Nuevos indicadores de compromiso en el mes de octubre del troyano QakbotEl troyano conocido como Qakbot, es una amenaza a nivel global muy utilizada por diversos actores de amenaza, recientemente se vio involucrado en una campaña utilizada por el grupo de ciberdelincuentes conocido como BlackBasta en el que implementaron BruteRatel mediante Qakbot y la cual fue reportada por el equipo de analistas del Csirt; en esta ocasión se identificaron nuevos indicadores de compromiso de Qakbot en el cual se han observado varios ataques contra el sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-en-el-mes-de-octubre-del-troyano-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano conocido como Qakbot, es una amenaza a nivel global muy utilizada por diversos actores de amenaza, recientemente se vio involucrado en una campaña utilizada por el grupo de ciberdelincuentes conocido como BlackBasta en el que implementaron BruteRatel mediante Qakbot y la cual fue reportada por el equipo de analistas del Csirt; en esta ocasión se identificaron nuevos indicadores de compromiso de Qakbot en el cual se han observado varios ataques contra el sector financiero.
Nueva actividad maliciosa del troyano bancario ERMACLos troyanos bancarios, son reconocidos por dirigirse específicamente al sector financiero, donde tienen como objetivo recopilar información confidencial relacionada con cuentas bancarias y/o billeteras, por decir algunas; una vez recopilado esos datos, los actores de amenaza suelen desencadenar múltiples acciones delictivas como actos de extorsión, filtración de data confidencial y fraude financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-ermachttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los troyanos bancarios, son reconocidos por dirigirse específicamente al sector financiero, donde tienen como objetivo recopilar información confidencial relacionada con cuentas bancarias y/o billeteras, por decir algunas; una vez recopilado esos datos, los actores de amenaza suelen desencadenar múltiples acciones delictivas como actos de extorsión, filtración de data confidencial y fraude financiero.
Nueva actividad maliciosa del ransomware Bian LianEn el ámbito de la ciberseguridad se observan nuevas actualizaciones de diversas amenazas donde los ciberdelincuentes intentan llegar a más víctimas con el objetivo de implantar algún tipo de malware, por lo que el equipo de analistas del Csirt Financiero en búsqueda de estas nuevas actualizaciones identifico nuevos indicadores de compromiso relacionados al ransomware BianLian, el cual ha sido reportado en ocasiones anteriores y dirigido principalmente a sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-bian-lianhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito de la ciberseguridad se observan nuevas actualizaciones de diversas amenazas donde los ciberdelincuentes intentan llegar a más víctimas con el objetivo de implantar algún tipo de malware, por lo que el equipo de analistas del Csirt Financiero en búsqueda de estas nuevas actualizaciones identifico nuevos indicadores de compromiso relacionados al ransomware BianLian, el cual ha sido reportado en ocasiones anteriores y dirigido principalmente a sistemas operativos Windows.
Venus, nuevo ransomware aparece en la naturalezaEl ransomware es un tipo de malware muy conocido en el ecosistema de ciberseguridad por su gran capacidad de afectación a la infraestructura tecnológica infectada, donde cifra los archivos almacenados en el sistema, impidiendo el acceso a estos; además, los actores de amenaza utilizan diversas estrategias de persuasión para que las victimas paguen por el rescate de estos datos, entre los más comunes se encuentra la filtración de los mencionados en foros de la Deep y Dark web y la eliminación de esta data.http://csirtasobancaria.com/Plone/alertas-de-seguridad/venus-nuevo-ransomware-aparece-en-la-naturalezahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware es un tipo de malware muy conocido en el ecosistema de ciberseguridad por su gran capacidad de afectación a la infraestructura tecnológica infectada, donde cifra los archivos almacenados en el sistema, impidiendo el acceso a estos; además, los actores de amenaza utilizan diversas estrategias de persuasión para que las victimas paguen por el rescate de estos datos, entre los más comunes se encuentra la filtración de los mencionados en foros de la Deep y Dark web y la eliminación de esta data.
