Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Se identifica actividad de un ransomware poco conocido llamado LorenzEn la necesidad de proteger los pilares fundamentales de la información y al sector financiero, el equipo de analistas del Csirt Financiero identificaron actividad de una amenaza no vista anteriormente, se trata de un grupo de ransomware denominado Lorenz, del cual se infiere que tienen conexión con otra amenaza conocida como ThunderCrypt, además, que se ha ganado mucha popularidad desde sus inicios debido a la filtración de datos antes del cifrado, explotar vulnerabilidades de VoIP para el acceso a los equipos informáticos y la publicación de dicha data exfiltrada en su sitio web para extorsionar a sus víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-actividad-de-un-ransomware-poco-conocido-llamado-lorenzhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la necesidad de proteger los pilares fundamentales de la información y al sector financiero, el equipo de analistas del Csirt Financiero identificaron actividad de una amenaza no vista anteriormente, se trata de un grupo de ransomware denominado Lorenz, del cual se infiere que tienen conexión con otra amenaza conocida como ThunderCrypt, además, que se ha ganado mucha popularidad desde sus inicios debido a la filtración de datos antes del cifrado, explotar vulnerabilidades de VoIP para el acceso a los equipos informáticos y la publicación de dicha data exfiltrada en su sitio web para extorsionar a sus víctimas.
Raccoon y Vidar stealer distribuidos a través de aplicaciones no legítimasRecientemente, se ha evidenciado una nueva tendencia para distribuir los stealer Raccoon y Vidar, conocidos por sus grandes capacidades de afectación y recopilación de data sensible relacionadas con credenciales del equipo objetivo. En esta ocasión, se identificó una infraestructura o botnet que posee más de 250 dominios utilizados para alojar sitios web que realizan la descarga de estas familias de malware. Esta campaña tiene como propósito persuadir a las víctimas de que instalen aplicaciones no legítimas de repositorios de GitHub que en realidad hacen referencia a la carga útil de los mencionados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/raccoon-y-vidar-stealer-distribuidos-a-traves-de-aplicaciones-no-legitimashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha evidenciado una nueva tendencia para distribuir los stealer Raccoon y Vidar, conocidos por sus grandes capacidades de afectación y recopilación de data sensible relacionadas con credenciales del equipo objetivo. En esta ocasión, se identificó una infraestructura o botnet que posee más de 250 dominios utilizados para alojar sitios web que realizan la descarga de estas familias de malware. Esta campaña tiene como propósito persuadir a las víctimas de que instalen aplicaciones no legítimas de repositorios de GitHub que en realidad hacen referencia a la carga útil de los mencionados.
Emerge un nuevo backdoor denominado Xdr33 basado en HiveEl panorama de amenazas continúa en aumento, en esta ocasión se detectó una nueva variante del kit de ataque CIA Hive en el ciberespacio, la cual se fue denominada Xdr33; es un backdoor dirigido a sistemas Linux, con notorias capacidades con las que buscan afectar a sus víctimas mediante la explotación de vulnerabilidades relacionadas con dispositivos F5.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-backdoor-denominado-xdr33-basado-en-hivehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de amenazas continúa en aumento, en esta ocasión se detectó una nueva variante del kit de ataque CIA Hive en el ciberespacio, la cual se fue denominada Xdr33; es un backdoor dirigido a sistemas Linux, con notorias capacidades con las que buscan afectar a sus víctimas mediante la explotación de vulnerabilidades relacionadas con dispositivos F5.
Nuevo RAT denominado Gigabud apunta a dispositivos AndroidRecientemente, se ha observado en tendencia el aumento de campañas maliciosas donde implementan un troyano de acceso remoto que suplanta la identidad de aplicaciones gubernamentales y bancarias, el cual posee grandes capacidades de afectación y un elaborado código fuente que dificulta la detección del mismo en herramientas de seguridad, este es identificado como Gigabud RAT y está dirigido a sistemas operativos Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-denominado-gigabud-apunta-a-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha observado en tendencia el aumento de campañas maliciosas donde implementan un troyano de acceso remoto que suplanta la identidad de aplicaciones gubernamentales y bancarias, el cual posee grandes capacidades de afectación y un elaborado código fuente que dificulta la detección del mismo en herramientas de seguridad, este es identificado como Gigabud RAT y está dirigido a sistemas operativos Android.
