Nueva actividad maliciosa asociada al troyano bancario SharkbotEn el ámbito de ciberseguridad, es muy frecuente presenciar campañas maliciosas en donde los ciberdelincuentes implementan programas maliciosos específicamente desarrollados para impactar un sector objetivo; un ejemplo claro de esto, son los troyanos bancarios, los cuales tienen como propósito recopilar información sensible de las victimas relacionadas con entidades financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-al-troyano-bancario-sharkbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito de ciberseguridad, es muy frecuente presenciar campañas maliciosas en donde los ciberdelincuentes implementan programas maliciosos específicamente desarrollados para impactar un sector objetivo; un ejemplo claro de esto, son los troyanos bancarios, los cuales tienen como propósito recopilar información sensible de las victimas relacionadas con entidades financieras.
Nuevas capacidades identificadas en BumblebeeBumblebee es un backdoor que desde su creación ha adquirido mucha popularidad entre los ciberdelincuentes debido a sus amplias capacidades, en esta nueva variante presenta alta similitud con BookWorm.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-capacidades-identificadas-en-bumblebeehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bumblebee es un backdoor que desde su creación ha adquirido mucha popularidad entre los ciberdelincuentes debido a sus amplias capacidades, en esta nueva variante presenta alta similitud con BookWorm.
Repositorio abierto permite que ciberdelincuentes adquieran una nueva versión del kit de herramientas conocido como BurntcigarRecientemente se ha conocido un repositorio abierto que permite descargar un kit de herramientas que tiene la capacidad de deshabilitar las soluciones de seguridad en las infraestructuras tecnológicas, este conjunto de archivos es conocidos como Burntcigar, muy popular por facilitar la entrada de los atacantes al sistema de los equipos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/repositorio-abierto-permite-que-ciberdelincuentes-adquieran-una-nueva-version-del-kit-de-herramientas-conocido-como-burntcigarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha conocido un repositorio abierto que permite descargar un kit de herramientas que tiene la capacidad de deshabilitar las soluciones de seguridad en las infraestructuras tecnológicas, este conjunto de archivos es conocidos como Burntcigar, muy popular por facilitar la entrada de los atacantes al sistema de los equipos.
Prynt Stealer implementa puertas traseras adicionalesEl activo más importante para una organización hoy en día es su información, partiendo de esa perspectiva los ciberdelincuentes tienen como principal objetivo capturar esos registros que representan una potencial recompensa económica; en la naturaleza circulan varias ciberamenazas asociadas a diversas familias de stealer entre ellos el ya conocido Prynt Stealer, respecto a este se ha descubierto que sus desarrolladores implantan puertas traseras (backdoors) en sus constructores, esto con el propósito de exfiltrar una copia de la data capturada de las víctimas obtenida en campañas desplegadas previamente empleando esta familia de malware a través de un canal de Telegram.http://csirtasobancaria.com/Plone/alertas-de-seguridad/prynt-stealer-implementa-puertas-traseras-adicionaleshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El activo más importante para una organización hoy en día es su información, partiendo de esa perspectiva los ciberdelincuentes tienen como principal objetivo capturar esos registros que representan una potencial recompensa económica; en la naturaleza circulan varias ciberamenazas asociadas a diversas familias de stealer entre ellos el ya conocido Prynt Stealer, respecto a este se ha descubierto que sus desarrolladores implantan puertas traseras (backdoors) en sus constructores, esto con el propósito de exfiltrar una copia de la data capturada de las víctimas obtenida en campañas desplegadas previamente empleando esta familia de malware a través de un canal de Telegram.
Nueva actividad maliciosa del troyano bancario UrsnifUrsnif es un troyano bancario muy utilizado por los ciberdelincuentes, dirigido al sector financiero con el objetivo de capturar información y credenciales bancarias principalmente de los sistemas operativos Windows, aunque el equipo de analistas del Csirt financiero ha reportado esta amenaza en múltiples ocasiones, es relevante comunicar que se identificaron nuevos indicadores de compromiso (IOC), los cuales representan nuevas cargas útiles que están siendo distribuidas y pueden afectar entidades de América Latina.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-ursnifhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ursnif es un troyano bancario muy utilizado por los ciberdelincuentes, dirigido al sector financiero con el objetivo de capturar información y credenciales bancarias principalmente de los sistemas operativos Windows, aunque el equipo de analistas del Csirt financiero ha reportado esta amenaza en múltiples ocasiones, es relevante comunicar que se identificaron nuevos indicadores de compromiso (IOC), los cuales representan nuevas cargas útiles que están siendo distribuidas y pueden afectar entidades de América Latina.
