Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva actividad de ransomware CubaRecientemente se identificó una nueva campaña del ransomware Cuba donde se identificaron afectaciones a servicios financieros, instalaciones gubernamentales, atención médica y salud pública, fabricación crítica, y Tecnología de la Información de Estados Unidos, y donde se evidencio que los ciberdelincuentes exigieron más de 145 millones de dólares estadounidenses (USD) y recibió más de 60 millones de dólares en pagos de rescate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-ransomware-cubahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó una nueva campaña del ransomware Cuba donde se identificaron afectaciones a servicios financieros, instalaciones gubernamentales, atención médica y salud pública, fabricación crítica, y Tecnología de la Información de Estados Unidos, y donde se evidencio que los ciberdelincuentes exigieron más de 145 millones de dólares estadounidenses (USD) y recibió más de 60 millones de dólares en pagos de rescate.
Nueva campaña del troyano bancario GrandoreiroA través de fuentes abiertas de información el equipo de analistas del Csirt Financiero ha identificado nueva actividad de un troyano muy popular denominado Grandoreiro, donde se observó nuevas actualizaciones en sus campañas y con esto son identificados nuevos indicadores de compromiso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nueva-campana-del-troyano-bancario-grandoreirohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de fuentes abiertas de información el equipo de analistas del Csirt Financiero ha identificado nueva actividad de un troyano muy popular denominado Grandoreiro, donde se observó nuevas actualizaciones en sus campañas y con esto son identificados nuevos indicadores de compromiso.
El troyano de acceso remoto XWorm se distribuye activamente en la naturalezaEn la Darknet son ofertados de forma continua herramientas maliciosas o en su defecto actualizaciones de las mismas con nuevas capacidades; específicamente en foros clandestinos de la Deep y Dark web, en ése orden de ideas a mediados de este año se identificó la versión 2.2 del troyano de acceso remoto XWorm, ofrecida bajo el proyecto denominado Evilcoder; desde entonces se ha visto distribuyéndose activamente en la naturaleza, estos actores de amenaza lo describen como un sofisticado RAT con ransomware y capacidades de ataque hVNC (hidden virtual network computing, por sus siglas inglés).http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-de-acceso-remoto-xworm-se-distribuye-activamente-en-la-naturalezahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la Darknet son ofertados de forma continua herramientas maliciosas o en su defecto actualizaciones de las mismas con nuevas capacidades; específicamente en foros clandestinos de la Deep y Dark web, en ése orden de ideas a mediados de este año se identificó la versión 2.2 del troyano de acceso remoto XWorm, ofrecida bajo el proyecto denominado Evilcoder; desde entonces se ha visto distribuyéndose activamente en la naturaleza, estos actores de amenaza lo describen como un sofisticado RAT con ransomware y capacidades de ataque hVNC (hidden virtual network computing, por sus siglas inglés).
Nuevos indicadores de compromiso relacionados al troyano bancario LokiBot.El equipo de analistas del Csirt Financiero en un monitoreo realizado en el ciberespacio, en busca de nuevas amenazas y artefactos que puedan afectar la infraestructura tecnológica de nuestros asociados, donde se identificaron nuevos indicadores de compromiso (IoC) relacionados al troyano bancario LokiBot también conocido como Loki PWS el cual fue visto por primera vez en el año 2015.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-al-troyano-bancario-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero en un monitoreo realizado en el ciberespacio, en busca de nuevas amenazas y artefactos que puedan afectar la infraestructura tecnológica de nuestros asociados, donde se identificaron nuevos indicadores de compromiso (IoC) relacionados al troyano bancario LokiBot también conocido como Loki PWS el cual fue visto por primera vez en el año 2015.
Nueva variante de Prilex aprovecha la tecnología NFCPrillex ha proliferado en la naturaleza, gracias a su constante evolución y la codicia de sus actores quienes desarrollan variantes de este malware PoS (point of sale) para impactar mayor número de víctimas aprovechándose de tarjetas de crédito con tecnología de CHIP y PIN; no obstante, recientemente se han identificado tres nuevas versiones y una de estas apunta a transacciones que puede afectar las tarjetas habilitadas para NFC (Near Field Communication).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-prilex-aprovecha-la-tecnologia-nfc-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Prillex ha proliferado en la naturaleza, gracias a su constante evolución y la codicia de sus actores quienes desarrollan variantes de este malware PoS (point of sale) para impactar mayor número de víctimas aprovechándose de tarjetas de crédito con tecnología de CHIP y PIN; no obstante, recientemente se han identificado tres nuevas versiones y una de estas apunta a transacciones que puede afectar las tarjetas habilitadas para NFC (Near Field Communication).
Se identifican nuevos indicadores de compromiso relacionados al troyano de acceso remoto NjRATAunque el troyano de acceso remoto conocido como NjRAT ha sido reportado en ocasiones anteriores por el equipo del Csirt Financiero, es importante recalcar este tipo de nuevas actividades ya que esta amenaza se ha observado en diversas campañas en contra de organizaciones y entidades financieras de Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-indicadores-de-compromiso-relacionados-al-troyano-de-acceso-remoto-njrat-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano de acceso remoto conocido como NjRAT ha sido reportado en ocasiones anteriores por el equipo del Csirt Financiero, es importante recalcar este tipo de nuevas actividades ya que esta amenaza se ha observado en diversas campañas en contra de organizaciones y entidades financieras de Latinoamérica.
