Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva actividad por parte del Loader GootkitDe forma reciente, investigadores de seguridad identificaron nueva actividad asociada a Gootkit que también es conocido como Gootloader, Loader al cual se le han realizado diferentes cambios en su conjunto de herramientas que le permiten comprometer a los servicios y equipos informáticos de las organizaciones, añadiéndole nuevos componentes y ofuscaciones en su sintaxis de infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-por-parte-del-loader-gootkithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
De forma reciente, investigadores de seguridad identificaron nueva actividad asociada a Gootkit que también es conocido como Gootloader, Loader al cual se le han realizado diferentes cambios en su conjunto de herramientas que le permiten comprometer a los servicios y equipos informáticos de las organizaciones, añadiéndole nuevos componentes y ofuscaciones en su sintaxis de infección.
Nuevos artefactos del troyano Formbook en el mes de eneroAunque el troyano conocido como Formbook ha sido reportado en ocasiones anteriores es importante resaltar las nuevas actividades de esta amenaza, ya que ha sido uno de los troyanos más utilizados por grupos de ciberdelincuentes con el objetivo de afectar la confidencialidad de su información, gracias a estas nuevas actividades se identifican nuevos indicadores de compromiso relacionados con el troyano Formbook.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-del-troyano-formbook-en-el-mes-de-enerohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano conocido como Formbook ha sido reportado en ocasiones anteriores es importante resaltar las nuevas actividades de esta amenaza, ya que ha sido uno de los troyanos más utilizados por grupos de ciberdelincuentes con el objetivo de afectar la confidencialidad de su información, gracias a estas nuevas actividades se identifican nuevos indicadores de compromiso relacionados con el troyano Formbook.
Nuevo ransomware denominado NevadaRecientemente se ha evidenciado la comercialización de una nueva familia de malware a través de un foro clandestino de la Deep web conocida como Nevada, un ransomware que ofrece funcionalidades bastantes interesantes para los afiliados a este servicio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-nevadahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha evidenciado la comercialización de una nueva familia de malware a través de un foro clandestino de la Deep web conocida como Nevada, un ransomware que ofrece funcionalidades bastantes interesantes para los afiliados a este servicio.
Nueva campaña de BATLoader distribuye RAT y otros software maliciososEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas o campañas que puedan afectar la infraestructura de los asociados, donde se identificó una nueva actividad relacionada con el loader (cargador) BatLoader y que está siendo utilizado por diversos actores de amenaza para distribuir diferentes RAT y otras familias de software malicioso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-batloader-distribuye-rat-y-otros-software-maliciososhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas o campañas que puedan afectar la infraestructura de los asociados, donde se identificó una nueva actividad relacionada con el loader (cargador) BatLoader y que está siendo utilizado por diversos actores de amenaza para distribuir diferentes RAT y otras familias de software malicioso.
Nueva actividad maliciosa del troyano bancario Zanubis en América latinaMediante monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad del troyano bancario para Android denominado Zanubis, el cual ha sido reportado en ocasiones anteriores por el Csirt donde se había observado una campaña dirigida a América latina, en esta ocasión se identifican nuevos indicadores de compromiso del ataque dirigido al sector financiero de Perú en septiembre del 2022.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-zanubis-en-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad del troyano bancario para Android denominado Zanubis, el cual ha sido reportado en ocasiones anteriores por el Csirt donde se había observado una campaña dirigida a América latina, en esta ocasión se identifican nuevos indicadores de compromiso del ataque dirigido al sector financiero de Perú en septiembre del 2022.
Nuevo troyano bancario dirigido a dispositivos Android denominado BrasDexLos troyanos bancarios dirigidos a dispositivos Android, son una parte importante del panorama de amenazas visto en la naturaleza, dado que su impacto sobre las víctimas está ligado a captura de información sensible que conlleva a fraudes financieros; asimismo representa ganancias económicas para los operadores, en ese orden de ideas se ha descubierto un nuevo troyano denominado BrasDex, que está siendo desplegado en una masiva campaña en Brasil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-dirigido-a-dispositivos-android-denominado-brasdexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los troyanos bancarios dirigidos a dispositivos Android, son una parte importante del panorama de amenazas visto en la naturaleza, dado que su impacto sobre las víctimas está ligado a captura de información sensible que conlleva a fraudes financieros; asimismo representa ganancias económicas para los operadores, en ese orden de ideas se ha descubierto un nuevo troyano denominado BrasDex, que está siendo desplegado en una masiva campaña en Brasil.
