Nuevos indicadores de compromiso asociados a NanoCore RATRecientemente se han evidenciado nuevos indicadores de compromiso asociados a NanoCore RAT, un troyano de acceso remoto que destaca por sus capacidades de recopilar información confidencial a través de múltiples acciones relacionadas con spyware. Así mismo, se observa que este se distribuye por medio foros clandestinos en la Deep y Dark web, donde es ofrecido a un precio muy bajo; esto permite que muchos grupos de ciberdelincuentes que no poseen conocimiento sobre elaboración de malware puedan adquirir uno e incluirlo en sus campañas maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-nanocore-rat-4http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se han evidenciado nuevos indicadores de compromiso asociados a NanoCore RAT, un troyano de acceso remoto que destaca por sus capacidades de recopilar información confidencial a través de múltiples acciones relacionadas con spyware. Así mismo, se observa que este se distribuye por medio foros clandestinos en la Deep y Dark web, donde es ofrecido a un precio muy bajo; esto permite que muchos grupos de ciberdelincuentes que no poseen conocimiento sobre elaboración de malware puedan adquirir uno e incluirlo en sus campañas maliciosas.
Nuevos métodos de distribución de Hive RansomwareHive ransomware ha seguido activo en el ciberespacio atacando múltiples organizaciones en todo el mundo, tanto así que los actores detrás de esta amenaza se han beneficiado de más de 100 millones de dólares en los pagos de rescate, esta amenaza lleva activa desde junio del 2021 y sigue el modelo de Ransomware-as-a-Service (RaaS).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-metodos-de-distribucion-de-hive-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Hive ransomware ha seguido activo en el ciberespacio atacando múltiples organizaciones en todo el mundo, tanto así que los actores detrás de esta amenaza se han beneficiado de más de 100 millones de dólares en los pagos de rescate, esta amenaza lleva activa desde junio del 2021 y sigue el modelo de Ransomware-as-a-Service (RaaS).
Ciberdelincuentes realizan nuevas actividades para la entrega de malwareDe forma reciente se ha identificado al grupo DEV-0569 desplegando campañas de malvertising (introducir malware en la publicidad en línea para extender otro malware) para distribuir payload de diferentes familias de malware a través del servicio Google Ads.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-realizan-nuevas-actividades-para-la-entrega-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
De forma reciente se ha identificado al grupo DEV-0569 desplegando campañas de malvertising (introducir malware en la publicidad en línea para extender otro malware) para distribuir payload de diferentes familias de malware a través del servicio Google Ads.
Nuevos Ransomware denominados AXLocker, Octocrypt y Alice.El equipo de analistas del Csirt Financiero realizo un monitoreo en el ciber espacio de nuevas amenazas que puedan llegar a afectar la infraestructura y pilares de la información de nuestros asociados, donde se encontraron tres nuevas familias de Ransomware denominadas AXLocker, Octocrypt y Alice.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ransomware-denominados-axlocker-octocrypt-y-alicehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizo un monitoreo en el ciber espacio de nuevas amenazas que puedan llegar a afectar la infraestructura y pilares de la información de nuestros asociados, donde se encontraron tres nuevas familias de Ransomware denominadas AXLocker, Octocrypt y Alice.
LodaRAT implementa diversas variantes de malwareRecientemente, se ha identificado una nueva variante de LodaRAT que también es conocido por otro nombre como Nymeria; en sus nuevas actividades se ha observado que se implementa junto con otros malware conocidos como RedLine Stealer y Neshta. LodaRAT está desarrollado en AutoIT y es capaz de recopilar y exfiltrar la información alojada en las infraestructuras informáticas comprometidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/lodarat-implementa-diversas-variantes-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una nueva variante de LodaRAT que también es conocido por otro nombre como Nymeria; en sus nuevas actividades se ha observado que se implementa junto con otros malware conocidos como RedLine Stealer y Neshta. LodaRAT está desarrollado en AutoIT y es capaz de recopilar y exfiltrar la información alojada en las infraestructuras informáticas comprometidas.
Nueva actividad maliciosa atribuida a QbotRecientemente se ha identificado un nuevo vector de infección del troyano Qbot, donde los actores de amenaza se aprovechan de una falla presentada en el ejecutable del panel de control de Windows 10 (control.exe), esta brecha de seguridad les permite realizar “el secuestro de DLL”, este método es utilizado para suplantar librerías legitimas del sistema por archivos maliciosos creados por los ciberdelincuentes para implementar la carga útil de Qakbot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-atribuida-a-qbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado un nuevo vector de infección del troyano Qbot, donde los actores de amenaza se aprovechan de una falla presentada en el ejecutable del panel de control de Windows 10 (control.exe), esta brecha de seguridad les permite realizar “el secuestro de DLL”, este método es utilizado para suplantar librerías legitimas del sistema por archivos maliciosos creados por los ciberdelincuentes para implementar la carga útil de Qakbot.
