Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
IZ1H9: La activa y peligrosa variante Mirai que amenaza la seguridad de dispositivos LinuxRecientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.http://csirtasobancaria.com/Plone/alertas-de-seguridad/iz1h9-la-activa-y-peligrosa-variante-mirai-que-amenaza-la-seguridad-de-dispositivos-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.
Campaña de ciberataque "Horabot" amenaza a usuarios de habla hispana en América LatinaUna campaña de malware denominada Horabot ha sido descubierta recientemente, afectando a usuarios de habla hispana en América Latina. Este malware de tipo botnet se dirige a usuarios de habla hispana en Latinoamérica, con un enfoque particular en México, Horabot utiliza un troyano bancario y una herramienta de spam para comprometer las cuentas de correo web y controlar el buzón de Outlook de las víctimas. El troyano recopila credenciales de inicio de sesión, información del sistema operativo y pulsaciones de teclas, mientras que la herramienta de spam envía correos electrónicos no deseados a los contactos de la víctima.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-ciberataque-horabot-amenaza-a-usuarios-de-habla-hispana-en-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una campaña de malware denominada Horabot ha sido descubierta recientemente, afectando a usuarios de habla hispana en América Latina. Este malware de tipo botnet se dirige a usuarios de habla hispana en Latinoamérica, con un enfoque particular en México, Horabot utiliza un troyano bancario y una herramienta de spam para comprometer las cuentas de correo web y controlar el buzón de Outlook de las víctimas. El troyano recopila credenciales de inicio de sesión, información del sistema operativo y pulsaciones de teclas, mientras que la herramienta de spam envía correos electrónicos no deseados a los contactos de la víctima.
Makop Ransomware: Un peligroso actor de amenazas en constante evoluciónEn el mundo digital actual, los ataques de ransomware representan una amenaza creciente para las empresas y organizaciones de todo el mundo. Entre los diversos actores de ransomware, se encuentra la pandilla Makop, que ha estado activo desde 2020. A pesar de su reputación relativamente baja, Makop ha logrado comprometer infraestructuras tecnológicas con éxito mediante el uso de un arsenal de herramientas híbridas y personalizadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/makop-ransomware-un-peligroso-actor-de-amenazas-en-constante-evolucionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo digital actual, los ataques de ransomware representan una amenaza creciente para las empresas y organizaciones de todo el mundo. Entre los diversos actores de ransomware, se encuentra la pandilla Makop, que ha estado activo desde 2020. A pesar de su reputación relativamente baja, Makop ha logrado comprometer infraestructuras tecnológicas con éxito mediante el uso de un arsenal de herramientas híbridas y personalizadas.
Nuevos IoC relacionados con el troyano de acceso remoto NjRATMediante un monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información abiertas, en busca de campañas, artefactos o nuevas amenazas que puedan afectar la infraestructura tecnológica de los asociados, se identificaron indicadores de compromiso recientes y relacionados con el troyano de acceso remoto NjRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-relacionados-con-el-troyano-de-acceso-remoto-njrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante un monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información abiertas, en busca de campañas, artefactos o nuevas amenazas que puedan afectar la infraestructura tecnológica de los asociados, se identificaron indicadores de compromiso recientes y relacionados con el troyano de acceso remoto NjRAT.
IOC recientes del troyano IcedIDDurante procesos de monitoreo, se identificaron nuevos indicadores de compromiso (IOC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalar y/o ejecutar otras familias de malware para maximizar su impacto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-recientes-del-troyano-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante procesos de monitoreo, se identificaron nuevos indicadores de compromiso (IOC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalar y/o ejecutar otras familias de malware para maximizar su impacto.
Nueva actividad maliciosa relacionada con la Botnet TrueBot.A través de monitoreo constante a diversas fuentes de información, el equipo de analistas del Csirt Financiero identificó actividades recientes del software malicioso denominado TrueBot, botnet de descarga que ha estado activa desde el 2017.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-con-la-botnet-truebothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de monitoreo constante a diversas fuentes de información, el equipo de analistas del Csirt Financiero identificó actividades recientes del software malicioso denominado TrueBot, botnet de descarga que ha estado activa desde el 2017.