Nueva variante de ransomware denominada FARGORecientemente se ha identificado una nueva variante del ransomware conocido como TargetCompany, sin embargo, en esta ocasión es nombrado FARGO; diseñado con funciones para cifrar datos y generar una nota de rescate con la información pertinente para poder iniciar un proceso de rescate. Se conoce que esta amenaza agrega la extensión .FARGO a todos los archivos comprometidos y al final de su proceso de cifrado despliega un archivo en el escritorio conocido como FILE RECOVERY.txt como se puede observar a continuación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-denominada-fargohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado una nueva variante del ransomware conocido como TargetCompany, sin embargo, en esta ocasión es nombrado FARGO; diseñado con funciones para cifrar datos y generar una nota de rescate con la información pertinente para poder iniciar un proceso de rescate. Se conoce que esta amenaza agrega la extensión .FARGO a todos los archivos comprometidos y al final de su proceso de cifrado despliega un archivo en el escritorio conocido como FILE RECOVERY.txt como se puede observar a continuación.
Surge el nuevo ransomware KillnetEl ransomware es una de las amenazas más persistentes en la superficie de ataque empleada actualmente por los ciberdelincuentes, dado que logra impactar de manera significativa una organización; las razones que tienen sus autores suelen ser orientadas a un beneficio monetario y en otros casos impulsados por causas sociales o por intereses políticos de sus países de origen.http://csirtasobancaria.com/Plone/alertas-de-seguridad/surge-el-nuevo-ransomware-killnethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware es una de las amenazas más persistentes en la superficie de ataque empleada actualmente por los ciberdelincuentes, dado que logra impactar de manera significativa una organización; las razones que tienen sus autores suelen ser orientadas a un beneficio monetario y en otros casos impulsados por causas sociales o por intereses políticos de sus países de origen.
Dagon Locker evoluciona y cambia su nombre a Dagon RansomwareSe conoce que Dagon Ransomware es una variante de Mount Locker ransomware, sin embargo, ha sido capacitado con nuevas herramientas que lo hacen más efectivo en la ejecución de sus actividades maliciosas dentro de las infraestructuras comprometidas; durante su proceso de cifrado manipula los archivos y les agrega la extensión .dagoned, con el objetivo de inhabilitar el acceso a estos por parte de sus víctimas, posteriormente genera una nota de rescate denominada README_TO_DECRYPT.html donde se incluyen las instrucciones que conllevan a recuperar la información comprometida por los cibercriminales a través de esta amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/dagon-locker-evoluciona-y-cambia-su-nombre-a-dagon-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se conoce que Dagon Ransomware es una variante de Mount Locker ransomware, sin embargo, ha sido capacitado con nuevas herramientas que lo hacen más efectivo en la ejecución de sus actividades maliciosas dentro de las infraestructuras comprometidas; durante su proceso de cifrado manipula los archivos y les agrega la extensión .dagoned, con el objetivo de inhabilitar el acceso a estos por parte de sus víctimas, posteriormente genera una nota de rescate denominada README_TO_DECRYPT.html donde se incluyen las instrucciones que conllevan a recuperar la información comprometida por los cibercriminales a través de esta amenaza.
Nueva actividad maliciosa de RedLine stealerCada día, se evidencian nuevas estrategias maliciosas por parte de los actores de amenaza, las cuales tienen como propósito afectar infraestructuras tecnológicas de una persona u organización por medio de la persuasión y el engaño, donde por error las victimas ejecutan o abren un archivo aparentemente legitimo pero que en realidad es la carga útil de alguna familia de malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nueva-actividad-maliciosa-de-redline-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Cada día, se evidencian nuevas estrategias maliciosas por parte de los actores de amenaza, las cuales tienen como propósito afectar infraestructuras tecnológicas de una persona u organización por medio de la persuasión y el engaño, donde por error las victimas ejecutan o abren un archivo aparentemente legitimo pero que en realidad es la carga útil de alguna familia de malware.
