Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva variante del ransomware BabukRecientemente, investigadores identificaron una nueva variante del ransomware Babuk debido a que estaba implicado en un ataque sobre una gran organización; esta amenaza fue identificada por primera vez en 2021 gracias a la popularidad ganada gracias a varias afectaciones a entidades y realizar doble extorsión sobre las mismas, posteriormente, en foros rusos se filtró el código fuente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-ransomware-babukhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores identificaron una nueva variante del ransomware Babuk debido a que estaba implicado en un ataque sobre una gran organización; esta amenaza fue identificada por primera vez en 2021 gracias a la popularidad ganada gracias a varias afectaciones a entidades y realizar doble extorsión sobre las mismas, posteriormente, en foros rusos se filtró el código fuente.
Surge un nuevo ransomware denominado CatBEl panorama de amenazas continúa proliferando, producto de esta constante actividad es que en la naturaleza surgen nuevas familias de ransomware en poco tiempo; aunado de lo anterior recientemente se identificó el ransomware CatB que implementa técnicas anti-virtualización y evasión mediante el secuestro de una dll.http://csirtasobancaria.com/Plone/alertas-de-seguridad/surge-un-nuevo-ransomware-denominado-catbhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de amenazas continúa proliferando, producto de esta constante actividad es que en la naturaleza surgen nuevas familias de ransomware en poco tiempo; aunado de lo anterior recientemente se identificó el ransomware CatB que implementa técnicas anti-virtualización y evasión mediante el secuestro de una dll.
El troyano bancario IcedID alojado en sitios phishingEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de amenazas y nuevas campañas que puedan afectar a los asociados, donde se identificó una nueva campaña relacionada al troyano IcedID, el cual ha estado activo desde el año 2017, principalmente para capturar información bancaria de las víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-icedid-alojado-en-sitios-phishinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de amenazas y nuevas campañas que puedan afectar a los asociados, donde se identificó una nueva campaña relacionada al troyano IcedID, el cual ha estado activo desde el año 2017, principalmente para capturar información bancaria de las víctimas.
Se identifica un nuevo stealer en el ciberespacio denominado MintLos stealers son programas maliciosos diseñados para capturar información confidencial de los usuarios, como contraseñas y números de tarjetas de crédito. En el ciberespacio actual, los stealers representan una amenaza constante para la seguridad de la información personal y financiera de los usuarios; es así como mediante actividades de monitoreo el Csirt Financiero, identifico un nuevo stealer denominado Mint, que ofrecen sus operadores a través de un canal de Telegram como el mejor del mercado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-un-nuevo-stealer-en-el-ciberespacio-denominado-minthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los stealers son programas maliciosos diseñados para capturar información confidencial de los usuarios, como contraseñas y números de tarjetas de crédito. En el ciberespacio actual, los stealers representan una amenaza constante para la seguridad de la información personal y financiera de los usuarios; es así como mediante actividades de monitoreo el Csirt Financiero, identifico un nuevo stealer denominado Mint, que ofrecen sus operadores a través de un canal de Telegram como el mejor del mercado.
Reciente campaña maliciosa del troyano de acceso remoto BitRATEn un monitoreo realizado por el equipo del Csirt Financiero en busca de amenazas y nuevas campañas que puedan afectar la infraestructura tecnológica de los asociados, se identificó una reciente actividad del troyano de acceso remoto BitRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/reciente-campana-maliciosa-del-troyano-de-acceso-remoto-bitrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En un monitoreo realizado por el equipo del Csirt Financiero en busca de amenazas y nuevas campañas que puedan afectar la infraestructura tecnológica de los asociados, se identificó una reciente actividad del troyano de acceso remoto BitRAT.
El grupo de amenazas Blind Eagle distribuye el troyano de acceso remoto Quasar RATEl equipo del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o campañas que puedan impactar la infraestructura tecnológica de los asociados, donde se observó actividad del grupo de amenazas conocido como Blind Eagle, distribuyendo el troyano Quasar RAT y afectando a entidades financieras de Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-de-amenazas-blind-eagle-distribuye-el-troyano-de-acceso-remoto-quasar-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o campañas que puedan impactar la infraestructura tecnológica de los asociados, donde se observó actividad del grupo de amenazas conocido como Blind Eagle, distribuyendo el troyano Quasar RAT y afectando a entidades financieras de Latinoamérica.
