Nuevo troyano de acceso remoto denominado LOBSHOTSe ha identificado un nuevo troyano de acceso remoto denominado LOBSHOST, el cual se enmascara como una aplicación legítima, donde es promocionada a través de Google Ads; este RAT tiene como objetivo afectar equipos con sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-lobshothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado un nuevo troyano de acceso remoto denominado LOBSHOST, el cual se enmascara como una aplicación legítima, donde es promocionada a través de Google Ads; este RAT tiene como objetivo afectar equipos con sistemas operativos Windows.
Se identifican nuevos indicadores de la botnet MiraiMirai es una botnet activa desde el año 2016, los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-indicadores-de-la-botnet-miraihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mirai es una botnet activa desde el año 2016, los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS, entre otros.
Nueva actividad maliciosa vinculada a BluStealerEn el constante monitoreo a ciberamenazas que puedan afectar la seguridad de la información de las organizaciones de los diversos sectores en Colombia (principalmente el financiero), se ha evidenciado nuevos indicadores de compromiso relacionados a BluStealer, una familia de malware identificada por tener como objetivo principal Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-vinculada-a-blustealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a ciberamenazas que puedan afectar la seguridad de la información de las organizaciones de los diversos sectores en Colombia (principalmente el financiero), se ha evidenciado nuevos indicadores de compromiso relacionados a BluStealer, una familia de malware identificada por tener como objetivo principal Latinoamérica.
RedEyes (APT37) distribuye el malware RokRAT a través de archivos LNKRokRAT es un troyano de acceso remoto que ha sido utilizado por el grupo de amenaza RedEyes (también conocido como APT37, ScarCruft) para recopilar credenciales de usuario y descargar malware adicional en sistemas comprometidos. Recientemente, se ha descubierto que este grupo de amenazas ha estado distribuyendo el malware RokRAT a través de archivos LNK.http://csirtasobancaria.com/Plone/alertas-de-seguridad/redeyes-apt37-distribuye-el-malware-rokrat-a-traves-de-archivos-lnkhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
RokRAT es un troyano de acceso remoto que ha sido utilizado por el grupo de amenaza RedEyes (también conocido como APT37, ScarCruft) para recopilar credenciales de usuario y descargar malware adicional en sistemas comprometidos. Recientemente, se ha descubierto que este grupo de amenazas ha estado distribuyendo el malware RokRAT a través de archivos LNK.
UNIZA: La nueva amenaza de ransomware que cifra archivos sin agregar extensiónLa ciberseguridad es un tema cada vez más importante en la era digital, y desafortunadamente, el mundo de los ataques cibernéticos está en constante evolución. Recientemente, se ha descubierto una nueva variante de ransomware llamada UNIZA, que cifra archivos en las equipos de las víctimas para después exigir un pago de rescate en Bitcoin, a cambio de proporcionar la clave de descifrado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/uniza-la-nueva-amenaza-de-ransomware-que-cifra-archivos-sin-agregar-extensionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La ciberseguridad es un tema cada vez más importante en la era digital, y desafortunadamente, el mundo de los ataques cibernéticos está en constante evolución. Recientemente, se ha descubierto una nueva variante de ransomware llamada UNIZA, que cifra archivos en las equipos de las víctimas para después exigir un pago de rescate en Bitcoin, a cambio de proporcionar la clave de descifrado.
Nueva actividad maliciosa de Amadey para la distribución de malwareEl equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa en la que el troyano Amadey distribuye diversos tipos de amenazas y en las que se pueden identificar nuevos indicadores de compromiso. Amadey fue identificado por primera vez en 2018 y se caracteriza por sus capacidades para capturar información confidencial e instalar código malicioso adicional en los equipos infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-amadey-para-la-distribucion-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa en la que el troyano Amadey distribuye diversos tipos de amenazas y en las que se pueden identificar nuevos indicadores de compromiso. Amadey fue identificado por primera vez en 2018 y se caracteriza por sus capacidades para capturar información confidencial e instalar código malicioso adicional en los equipos infectados.
Nuevos indicadores de compromiso asociados a RecordBreakerEn un reciente monitoreo a ciberamenazas que afecten la seguridad de la información del sector financiero de manera directa o transversal, se identificó nuevos indicadores de compromiso relacionados al stealer RecordBreaker o mejor conocido como Raccoon 2.0.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-recordbreakerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En un reciente monitoreo a ciberamenazas que afecten la seguridad de la información del sector financiero de manera directa o transversal, se identificó nuevos indicadores de compromiso relacionados al stealer RecordBreaker o mejor conocido como Raccoon 2.0.