Nuevo ransomware denominado Prestige.En el monitoreo realizado por el equipo de analistas del Csirt Financiero se conoció un nuevo ransomware denominado Prestige el cual se implementó el 11 de octubre del 2022 en ciberataques que ocurrieron en los países de Ucrania y Polonia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-prestigehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del Csirt Financiero se conoció un nuevo ransomware denominado Prestige el cual se implementó el 11 de octubre del 2022 en ciberataques que ocurrieron en los países de Ucrania y Polonia.
Nuevo ransomware denominado Ransom CartelA través del monitoreo a fuentes abiertas de información en búsqueda de nuevas actividades que puedan llegar afectar la infraestructura de nuestros asociados el equipo de analistas del Csirt Financiero, identificó un nuevo ransomware denominado Ransom Cartel, esta ciberamenaza cuenta con varias técnicas y similitudes con el código de desarrollo del ransomware REvil, por lo que se infiere que pueden ser los mismos grupos de ciberdelincuentes quienes distribuyen este nuevo malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-ransom-cartelhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo a fuentes abiertas de información en búsqueda de nuevas actividades que puedan llegar afectar la infraestructura de nuestros asociados el equipo de analistas del Csirt Financiero, identificó un nuevo ransomware denominado Ransom Cartel, esta ciberamenaza cuenta con varias técnicas y similitudes con el código de desarrollo del ransomware REvil, por lo que se infiere que pueden ser los mismos grupos de ciberdelincuentes quienes distribuyen este nuevo malware.
Nueva actividad del troyano bancario SharkbotRecientemente se han evidenciado nuevas actualizaciones dentro de la tienda de aplicaciones conocida como Google Play store, donde se está distribuyendo una amenaza conocida como el troyano bancario denominado Sharkbot el cual ha sido reportado anteriormente por el equipo de analistas del Csirt Financiero donde en esta ocasión se identificaron nuevas aplicaciones para su distribución y con esto se observaron nuevos indicadores de compromiso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-bancario-sharkbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se han evidenciado nuevas actualizaciones dentro de la tienda de aplicaciones conocida como Google Play store, donde se está distribuyendo una amenaza conocida como el troyano bancario denominado Sharkbot el cual ha sido reportado anteriormente por el equipo de analistas del Csirt Financiero donde en esta ocasión se identificaron nuevas aplicaciones para su distribución y con esto se observaron nuevos indicadores de compromiso.
Nueva familia de ransomware denominada Ransomexx2Dentro del ciberespacio es constante las actualizaciones y diversas variantes de amenazas que los ciberdelincuentes realizan en pro de afectar entidades y organizaciones con el fin de obtener alguna ganancia ya se económica o reputacional, es por eso que a través de fuentes abiertas de información el equipo de analistas del Csirt identifico una variante de ransomware denominada como RansomExx2 el cual principalmente afecta a equipos con sistema operativo Linux y donde posiblemente también se encuentre una versión para Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-ransomware-denominada-ransomexx2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro del ciberespacio es constante las actualizaciones y diversas variantes de amenazas que los ciberdelincuentes realizan en pro de afectar entidades y organizaciones con el fin de obtener alguna ganancia ya se económica o reputacional, es por eso que a través de fuentes abiertas de información el equipo de analistas del Csirt identifico una variante de ransomware denominada como RansomExx2 el cual principalmente afecta a equipos con sistema operativo Linux y donde posiblemente también se encuentre una versión para Windows.
Nueva campaña maliciosa distribuye el troyano bancario Drinik en la IndiaEl creciente panorama de amenazas continua dando consecución a troyanos bancarios dirigidos a dispositivos Android, los cuales son el presente y futuro de la superficie de ataque para los ciberdelincuentes; es así como las familias de malware sufren una constante evolución gracias a la constante actividad de los actores de amenaza, en ese orden de ideas se identificaron nuevas capacidades en una amenaza latente en la naturaleza conocida como Drinik, que en la campaña en curso está afectando a entidades financieras de la India.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-distribuye-el-troyano-bancario-drinik-en-la-indiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El creciente panorama de amenazas continua dando consecución a troyanos bancarios dirigidos a dispositivos Android, los cuales son el presente y futuro de la superficie de ataque para los ciberdelincuentes; es así como las familias de malware sufren una constante evolución gracias a la constante actividad de los actores de amenaza, en ese orden de ideas se identificaron nuevas capacidades en una amenaza latente en la naturaleza conocida como Drinik, que en la campaña en curso está afectando a entidades financieras de la India.
