Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevas actividades, procesos y artefactos asociados al troyano de acceso remoto MikeyRecientemente se han identificado nuevas actividades asociadas a la amenaza Mikey, troyano de acceso remoto sigiloso que realiza procesos que le permiten generar persistencia al almacenar múltiples artefactos maliciosos en diversas rutas del sistema operativo, generar conexiones externas con su comando y control (C2), captura de pulsaciones de teclas (keylogger), descarga e instalación de archivos u otras familias de malware, finalización de tareas, ataques de denegación de servicio (DoS), recopilación y exfiltración de información sensible alojada en las infraestructuras tecnológicas comprometidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actividades-procesos-y-artefactos-asociados-al-troyano-de-acceso-remoto-mikey-2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se han identificado nuevas actividades asociadas a la amenaza Mikey, troyano de acceso remoto sigiloso que realiza procesos que le permiten generar persistencia al almacenar múltiples artefactos maliciosos en diversas rutas del sistema operativo, generar conexiones externas con su comando y control (C2), captura de pulsaciones de teclas (keylogger), descarga e instalación de archivos u otras familias de malware, finalización de tareas, ataques de denegación de servicio (DoS), recopilación y exfiltración de información sensible alojada en las infraestructuras tecnológicas comprometidas.
Nueva actividad de ransomware CubaRecientemente se identificó una nueva campaña del ransomware Cuba donde se identificaron afectaciones a servicios financieros, instalaciones gubernamentales, atención médica y salud pública, fabricación crítica, y Tecnología de la Información de Estados Unidos, y donde se evidencio que los ciberdelincuentes exigieron más de 145 millones de dólares estadounidenses (USD) y recibió más de 60 millones de dólares en pagos de rescate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-ransomware-cubahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó una nueva campaña del ransomware Cuba donde se identificaron afectaciones a servicios financieros, instalaciones gubernamentales, atención médica y salud pública, fabricación crítica, y Tecnología de la Información de Estados Unidos, y donde se evidencio que los ciberdelincuentes exigieron más de 145 millones de dólares estadounidenses (USD) y recibió más de 60 millones de dólares en pagos de rescate.
Nueva campaña del troyano bancario GrandoreiroA través de fuentes abiertas de información el equipo de analistas del Csirt Financiero ha identificado nueva actividad de un troyano muy popular denominado Grandoreiro, donde se observó nuevas actualizaciones en sus campañas y con esto son identificados nuevos indicadores de compromiso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nueva-campana-del-troyano-bancario-grandoreirohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de fuentes abiertas de información el equipo de analistas del Csirt Financiero ha identificado nueva actividad de un troyano muy popular denominado Grandoreiro, donde se observó nuevas actualizaciones en sus campañas y con esto son identificados nuevos indicadores de compromiso.
Nuevos indicadores de compromiso relacionados al troyano bancario LokiBot.El equipo de analistas del Csirt Financiero en un monitoreo realizado en el ciberespacio, en busca de nuevas amenazas y artefactos que puedan afectar la infraestructura tecnológica de nuestros asociados, donde se identificaron nuevos indicadores de compromiso (IoC) relacionados al troyano bancario LokiBot también conocido como Loki PWS el cual fue visto por primera vez en el año 2015.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-al-troyano-bancario-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero en un monitoreo realizado en el ciberespacio, en busca de nuevas amenazas y artefactos que puedan afectar la infraestructura tecnológica de nuestros asociados, donde se identificaron nuevos indicadores de compromiso (IoC) relacionados al troyano bancario LokiBot también conocido como Loki PWS el cual fue visto por primera vez en el año 2015.
Nueva variante de GuLoader también conocido como CloudEyEGuLoader o CloudEyE, es un programa malicioso que tiene como objetivo permitir a los cibercriminales desplegar otras familias de malware más capacitadas como troyanos de acceso remoto (RAT, por sus siglas en ingles) y ransomware. Utilizan esta amenaza como punto de apoyo inicial y así posteriormente con las herramientas anteriormente mencionadas recopilar y exfiltrar información sensible que se encuentre alojada en las infraestructuras comprometidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-guloader-tambien-conocido-como-cloudeyehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
GuLoader o CloudEyE, es un programa malicioso que tiene como objetivo permitir a los cibercriminales desplegar otras familias de malware más capacitadas como troyanos de acceso remoto (RAT, por sus siglas en ingles) y ransomware. Utilizan esta amenaza como punto de apoyo inicial y así posteriormente con las herramientas anteriormente mencionadas recopilar y exfiltrar información sensible que se encuentre alojada en las infraestructuras comprometidas.