CMDStealer, operación dirigida al sector financieroUn desconocido actor de amenazas con objetivos financieros está desplegando campañas maliciosas a países como Portugal, México y Perú, con la finalidad de exfiltrar información bancaria de sus víctimas, dentro de las cuales se encuentran las credenciales de acceso. Para ello, emplean una táctica conocida como LOLBaS (Living Off the Land Binaries and Scripts) la cual se basa en la manipulación de binarios legítimos de los sistemas operativos para lograr sus actividades maliciosas, además, los cibercriminales se apoyan con scripts basados en CMD para comprometer la información de la víctima.http://csirtasobancaria.com/Plone/alertas-de-seguridad/cmdstealer-operacion-dirigida-al-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un desconocido actor de amenazas con objetivos financieros está desplegando campañas maliciosas a países como Portugal, México y Perú, con la finalidad de exfiltrar información bancaria de sus víctimas, dentro de las cuales se encuentran las credenciales de acceso. Para ello, emplean una táctica conocida como LOLBaS (Living Off the Land Binaries and Scripts) la cual se basa en la manipulación de binarios legítimos de los sistemas operativos para lograr sus actividades maliciosas, además, los cibercriminales se apoyan con scripts basados en CMD para comprometer la información de la víctima.
Nuevo troyano bancario denominado HelloTeacherEn el ecosistema de ciberseguridad en el sector financiero, los actores de amenaza implementan diversas familias de malware que tienen como propósito recopilar información bancaria de las víctimas para beneficio económico propio; estas amenazas son comúnmente conocidas como troyanos bancarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-denominado-helloteacherhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ecosistema de ciberseguridad en el sector financiero, los actores de amenaza implementan diversas familias de malware que tienen como propósito recopilar información bancaria de las víctimas para beneficio económico propio; estas amenazas son comúnmente conocidas como troyanos bancarios.
Nuevos indicadores de compromiso asociados a BumblebeeBumblebee era backdoor que desde su creación ha adquirido mucha popularidad entre los ciberdelincuentes debido a sus amplias capacidades, sin embargo, los actores de amenaza de tras de este con el tiempo lo han desarrollado hasta convertirlo en un Loader.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-bumblebee-2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bumblebee era backdoor que desde su creación ha adquirido mucha popularidad entre los ciberdelincuentes debido a sus amplias capacidades, sin embargo, los actores de amenaza de tras de este con el tiempo lo han desarrollado hasta convertirlo en un Loader.
Nueva variante de ransomware identificada como ThxThx es una nueva familia perteneciente a otra amenaza conocida como Dharma, este es un ransomware que tiene la finalidad de cifrar datos y con esto generar la capacidad de extorsionar a sus víctimas a través de la exigencia de un rescate a cambio de un beneficio económico para posteriormente entregar una clave de descifrado, todo esto lo hace con base en el tipo de información comprometida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-identificada-como-thxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Thx es una nueva familia perteneciente a otra amenaza conocida como Dharma, este es un ransomware que tiene la finalidad de cifrar datos y con esto generar la capacidad de extorsionar a sus víctimas a través de la exigencia de un rescate a cambio de un beneficio económico para posteriormente entregar una clave de descifrado, todo esto lo hace con base en el tipo de información comprometida.
Darkrace: El emergente ransomware que amenaza la seguridad de los sistemas WindowsEl ransomware continúa siendo una de las amenazas más críticas en el ámbito de la ciberseguridad, representando un peligro para la infraestructura de las organizaciones. Recientemente se ha descubierto un nuevo tipo de ransomware llamado Darkrace, el cual comparte similitudes con LockBit Ransomware. Darkrace está diseñado para atacar específicamente sistemas operativos Windows y utiliza diversas tácticas para llevar a cabo sus operaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/darkrace-el-emergente-ransomware-que-amenaza-la-seguridad-de-los-sistemas-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware continúa siendo una de las amenazas más críticas en el ámbito de la ciberseguridad, representando un peligro para la infraestructura de las organizaciones. Recientemente se ha descubierto un nuevo tipo de ransomware llamado Darkrace, el cual comparte similitudes con LockBit Ransomware. Darkrace está diseñado para atacar específicamente sistemas operativos Windows y utiliza diversas tácticas para llevar a cabo sus operaciones.