Nueva campaña de distribución y actualización del ransomware MagniberAunque el ransomware Magniber ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero en un monitoreo a fuentes abiertas de información ha identificado una nueva campaña de dicho ransomware con el que fueron encontrados nuevos indicadores de compromiso (IoC).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-y-actualizacion-del-ransomware-magniberhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el ransomware Magniber ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero en un monitoreo a fuentes abiertas de información ha identificado una nueva campaña de dicho ransomware con el que fueron encontrados nuevos indicadores de compromiso (IoC).
Nueva actividad maliciosa del framework denominado Brute RatelBruteratel también conocido como BRc4, es un conjunto de herramientas similar a cobalt strike con el propósito final de poder ejecutar comandos de forma remota en una red comprometida. Esto otorgaría al atacante acceso al resto de la red de una manera más fácil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-framework-denominado-brute-ratelhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bruteratel también conocido como BRc4, es un conjunto de herramientas similar a cobalt strike con el propósito final de poder ejecutar comandos de forma remota en una red comprometida. Esto otorgaría al atacante acceso al resto de la red de una manera más fácil.
Nuevo troyano bancario denominado CopybaraEn el ciberespacio recientemente se han estado evidenciando múltiples campañas maliciosas donde su vector de infección es a través de dispositivos móviles, las cuales tienen como propósito persuadir a la víctima para que realice la descarga de aplicaciones relacionadas con el sector financiero, pero que en realidad son las cargas útiles de troyanos bancarios; anteriormente, este tipo de ataques se habían presenciado en la India, sin embargo, se han identificado casos similares en Europa, específicamente en Italia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-denominado-copybarahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ciberespacio recientemente se han estado evidenciando múltiples campañas maliciosas donde su vector de infección es a través de dispositivos móviles, las cuales tienen como propósito persuadir a la víctima para que realice la descarga de aplicaciones relacionadas con el sector financiero, pero que en realidad son las cargas útiles de troyanos bancarios; anteriormente, este tipo de ataques se habían presenciado en la India, sin embargo, se han identificado casos similares en Europa, específicamente en Italia.
Un nuevo kit de herramientas de phishing como servicio denominado CaffeineLas plataformas de phishing como servicio (PhaaS, Phishing as a Service) son herramientas que cobran más fuerza en la naturaleza gracias a la automatización que les brinda a los ciberdelincuentes en sus campañas maliciosas; recientemente se rastreó la plataforma Caffeine un conjunto de herramientas, que está siendo usado activamente por los atacantes en la orquestación de su vector de distribución en sus ataques cibernéticos por ejemplo en la fase de armamentización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-kit-de-herramientas-de-phishing-como-servicio-denominado-caffeinehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las plataformas de phishing como servicio (PhaaS, Phishing as a Service) son herramientas que cobran más fuerza en la naturaleza gracias a la automatización que les brinda a los ciberdelincuentes en sus campañas maliciosas; recientemente se rastreó la plataforma Caffeine un conjunto de herramientas, que está siendo usado activamente por los atacantes en la orquestación de su vector de distribución en sus ataques cibernéticos por ejemplo en la fase de armamentización.
Nuevo método de infección del ransomware BlackByteEntre las nuevas actualizaciones y novedades de las amenazas reportadas anteriormente por el Csirt Financiero se ha identificado una nueva actividad maliciosa relacionada con el ransomware BlackByte, donde se evidenció que esta amenaza se está aprovechando de una vulnerabilidad en un controlador legítimo de Windows para evadir soluciones antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-infeccion-del-ransomware-blackbytehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Entre las nuevas actualizaciones y novedades de las amenazas reportadas anteriormente por el Csirt Financiero se ha identificado una nueva actividad maliciosa relacionada con el ransomware BlackByte, donde se evidenció que esta amenaza se está aprovechando de una vulnerabilidad en un controlador legítimo de Windows para evadir soluciones antimalware.
Nuevos indicadores de compromiso del troyano FormbookA través de actividades de monitoreo en distintas fuentes de información, el equipo de analista del Csirt financiero realizó un seguimiento a las amenazas reportadas en ocasiones anteriores, ya que los actores de amenaza mantienen constantes actualizaciones de técnicas y tácticas con los que buscan generar un impacto en la seguridad de la información de las entidades y organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-del-troyano-formbookhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo en distintas fuentes de información, el equipo de analista del Csirt financiero realizó un seguimiento a las amenazas reportadas en ocasiones anteriores, ya que los actores de amenaza mantienen constantes actualizaciones de técnicas y tácticas con los que buscan generar un impacto en la seguridad de la información de las entidades y organizaciones.