Un nuevo stealer denominado Mitsu es distribuido por medio de sitios phishingLos actores de amenazas actúan conforme a sus objetivos, de ahí que empleen técnicas de ingeniería social para persuadir a sus víctimas para que ejecuten acciones involuntarias que resultan comprometiendo su información confidencial; acorde con lo anterior los sitios phishing se ven frecuentemente en la naturaleza suplantando organizaciones de distintos sectores, recientemente se rastreó una nueva campaña en la que se distribuye un nuevo stealer denominado Mitsu a través de una web fraudulenta de Anydesk.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-stealer-denominado-mitsu-es-distribuido-por-medio-de-sitios-phishinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenazas actúan conforme a sus objetivos, de ahí que empleen técnicas de ingeniería social para persuadir a sus víctimas para que ejecuten acciones involuntarias que resultan comprometiendo su información confidencial; acorde con lo anterior los sitios phishing se ven frecuentemente en la naturaleza suplantando organizaciones de distintos sectores, recientemente se rastreó una nueva campaña en la que se distribuye un nuevo stealer denominado Mitsu a través de una web fraudulenta de Anydesk.
Nueva actividad del ransomware KoxicRecientemente se ha identificado una campaña de distribución del ransomware Koxic, el cual fue identificado por primera vez a inicios del presente año, teniendo capacidades que le permiten cifrar archivos alojados en las infraestructuras tecnológicas comprometidas y agregándoles la extensión .KOXIC_PLCAW, por último, suele generar una nota de rescate en cada ruta del sistema operativo conocida como WANNA_RECOVER_KOXIC_FILEZ_PLCAW.txt, esta puede ser diferente en cada infraestructura comprometida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-ransomware-koxichttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado una campaña de distribución del ransomware Koxic, el cual fue identificado por primera vez a inicios del presente año, teniendo capacidades que le permiten cifrar archivos alojados en las infraestructuras tecnológicas comprometidas y agregándoles la extensión .KOXIC_PLCAW, por último, suele generar una nota de rescate en cada ruta del sistema operativo conocida como WANNA_RECOVER_KOXIC_FILEZ_PLCAW.txt, esta puede ser diferente en cada infraestructura comprometida.
Campaña maliciosa distribuye Wiki ransomwareWiki es un software malicioso que es identificado como una variante de otro ransomware identificado como Crysis, diseñado con las capacidades de cifrar archivos y así mismo mantenerlos bloqueados gracias a su método de cifrado utilizado, lo cual afecta de forma directa a la disponibilidad de la información y servicios de las organizaciones comprometidas por esta amenaza, además, en el transcurso de su proceso de cifrado, a cada archivo le cambia el nombre agregándole un número de identificación único, dirección de correo electrónico de los actores de amenaza y la extensión .wiki.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-distribuye-wiki-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Wiki es un software malicioso que es identificado como una variante de otro ransomware identificado como Crysis, diseñado con las capacidades de cifrar archivos y así mismo mantenerlos bloqueados gracias a su método de cifrado utilizado, lo cual afecta de forma directa a la disponibilidad de la información y servicios de las organizaciones comprometidas por esta amenaza, además, en el transcurso de su proceso de cifrado, a cada archivo le cambia el nombre agregándole un número de identificación único, dirección de correo electrónico de los actores de amenaza y la extensión .wiki.
Nueva actividad del troyano bancario Ponteiro apunta a entidades de LatinoaméricaLos actores de amenazas detrás de la operación de las distintas campañas del troyano bancario Ponteiro habían cesado su actividad desde hacía unos meses, no obstante, estos atacantes durante ese periodo actualizaron sus estrategias de ataque para dirigirse a nuevas entidades financieras de Latinoamérica; esta amenaza apareció en la naturaleza desde 2018 desde aquel entonces ha impactado usuarios de Brasil, México y recientemente en Perú.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-bancario-ponteiro-apunta-a-entidades-de-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenazas detrás de la operación de las distintas campañas del troyano bancario Ponteiro habían cesado su actividad desde hacía unos meses, no obstante, estos atacantes durante ese periodo actualizaron sus estrategias de ataque para dirigirse a nuevas entidades financieras de Latinoamérica; esta amenaza apareció en la naturaleza desde 2018 desde aquel entonces ha impactado usuarios de Brasil, México y recientemente en Perú.