Nuevos artefactos relacionados con el troyano de acceso remoto AsyncRATMediante constantes monitoreos realizados por el equipo de analistas del Csirt Financiero, en busca de amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificaron nuevos artefactos relacionados con el troyano de acceso remoto denominado AsyncRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-relacionados-con-el-troyano-de-acceso-remoto-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante constantes monitoreos realizados por el equipo de analistas del Csirt Financiero, en busca de amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificaron nuevos artefactos relacionados con el troyano de acceso remoto denominado AsyncRAT.
Surge una nueva amenaza denominada KrakenKeyloggerMediante los monitoreos realizados por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a generar impactos en las infraestructuras tecnológicas de los asociados, se identificó un nuevo software malicioso comercializado en foros clandestinos de la Deep y Dark web denominado KrakenKeylogger con grandes capacidades para la captura de datos sensibles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/surge-una-nueva-amenaza-denominada-krakenkeyloggerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante los monitoreos realizados por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a generar impactos en las infraestructuras tecnológicas de los asociados, se identificó un nuevo software malicioso comercializado en foros clandestinos de la Deep y Dark web denominado KrakenKeylogger con grandes capacidades para la captura de datos sensibles.
Amenaza en auge: el grupo de ransomware Cl0p explota vulnerabilidades en soluciones de transferencia de archivosEl grupo de ransomware CL0P, también conocido como TA505, ha comenzado a aprovechar una vulnerabilidad de inyección SQL en la solución de transferencia de archivos administrados de Progress Software (MOVEit Transfer). Esta vulnerabilidad permite al grupo capturar datos de las bases de datos subyacentes de MOVEit Transfer. TA505, conocido por su uso de ransomware y phishing, ha utilizado tácticas de doble extorsión en el pasado. Además, el grupo ha explotado otras soluciones de transferencia de archivos, como Accellion File Transfer (FTA) y Fortra/Linoma GoAnywhere MFT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/amenaza-en-auge-el-grupo-de-ransomware-cl0p-explota-vulnerabilidades-en-soluciones-de-transferencia-de-archivoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de ransomware CL0P, también conocido como TA505, ha comenzado a aprovechar una vulnerabilidad de inyección SQL en la solución de transferencia de archivos administrados de Progress Software (MOVEit Transfer). Esta vulnerabilidad permite al grupo capturar datos de las bases de datos subyacentes de MOVEit Transfer. TA505, conocido por su uso de ransomware y phishing, ha utilizado tácticas de doble extorsión en el pasado. Además, el grupo ha explotado otras soluciones de transferencia de archivos, como Accellion File Transfer (FTA) y Fortra/Linoma GoAnywhere MFT.
Nuevas campañas maliciosas del grupo BlindEagle distribuyen NjRATMediante el monitoreo generado por el equipo de analistas del Csirt Financiero se identificaron nuevas campañas maliciosas de BlindEagle dirigidas a diversas entidades de Colombia, este grupo también conocido como APT-C-36 es un actor de amenaza activo desde 2018, especializado en actividades de ciberespionaje y captura de información financiera, el cual ha ganado gran reputación por realizar ataques a instituciones y corporaciones de Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-maliciosas-del-grupo-blindeagle-distribuyen-njrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo generado por el equipo de analistas del Csirt Financiero se identificaron nuevas campañas maliciosas de BlindEagle dirigidas a diversas entidades de Colombia, este grupo también conocido como APT-C-36 es un actor de amenaza activo desde 2018, especializado en actividades de ciberespionaje y captura de información financiera, el cual ha ganado gran reputación por realizar ataques a instituciones y corporaciones de Latinoamérica.