Operadores de Emotet implementan nuevas tácticas en la cadena de infecciónRecientemente se había identificado el retorno del troyano polimórfico conocido como Emotet clasificado como un botnet gracias a sus constantes actualizaciones, ya que inicialmente se categorizo como un troyano bancario, sin embargo la implementación de un módulo de botnet spam hizo que evolucionara; desde su aparición en 2014 los atacantes que han distribuido esta amenaza a través de campañas que entregan la carga útil de Emotet, en documentos maliciosos para impactar empresas de distintos sectores económicos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/operadores-de-emotet-implementan-nuevas-tacticas-en-la-cadena-de-infeccionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se había identificado el retorno del troyano polimórfico conocido como Emotet clasificado como un botnet gracias a sus constantes actualizaciones, ya que inicialmente se categorizo como un troyano bancario, sin embargo la implementación de un módulo de botnet spam hizo que evolucionara; desde su aparición en 2014 los atacantes que han distribuido esta amenaza a través de campañas que entregan la carga útil de Emotet, en documentos maliciosos para impactar empresas de distintos sectores económicos.
Múltiples campañas se han visto distribuyendo BatloaderLas amenazas de acceso inicial abundan en la naturaleza, de ahí que los ciberdelincuentes las empleen para tener éxito en sus ataques cibernéticos, por medio de estos loader pueden instaurar cargas útiles de otras familias en los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-campanas-se-han-visto-distribuyendo-batloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las amenazas de acceso inicial abundan en la naturaleza, de ahí que los ciberdelincuentes las empleen para tener éxito en sus ataques cibernéticos, por medio de estos loader pueden instaurar cargas útiles de otras familias en los equipos comprometidos.
Nuevo stealer denominado SMSeyeRecientemente, se ha identificado una nueva campaña maliciosa dirigida a una entidad financiera ubicada en Indonesia, donde los actores de amenaza implementan múltiples sitios web phishing y stealers, con el propósito de recopilar información sensible de los usuarios suscritos a esta organización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-smseyehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una nueva campaña maliciosa dirigida a una entidad financiera ubicada en Indonesia, donde los actores de amenaza implementan múltiples sitios web phishing y stealers, con el propósito de recopilar información sensible de los usuarios suscritos a esta organización.
Nuevas capacidades del Stealer Typhon.En el mundo del ciberespacio es muy común ver la evolución y nuevas capacidades que implementan los actores de amenaza en sus herramientas de malware, por lo cual el equipo de analistas del Csirt Financiero realizo un monitoreo en el cual encontró recientes actividades y actualizaciones de Typhon Stealer, el cual fue descubierto y reportado a principios de agosto del 2022.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-capacidades-del-stealer-typhonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo del ciberespacio es muy común ver la evolución y nuevas capacidades que implementan los actores de amenaza en sus herramientas de malware, por lo cual el equipo de analistas del Csirt Financiero realizo un monitoreo en el cual encontró recientes actividades y actualizaciones de Typhon Stealer, el cual fue descubierto y reportado a principios de agosto del 2022.
Nuevos artefactos maliciosos asociados al ransomware Black BastaRecientemente, el ransomware Black Basta ha generado nueva actividad en la cual se observaron nuevos indicadores de compromiso donde a su vez mejoran sus técnicas para el éxito de sus actividades maliciosas; ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-maliciosos-asociados-al-ransomware-black-bastahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, el ransomware Black Basta ha generado nueva actividad en la cual se observaron nuevos indicadores de compromiso donde a su vez mejoran sus técnicas para el éxito de sus actividades maliciosas; ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.
Troyano bancario Dridex retorna sus actividades con nuevos indicadores de compromisoRecientemente, se han identificado nuevas campañas maliciosas por parte de los actores de amenaza, las cuales están distribuyendo el troyano bancario Dridex; esta familia de malware es reconocida en el ecosistema de ciberseguridad por su gran afectación al sector financiero a nivel global, llegando a impactar a más de 40 organizaciones en el año 2019.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-dridex-retorna-sus-actividades-con-nuevos-indicadores-de-compromisohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se han identificado nuevas campañas maliciosas por parte de los actores de amenaza, las cuales están distribuyendo el troyano bancario Dridex; esta familia de malware es reconocida en el ecosistema de ciberseguridad por su gran afectación al sector financiero a nivel global, llegando a impactar a más de 40 organizaciones en el año 2019.