Continúa proliferando el ransomware Magniber en la naturalezaEl ransomware Magniber apareció en la naturaleza desde 2017, desde ese entonces había mantenido un periodo activo en sus inicios, después mantuvo una actividad poco visible en la superficie de ataque implementada por ciberdelincuentes; sin embargo, en las actualizaciones que implementaron sus autores en este año, aumentó considerablemente la cantidad de ataques cibernéticos que distribuyen esta amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/continua-proliferando-el-ransomware-magniber-en-la-naturalezahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Magniber apareció en la naturaleza desde 2017, desde ese entonces había mantenido un periodo activo en sus inicios, después mantuvo una actividad poco visible en la superficie de ataque implementada por ciberdelincuentes; sin embargo, en las actualizaciones que implementaron sus autores en este año, aumentó considerablemente la cantidad de ataques cibernéticos que distribuyen esta amenaza.
Nuevas campañas del troyano bancario Hydra apuntan a entidades de Latinoamérica.En el monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad realizada por el troyano bancario Hydra donde implementaron múltiples entidades y plataformas de “exchange” de criptomonedas, haciendo posible el robo de las cuentas de los usuarios e incluso wallets (billetera electrónica para guardar dinero, tarjetas de crédito/debito, etc).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-del-troyano-bancario-hydra-apuntan-a-entidades-de-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad realizada por el troyano bancario Hydra donde implementaron múltiples entidades y plataformas de “exchange” de criptomonedas, haciendo posible el robo de las cuentas de los usuarios e incluso wallets (billetera electrónica para guardar dinero, tarjetas de crédito/debito, etc).
Nueva actividad maliciosa del troyano bancario VulturRecientemente se ha evidenciado un aumento significativo en el número de campañas maliciosas que tienen como objetivo capturar información sensible relacionada al sector financiero, donde los actores de amenaza enmarcaran las cargas útiles de troyanos bancarios en aplicaciones supuestamente legitimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-vulturhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha evidenciado un aumento significativo en el número de campañas maliciosas que tienen como objetivo capturar información sensible relacionada al sector financiero, donde los actores de amenaza enmarcaran las cargas útiles de troyanos bancarios en aplicaciones supuestamente legitimas.
Nuevo ciberataque de ransomware afecta a entidad gubernamental en América LatinaEn el transcurso del año, se han evidenciado múltiples ataques cibernéticos, los cuales han tenido como objetivo impactar infraestructuras tecnológicas de diversas entidades gubernamentales en América Latina; donde fueron afectadas a tal nivel que, los países han declarado su situación como alerta roja debido a la alta filtración de información sensible que fue publicada en foros de la Deep y Dark web.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ciberataque-de-ransomware-afecta-a-entidad-gubernamental-en-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el transcurso del año, se han evidenciado múltiples ataques cibernéticos, los cuales han tenido como objetivo impactar infraestructuras tecnológicas de diversas entidades gubernamentales en América Latina; donde fueron afectadas a tal nivel que, los países han declarado su situación como alerta roja debido a la alta filtración de información sensible que fue publicada en foros de la Deep y Dark web.
Un nuevo ransomware denominado Bl00dy aparece en la naturalezaBl00dy es el nombre de un nuevo grupo de ransomware que apareció en escena desde julio de este año cuando impactaron varias entidades, aunque no existe demasiada información asociada a este, más que su propia descripción en su canal de Telegram en donde afirman cifrar todos los archivos de sus víctimas; así mismo se ha rastreado nueva actividad de este grupo quienes distribuyen un nuevo ransomware con su nombre, puntualmente emplean el mecanismo de doble extorsión publicando o comercializando los datos capturados en el “muro de la vergüenza” como denominaron la exfiltración de los datos a través de Telegram.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-ransomware-denominado-bl00dy-aparece-en-la-naturalezahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bl00dy es el nombre de un nuevo grupo de ransomware que apareció en escena desde julio de este año cuando impactaron varias entidades, aunque no existe demasiada información asociada a este, más que su propia descripción en su canal de Telegram en donde afirman cifrar todos los archivos de sus víctimas; así mismo se ha rastreado nueva actividad de este grupo quienes distribuyen un nuevo ransomware con su nombre, puntualmente emplean el mecanismo de doble extorsión publicando o comercializando los datos capturados en el “muro de la vergüenza” como denominaron la exfiltración de los datos a través de Telegram.
Evolución de la amenaza Prilex.En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó la evolución de la amenaza Prilex el cual anteriormente realizaba ataques a cajeros automáticos (ATM) para obtener la información de las tarjetas de crédito utilizadas en ellos. Por lo anterior los ciberdelincuentes han ampliado su rango de acción centrándose ahora en ataques a sistemas de punto de venta (PoS).http://csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-de-la-amenaza-prilexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó la evolución de la amenaza Prilex el cual anteriormente realizaba ataques a cajeros automáticos (ATM) para obtener la información de las tarjetas de crédito utilizadas en ellos. Por lo anterior los ciberdelincuentes han ampliado su rango de acción centrándose ahora en ataques a sistemas de punto de venta (PoS).