Emerge Crywiper un wiper disfrazado de ransomwareEn la naturaleza encontramos distintas variantes de troyanos, una de estas conocidas como wiper (programa malicioso que destruye datos sin posibilidad de recuperarlos), en ese orden de ideas recientemente apareció en el panorama de amenazas CryWiper, el cual se enmascara como un ransomware para exigir un pago por la llave de descifrado, en cuyo caso es imposible dado que no cifra si no destruye.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-crywiper-un-wiper-disfrazado-de-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la naturaleza encontramos distintas variantes de troyanos, una de estas conocidas como wiper (programa malicioso que destruye datos sin posibilidad de recuperarlos), en ese orden de ideas recientemente apareció en el panorama de amenazas CryWiper, el cual se enmascara como un ransomware para exigir un pago por la llave de descifrado, en cuyo caso es imposible dado que no cifra si no destruye.
Nuevos indicadores de compromiso asociados a IcedIDA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados a IcedID, troyano bancario modular descubierto en 2017; con el propósito de descargar y ejecutar la carga útil cifrada final desde el panel de control del troyano.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados a IcedID, troyano bancario modular descubierto en 2017; con el propósito de descargar y ejecutar la carga útil cifrada final desde el panel de control del troyano.
Actores detrás del troyano Ermac implementan a Zombinder para expandir sus alcances.El equipo de analistas del Csirt Financiero realizó un monitoreo en el ciberespacio en busca de nuevas amenazas y campañas maliciosas que puedan afectar la infraestructura de nuestros asociados, donde se observó un nuevo servicio del troyano bancario Ermac denominado Zombinder que se dirige no solamente a usuarios de Android sino también para Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-detras-del-troyano-ermac-implementan-a-zombinder-para-expandir-sus-alcanceshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo en el ciberespacio en busca de nuevas amenazas y campañas maliciosas que puedan afectar la infraestructura de nuestros asociados, donde se observó un nuevo servicio del troyano bancario Ermac denominado Zombinder que se dirige no solamente a usuarios de Android sino también para Windows.
Técnicas utilizadas por el troyano bancario DanabotEl troyano bancario Danabot identificado por primera vez en el año 2018, distribuido como servicio (Malware as a Service - MaaS) es dirigido a equipos con sistema operativo Microsoft Windows, tanto estaciones de trabajo (Workstation) como servidores (Server) con el objetivo principal de capturar información confidencial; en esta ocasión se observaron algunas técnicas de ofuscación utilizadas por este troyano y con ello se identificaron nuevos indicadores de compromiso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-utilizadas-por-el-troyano-bancario-danabothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano bancario Danabot identificado por primera vez en el año 2018, distribuido como servicio (Malware as a Service - MaaS) es dirigido a equipos con sistema operativo Microsoft Windows, tanto estaciones de trabajo (Workstation) como servidores (Server) con el objetivo principal de capturar información confidencial; en esta ocasión se observaron algunas técnicas de ofuscación utilizadas por este troyano y con ello se identificaron nuevos indicadores de compromiso.
Nueva actividad del loader BatloaderRecientemente el equipo de analistas del Csirt Financiero a través de una búsqueda de amenazas que puedan llegar afectar al sector se evidenciaron nuevos indicadores de compromiso relacionados al Loader denominado Batloader el cual es utilizado como malware de etapa inicial para entregar amenazas como ransomware y troyanos de acceso remoto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-loader-batloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el equipo de analistas del Csirt Financiero a través de una búsqueda de amenazas que puedan llegar afectar al sector se evidenciaron nuevos indicadores de compromiso relacionados al Loader denominado Batloader el cual es utilizado como malware de etapa inicial para entregar amenazas como ransomware y troyanos de acceso remoto.
Nueva actividad del grupo APT Deathstalker afectando entidades financierasEn el ámbito de la ciberseguridad un APT es identificado como un grupo de ciberdelincuentes que realizan ataques persistentes con el objetivo de ganar económicamente o darse a conocer en el ciberespacio, de ahí es donde surgen la amenaza avanzada persistente donde en esta ocasión se identificaron ataques dirigidos a entidades financieras y gubernamentales de Europa y medio oriente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-apt-deathstalker-afectando-entidades-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito de la ciberseguridad un APT es identificado como un grupo de ciberdelincuentes que realizan ataques persistentes con el objetivo de ganar económicamente o darse a conocer en el ciberespacio, de ahí es donde surgen la amenaza avanzada persistente donde en esta ocasión se identificaron ataques dirigidos a entidades financieras y gubernamentales de Europa y medio oriente.