Nuevo grupo de ciberdelincuentes dirigidos al sector financieroEn la actividad de observatorio de ciberseguridad en el ciberespacio realizada por el equipo del Csirt Financiero a través de fuentes de información abiertas, se identificó un nuevo grupo de ciberdelincuentes los cuales generan ataques dirigidos especialmente al sector financiero conocidos como Bluebottle usando diversas técnicas con ayuda de múltiples herramientas para llevar a cabo sus actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ciberdelincuentes-dirigidos-al-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la actividad de observatorio de ciberseguridad en el ciberespacio realizada por el equipo del Csirt Financiero a través de fuentes de información abiertas, se identificó un nuevo grupo de ciberdelincuentes los cuales generan ataques dirigidos especialmente al sector financiero conocidos como Bluebottle usando diversas técnicas con ayuda de múltiples herramientas para llevar a cabo sus actividades maliciosas.
El troyano bancario Dridex apunta a usuarios del sistema operativo MacOSDridex es una amenaza conocida en el panorama de amenazas, puesto que es uno de los troyanos bancarios más prolíficos de los últimos años de hecho hace unos meses sus operadores retomaron nuevamente la operación, al desplegar nuevas campañas con distintos artefactos con la carga útil de esta amenaza, entre los intereses de estos tenían ampliar su lista de objetivos y agregar mejoras en su código.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-dridex-apunta-a-usuarios-del-sistema-operativo-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dridex es una amenaza conocida en el panorama de amenazas, puesto que es uno de los troyanos bancarios más prolíficos de los últimos años de hecho hace unos meses sus operadores retomaron nuevamente la operación, al desplegar nuevas campañas con distintos artefactos con la carga útil de esta amenaza, entre los intereses de estos tenían ampliar su lista de objetivos y agregar mejoras en su código.
Nueva variante de SpyNote dirigida a AndroidRecientemente se ha identificado una nueva variante de SpyNote también llamada como SpyMax, una amenaza dirigida a sistemas operativos Android que combina capacidades de spyware y troyano bancario. Todo esto luego de que su código se hizo público, ayudando a que actores de amenaza lo capacitaran con nuevas funciones maliciosas para lograr sus objetivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-spynote-dirigida-a-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado una nueva variante de SpyNote también llamada como SpyMax, una amenaza dirigida a sistemas operativos Android que combina capacidades de spyware y troyano bancario. Todo esto luego de que su código se hizo público, ayudando a que actores de amenaza lo capacitaran con nuevas funciones maliciosas para lograr sus objetivos.
Proliferan variantes del ransomware Conti en el panorama de amenazasLas variantes del ransomware Conti después de la filtración de sus manuales de operación y códigos fuente continúan proliferando constantemente en la naturaleza, y es que amenazas como Monti y Putin ransomware tienen actividades latentes en el ciberespacio además de otra variante identificada recientemente como Black Hunt que emplea el protocolo RDP en su flujo de acción, para afectar a sus víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/proliferan-variantes-del-ransomware-conti-en-el-panorama-de-amenazashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las variantes del ransomware Conti después de la filtración de sus manuales de operación y códigos fuente continúan proliferando constantemente en la naturaleza, y es que amenazas como Monti y Putin ransomware tienen actividades latentes en el ciberespacio además de otra variante identificada recientemente como Black Hunt que emplea el protocolo RDP en su flujo de acción, para afectar a sus víctimas.
Nueva actividad maliciosa que entrega RhadamanthysA principios del presente año, investigadores identificaron nuevas actividades usando el servicio de Google Ads con el objetivo de distribuir a Rhadamanthys, un stealer capacitado para recopilar y exfiltrar información de las infraestructuras informáticas comprometidas como nombre del equipo, modelo, versión del sistema operativo, direcciones IP, credenciales de acceso, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-que-entrega-rhadamanthyshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A principios del presente año, investigadores identificaron nuevas actividades usando el servicio de Google Ads con el objetivo de distribuir a Rhadamanthys, un stealer capacitado para recopilar y exfiltrar información de las infraestructuras informáticas comprometidas como nombre del equipo, modelo, versión del sistema operativo, direcciones IP, credenciales de acceso, entre otros.