Storm-1167: Una campaña de ataques AiTM y BEC amenaza a organizaciones financierasMicrosoft ha revelado que las organizaciones de servicios bancarios y financieros están siendo objetivo de un nuevo tipo de ataque cibernético. Este ataque en varias etapas, llevado a cabo mediante un enfoque de adversario en el medio (AiTM), se originó a partir de un proveedor de confianza comprometido y se ha extendido a través de múltiples organizaciones. Aunque el ataque logró su objetivo final, se destacan aspectos notables como el uso de un proxy indirecto en lugar de las técnicas tradicionales de proxy inverso, lo que demuestra la evolución constante de estas amenazas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/storm-1167-una-campana-de-ataques-aitm-y-bec-amenaza-a-organizaciones-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Microsoft ha revelado que las organizaciones de servicios bancarios y financieros están siendo objetivo de un nuevo tipo de ataque cibernético. Este ataque en varias etapas, llevado a cabo mediante un enfoque de adversario en el medio (AiTM), se originó a partir de un proveedor de confianza comprometido y se ha extendido a través de múltiples organizaciones. Aunque el ataque logró su objetivo final, se destacan aspectos notables como el uso de un proxy indirecto en lugar de las técnicas tradicionales de proxy inverso, lo que demuestra la evolución constante de estas amenazas.
Nueva campaña de skimmerRecientemente, investigadores de seguridad identificaron una nueva campaña de skimmer web al estilo de Magecart, con la finalidad de capturar y exfiltrar información relacionada con temas financieros donde se incluye la identificación personal de las víctimas como también la data asociada a los métodos de pago utilizados en sitios web de comercio digital.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-skimmerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores de seguridad identificaron una nueva campaña de skimmer web al estilo de Magecart, con la finalidad de capturar y exfiltrar información relacionada con temas financieros donde se incluye la identificación personal de las víctimas como también la data asociada a los métodos de pago utilizados en sitios web de comercio digital.
Asylum Ambuscade: un actor de amenazas que combina cibercrimen y ciberespionajeUn actor de amenazas conocido como Asylum Ambuscade ha estado operando en el ámbito del cibercrimen y el ciberespionaje desde principios de 2020. Este grupo se ha enfocado en atacar a clientes bancarios, comerciantes de criptomonedas y entidades gubernamentales en América del Norte, Europa y Asia Central. Asylum Ambuscade fue inicialmente identificado como una campaña de phishing patrocinada por un estado-nación, dirigida a entidades gubernativas europeas con el objetivo de extraer información confidencial y credenciales de correo electrónico de portales de gobierno.http://csirtasobancaria.com/Plone/alertas-de-seguridad/asylum-ambuscade-un-actor-de-amenazas-que-combina-cibercrimen-y-ciberespionajehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un actor de amenazas conocido como Asylum Ambuscade ha estado operando en el ámbito del cibercrimen y el ciberespionaje desde principios de 2020. Este grupo se ha enfocado en atacar a clientes bancarios, comerciantes de criptomonedas y entidades gubernamentales en América del Norte, Europa y Asia Central. Asylum Ambuscade fue inicialmente identificado como una campaña de phishing patrocinada por un estado-nación, dirigida a entidades gubernativas europeas con el objetivo de extraer información confidencial y credenciales de correo electrónico de portales de gobierno.
Nuevos IoC asociados a EmotetEl equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto, se han observado nuevos indicadores de compromiso (IOC) relacionados al troyano Emotet, donde su principal objetivo es la recopilación de información alojada en los equipos comprometidos como credenciales de acceso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-asociados-a-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto, se han observado nuevos indicadores de compromiso (IOC) relacionados al troyano Emotet, donde su principal objetivo es la recopilación de información alojada en los equipos comprometidos como credenciales de acceso.
Nuevos indicadores de compromiso vinculados al troyano de acceso remoto QuasarQuasar RAT es una familia de malware que permite a los ciberdelincuentes controlar de forma remota los sistemas comprometidos, este funciona como un troyano y se instala en el equipo de la víctima sin su conocimiento. Quasar, se caracteriza por poseer una interfaz de usuario fácil de usar y su amplia gama de funciones, lo que lo hace atractivo para los ciberdelincuentes con diferentes niveles de experiencia técnica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-vinculados-al-troyano-de-acceso-remoto-quasarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Quasar RAT es una familia de malware que permite a los ciberdelincuentes controlar de forma remota los sistemas comprometidos, este funciona como un troyano y se instala en el equipo de la víctima sin su conocimiento. Quasar, se caracteriza por poseer una interfaz de usuario fácil de usar y su amplia gama de funciones, lo que lo hace atractivo para los ciberdelincuentes con diferentes niveles de experiencia técnica.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}