IZ1H9: La activa y peligrosa variante Mirai que amenaza la seguridad de dispositivos LinuxRecientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.http://csirtasobancaria.com/Plone/alertas-de-seguridad/iz1h9-la-activa-y-peligrosa-variante-mirai-que-amenaza-la-seguridad-de-dispositivos-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.
Nuevos indicadores de compromiso asociados a LockBit y su versión 3.0A través del monitoreo realizado a diversas fuentes de información en búsqueda de nuevas amenazas o campañas que puedan afectar el ecosistema de ciberseguridad del sector financiero, se identificaron nuevos indicadores de compromiso relacionados a LockBit y su versión 3.5.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-lockbit-y-su-version-3.0http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado a diversas fuentes de información en búsqueda de nuevas amenazas o campañas que puedan afectar el ecosistema de ciberseguridad del sector financiero, se identificaron nuevos indicadores de compromiso relacionados a LockBit y su versión 3.5.
SeroXen: Un nuevo y evasivo troyano de acceso remoto (RAT)SeroXen es un nuevo troyano de acceso remoto (RAT) que ha ganado popularidad en 2023. Se presenta como una herramienta legítima que proporciona acceso a los equipos objetivo sin ser detectado por solo $30 al mes o $60 de por vida. Es una RAT sin archivos que combina proyectos de código abierto como Quasar RAT, r77-rootkit y NirCmd. Este RAT evita la detección en análisis estáticos y dinámicos, lo que lo convierte en una amenaza preocupante.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seroxen-un-nuevo-y-evasivo-troyano-de-acceso-remoto-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
SeroXen es un nuevo troyano de acceso remoto (RAT) que ha ganado popularidad en 2023. Se presenta como una herramienta legítima que proporciona acceso a los equipos objetivo sin ser detectado por solo $30 al mes o $60 de por vida. Es una RAT sin archivos que combina proyectos de código abierto como Quasar RAT, r77-rootkit y NirCmd. Este RAT evita la detección en análisis estáticos y dinámicos, lo que lo convierte en una amenaza preocupante.
Identificada una nueva familia de ransomware con el nombre de xCorxCor es una nueva familia de ransomware que una vez compromete un equipo o sistema asigna un ID a cada víctima, el cual es usado en las extensiones de los diversos elementos afectados. Este ransomware hace parte de la familia de Dharma.http://csirtasobancaria.com/Plone/alertas-de-seguridad/identificada-una-nueva-familia-de-ransomware-con-el-nombre-de-xcorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
xCor es una nueva familia de ransomware que una vez compromete un equipo o sistema asigna un ID a cada víctima, el cual es usado en las extensiones de los diversos elementos afectados. Este ransomware hace parte de la familia de Dharma.
Nuevo ransomware denominado RhysidaRecientemente, se ha identificado un nuevo ransomware denominado como Rhysida, el cual ha sido atribuido a un incidente relacionado con el ejército de Chile, donde ha afectado sus servicios y disponibilidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-rhysida-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado un nuevo ransomware denominado como Rhysida, el cual ha sido atribuido a un incidente relacionado con el ejército de Chile, donde ha afectado sus servicios y disponibilidad.
Bandit Stealer: el nuevo InfoStealer que apunta a navegadores y billeteras de criptomonedasBandit Stealer, un nuevo tipo de infostealer que ha surgido recientemente y está ganando terreno al dirigirse a múltiples navegadores y billeteras de criptomonedas, mientras evade la detección. Aunque actualmente se centra en la plataforma Windows, su desarrollo en el lenguaje de programación Go sugiere la posibilidad de una compatibilidad multiplataforma en el futuro.http://csirtasobancaria.com/Plone/alertas-de-seguridad/bandit-stealer-el-nuevo-infostealer-que-apunta-a-navegadores-y-billeteras-de-criptomonedashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bandit Stealer, un nuevo tipo de infostealer que ha surgido recientemente y está ganando terreno al dirigirse a múltiples navegadores y billeteras de criptomonedas, mientras evade la detección. Aunque actualmente se centra en la plataforma Windows, su desarrollo en el lenguaje de programación Go sugiere la posibilidad de una compatibilidad multiplataforma en el futuro.