Un nuevo brote de ransomware denominado SomniaLos actores de amenaza rusos suelen estar ligados con la creación de nuevas familias de malware dentro del panorama de amenazas, especialmente han estado activos en el ciberespacio a razón del conflicto que existe con Ucrania y sus aliados; es así como algunos grupos de hacktivistas rusos se involucran en la ciberguerra que se lidia actualmente, para lo cual crean nuevas herramientas que impacten eficientemente las infraestructuras tecnológicas de sus objetivos, de ahí que recientemente se descubriera una nueva cepa de ransomware denominada Somnia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-brote-de-ransomware-denominado-somniahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza rusos suelen estar ligados con la creación de nuevas familias de malware dentro del panorama de amenazas, especialmente han estado activos en el ciberespacio a razón del conflicto que existe con Ucrania y sus aliados; es así como algunos grupos de hacktivistas rusos se involucran en la ciberguerra que se lidia actualmente, para lo cual crean nuevas herramientas que impacten eficientemente las infraestructuras tecnológicas de sus objetivos, de ahí que recientemente se descubriera una nueva cepa de ransomware denominada Somnia.
Nueva actividad relacionada con los ransomware Inlock y XoristLos actores de amenaza continúan empleando el ransomware como uno de los medios para generar ganancias económicas de ahí que el aumento de infecciones por esta amenaza se vea constantemente en el ciberespacio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-los-ransomware-inlock-y-xoristhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza continúan empleando el ransomware como uno de los medios para generar ganancias económicas de ahí que el aumento de infecciones por esta amenaza se vea constantemente en el ciberespacio.
Nuevo Stealer denominado Strela orientado a la exfiltración de credenciales de accesoRecientemente se ha identificado un nuevo Stealer denominado Strela; enfocado en la captura y exfiltración de información asociada a las credenciales de acceso de las cuentas de correo electrónico de Outlook y Thunderbird, los cuales son altamente utilizados por usuarios y organizaciones a nivel mundial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-strela-orientado-a-la-exfiltracion-de-credenciales-de-accesohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado un nuevo Stealer denominado Strela; enfocado en la captura y exfiltración de información asociada a las credenciales de acceso de las cuentas de correo electrónico de Outlook y Thunderbird, los cuales son altamente utilizados por usuarios y organizaciones a nivel mundial.
IceXLoader retorna con una nueva actualizaciónIceXLoader es conocido en el ecosistema de ciberseguridad por ser utilizado como un cargador que implementa diversas familias de malware en las campañas maliciosas de los ciberdelincuentes; además, es distribuido a través de foros clandestinos de la Deep y Dark web por el precio de 118 dólares, otorgando una licencia de por vida, lo cual permite que los usuarios puedan usarlo las veces que lo requieran. Anteriormente, se había evidenciado que en su versión 3.0 se encontraba en fase de desarrollo al observar sus comportamientos y actividades.http://csirtasobancaria.com/Plone/alertas-de-seguridad/icexloader-retorna-con-una-nueva-actualizacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IceXLoader es conocido en el ecosistema de ciberseguridad por ser utilizado como un cargador que implementa diversas familias de malware en las campañas maliciosas de los ciberdelincuentes; además, es distribuido a través de foros clandestinos de la Deep y Dark web por el precio de 118 dólares, otorgando una licencia de por vida, lo cual permite que los usuarios puedan usarlo las veces que lo requieran. Anteriormente, se había evidenciado que en su versión 3.0 se encontraba en fase de desarrollo al observar sus comportamientos y actividades.
Nuevo troyano bancario denominado Android FakecallsRecientemente se ha identificado un nuevo troyano bancario denominado Android Fakecalls, el cual se destaca por redirigir las llamadas de las víctimas a números telefónicos que son controlados por los actores de amenaza, donde estos fingen ser funcionarios de entidades bancarias para recopilar información confidencial de las mencionadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-denominado-android-fakecallshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado un nuevo troyano bancario denominado Android Fakecalls, el cual se destaca por redirigir las llamadas de las víctimas a números telefónicos que son controlados por los actores de amenaza, donde estos fingen ser funcionarios de entidades bancarias para recopilar información confidencial de las mencionadas.
Robin Banks retorna con nuevas funcionalidades y característicasMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se encontró que la plataforma de phishing como servicio (PhaaS) Robin Banks retornó sus operaciones, utilizando una infraestructura de una empresa de internet rusa que brinda servicios de protección contra ataques DDoS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/robin-banks-retorna-con-nuevas-funcionalidades-y-caracteristicashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se encontró que la plataforma de phishing como servicio (PhaaS) Robin Banks retornó sus operaciones, utilizando una infraestructura de una empresa de internet rusa que brinda servicios de protección contra ataques DDoS.
Nueva actividad maliciosa de SmokeLoaderRecientemente se ha identificado nueva actividad maliciosa asociada a SmokeLoader, el cual está siendo utilizado para distribuir diversas familias de malware, entre las cuales destaca SystemBC RAT, ReccordBreaker (también conocido como Raccon Stealer 2.0) y Laplas Clipper.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-smokeloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado nueva actividad maliciosa asociada a SmokeLoader, el cual está siendo utilizado para distribuir diversas familias de malware, entre las cuales destaca SystemBC RAT, ReccordBreaker (también conocido como Raccon Stealer 2.0) y Laplas Clipper.