Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva actividad maliciosa del ransomware MedusalockerA través de un monitoreo realizado por el equipo de analistas del Csirt financiero a fuentes abiertas de información se identificaron nuevos indicadores de compromiso relacionados con el ransomware denominado MedusaLocker el cual ha tenido un aumento en su actividad recientemente y ha afectado a organizaciones de América latina pertenecientes a todos los sectores económicos, incluyendo el financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-medusalockerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de un monitoreo realizado por el equipo de analistas del Csirt financiero a fuentes abiertas de información se identificaron nuevos indicadores de compromiso relacionados con el ransomware denominado MedusaLocker el cual ha tenido un aumento en su actividad recientemente y ha afectado a organizaciones de América latina pertenecientes a todos los sectores económicos, incluyendo el financiero.
Nuevo Kit de herramientas denominado AlienFox empleado para ataques a servicios en la nubeEl kit de herramientas AlienFox es utilizado por ciberdelincuentes para buscar servidores mal configurados y capturar secretos de autenticación y credenciales de servicios de correo electrónico basados en la nube. El kit se vende en un canal privado de Telegram y está dirigido a configuraciones erróneas comunes en servidores asociados con marcos web populares.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-kit-de-herramientas-denominado-alienfox-empleado-para-ataques-a-servicios-en-la-nubehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El kit de herramientas AlienFox es utilizado por ciberdelincuentes para buscar servidores mal configurados y capturar secretos de autenticación y credenciales de servicios de correo electrónico basados en la nube. El kit se vende en un canal privado de Telegram y está dirigido a configuraciones erróneas comunes en servidores asociados con marcos web populares.
Nuevos indicadores de compromiso asociados a BianLian ransomwareEntre las amenazas más reconocidas en el ámbito de ciberseguridad el ransomware es uno de los tipos de malware más peligrosos que existen; esto debido a su capacidad de cifrar, modificar y/o eliminar archivos almacenados en el sistema informático comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-bianlian-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Entre las amenazas más reconocidas en el ámbito de ciberseguridad el ransomware es uno de los tipos de malware más peligrosos que existen; esto debido a su capacidad de cifrar, modificar y/o eliminar archivos almacenados en el sistema informático comprometido.
Se identifican nuevos artefactos del troyano bancario LokibotAunque Lokibot ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-artefactos-del-troyano-bancario-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque Lokibot ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.
Flujo de operación de una campaña de malspam que entrega el troyano IcedIDRecientemente se identificó una campaña de malspam que distribuye la carga útil del troyano bancario IcedID mediante una imagen ISO oculta que contiene un archivo LNK para ejecutar una serie de acciones maliciosas a la infraestructura tecnológica de las víctimas; los atacantes utilizan comandos de descubrimiento para recopilar información sobre el entorno y escalar privilegios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/flujo-de-operacion-de-una-campana-de-malspam-que-entrega-el-troyano-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó una campaña de malspam que distribuye la carga útil del troyano bancario IcedID mediante una imagen ISO oculta que contiene un archivo LNK para ejecutar una serie de acciones maliciosas a la infraestructura tecnológica de las víctimas; los atacantes utilizan comandos de descubrimiento para recopilar información sobre el entorno y escalar privilegios.
Campaña masiva de ataques a páginas web de WordPress mediante el backdoor Balad InjectorMás un millón de sitios web de WordPress han sido comprometidos durante una campaña que comenzó en 2017 y que utiliza todas las vulnerabilidades de temas y complementos conocidas y recientemente descubiertas para inyectar una puerta trasera que afecta sistemas Linux llamada Balad Injector; esta campaña tiene como objetivo principal redirigir a páginas falsas de soporte técnico, victorias fraudulentas de lotería y realizar estafas de notificación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-masiva-de-ataques-a-paginas-web-de-wordpress-mediante-el-backdoor-balad-injectorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Más un millón de sitios web de WordPress han sido comprometidos durante una campaña que comenzó en 2017 y que utiliza todas las vulnerabilidades de temas y complementos conocidas y recientemente descubiertas para inyectar una puerta trasera que afecta sistemas Linux llamada Balad Injector; esta campaña tiene como objetivo principal redirigir a páginas falsas de soporte técnico, victorias fraudulentas de lotería y realizar estafas de notificación.