Buhti: La amenaza emergente que aprovecha vulnerabilidades y utiliza variantes filtradas de ransomware LockBit y BabukEn el oscuro mundo de la ciberdelincuencia, una nueva amenaza ha surgido y ha despertado la atención de expertos en seguridad. Se trata de Buhti, un grupo de ransomware que se destaca por su enfoque inusual. A diferencia de otros grupos, no crea su propio malware, sino que utiliza builders de ransomware filtrados de las familias LockBit y Babuk. Esta táctica ha generado preocupación debido a su capacidad para atacar tanto sistemas Windows como Linux. Además, los operadores de Buhti han sido apodados como Blacktail, aunque su afiliación a otros grupos de cibercriminales aún no ha sido confirmada.http://csirtasobancaria.com/Plone/alertas-de-seguridad/buhti-la-amenaza-emergente-que-aprovecha-vulnerabilidades-y-utiliza-variantes-filtradas-de-ransomware-lockbit-y-babukhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el oscuro mundo de la ciberdelincuencia, una nueva amenaza ha surgido y ha despertado la atención de expertos en seguridad. Se trata de Buhti, un grupo de ransomware que se destaca por su enfoque inusual. A diferencia de otros grupos, no crea su propio malware, sino que utiliza builders de ransomware filtrados de las familias LockBit y Babuk. Esta táctica ha generado preocupación debido a su capacidad para atacar tanto sistemas Windows como Linux. Además, los operadores de Buhti han sido apodados como Blacktail, aunque su afiliación a otros grupos de cibercriminales aún no ha sido confirmada.
Operación Magalenha: Amenaza brasileña dirigida a instituciones financieras portuguesasUn actor de amenazas brasileño ha estado llevando a cabo una campaña de larga duración desde 2021, apuntando a más de 30 instituciones financieras portuguesas. En esta campaña, denominada "Operación Magalenha", los atacantes emplean malware para capturar información confidencial y personal de los usuarios. La operación culmina con el despliegue de dos variantes de una puerta trasera llamada PeepingTitle, que forma parte de un ecosistema de malware financiero brasileño más amplio conocido como Maxtrilha.http://csirtasobancaria.com/Plone/alertas-de-seguridad/operacion-magalenha-amenaza-brasilena-dirigida-a-instituciones-financieras-portuguesashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un actor de amenazas brasileño ha estado llevando a cabo una campaña de larga duración desde 2021, apuntando a más de 30 instituciones financieras portuguesas. En esta campaña, denominada "Operación Magalenha", los atacantes emplean malware para capturar información confidencial y personal de los usuarios. La operación culmina con el despliegue de dos variantes de una puerta trasera llamada PeepingTitle, que forma parte de un ecosistema de malware financiero brasileño más amplio conocido como Maxtrilha.
Evolución del Downloader GuloaderEl equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa relacionada con el downloader conocido como Guloader. Este malware utiliza la herramienta de código abierto NSIS (Nullsoft Scriptable Install System) una herramienta de código abierto que se utiliza para crear instaladores de software en el sistema operativo Windows para desarrollar instaladores en el sistema operativo Windows. Durante la investigación se han identificado nuevos indicadores de compromiso asociados a esta amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-downloader-guloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa relacionada con el downloader conocido como Guloader. Este malware utiliza la herramienta de código abierto NSIS (Nullsoft Scriptable Install System) una herramienta de código abierto que se utiliza para crear instaladores de software en el sistema operativo Windows para desarrollar instaladores en el sistema operativo Windows. Durante la investigación se han identificado nuevos indicadores de compromiso asociados a esta amenaza.