Un nuevo troyano bancario denominado Zanubis visto en campañas dirigidas a bancos de LatinoaméricaLos actores de amenaza no cesan de generar nuevas familias de malware en la naturaleza, recientemente se rastreó una campaña dirigida al sector financiero de Perú; este ataque fue perpetuado con un nuevo troyano bancario nombrado Zanubis por su clave de descifrado, por otra parte se descubrió que se basa en la explotación de funciones de accesibilidad automatizada del sistema, no obstante continúa en constante desarrollo ya que las muestras vistas en dicha campaña no parecen ser versiones finales, asimismo es evidente que los ciberdelincuentes crearán nuevas campañas hacia bancos de Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-troyano-bancario-denominado-zanubis-visto-en-campanas-dirigidas-a-bancos-de-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza no cesan de generar nuevas familias de malware en la naturaleza, recientemente se rastreó una campaña dirigida al sector financiero de Perú; este ataque fue perpetuado con un nuevo troyano bancario nombrado Zanubis por su clave de descifrado, por otra parte se descubrió que se basa en la explotación de funciones de accesibilidad automatizada del sistema, no obstante continúa en constante desarrollo ya que las muestras vistas en dicha campaña no parecen ser versiones finales, asimismo es evidente que los ciberdelincuentes crearán nuevas campañas hacia bancos de Latinoamérica.
Se identifican nuevos indicadores de compromiso de Nanocore RATNanocore RAT fue identificado por primera vez en el año 2013, y aunque el equipo de analistas del Csirt financiero lo ha reportado en ocasiones anteriores hay que tener en cuenta que en el ámbito del ciberespacio los actores detrás de estas amenazas mantienen constantes actualizaciones de técnicas y tácticas con los buscan generar un impactó en la seguridad de la información de las entidades y organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-indicadores-de-compromiso-de-nanocore-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nanocore RAT fue identificado por primera vez en el año 2013, y aunque el equipo de analistas del Csirt financiero lo ha reportado en ocasiones anteriores hay que tener en cuenta que en el ámbito del ciberespacio los actores detrás de estas amenazas mantienen constantes actualizaciones de técnicas y tácticas con los buscan generar un impactó en la seguridad de la información de las entidades y organizaciones.
Nuevo stealer denominado ErbiumEn el ecosistema de ciberseguridad es muy conocido el termino stealer, el cual es un tipo de malware donde muchas veces es implementado como una técnica para amplificar el rango de afectación de los actores de amenaza. Este programa malicioso se destaca por tener la característica de capturar información sensible almacenada en el equipo comprometido, para luego ser exfiltrada hacia un servidor de comando y control (C2); esta data obtenida, es utilizada por los ciberdelincuentes para realizar actos delictivos como extorsión, fraude bancario, transacciones ilícitas y fuga de datos en foros de la Deep y Dark web.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-erbiumhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ecosistema de ciberseguridad es muy conocido el termino stealer, el cual es un tipo de malware donde muchas veces es implementado como una técnica para amplificar el rango de afectación de los actores de amenaza. Este programa malicioso se destaca por tener la característica de capturar información sensible almacenada en el equipo comprometido, para luego ser exfiltrada hacia un servidor de comando y control (C2); esta data obtenida, es utilizada por los ciberdelincuentes para realizar actos delictivos como extorsión, fraude bancario, transacciones ilícitas y fuga de datos en foros de la Deep y Dark web.