Identificados nuevos indicadores de compromiso del troyano bancario LokibotEl troyano bancario Lokibot ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero siendo una de las amenazas más utilizadas a nivel global por diferentes grupos de ciberdelincuentes debido a sus grandes capacidades, esto con el objetivo principal de capturar datos bancarios confidenciales y exfiltrarlos a servidores de comando y control C2, dicho troyano se encuentra dirigido a equipos con sistemas operativos Windows y dispositivos Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/identificados-nuevos-indicadores-de-compromiso-del-troyano-bancario-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano bancario Lokibot ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero siendo una de las amenazas más utilizadas a nivel global por diferentes grupos de ciberdelincuentes debido a sus grandes capacidades, esto con el objetivo principal de capturar datos bancarios confidenciales y exfiltrarlos a servidores de comando y control C2, dicho troyano se encuentra dirigido a equipos con sistemas operativos Windows y dispositivos Android.
Nueva actividad detectada del RAT Agent TeslaAgent Tesla es una de las familias de malware más renombradas en la naturaleza, desde su aparición en el ciberespacio en 2014 ha tenido una gran trayectoria gracias a las exitosas campañas que han desplegado distintos ciberdelincuentes; este troyano de acceso remoto como se ha mencionado anteriormente se comercializa bajo la modalidad de negocio (MaaS) y es distribuido a nivel global.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-detectada-del-rat-agent-teslahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Agent Tesla es una de las familias de malware más renombradas en la naturaleza, desde su aparición en el ciberespacio en 2014 ha tenido una gran trayectoria gracias a las exitosas campañas que han desplegado distintos ciberdelincuentes; este troyano de acceso remoto como se ha mencionado anteriormente se comercializa bajo la modalidad de negocio (MaaS) y es distribuido a nivel global.
El troyano Xloader distribuido en foros populares de la Deep y Dark webXloader es un troyano conocido por sus altas capacidades de capturar información confidencial de equipos con sistemas operativos Microsoft Windows y Mac Os, donde el código de este troyano se encuentra basado en otro troyano muy popular como lo es FormBook.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-xloader-distribuido-en-foros-populares-de-la-deep-y-dark-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Xloader es un troyano conocido por sus altas capacidades de capturar información confidencial de equipos con sistemas operativos Microsoft Windows y Mac Os, donde el código de este troyano se encuentra basado en otro troyano muy popular como lo es FormBook.
Maggie el nuevo backdoor dirigido a servidores Microsoft Server SQLEn el ejercicio de monitorear constantemente las nuevas amenazas descubiertas en la naturaleza, se ha rastreado un nuevo backdoor denominado Maggie, el cual se ha estado distribuyendo a nivel global y ha comprometido exitosamente servidores MSSQL (Microsoft SQL) de diferentes organizaciones; esta amenaza brinda a los ciberdelincuentes capacidades notorias como la ejecución remota de comandos y la posibilidad de realizar movimientos laterales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/maggie-el-nuevo-backdoor-dirigido-a-servidores-microsoft-server-sqlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio de monitorear constantemente las nuevas amenazas descubiertas en la naturaleza, se ha rastreado un nuevo backdoor denominado Maggie, el cual se ha estado distribuyendo a nivel global y ha comprometido exitosamente servidores MSSQL (Microsoft SQL) de diferentes organizaciones; esta amenaza brinda a los ciberdelincuentes capacidades notorias como la ejecución remota de comandos y la posibilidad de realizar movimientos laterales.
Agent Tesla y NjRat distribuidos en una nueva campaña de maldocsLa creciente ola de ataques cibernéticos dirigidos a distintos sectores económicos es un comportamiento habitual en el ciberespacio, esta actividad a su vez conlleva que los ciberdelincuentes empleen familias de malware para lograr sus objetivos de ahí que se halla rastreado una nueva campaña desplegada desde el mes pasado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/agent-tesla-y-njrat-distribuidos-en-una-nueva-campana-de-maldocshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La creciente ola de ataques cibernéticos dirigidos a distintos sectores económicos es un comportamiento habitual en el ciberespacio, esta actividad a su vez conlleva que los ciberdelincuentes empleen familias de malware para lograr sus objetivos de ahí que se halla rastreado una nueva campaña desplegada desde el mes pasado.
