Black Basta ha generado nueva actividad en la cual se observaron nuevos indicadores de compromiso donde a su vez mejoran sus técnicas para el éxito de sus actividades maliciosas; ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-maliciosos-asociados-al-ransomware-black-bastahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, el ransomware Black Basta ha generado nueva actividad en la cual se observaron nuevos indicadores de compromiso donde a su vez mejoran sus técnicas para el éxito de sus actividades maliciosas; ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.
Troyano bancario Dridex retorna sus actividades con nuevos indicadores de compromisoRecientemente, se han identificado nuevas campañas maliciosas por parte de los actores de amenaza, las cuales están distribuyendo el troyano bancario Dridex; esta familia de malware es reconocida en el ecosistema de ciberseguridad por su gran afectación al sector financiero a nivel global, llegando a impactar a más de 40 organizaciones en el año 2019.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-dridex-retorna-sus-actividades-con-nuevos-indicadores-de-compromisohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se han identificado nuevas campañas maliciosas por parte de los actores de amenaza, las cuales están distribuyendo el troyano bancario Dridex; esta familia de malware es reconocida en el ecosistema de ciberseguridad por su gran afectación al sector financiero a nivel global, llegando a impactar a más de 40 organizaciones en el año 2019.
Un nuevo brote de ransomware denominado SomniaLos actores de amenaza rusos suelen estar ligados con la creación de nuevas familias de malware dentro del panorama de amenazas, especialmente han estado activos en el ciberespacio a razón del conflicto que existe con Ucrania y sus aliados; es así como algunos grupos de hacktivistas rusos se involucran en la ciberguerra que se lidia actualmente, para lo cual crean nuevas herramientas que impacten eficientemente las infraestructuras tecnológicas de sus objetivos, de ahí que recientemente se descubriera una nueva cepa de ransomware denominada Somnia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-brote-de-ransomware-denominado-somniahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza rusos suelen estar ligados con la creación de nuevas familias de malware dentro del panorama de amenazas, especialmente han estado activos en el ciberespacio a razón del conflicto que existe con Ucrania y sus aliados; es así como algunos grupos de hacktivistas rusos se involucran en la ciberguerra que se lidia actualmente, para lo cual crean nuevas herramientas que impacten eficientemente las infraestructuras tecnológicas de sus objetivos, de ahí que recientemente se descubriera una nueva cepa de ransomware denominada Somnia.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}