ViperSoftX: un infostealer que captura contraseñas y criptomonedasViperSoftX es un infostealer capaz de capturar información valiosa, como criptomonedas y contraseñas de diferentes tipos de billeteras y administradores de contraseñas. Aunque inicialmente se creía que el objetivo principal de este stealer eran los usuarios habituales, investigaciones más recientes han revelado que el sector empresarial también ha sido fuertemente afectado por este malware en Australia, Japón, EE. UU. e India.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vipersoftx-un-infostealer-que-captura-contrasenas-y-criptomonedashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
ViperSoftX es un infostealer capaz de capturar información valiosa, como criptomonedas y contraseñas de diferentes tipos de billeteras y administradores de contraseñas. Aunque inicialmente se creía que el objetivo principal de este stealer eran los usuarios habituales, investigaciones más recientes han revelado que el sector empresarial también ha sido fuertemente afectado por este malware en Australia, Japón, EE. UU. e India.
Nueva variante de PingPull dirigida a sistemas LinuxPingPull es una amenaza que fue identificada por primera vez en 2022 que, a pesar de ser un RAT muchos investigadores lo han definido como una puerta trasera muy compleja de detectar, debido al uso de protocolos de mensajes de control de internet (ICMP) para generar la comunicación con su comando y control (C2).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-pingpull-dirigida-a-sistemas-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
PingPull es una amenaza que fue identificada por primera vez en 2022 que, a pesar de ser un RAT muchos investigadores lo han definido como una puerta trasera muy compleja de detectar, debido al uso de protocolos de mensajes de control de internet (ICMP) para generar la comunicación con su comando y control (C2).
Nueva variante del ransomware RTM Locker apunta a servidores ESXiEn una reciente investigación a amenazas potenciales que puedan afectar el ecosistema de ciberseguridad, se identificó una nueva variante del ransomware RTM Locker, el cual, por sus actividades y comandos, ahora tiene como objetivo impactar distribuciones Linux, NAS y principalmente servidores ESXi.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-ransomware-rtm-locker-apunta-a-servidores-esxihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En una reciente investigación a amenazas potenciales que puedan afectar el ecosistema de ciberseguridad, se identificó una nueva variante del ransomware RTM Locker, el cual, por sus actividades y comandos, ahora tiene como objetivo impactar distribuciones Linux, NAS y principalmente servidores ESXi.
Nueva campaña del troyano bancario Guildma a nivel globalEn el transcurso del tiempo una de las amenazas conocidas como los troyanos bancarios han causado enormes daños económicos, afectando tanto a usuarios individuales como a grandes empresas y organizaciones financieras, es por eso el equipo de analistas del Csirt Financiero en su constante monitoreo identifico una nueva campaña del troyano bancario Guildma el cual estaba dirigido a países de Latinoamérica pero en esta ocasión se observó que esta amenaza se está expandiendo a nivel mundial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-bancario-guildma-a-nivel-globalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el transcurso del tiempo una de las amenazas conocidas como los troyanos bancarios han causado enormes daños económicos, afectando tanto a usuarios individuales como a grandes empresas y organizaciones financieras, es por eso el equipo de analistas del Csirt Financiero en su constante monitoreo identifico una nueva campaña del troyano bancario Guildma el cual estaba dirigido a países de Latinoamérica pero en esta ocasión se observó que esta amenaza se está expandiendo a nivel mundial.
Nuevos indicadores de compromiso asociados al RAT Ave MariaAve Maria es un troyano de acceso remoto (RAT, por sus siglas en inglés) que permite a los atacantes tomar el control de un sistema de forma remota, esta familia se ha utilizado en diversos ataques cibernéticos, incluyendo campañas maliciosas relacionadas con espionaje cibernético y captura de información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-rat-ave-mariahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ave Maria es un troyano de acceso remoto (RAT, por sus siglas en inglés) que permite a los atacantes tomar el control de un sistema de forma remota, esta familia se ha utilizado en diversos ataques cibernéticos, incluyendo campañas maliciosas relacionadas con espionaje cibernético y captura de información.
QakBot continúa evolucionando sus capacidades de afectaciónQakBot (también conocido como QBot) es un troyano bancario que ha estado activo desde hace varios años y se enfoca en capturar información bancaria de los usuarios. Recientemente, se ha detectado una nueva variante del malware que continúa evolucionando y mutando, lo que dificulta su detección y eliminación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/qakbot-continua-evolucionando-sus-capacidades-de-afectacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
QakBot (también conocido como QBot) es un troyano bancario que ha estado activo desde hace varios años y se enfoca en capturar información bancaria de los usuarios. Recientemente, se ha detectado una nueva variante del malware que continúa evolucionando y mutando, lo que dificulta su detección y eliminación.