Nuevos indicadores de compromiso relacionados a QakbotEn el observatorio de ciberseguridad, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionado a Qakbot, el cual es un troyano bancario que ha sido utilizado por actores de amenaza motivados financieramente desde 2007, con el pasar de los años se convirtió en una de las amenazas más relevantes por su gran evolución e implementación de capacidades para capturar la mayor cantidad de información confidencial posible de sus víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-a-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el observatorio de ciberseguridad, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionado a Qakbot, el cual es un troyano bancario que ha sido utilizado por actores de amenaza motivados financieramente desde 2007, con el pasar de los años se convirtió en una de las amenazas más relevantes por su gran evolución e implementación de capacidades para capturar la mayor cantidad de información confidencial posible de sus víctimas.
Actividades maliciosas recientes asociadas al troyano bancario UrsnifDurante los últimos meses, investigadores realizaron monitoreo a un incidente en el cual estaba relacionado Ursnif, también conocido como Gozi o ISFB, es un troyano bancario que a pesar de su antigüedad se ha mantenido activo gracias a las evoluciones en su código que le permiten generar actividades de evasión, recopilación y exfiltración de información sensible alojada en los equipos informáticos infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividades-maliciosas-recientes-asociadas-al-troyano-bancario-ursnifhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos meses, investigadores realizaron monitoreo a un incidente en el cual estaba relacionado Ursnif, también conocido como Gozi o ISFB, es un troyano bancario que a pesar de su antigüedad se ha mantenido activo gracias a las evoluciones en su código que le permiten generar actividades de evasión, recopilación y exfiltración de información sensible alojada en los equipos informáticos infectados.
Nueva variante de RAT denominada PupyDesde el Csirt Financiero se realiza monitoreo al ciber espacio con el objetivo de identificar nuevas amenazas que puedan impactar al sector financiero, durante dichas investigaciones se identificó una nueva variante de RAT (troyano de acceso remoto por sus siglas en inglés) identificado como Pupy, el cual es desplegado en los equipos informáticos a través de un servicio legítimo de Windows conocido como WerFault.exe (utilizado para las notificaciones de errores de Windows).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-rat-denominada-pupyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se realiza monitoreo al ciber espacio con el objetivo de identificar nuevas amenazas que puedan impactar al sector financiero, durante dichas investigaciones se identificó una nueva variante de RAT (troyano de acceso remoto por sus siglas en inglés) identificado como Pupy, el cual es desplegado en los equipos informáticos a través de un servicio legítimo de Windows conocido como WerFault.exe (utilizado para las notificaciones de errores de Windows).
El skimmer Magecart denominado Mr. SNIFFALos kits de herramientas maliciosas son parte del panorama de amenazas relacionada con los skimmer, puesto que les brindan a los atacantes mayores posibilidades de tener éxito en sus ataques, estos motivados económicamente por la captura de información financiera asociada a tarjetas de crédito.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-skimmer-magecart-denominado-mr-sniffahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los kits de herramientas maliciosas son parte del panorama de amenazas relacionada con los skimmer, puesto que les brindan a los atacantes mayores posibilidades de tener éxito en sus ataques, estos motivados económicamente por la captura de información financiera asociada a tarjetas de crédito.
IcedID apunta a dominios de Active DirectoryIceID, en una de sus más recientes campañas maliciosas, se evidenció nuevos comportamientos que llevaron a cabo los actores de amenaza para afectar el dominio de Active Directory de un sistema informático, para esto, utilizaron múltiples técnicas de reconocimiento, recopilación de credenciales, movimiento lateral y la implementación de herramientas legitimas como Cobalt Strike.http://csirtasobancaria.com/Plone/alertas-de-seguridad/icedid-apunta-a-dominios-de-active-directoryhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IceID, en una de sus más recientes campañas maliciosas, se evidenció nuevos comportamientos que llevaron a cabo los actores de amenaza para afectar el dominio de Active Directory de un sistema informático, para esto, utilizaron múltiples técnicas de reconocimiento, recopilación de credenciales, movimiento lateral y la implementación de herramientas legitimas como Cobalt Strike.