Nueva variante del troyano bancario ErmacSe ha identificado una nueva versión del troyano bancario Ermac, el cual trae consigo nuevas funcionalidades y capacidades para afectar a dispositivos Android; identificado como Hook, esta amenaza es introducida como una familia de malware creada desde cero, sin embargo, su código fuente y comandos son basados en Ermac, por lo que podría decirse que simplemente se trata de una actualización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-bancario-ermachttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una nueva versión del troyano bancario Ermac, el cual trae consigo nuevas funcionalidades y capacidades para afectar a dispositivos Android; identificado como Hook, esta amenaza es introducida como una familia de malware creada desde cero, sin embargo, su código fuente y comandos son basados en Ermac, por lo que podría decirse que simplemente se trata de una actualización.
Actores de amenaza aprovechan vulnerabilidad de día cero para implementar un backdoorRecientemente, se ha identificado una campaña maliciosa en el que diferentes actores de amenaza aprovechan una vulnerabilidad de día cero presentada en la plataforma FortiOS, donde implementan una nueva familia de malware de tipo backdoor denominado “BOLDMOVE”.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-aprovechan-vulnerabilidad-de-dia-cero-para-implementar-un-backdoorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una campaña maliciosa en el que diferentes actores de amenaza aprovechan una vulnerabilidad de día cero presentada en la plataforma FortiOS, donde implementan una nueva familia de malware de tipo backdoor denominado “BOLDMOVE”.
Nueva versión de Remcos RAT con capacidades altas capacidades de evadir detecciones en los equipos afectadosEl equipo de analistas del Csirt Financiero ha realizado un monitoreo frente a amenazas y nuevas campañas que puedan afectar la infraestructura de los asociados, donde se observó nuevas actividades del troyano de acceso remoto Remcos con su nueva versión 4.2.0 lanzada el 20 de diciembre de 2022 y usada por diversos actores de amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-de-remcos-rat-con-capacidades-altas-capacidades-de-evadir-detecciones-en-los-equipos-afectadoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha realizado un monitoreo frente a amenazas y nuevas campañas que puedan afectar la infraestructura de los asociados, donde se observó nuevas actividades del troyano de acceso remoto Remcos con su nueva versión 4.2.0 lanzada el 20 de diciembre de 2022 y usada por diversos actores de amenaza.
Nuevos indicadores de compromiso asociados a LokiBotEl equipo de analistas del Csirt Financiero en el observatorio de seguridad, identificó nuevos indicadores de compromiso asociados a LokiBot también conocido como Loki PWS, el cual es un troyano bancario visto por primera vez en 2015 y con grandes usos para de los actores de manaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-lokibot-6http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero en el observatorio de seguridad, identificó nuevos indicadores de compromiso asociados a LokiBot también conocido como Loki PWS, el cual es un troyano bancario visto por primera vez en 2015 y con grandes usos para de los actores de manaza.
Nueva campaña de GuLoader distribuye Remcos RATLa superficie de ataque está en incesante progresión, en especial cuando se trata de familias de malware de acceso inicial con notables capacidades de evasión de herramientas de seguridad e investigación, como es el caso de Guloader; aunado a lo anterior, recientemente se identificó una campaña de phishing que distribuye este downloader apuntando a diferentes industrias y geografías.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-guloader-distribuye-remcos-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La superficie de ataque está en incesante progresión, en especial cuando se trata de familias de malware de acceso inicial con notables capacidades de evasión de herramientas de seguridad e investigación, como es el caso de Guloader; aunado a lo anterior, recientemente se identificó una campaña de phishing que distribuye este downloader apuntando a diferentes industrias y geografías.
Se identifica una nueva familia de ransomware conocida como TZWInvestigadores de seguridad recientemente identificaron una nueva familia de ransomware denominada TZW, debido a que esta agrega la extensión .TZW a los archivos comprometidos en su procedimiento de cifrado; desarrollado en lenguaje .NET, el archivo inicial contiene un cargador desde el cual es cargado y ejecutado en la memoria del sistema operativo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-una-nueva-familia-de-ransomware-conocida-como-tzwhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores de seguridad recientemente identificaron una nueva familia de ransomware denominada TZW, debido a que esta agrega la extensión .TZW a los archivos comprometidos en su procedimiento de cifrado; desarrollado en lenguaje .NET, el archivo inicial contiene un cargador desde el cual es cargado y ejecutado en la memoria del sistema operativo infectado.