El downloader Pure crypter descarga diversas familias de malwareRecientemente el equipo de analistas del Csirt Financiero identificó nueva actividad relacionada a Pure Crypter un downloader el cual está reapareciendo y realizando afectaciones a organizaciones gubernamentales a nivel mundial, generando la descarga de diversos tipos de malware como ransomware y troyanos de acceso remoto, gracias a estas nuevas actividades se generan nuevos indicadores de compromiso relacionados a Pure Crypter.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-downloader-pure-crypter-descarga-diversas-familias-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el equipo de analistas del Csirt Financiero identificó nueva actividad relacionada a Pure Crypter un downloader el cual está reapareciendo y realizando afectaciones a organizaciones gubernamentales a nivel mundial, generando la descarga de diversos tipos de malware como ransomware y troyanos de acceso remoto, gracias a estas nuevas actividades se generan nuevos indicadores de compromiso relacionados a Pure Crypter.
Nueva actividad maliciosa del troyano AsyncRAT dirigida a organizaciones de ColombiaEl troyano de acceso remoto conocido como AsyncRAT está diseñado para conceder acceso remoto a un atacante que puede recopilar información sensible del sistema y del usuario para luego exfiltrarla, gracias a sus altas capacidades es una de las amenazas más utilizadas por grupos de ciberdelincuentes a nivel mundial y en esta ocasión el equipo del Csirt Financiero identificó una nueva campaña dirigida a organizaciones de Colombia, por lo que es importante resaltar este tipo de actividad con el fin de prevenir alguna afectación a su entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-asyncrat-dirigida-a-organizaciones-de-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano de acceso remoto conocido como AsyncRAT está diseñado para conceder acceso remoto a un atacante que puede recopilar información sensible del sistema y del usuario para luego exfiltrarla, gracias a sus altas capacidades es una de las amenazas más utilizadas por grupos de ciberdelincuentes a nivel mundial y en esta ocasión el equipo del Csirt Financiero identificó una nueva campaña dirigida a organizaciones de Colombia, por lo que es importante resaltar este tipo de actividad con el fin de prevenir alguna afectación a su entidad.
El nuevo framework EX-22 emerge entre las herramientas de los adversariosAl realizar seguimiento a las principales herramientas que hacen parte del arsenal actual de los ciberdelincuentes en la orquestación de sus ataques, se ha observado un nuevo framework de ataque denominado EXFILTRATOR-22 (EX-22) que tiene como objetivo desplegar ransomware dentro de las redes de sus víctimas de forma encubierta.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-nuevo-framework-ex-22-emerge-entre-las-herramientas-de-los-adversarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Al realizar seguimiento a las principales herramientas que hacen parte del arsenal actual de los ciberdelincuentes en la orquestación de sus ataques, se ha observado un nuevo framework de ataque denominado EXFILTRATOR-22 (EX-22) que tiene como objetivo desplegar ransomware dentro de las redes de sus víctimas de forma encubierta.
Nueva actividad maliciosa del ransomware RoyalA través de fuentes abiertas de información el equipo de analistas del Csirt Financiero identifico una nueva actividad maliciosa del ransomware Royal, donde se observaron nuevas capacidades de esta amenaza y a su vez nuevos indicadores de compromisos relacionados a Royal ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-royalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de fuentes abiertas de información el equipo de analistas del Csirt Financiero identifico una nueva actividad maliciosa del ransomware Royal, donde se observaron nuevas capacidades de esta amenaza y a su vez nuevos indicadores de compromisos relacionados a Royal ransomware.