Nueva versión de Venom RAT con un módulo stealer.El equipo de analistas del Csirt Financiero realizó un monitoreo en el ciberespacio en busca de nuevas amenazas y campañas que puedan afectar la infraestructura de nuestros asociados, donde se observó una reciente actividad de Venom RAT con una nueva versión y un módulo stealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-de-venom-rat-con-un-modulo-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo en el ciberespacio en busca de nuevas amenazas y campañas que puedan afectar la infraestructura de nuestros asociados, donde se observó una reciente actividad de Venom RAT con una nueva versión y un módulo stealer.
Ataque cibernético afecta a la entidad RapipagoLos ataques cibernéticos relacionados con ransomware continúan siendo parte del panorama que está sufriendo Latinoamérica durante las últimas semanas, esta vez la entidad objetivo fue la empresa Gire Soluciones, ligados como los titulares de la red de cobranza Rapipago, quienes fueron impactados por una variante del ransomware Play o Playcrypt.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-cibernetico-afecta-a-la-entidad-rapipagohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ataques cibernéticos relacionados con ransomware continúan siendo parte del panorama que está sufriendo Latinoamérica durante las últimas semanas, esta vez la entidad objetivo fue la empresa Gire Soluciones, ligados como los titulares de la red de cobranza Rapipago, quienes fueron impactados por una variante del ransomware Play o Playcrypt.
Nueva actividad maliciosa del ransomware BlackByteLos actores de amenaza detrás del ransomware BlackByte realizan constantes actualizaciones en su código fuente para hacer de este ransomware una amenaza más sofisticada y elaborada para poder llegar a infectar y cifrar información confidencial a equipos con sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-blackbytehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza detrás del ransomware BlackByte realizan constantes actualizaciones en su código fuente para hacer de este ransomware una amenaza más sofisticada y elaborada para poder llegar a infectar y cifrar información confidencial a equipos con sistemas operativos Windows.
Nueva actividad maliciosa del troyano bancario Zanubis en América latinaMediante monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad del troyano bancario para Android denominado Zanubis, el cual ha sido reportado en ocasiones anteriores por el Csirt donde se había observado una campaña dirigida a América latina, en esta ocasión se identifican nuevos indicadores de compromiso del ataque dirigido al sector financiero de Perú en septiembre del 2022.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-zanubis-en-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad del troyano bancario para Android denominado Zanubis, el cual ha sido reportado en ocasiones anteriores por el Csirt donde se había observado una campaña dirigida a América latina, en esta ocasión se identifican nuevos indicadores de compromiso del ataque dirigido al sector financiero de Perú en septiembre del 2022.
Nuevo troyano bancario dirigido a dispositivos Android denominado BrasDexLos troyanos bancarios dirigidos a dispositivos Android, son una parte importante del panorama de amenazas visto en la naturaleza, dado que su impacto sobre las víctimas está ligado a captura de información sensible que conlleva a fraudes financieros; asimismo representa ganancias económicas para los operadores, en ese orden de ideas se ha descubierto un nuevo troyano denominado BrasDex, que está siendo desplegado en una masiva campaña en Brasil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-dirigido-a-dispositivos-android-denominado-brasdexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los troyanos bancarios dirigidos a dispositivos Android, son una parte importante del panorama de amenazas visto en la naturaleza, dado que su impacto sobre las víctimas está ligado a captura de información sensible que conlleva a fraudes financieros; asimismo representa ganancias económicas para los operadores, en ese orden de ideas se ha descubierto un nuevo troyano denominado BrasDex, que está siendo desplegado en una masiva campaña en Brasil.
Nuevos IoC asociados a EmotetEl equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se han observado nuevos indicadores de compromiso (IOC) relacionados al troyano Emotet, donde su principal objetivo es la recopilación de información alojada en los equipos comprometidos como credenciales de acceso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-ioc-asociados-a-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se han observado nuevos indicadores de compromiso (IOC) relacionados al troyano Emotet, donde su principal objetivo es la recopilación de información alojada en los equipos comprometidos como credenciales de acceso.
Nueva campaña maliciosa distribuye el loader DarkTortillaEn un monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa de ciberdelincuentes distribuyendo el loader DarkTortilla el cual ha estado activo desde 2015 actuando como dropper y generando instalaciones de múltiples stealer y troyanos de acceso remoto (RAT).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-distribuye-el-loader-darktortillahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En un monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa de ciberdelincuentes distribuyendo el loader DarkTortilla el cual ha estado activo desde 2015 actuando como dropper y generando instalaciones de múltiples stealer y troyanos de acceso remoto (RAT).
Nueva actividad asociada al ransomware LockBitEl equipo de analistas del Csirt Financiero, realizo un monitoreo en el ciberespacio donde se observó un nuevo ataque de los actores de amenaza del ransomware LockBit afectando al departamento de finanzas de California (DOF), donde afirmaron que el ransomware había capturado 75 GB de archivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-al-ransomware-lockbithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero, realizo un monitoreo en el ciberespacio donde se observó un nuevo ataque de los actores de amenaza del ransomware LockBit afectando al departamento de finanzas de California (DOF), donde afirmaron que el ransomware había capturado 75 GB de archivos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}