Emotet reaparece con nuevos métodos de evasión y movimiento lateralEn una de sus más recientes campañas maliciosas, se ha evidenciado nuevos comportamientos y vector de infección de la ya reconocida familia de malware Emotet, donde implementa varios módulos en sus actividades, uno de los que más destaca es en el protocolo del bloque de mensajes de servidor (SMB, por sus siglas en ingles) para realizar principalmente movimiento lateral en la infraestructura tecnológica infectada.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-reaparece-con-nuevos-metodos-de-evasion-y-movimiento-lateralhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En una de sus más recientes campañas maliciosas, se ha evidenciado nuevos comportamientos y vector de infección de la ya reconocida familia de malware Emotet, donde implementa varios módulos en sus actividades, uno de los que más destaca es en el protocolo del bloque de mensajes de servidor (SMB, por sus siglas en ingles) para realizar principalmente movimiento lateral en la infraestructura tecnológica infectada.
El ransomware Mimic explota Everything en su rutina de cifradoEn el panorama de amenazas actual encontramos cientos de variantes de ransomware, entre estas las derivadas del constructor de Conti; tal como el nuevo ransomware llamado Mimic, que inicio su operación desde junio de 2022, este se caracteriza por explotar las API del motor de búsqueda de archivos Everything (desarrollado por voidtools), y distribuirse en campañas dirigidas a usuarios de habla rusa e inglesa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-mimic-explota-everything-en-su-rutina-de-cifradohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el panorama de amenazas actual encontramos cientos de variantes de ransomware, entre estas las derivadas del constructor de Conti; tal como el nuevo ransomware llamado Mimic, que inicio su operación desde junio de 2022, este se caracteriza por explotar las API del motor de búsqueda de archivos Everything (desarrollado por voidtools), y distribuirse en campañas dirigidas a usuarios de habla rusa e inglesa.
Se identifica nueva actividad maliciosa del ransomware Conti.Es evidente que en el día a día grupos de ciberdelincuentes realizan constantes actualizaciones a las diversas amenazas que abundan en el ciberespacio, por lo que en esta ocasión el equipo del Csirt identifico una nueva actividad maliciosa relacionada al ransomware Conti donde se encuentran nuevos indicadores de compromiso relacionados a esta amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-nueva-actividad-maliciosa-del-ransomware-contihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es evidente que en el día a día grupos de ciberdelincuentes realizan constantes actualizaciones a las diversas amenazas que abundan en el ciberespacio, por lo que en esta ocasión el equipo del Csirt identifico una nueva actividad maliciosa relacionada al ransomware Conti donde se encuentran nuevos indicadores de compromiso relacionados a esta amenaza.
Nueva actividad por parte del Loader GootkitDe forma reciente, investigadores de seguridad identificaron nueva actividad asociada a Gootkit que también es conocido como Gootloader, Loader al cual se le han realizado diferentes cambios en su conjunto de herramientas que le permiten comprometer a los servicios y equipos informáticos de las organizaciones, añadiéndole nuevos componentes y ofuscaciones en su sintaxis de infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-por-parte-del-loader-gootkithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
De forma reciente, investigadores de seguridad identificaron nueva actividad asociada a Gootkit que también es conocido como Gootloader, Loader al cual se le han realizado diferentes cambios en su conjunto de herramientas que le permiten comprometer a los servicios y equipos informáticos de las organizaciones, añadiéndole nuevos componentes y ofuscaciones en su sintaxis de infección.
Nuevos artefactos del troyano Formbook en el mes de eneroAunque el troyano conocido como Formbook ha sido reportado en ocasiones anteriores es importante resaltar las nuevas actividades de esta amenaza, ya que ha sido uno de los troyanos más utilizados por grupos de ciberdelincuentes con el objetivo de afectar la confidencialidad de su información, gracias a estas nuevas actividades se identifican nuevos indicadores de compromiso relacionados con el troyano Formbook.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-del-troyano-formbook-en-el-mes-de-enerohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano conocido como Formbook ha sido reportado en ocasiones anteriores es importante resaltar las nuevas actividades de esta amenaza, ya que ha sido uno de los troyanos más utilizados por grupos de ciberdelincuentes con el objetivo de afectar la confidencialidad de su información, gracias a estas nuevas actividades se identifican nuevos indicadores de compromiso relacionados con el troyano Formbook.