Actores detrás del troyano Ermac implementan a Zombinder para expandir sus alcances.El equipo de analistas del Csirt Financiero realizó un monitoreo en el ciberespacio en busca de nuevas amenazas y campañas maliciosas que puedan afectar la infraestructura de nuestros asociados, donde se observó un nuevo servicio del troyano bancario Ermac denominado Zombinder que se dirige no solamente a usuarios de Android sino también para Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-detras-del-troyano-ermac-implementan-a-zombinder-para-expandir-sus-alcanceshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo en el ciberespacio en busca de nuevas amenazas y campañas maliciosas que puedan afectar la infraestructura de nuestros asociados, donde se observó un nuevo servicio del troyano bancario Ermac denominado Zombinder que se dirige no solamente a usuarios de Android sino también para Windows.
Técnicas utilizadas por el troyano bancario DanabotEl troyano bancario Danabot identificado por primera vez en el año 2018, distribuido como servicio (Malware as a Service - MaaS) es dirigido a equipos con sistema operativo Microsoft Windows, tanto estaciones de trabajo (Workstation) como servidores (Server) con el objetivo principal de capturar información confidencial; en esta ocasión se observaron algunas técnicas de ofuscación utilizadas por este troyano y con ello se identificaron nuevos indicadores de compromiso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-utilizadas-por-el-troyano-bancario-danabothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano bancario Danabot identificado por primera vez en el año 2018, distribuido como servicio (Malware as a Service - MaaS) es dirigido a equipos con sistema operativo Microsoft Windows, tanto estaciones de trabajo (Workstation) como servidores (Server) con el objetivo principal de capturar información confidencial; en esta ocasión se observaron algunas técnicas de ofuscación utilizadas por este troyano y con ello se identificaron nuevos indicadores de compromiso.
Emerge Crywiper un wiper disfrazado de ransomwareEn la naturaleza encontramos distintas variantes de troyanos, una de estas conocidas como wiper (programa malicioso que destruye datos sin posibilidad de recuperarlos), en ese orden de ideas recientemente apareció en el panorama de amenazas CryWiper, el cual se enmascara como un ransomware para exigir un pago por la llave de descifrado, en cuyo caso es imposible dado que no cifra si no destruye.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-crywiper-un-wiper-disfrazado-de-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la naturaleza encontramos distintas variantes de troyanos, una de estas conocidas como wiper (programa malicioso que destruye datos sin posibilidad de recuperarlos), en ese orden de ideas recientemente apareció en el panorama de amenazas CryWiper, el cual se enmascara como un ransomware para exigir un pago por la llave de descifrado, en cuyo caso es imposible dado que no cifra si no destruye.
Nuevos indicadores de compromiso asociados a IcedIDA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados a IcedID, troyano bancario modular descubierto en 2017; con el propósito de descargar y ejecutar la carga útil cifrada final desde el panel de control del troyano.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados a IcedID, troyano bancario modular descubierto en 2017; con el propósito de descargar y ejecutar la carga útil cifrada final desde el panel de control del troyano.
Nueva distribución de InfoStealer a través de instaladores empaquetadosSe observó una nueva campaña maliciosa de Infostealer distribuida por instaladores empaquetados y que está siendo comercializada por la dark web, este proyecto se denomina “TEMP” el cual viene con un cargador denominado Temp Loader y otro stealer denominado Temp Stealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-distribucion-de-infostealer-a-traves-de-instaladores-empaquetadoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se observó una nueva campaña maliciosa de Infostealer distribuida por instaladores empaquetados y que está siendo comercializada por la dark web, este proyecto se denomina “TEMP” el cual viene con un cargador denominado Temp Loader y otro stealer denominado Temp Stealer.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}