BlackByte NT: La nueva versión del ransomware BlackByteBlackByte es un grupo conocido por su uso de su ransomware con el mismo nombre, ofreciendo su servicio a sus afiliados como Ransomware-as-a-Service (RaaS). Han desarrollado diferentes variantes de malware a lo largo del tiempo, implementadas en varios lenguajes de programación. Su última versión, llamada BlackByte NT, Esta nueva implementación agrega controladores adicionales para explotar una vulnerabilidad específica y desactivar herramientas de seguridad que podrían interferir con su funcionamiento.http://csirtasobancaria.com/Plone/alertas-de-seguridad/blackbyte-nt-la-nueva-version-del-ransomware-blackbytehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
BlackByte es un grupo conocido por su uso de su ransomware con el mismo nombre, ofreciendo su servicio a sus afiliados como Ransomware-as-a-Service (RaaS). Han desarrollado diferentes variantes de malware a lo largo del tiempo, implementadas en varios lenguajes de programación. Su última versión, llamada BlackByte NT, Esta nueva implementación agrega controladores adicionales para explotar una vulnerabilidad específica y desactivar herramientas de seguridad que podrían interferir con su funcionamiento.
Nueva campaña maliciosa del ransomware Black BastaA medida que avanza el tiempo, los cibercriminales responsables del ransomware Black Basta continúan actualizando de manera constante esta amenaza y sus herramientas maliciosas. No obstante, el equipo de analistas del Csirt Financiero se mantiene vigilante y ha logrado identificar recientemente nueva actividad maliciosa y nuevos indicadores de compromiso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-del-ransomware-black-bastahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que avanza el tiempo, los cibercriminales responsables del ransomware Black Basta continúan actualizando de manera constante esta amenaza y sus herramientas maliciosas. No obstante, el equipo de analistas del Csirt Financiero se mantiene vigilante y ha logrado identificar recientemente nueva actividad maliciosa y nuevos indicadores de compromiso.
BlackCat: Ataques de ransomware potenciados por controladores maliciososRecientemente se ha detectado un aumento en la actividad del grupo de ransomware conocido como ALPHV, también llamado BlackCat. Lo preocupante es que este grupo está utilizando controladores de kernel de Windows maliciosos, los cuales están firmados para evadir la detección por parte del software de seguridad durante sus ataques. Esta táctica les ha permitido eludir las defensas y llevar a cabo sus acciones sin ser detectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/blackcat-ataques-de-ransomware-potenciados-por-controladores-maliciososhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha detectado un aumento en la actividad del grupo de ransomware conocido como ALPHV, también llamado BlackCat. Lo preocupante es que este grupo está utilizando controladores de kernel de Windows maliciosos, los cuales están firmados para evadir la detección por parte del software de seguridad durante sus ataques. Esta táctica les ha permitido eludir las defensas y llevar a cabo sus acciones sin ser detectados.
Nuevos IoC asociados al troyano de acceso remoto AveMariaAveMaria es un RAT modular con capacidades avanzadas, las cuales le permiten exfiltrar múltiple información de los equipos infectados, cabe resaltar que también es conocido como WARZONE RAT y que además esta amenaza está dirigida a todos los sectores, donde encontramos el ámbito financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-asociados-al-troyano-de-acceso-remoto-avemariahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
AveMaria es un RAT modular con capacidades avanzadas, las cuales le permiten exfiltrar múltiple información de los equipos infectados, cabe resaltar que también es conocido como WARZONE RAT y que además esta amenaza está dirigida a todos los sectores, donde encontramos el ámbito financiero.
Nuevos indicadores de compromiso asociados a BumblebeeA través del constante monitoreo a posibles amenazas que afecten el ecosistema de ciberseguridad del sector financiero, se han identificado, correlacionado y sanitizado, nuevos indicadores de compromiso relacionados al loader Bumblebee.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-bumblebee-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del constante monitoreo a posibles amenazas que afecten el ecosistema de ciberseguridad del sector financiero, se han identificado, correlacionado y sanitizado, nuevos indicadores de compromiso relacionados al loader Bumblebee.
Actualización de IoC asociados a NetSupport RATNetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-de-ioc-asociados-a-netsupport-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
NetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.