Se identifica nueva amenaza denominada Titan StealerEl equipo de analistas del Csirt Financiero realizó un observatorio de ciberseguridad, con el objetivo de reconocer y compartir nuevas campañas o amenazas que puedan afectar la infraestructura de los asociados, en la que se identificó un nuevo software malicioso de tipo stealer (ladrón de información) denominado Titan stealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-nueva-amenaza-denominada-titan-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un observatorio de ciberseguridad, con el objetivo de reconocer y compartir nuevas campañas o amenazas que puedan afectar la infraestructura de los asociados, en la que se identificó un nuevo software malicioso de tipo stealer (ladrón de información) denominado Titan stealer.
Systembc utilizado por actores de amenaza que distribuyen ransomwareSystemBC es un troyano de acceso remoto (RAT), el cual es utilizado por diversos grupos de ciberdelincuentes como una herramienta para acceder remotamente al equipo comprometido, permitiendo así, realizar múltiples actividades maliciosas como recopilar información del sistema, capturar data sensible o implementar cargas útiles de ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/systembc-utilizado-por-actores-de-amenaza-que-distribuyen-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
SystemBC es un troyano de acceso remoto (RAT), el cual es utilizado por diversos grupos de ciberdelincuentes como una herramienta para acceder remotamente al equipo comprometido, permitiendo así, realizar múltiples actividades maliciosas como recopilar información del sistema, capturar data sensible o implementar cargas útiles de ransomware.
Actores de amenaza implementan inyecciones web en sus troyanos bancariosUsualmente, los actores de amenaza agregan nuevos módulos y/o funcionalidades en sus familias de malware, esto con el propósito de amplificar sus capacidades de afectación sobre algún objetivo u organización; aunado a lo anterior, en uno de los más recientes monitoreos, se evidenció la implementación de inyecciones web en aplicaciones móviles del sistema operativo Android para la captura de información confidencial de entidades financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-implementan-inyecciones-web-en-sus-troyanos-bancarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Usualmente, los actores de amenaza agregan nuevos módulos y/o funcionalidades en sus familias de malware, esto con el propósito de amplificar sus capacidades de afectación sobre algún objetivo u organización; aunado a lo anterior, en uno de los más recientes monitoreos, se evidenció la implementación de inyecciones web en aplicaciones móviles del sistema operativo Android para la captura de información confidencial de entidades financieras.
Qakbot renueva sus estrategias de infecciónQakbot, es uno de los troyanos bancarios más reconocidos en el ámbito de ciberseguridad, esto por ser una familia de malware que evoluciona constantemente a llegar a tal punto de convertirse en una botnet; así mismo, se evidencia la constante implementación de nuevas actualizaciones y estrategias en sus campañas maliciosas, con el propósito de afectar sistemas informáticos objetivos y, por ende, organizaciones de alto nivel.http://csirtasobancaria.com/Plone/alertas-de-seguridad/qakbot-renueva-sus-estrategias-de-infeccionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Qakbot, es uno de los troyanos bancarios más reconocidos en el ámbito de ciberseguridad, esto por ser una familia de malware que evoluciona constantemente a llegar a tal punto de convertirse en una botnet; así mismo, se evidencia la constante implementación de nuevas actualizaciones y estrategias en sus campañas maliciosas, con el propósito de afectar sistemas informáticos objetivos y, por ende, organizaciones de alto nivel.
Nuevo ransomware denominado NevadaRecientemente se ha evidenciado la comercialización de una nueva familia de malware a través de un foro clandestino de la Deep web conocida como Nevada, un ransomware que ofrece funcionalidades bastantes interesantes para los afiliados a este servicio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-nevadahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha evidenciado la comercialización de una nueva familia de malware a través de un foro clandestino de la Deep web conocida como Nevada, un ransomware que ofrece funcionalidades bastantes interesantes para los afiliados a este servicio.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}