Nueva versión del rat Asbit emerge con actualizaciones en sus TTPLos actores de amenaza de origen chino han desarrollado distintas familias de malware a lo largo de estos años algunas más notables que otras, entre estas apareció en el ciberespacio Asbit un RAT que ha estado evolucionando desde ese entonces; se caracteriza por emplear técnicas de evasión sobre los equipos infectados, como DNS sobre HTTPS (DoH) para superar los filtros DNS instaurados en las infraestructuras tecnológicas de sus objetivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-del-rat-asbit-emerge-con-actualizaciones-en-sus-ttphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza de origen chino han desarrollado distintas familias de malware a lo largo de estos años algunas más notables que otras, entre estas apareció en el ciberespacio Asbit un RAT que ha estado evolucionando desde ese entonces; se caracteriza por emplear técnicas de evasión sobre los equipos infectados, como DNS sobre HTTPS (DoH) para superar los filtros DNS instaurados en las infraestructuras tecnológicas de sus objetivos.
Nueva campaña maliciosa relacionada al troyano Agent teslaAgent Tesla, es un troyano el cual ha sido reportado anteriormente por el equipo de analistas del Csirt Financiero, manteniendo el mismo modus operandi los ciberdelincuentes detrás de esta amenaza están realizando constantes campañas y actualizaciones de sus artefactos con el objetivó de generar una infección e impactos más globales en entidades y organizaciones a nivel mundial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-relacionada-al-troyano-agent-teslahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Agent Tesla, es un troyano el cual ha sido reportado anteriormente por el equipo de analistas del Csirt Financiero, manteniendo el mismo modus operandi los ciberdelincuentes detrás de esta amenaza están realizando constantes campañas y actualizaciones de sus artefactos con el objetivó de generar una infección e impactos más globales en entidades y organizaciones a nivel mundial.
Nuevo ransomware denominado AgendaEl negocio más prolífico en el ecosistema de amenazas en la actualidad es el aumento constante de nuevas familia de tipo ransomware, de ahí que los actores de amenaza se enfoquen en la creación de nuevas variantes o generen actualizaciones constantes de los que están latentes en el ciberespacio; durante el transcurso de esta semana apareció en la naturaleza, un nuevo ransomware denominado Agenda el cual está siendo distribuido en países de Asia y África con el objetivo de afectar infraestructuras críticas principalmente del sector salud y educación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-agendahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El negocio más prolífico en el ecosistema de amenazas en la actualidad es el aumento constante de nuevas familia de tipo ransomware, de ahí que los actores de amenaza se enfoquen en la creación de nuevas variantes o generen actualizaciones constantes de los que están latentes en el ciberespacio; durante el transcurso de esta semana apareció en la naturaleza, un nuevo ransomware denominado Agenda el cual está siendo distribuido en países de Asia y África con el objetivo de afectar infraestructuras críticas principalmente del sector salud y educación.
Nueva campaña asociada a Remcos RATDe forma reciente se ha detectado una nueva campaña de distribución de Remcos, troyano de acceso remoto que le permite al atacante tomar el control de los equipos infectados, tomar capturas de pantalla, recopilar información asociada a credenciales de acceso, registrar pulsaciones de teclas (keylogger) y enviar toda la data a su comando y control.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-asociada-a-remcos-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
De forma reciente se ha detectado una nueva campaña de distribución de Remcos, troyano de acceso remoto que le permite al atacante tomar el control de los equipos infectados, tomar capturas de pantalla, recopilar información asociada a credenciales de acceso, registrar pulsaciones de teclas (keylogger) y enviar toda la data a su comando y control.
Nueva campaña del troyano bancario GuildmaLos troyanos bancarios suelen ser efímeros en el panorama de amenazas no obstante los que cuentan con actualizaciones periódicas, técnicas de ejecución y ataque novedosas suelen prevalecer en el ciberespacio de allí se desprende una amenaza que ha sido prolífica durante los últimos años, se trata de Guildma; recientemente se ha detectado una nueva campaña desplegada en países de Latinoamérica principalmente Brasil y Chile que se está distribuyendo por medio de correos de tipo phishing.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-bancario-guildmahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los troyanos bancarios suelen ser efímeros en el panorama de amenazas no obstante los que cuentan con actualizaciones periódicas, técnicas de ejecución y ataque novedosas suelen prevalecer en el ciberespacio de allí se desprende una amenaza que ha sido prolífica durante los últimos años, se trata de Guildma; recientemente se ha detectado una nueva campaña desplegada en países de Latinoamérica principalmente Brasil y Chile que se está distribuyendo por medio de correos de tipo phishing.