Emerge otra familia de ransomware basada en Chaos denominada SkullLockerSkullLocker es una nueva amenaza en el panorama actual, identificada como una nueva variante de la familia de ransomware Chaos, su objetivo principal es cifrar los archivos en equipos infectados y exigir el pago por la llave de descifrado. Asimismo, puede afectar a varias ubicaciones y extensiones de archivo, con más de 300 extensiones diferentes que incluyen archivos de texto, imágenes, audio, video y varios formatos de documentos y bases de datos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-otra-familia-de-ransomware-basada-en-chaos-denominada-skulllocker-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
SkullLocker es una nueva amenaza en el panorama actual, identificada como una nueva variante de la familia de ransomware Chaos, su objetivo principal es cifrar los archivos en equipos infectados y exigir el pago por la llave de descifrado. Asimismo, puede afectar a varias ubicaciones y extensiones de archivo, con más de 300 extensiones diferentes que incluyen archivos de texto, imágenes, audio, video y varios formatos de documentos y bases de datos.
Nueva actualización del ransomware LockBitRecientemente, se observó una nueva actividad maliciosa en la que se identificó que el grupo de ciberdelincuentes del ransomware LockBit han empezado a utilizar una nueva variante denominada LockBit Green, conteniendo algunas funcionalidades que implementaba el ransomware Conti, por lo que puede ser más atractivo para los que están afiliados a este, ya que se pueden familiarizar de forma rápida con esta nueva actualización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actualizacion-del-ransomware-lockbithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se observó una nueva actividad maliciosa en la que se identificó que el grupo de ciberdelincuentes del ransomware LockBit han empezado a utilizar una nueva variante denominada LockBit Green, conteniendo algunas funcionalidades que implementaba el ransomware Conti, por lo que puede ser más atractivo para los que están afiliados a este, ya que se pueden familiarizar de forma rápida con esta nueva actualización.
Campaña masiva del troyano bancario MispaduEl troyano bancario Mispadu, también conocido como URSA, ha estado involucrado en múltiples campañas de spam en países como Bolivia, Chile, México, Perú y Portugal, desde agosto de 2022. Su objetivo es capturar credenciales de las víctimas al acceder a banca en línea, escuelas, servicios gubernamentales, redes sociales, juegos, comercio electrónico, repositorios públicos, etc. Los atacantes utilizaron una estrategia de infección en varias etapas y técnicas de ofuscación para evadir la detección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-masiva-del-troyano-bancario-mispaduhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano bancario Mispadu, también conocido como URSA, ha estado involucrado en múltiples campañas de spam en países como Bolivia, Chile, México, Perú y Portugal, desde agosto de 2022. Su objetivo es capturar credenciales de las víctimas al acceder a banca en línea, escuelas, servicios gubernamentales, redes sociales, juegos, comercio electrónico, repositorios públicos, etc. Los atacantes utilizaron una estrategia de infección en varias etapas y técnicas de ofuscación para evadir la detección.
Nuevos indicadores de compromiso asociados a BitRATMediante actividades de monitoreo a fuentes abiertas de información en busca de nuevas campañas y/o amenazas que puedan afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionados con actividades recientes de BitRAT, el cual es un troyano de acceso remoto comercializado desde febrero del 2021 en foros clandestinos de la Deep y Dark web.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-bitrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo a fuentes abiertas de información en busca de nuevas campañas y/o amenazas que puedan afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionados con actividades recientes de BitRAT, el cual es un troyano de acceso remoto comercializado desde febrero del 2021 en foros clandestinos de la Deep y Dark web.
Cibercriminales de Vice Society actualizan su ransomwareRecientemente se ha identificado actividad asociada al grupo cibercriminal Vice Society, en la cual se observaron novedades asociadas a su ransomware como un nuevo proceso de cifrado que emplea los algoritmos NTRUEncrypt y Chacha20-poly1305, volviéndolo más robusto. Se conoce que este grupo ha estado activo desde 2021, desde entonces han estado impactando a múltiples organizaciones y generando doble extorsión debido a la exfiltración de la data alojada en las infraestructuras informáticas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/cibercriminales-de-vice-society-actualizan-su-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado actividad asociada al grupo cibercriminal Vice Society, en la cual se observaron novedades asociadas a su ransomware como un nuevo proceso de cifrado que emplea los algoritmos NTRUEncrypt y Chacha20-poly1305, volviéndolo más robusto. Se conoce que este grupo ha estado activo desde 2021, desde entonces han estado impactando a múltiples organizaciones y generando doble extorsión debido a la exfiltración de la data alojada en las infraestructuras informáticas.