Nuevo vector de distribución del ransomware BisamwareTeniendo en cuenta el monitoreo realizado sobre las nuevas amenazas que puedan a llegar afectar al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa del ransomware conocido como Bisamware, y aunque fue reportado anteriormente en esta ocasión se identificó un aumento en el número de muestras encontradas además de una nueva actividad maliciosa donde se está distribuyendo por medio de explotación de vulnerabilidades.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-vector-de-distribucion-del-ransomware-bisamwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Teniendo en cuenta el monitoreo realizado sobre las nuevas amenazas que puedan a llegar afectar al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa del ransomware conocido como Bisamware, y aunque fue reportado anteriormente en esta ocasión se identificó un aumento en el número de muestras encontradas además de una nueva actividad maliciosa donde se está distribuyendo por medio de explotación de vulnerabilidades.
Evolución continúa de Bumblebee en la naturalezaLa evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-continua-de-bumblebee-en-la-naturalezahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.
Actores de amenaza utilizan el movimiento del mouse en plantillas PowerPoint para distribuir malwareMúltiples análisis de la seguridad de la información han identificado una técnica basada en el movimiento del ratón (mouse) en documentos de Microsoft PowerPoint con la finalidad de desplegar malware; este procedimiento de infección inicia luego de que el usuario abre estos archivos y no importa si se encuentran en vista protegida ya que dicha acción desencadena un dropper a través de un script de PowerShell contenido en los documentos maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-utilizan-el-movimiento-del-mouse-en-plantillas-powerpoint-para-distribuir-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Múltiples análisis de la seguridad de la información han identificado una técnica basada en el movimiento del ratón (mouse) en documentos de Microsoft PowerPoint con la finalidad de desplegar malware; este procedimiento de infección inicia luego de que el usuario abre estos archivos y no importa si se encuentran en vista protegida ya que dicha acción desencadena un dropper a través de un script de PowerShell contenido en los documentos maliciosos.
Se identifica técnica de persistencia en los hipervisores de VMware ESXiRecientemente, investigadores de seguridad informática identificaron y detallaron una novedosa técnica empleada por los cibercriminales con el objetivo de tener acceso administrativo dentro de los hipervisores de VMware ESXi, con esto se apropian del manejo de los servidores vCenter (software de gestión de servidores avanzado que ofrece una plataforma centralizada para controlar los entornos de vSphere y obtener visibilidad en las nubes híbridas) y las máquinas virtualizadas ya sean para Windows o Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-tecnica-de-persistencia-en-los-hipervisores-de-vmware-esxihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores de seguridad informática identificaron y detallaron una novedosa técnica empleada por los cibercriminales con el objetivo de tener acceso administrativo dentro de los hipervisores de VMware ESXi, con esto se apropian del manejo de los servidores vCenter (software de gestión de servidores avanzado que ofrece una plataforma centralizada para controlar los entornos de vSphere y obtener visibilidad en las nubes híbridas) y las máquinas virtualizadas ya sean para Windows o Linux.
Nuevo grupo de ciberdelincuentes denominado Guacamaya afecta entidades gubernamentales en América latinaEn el ámbito del ciberespacio y la seguridad de la información, recientemente se ha evidenciado un nuevo caso de filtración de datos sensibles a organizaciones gubernamentales relacionados con el sector militar y policial. Este ataque es atribuido al grupo hacktivista denominado Guacamaya; donde, en el transcurso del año se observó que ha impactado países de América latina como Chile, México y Colombia, por decir algunos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ciberdelincuentes-denominado-guacamaya-afecta-entidades-gubernamentales-en-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito del ciberespacio y la seguridad de la información, recientemente se ha evidenciado un nuevo caso de filtración de datos sensibles a organizaciones gubernamentales relacionados con el sector militar y policial. Este ataque es atribuido al grupo hacktivista denominado Guacamaya; donde, en el transcurso del año se observó que ha impactado países de América latina como Chile, México y Colombia, por decir algunos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}