Ciberataque de Lazarus X_TRADER afecta a infraestructuras críticas más allá de la vulnerabilidad de 3CXEn los últimos meses, ha habido varias noticias sobre ciberataques a organizaciones con infraestructuras críticas. El grupo de ciberdelincuentes Lazarus, de Corea del Norte, responsable del reciente ataque a la cadena de suministro dirigido a 3CX, también vulnero dos organizaciones del sector energético y dos empresas financieras y otras organizaciones, utilizando el troyano X_TRADER.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberataque-de-lazarus-x_trader-afecta-a-infraestructuras-criticas-mas-alla-de-la-vulnerabilidad-de-3cxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos meses, ha habido varias noticias sobre ciberataques a organizaciones con infraestructuras críticas. El grupo de ciberdelincuentes Lazarus, de Corea del Norte, responsable del reciente ataque a la cadena de suministro dirigido a 3CX, también vulnero dos organizaciones del sector energético y dos empresas financieras y otras organizaciones, utilizando el troyano X_TRADER.
Nueva actividad maliciosa del Loader BumblebeeLa evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero, los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-loader-bumblebeehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero, los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.
Aukill: la nueva hacktool que deshabilita la seguridad de los sistemas y despliega ransomware en ataques BYOVDLa seguridad cibernética sigue siendo un tema crítico a medida que los actores de amenazas continúan encontrando nuevas formas de comprometer los sistemas. Recientemente, se descubrió una nueva hacktool denominada AuKill, que los actores malintencionados están utilizando para deshabilitar la detección y respuesta de punto final (EDR) en los sistemas de sus objetivos antes de implementar backdoor y ransomware en ataques BYOVD.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aukill-la-nueva-hacktool-que-deshabilita-la-seguridad-de-los-sistemas-y-despliega-ransomware-en-ataques-byovdhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad cibernética sigue siendo un tema crítico a medida que los actores de amenazas continúan encontrando nuevas formas de comprometer los sistemas. Recientemente, se descubrió una nueva hacktool denominada AuKill, que los actores malintencionados están utilizando para deshabilitar la detección y respuesta de punto final (EDR) en los sistemas de sus objetivos antes de implementar backdoor y ransomware en ataques BYOVD.
Nuevos artefactos relacionados al troyano Agent TeslaEl equipo de analistas del Csirt Financiero ha identificado nuevos indicadores relacionados con el troyano Agent Tesla a través de la monitorización de fuentes abiertas de seguridad. Este tipo de amenazas evolucionan constantemente y pueden desencadenar múltiples campañas maliciosas, impactando diversas infraestructuras tecnológicas en todo el mundo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-relacionados-al-troyano-agent-teslahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores relacionados con el troyano Agent Tesla a través de la monitorización de fuentes abiertas de seguridad. Este tipo de amenazas evolucionan constantemente y pueden desencadenar múltiples campañas maliciosas, impactando diversas infraestructuras tecnológicas en todo el mundo.
EvilExtractor: herramienta de ataque con múltiples funciones maliciosas, incluyendo ransomware.EvilExtractor es una herramienta de ataque que Incluye varios módulos que funcionan a través de un servicio FTP, diseñados para extraer datos y archivos de equipos con sistemas operativos Windows. Es distribuida por una compañía llamada Kodex, que afirma que es una herramienta educativa. Sin embargo, los ciberdelincuentes lo están utilizando activamente como un infostealer para orquestar ataques hacia víctimas se encuentran principalmente en Europa y América.http://csirtasobancaria.com/Plone/alertas-de-seguridad/evilextractor-herramienta-de-ataque-con-multiples-funciones-maliciosas-incluyendo-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
EvilExtractor es una herramienta de ataque que Incluye varios módulos que funcionan a través de un servicio FTP, diseñados para extraer datos y archivos de equipos con sistemas operativos Windows. Es distribuida por una compañía llamada Kodex, que afirma que es una herramienta educativa. Sin embargo, los ciberdelincuentes lo están utilizando activamente como un infostealer para orquestar ataques hacia víctimas se encuentran principalmente en Europa y América.
Nueva amenaza denominada DAAM BotnetEn el observatorio de ciberseguridad generado por el equipo de analistas del Csirt Financiero a través de diversas fuentes abiertas de información, se identificó un malware dirigido a dispositivos Android denominado DAAM Botnet con grandes capacidades para la captura de información confidencial, además de contener un módulo de ransomware para sus operaciones maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-daam-botnethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el observatorio de ciberseguridad generado por el equipo de analistas del Csirt Financiero a través de diversas fuentes abiertas de información, se identificó un malware dirigido a dispositivos Android denominado DAAM Botnet con grandes capacidades para la captura de información confidencial, además de contener un módulo de ransomware para sus operaciones maliciosas.
Nueva actividad del grupo Blind Eagle afectando entidades de LatinoaméricaEl equipo de analistas del Csirt Financiero ha identificado nueva actividad del grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle en el ciberespacio. Se ha observado que están distribuyendo diversas familias de troyanos de acceso remoto RAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-blind-eagle-afectando-entidades-de-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nueva actividad del grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle en el ciberespacio. Se ha observado que están distribuyendo diversas familias de troyanos de acceso remoto RAT.