Emergen nuevas variantes de W4SP stealerEn el ejercicio de monitorear las campañas en curso, relacionadas con actores de amenaza que emergen en la naturaleza descubrimos lo que parece ser el inicio de un nuevo esfuerzo por desplegar paquetes maliciosos a través de PyPI (Python Package Index); puntualmente se pretenden entregar el stealer W4SP, como una nueva variante que tiene nombres diferentes, pero con su mismo código fuente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emergen-nuevas-variantes-de-w4sp-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio de monitorear las campañas en curso, relacionadas con actores de amenaza que emergen en la naturaleza descubrimos lo que parece ser el inicio de un nuevo esfuerzo por desplegar paquetes maliciosos a través de PyPI (Python Package Index); puntualmente se pretenden entregar el stealer W4SP, como una nueva variante que tiene nombres diferentes, pero con su mismo código fuente.
Nuevos IoC asociados a EmotetEl equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se han observado nuevos indicadores de compromiso (IOC) relacionados al troyano Emotet, donde su principal objetivo es la recopilación de información alojada en los equipos comprometidos como credenciales de acceso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-ioc-asociados-a-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se han observado nuevos indicadores de compromiso (IOC) relacionados al troyano Emotet, donde su principal objetivo es la recopilación de información alojada en los equipos comprometidos como credenciales de acceso.
Nueva campaña maliciosa distribuye el loader DarkTortillaEn un monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa de ciberdelincuentes distribuyendo el loader DarkTortilla el cual ha estado activo desde 2015 actuando como dropper y generando instalaciones de múltiples stealer y troyanos de acceso remoto (RAT).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-distribuye-el-loader-darktortillahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En un monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa de ciberdelincuentes distribuyendo el loader DarkTortilla el cual ha estado activo desde 2015 actuando como dropper y generando instalaciones de múltiples stealer y troyanos de acceso remoto (RAT).
Nuevo criptominero denominado ProxyShellMiner explota vulnerabilidades de Microsoft ExchangeRecientemente se identificó una nueva campaña distribuyendo el criptominero 'ProxyShellMiner' que afecta equipos con sistemas Microsoft Windows, esta amenaza utiliza las vulnerabilidades de Microsoft Exchange ProxyShell para implementar cargas útiles de mineros de criptomonedas en toda la red de una organización, permitiendo a los atacantes tomar el control completo del servidor de Exchange y pivotar a otras partes de la red.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-criptominero-denominado-proxyshellminer-explota-vulnerabilidades-de-microsoft-exchangehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó una nueva campaña distribuyendo el criptominero 'ProxyShellMiner' que afecta equipos con sistemas Microsoft Windows, esta amenaza utiliza las vulnerabilidades de Microsoft Exchange ProxyShell para implementar cargas útiles de mineros de criptomonedas en toda la red de una organización, permitiendo a los atacantes tomar el control completo del servidor de Exchange y pivotar a otras partes de la red.
Nuevo backdoor rastreado como Frebniis abusa de Microsoft ISSEl panorama de amenazas continúa proliferando nuevas familias de malware, en esta ocasión se ha detectado un nuevo backdoor llamado Frebniis que aprovecha una característica de los Servicios de información de Internet de Microsoft (IIS) para ejecutar comandos sigilosamente a través de solicitudes web e implementarse en sistemas específicos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-backdoor-rastreado-como-frebniis-abusa-de-microsoft-isshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de amenazas continúa proliferando nuevas familias de malware, en esta ocasión se ha detectado un nuevo backdoor llamado Frebniis que aprovecha una característica de los Servicios de información de Internet de Microsoft (IIS) para ejecutar comandos sigilosamente a través de solicitudes web e implementarse en sistemas específicos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}