Nuevos IoC asociados al ransomware BlackCatEn el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar a los usuarios y al sector, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso (IoC), asociados al ransomware BlackCat, el cual está diseñado para afectar a equipos con sistema operativo Microsoft Windows o distribuciones de Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-asociados-al-ransomware-blackcathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar a los usuarios y al sector, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso (IoC), asociados al ransomware BlackCat, el cual está diseñado para afectar a equipos con sistema operativo Microsoft Windows o distribuciones de Linux.
Nuevo Wiper IsaacWiper, gusano HermeticWizard y ransomware HermeticRansom identificados durante ataques dirigidos a organizaciones de Ucrania.En el monitoreo realizado a fuentes abiertas y en el seguimiento a los diversos ataques dirigidos a Ucrania, se han observado nuevas familias de malware de tipo Wiper (limpiador), un gusano y un ransomware, los anteriores denominados IsaacWiper, HermeticWizard y HermeticRansom respectivamente, identificados durante ataques en el mes de febrero dirigidos a entidades del país en mención.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-wiper-isaacwiper-gusano-hermeticwizard-y-ransomware-hermeticransom-identificados-durante-ataques-dirigidos-a-organizaciones-de-ucraniahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas y en el seguimiento a los diversos ataques dirigidos a Ucrania, se han observado nuevas familias de malware de tipo Wiper (limpiador), un gusano y un ransomware, los anteriores denominados IsaacWiper, HermeticWizard y HermeticRansom respectivamente, identificados durante ataques en el mes de febrero dirigidos a entidades del país en mención.
Nueva actividad maliciosa relacionado al troyano DridexEn el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que puedan llegar afectar la infraestructura tecnológica de nuestros asociados, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados a Dridex, un troyano bancario modular con capacidades de captura y exfiltración de información sensible y que afecta a equipos de cómputo con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-quitan-metadatos-se-genera-pdf-se-generan-hash-20220313_ntf_i-006673-csv-con-md5-a8d721f2fd57d10997f0db65bacbadf7-20220313_ntf_i-006673-pdf-con-md5-7a505c093d739c7f559bd065f0682480-se-genera-firma-digital-al-pdf-se-envia-correo-a-los-asociados-desdehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que puedan llegar afectar la infraestructura tecnológica de nuestros asociados, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados a Dridex, un troyano bancario modular con capacidades de captura y exfiltración de información sensible y que afecta a equipos de cómputo con sistema operativo Windows.
Nuevos indicadores de compromiso asociados al stealer StormKittyStormKitty es un Stealer que se conoce por realizar integración con bots de Telegram con la tarea de notificar a los ciberdelincuentes todo lo relacionado con los equipos infectados, esto lo realiza al publicar toda la data obtenida en los canales de mensajería como Discord o Telegram de los actores de esta amenaza. Su codigo fuente se puede encontrar en múltiples repositorios, ya sean de entidades reconocidas o no, por lo tanto, cualquier persona tiene acceso a este y puede modificarlo para crear un nuevo binario de StormKitty.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-stealer-stormkittyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
StormKitty es un Stealer que se conoce por realizar integración con bots de Telegram con la tarea de notificar a los ciberdelincuentes todo lo relacionado con los equipos infectados, esto lo realiza al publicar toda la data obtenida en los canales de mensajería como Discord o Telegram de los actores de esta amenaza. Su codigo fuente se puede encontrar en múltiples repositorios, ya sean de entidades reconocidas o no, por lo tanto, cualquier persona tiene acceso a este y puede modificarlo para crear un nuevo binario de StormKitty.
Panel de control denominado TeslaGun es utilizado por el grupo TA505El grupo TA505 se encuentra activo desde 2014, desde entonces se ha enfocado en sectores minoristas y principalmente el financiero. En la mayoría de sus actividades maliciosas emplean un backdoor (puerta trasera) llamado ServHelper, el cual han estado actualizando con nuevas funcionalidades desde 2019, no obstante, recientemente se detectó que están usando un panel de control denominado TeslaGun para administrar la puerta trasera, que actúa como servidor de comando y control.http://csirtasobancaria.com/Plone/alertas-de-seguridad/panel-de-control-denominado-teslagun-es-utilizado-por-el-grupo-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo TA505 se encuentra activo desde 2014, desde entonces se ha enfocado en sectores minoristas y principalmente el financiero. En la mayoría de sus actividades maliciosas emplean un backdoor (puerta trasera) llamado ServHelper, el cual han estado actualizando con nuevas funcionalidades desde 2019, no obstante, recientemente se detectó que están usando un panel de control denominado TeslaGun para administrar la puerta trasera, que actúa como servidor de comando y control.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}