El ransomware Clop es distribuido por el grupo APT Fin7El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa relacionada con el ransomware Clop, llevada a cabo por el grupo de ciberdelincuentes conocido como FIN7. Este grupo, activo desde al menos 2015, se ha destacado por implementar malware en dispositivos de punto de venta (POS) y realizar ataques de phishing dirigidos a numerosas empresas a nivel global.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-clop-es-distribuido-por-el-grupo-apt-fin7http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa relacionada con el ransomware Clop, llevada a cabo por el grupo de ciberdelincuentes conocido como FIN7. Este grupo, activo desde al menos 2015, se ha destacado por implementar malware en dispositivos de punto de venta (POS) y realizar ataques de phishing dirigidos a numerosas empresas a nivel global.
MalasLocker: Ransomware enfocado en servidores ZimbraUna nueva amenaza de ransomware llamada MalasLocker ha surgido, apuntando a servidores Zimbra con el objetivo de capturar correos electrónicos y cifrar archivos. Sin embargo, a diferencia de los ataques convencionales, los perpetradores de esta operación de ransomware no exigen un pago de rescate en criptomonedas, sino que solicitan una donación a una organización benéfica para proporcionar una clave de descifrado y evitar la filtración de datos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malaslocker-ransomware-enfocado-en-servidores-zimbrahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una nueva amenaza de ransomware llamada MalasLocker ha surgido, apuntando a servidores Zimbra con el objetivo de capturar correos electrónicos y cifrar archivos. Sin embargo, a diferencia de los ataques convencionales, los perpetradores de esta operación de ransomware no exigen un pago de rescate en criptomonedas, sino que solicitan una donación a una organización benéfica para proporcionar una clave de descifrado y evitar la filtración de datos.
Nueva actividad maliciosa del ransomware ContiEl equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el ransomware Conti. A medida que los ciberdelincuentes realizan constantes actualizaciones en el ciberespacio, se ha descubierto una nueva actividad maliciosa asociada a esta amenaza en particular. El ransomware Conti, activo desde 2019, utiliza el modelo de Ransomware as a Service (RaaS) basado en el código de la amenaza Ryuk. Es conocido por su capacidad de evasión y su efectividad al cifrar equipos que ejecutan sistemas operativos Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-contihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el ransomware Conti. A medida que los ciberdelincuentes realizan constantes actualizaciones en el ciberespacio, se ha descubierto una nueva actividad maliciosa asociada a esta amenaza en particular. El ransomware Conti, activo desde 2019, utiliza el modelo de Ransomware as a Service (RaaS) basado en el código de la amenaza Ryuk. Es conocido por su capacidad de evasión y su efectividad al cifrar equipos que ejecutan sistemas operativos Microsoft Windows.
Nuevo método de distribución de Raccoon Stealer y XMRig minerLos actores de amenazas han estado utilizando técnicas de distribución de malware a través de software no licenciado desde los primeros días de la piratería. Sin embargo, recientemente se ha observado una tendencia en la cual los atacantes están dirigiendo sus esfuerzos hacia los canales de YouTube pirateados para difundir malware mediante tutoriales en video. Estos videos se presentan como instrucciones para convencer a los usuarios de desactivar sus herramientas de seguridad y ejecutar el malware, el cual viene en un archivo comprimido de pequeño tamaño.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-distribucion-de-raccoon-stealer-y-xmrig-minerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenazas han estado utilizando técnicas de distribución de malware a través de software no licenciado desde los primeros días de la piratería. Sin embargo, recientemente se ha observado una tendencia en la cual los atacantes están dirigiendo sus esfuerzos hacia los canales de YouTube pirateados para difundir malware mediante tutoriales en video. Estos videos se presentan como instrucciones para convencer a los usuarios de desactivar sus herramientas de seguridad y ejecutar el malware, el cual viene en un archivo comprimido de pequeño tamaño.
Nuevos indicadores de compromiso asociados al troyano bancario IcedIDIcedID es un troyano bancario, un tipo de malware que se especializa en capturar información financiera de sus víctimas. Es capaz de infiltrarse en los sistemas informáticos de la organización y recopilar data sobre las credenciales de inicio de sesión y/o datos de la tarjeta de crédito.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-bancario-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IcedID es un troyano bancario, un tipo de malware que se especializa en capturar información financiera de sus víctimas. Es capaz de infiltrarse en los sistemas informáticos de la organización y recopilar data sobre las credenciales de inicio de sesión y/o datos de la tarjeta de crédito.