Nueva actividad maliciosa de RedLine Stealer distribuida en MéxicoEl equipo de analistas del Csirt Financiero, realizó un monitoreo al ciberespacio en busca de nuevas amenazas y campañas maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una nueva campaña en el que ponen a la venta RedLine Stealer para el acceso a dominios de instituciones financieras en México.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-redline-stealer-distribuida-en-mexicohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero, realizó un monitoreo al ciberespacio en busca de nuevas amenazas y campañas maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una nueva campaña en el que ponen a la venta RedLine Stealer para el acceso a dominios de instituciones financieras en México.
Ciberdelincuentes emplean nueva técnica para la distribución de malware a través de archivos PolyglotA medida que se van desarrollando nuevas herramientas de defensa informática, así mismo los cibercriminales encuentran y/o desarrollan nuevas técnicas que les permite seguir siendo vigente con el paso del tiempo, por lo cual, de forma reciente se han identificado campañas que tienen el objetivo de distribuir malware a través de archivos Polyglot, que combinan sintaxis de dos o más formatos diferentes que pueden ser analizados sin que se produzca algún tipo de error.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-emplean-nueva-tecnica-para-la-distribucion-de-malware-a-traves-de-archivos-polyglothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que se van desarrollando nuevas herramientas de defensa informática, así mismo los cibercriminales encuentran y/o desarrollan nuevas técnicas que les permite seguir siendo vigente con el paso del tiempo, por lo cual, de forma reciente se han identificado campañas que tienen el objetivo de distribuir malware a través de archivos Polyglot, que combinan sintaxis de dos o más formatos diferentes que pueden ser analizados sin que se produzca algún tipo de error.
Nuevo troyano de acceso remoto conocido como VagusRATÚltimamente se han descubierto campañas que abusan de la plataforma de Google Ads, específicamente los atacantes utilizan técnicas como dominios squatting y envenenamiento SEO, para distribuir diferentes familias de malware a usuarios que buscan aplicaciones populares como Adobe Reader; asimismo, diferentes actores de amenaza fructifican sus infecciones por medio de la promoción de estos sitios maliciosos, de este modo se identificó un nuevo Troyano de acceso remoto (RAT) conocido como VagusRAT y su posible atribución a una banda de ciberdelincuentes iraníes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-conocido-como-vagusrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Últimamente se han descubierto campañas que abusan de la plataforma de Google Ads, específicamente los atacantes utilizan técnicas como dominios squatting y envenenamiento SEO, para distribuir diferentes familias de malware a usuarios que buscan aplicaciones populares como Adobe Reader; asimismo, diferentes actores de amenaza fructifican sus infecciones por medio de la promoción de estos sitios maliciosos, de este modo se identificó un nuevo Troyano de acceso remoto (RAT) conocido como VagusRAT y su posible atribución a una banda de ciberdelincuentes iraníes.
Nuevos indicadores de compromiso asociados a EmotetSe han evidenciado nuevos indicadores de compromiso que indican que Emotet se encuentra generando diversas campañas maliciosas. Anteriormente, reconocido por sus capacidades de afectación en cuanto a la recopilación de data sensible de cuentas financieras (troyano bancario), ha ido evolucionando a llegar a tal punto de convertirse en una de las botnet más utilizadas por los actores de amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-emotet-11http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han evidenciado nuevos indicadores de compromiso que indican que Emotet se encuentra generando diversas campañas maliciosas. Anteriormente, reconocido por sus capacidades de afectación en cuanto a la recopilación de data sensible de cuentas financieras (troyano bancario), ha ido evolucionando a llegar a tal punto de convertirse en una de las botnet más utilizadas por los actores de amenaza.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}