Nueva variante de HavanaCrypt suplanta a actualización de GoogleEn esta nueva actividad, se ha evidenciado una nueva variante del ransomware denominado HavanaCrypt el cual suplanta a una actualización de Google Chrome con el objetivo de obtener acceso, evadir las herramientas antimalware de los equipos comprometidos y cifrar sus archivos; esta amenaza contiene técnicas sofisticadas de anti-análisis y emplea funciones criptográficas para operar.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-havanacrypt-suplanta-a-actualizacion-de-googlehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En esta nueva actividad, se ha evidenciado una nueva variante del ransomware denominado HavanaCrypt el cual suplanta a una actualización de Google Chrome con el objetivo de obtener acceso, evadir las herramientas antimalware de los equipos comprometidos y cifrar sus archivos; esta amenaza contiene técnicas sofisticadas de anti-análisis y emplea funciones criptográficas para operar.
Nuevo ransomware denominado Moisha dirigido a múltiples organizacionesDe forma reciente, se ha detectado una nueva variante de ransomware que fue denominada como Moisha, los ciberdelincuentes detrás de esta amenaza están dirigiendo sus esfuerzos a comprometer múltiples organizaciones alrededor del mundo y evitan afectar a usuarios individuales. Este ransomware está diseñado con la tarea de cifrar archivos alojados en las infraestructuras tecnológicas, eliminar las instantáneas de volumen y exigir un pago por el rescate de la información comprometida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-moisha-dirigido-a-multiples-organizacioneshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
De forma reciente, se ha detectado una nueva variante de ransomware que fue denominada como Moisha, los ciberdelincuentes detrás de esta amenaza están dirigiendo sus esfuerzos a comprometer múltiples organizaciones alrededor del mundo y evitan afectar a usuarios individuales. Este ransomware está diseñado con la tarea de cifrar archivos alojados en las infraestructuras tecnológicas, eliminar las instantáneas de volumen y exigir un pago por el rescate de la información comprometida.
Nueva actividad maliciosa relacionada al ransomware BlueSkySe ha identificado nueva actividad relacionada al ransomware BlueSky, el cual ha realizado nuevas actividades maliciosas con nuevas características, donde destaca la capacidad de efectuar movimientos laterales a través de SMB.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-al-ransomware-blueskyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado nueva actividad relacionada al ransomware BlueSky, el cual ha realizado nuevas actividades maliciosas con nuevas características, donde destaca la capacidad de efectuar movimientos laterales a través de SMB.
Nueva variante de ransomware denominada BleachgapEn el ciberespacio hay una constante evolución por parte de la gran variedad de amenazas que se suelen desarrollar los actores malintencionados, es común ver que implementen nuevas técnicas para lograr afectar de manera crítica organizaciones objetivo, en ese orden de ideas se ha rastreado un stealer conocido en la naturaleza como Bleachgap descubierto en 2021, sin embargo los ciberdelincuentes han desarrollado nuevas capacidades en su carga útil convirtiéndolo en una nueva variedad de ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-denominada-bleachgaphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ciberespacio hay una constante evolución por parte de la gran variedad de amenazas que se suelen desarrollar los actores malintencionados, es común ver que implementen nuevas técnicas para lograr afectar de manera crítica organizaciones objetivo, en ese orden de ideas se ha rastreado un stealer conocido en la naturaleza como Bleachgap descubierto en 2021, sin embargo los ciberdelincuentes han desarrollado nuevas capacidades en su carga útil convirtiéndolo en una nueva variedad de ransomware.
A través de sitios web de descarga de software son distribuidas familias de malware tipo stealerEs evidente que en el ámbito del ciberespacio los actores de amenaza mantienen en constantes actualizaciones de nuevas técnicas y tácticas con las que intentan impactar entidades y organizaciones mediante nuevos métodos de distribución para que llegar afectar y generar ataques elaborados contra la infraestructura de las entidades; el equipo de analistas del Csirt identifico una nueva campaña de distribución por medio de sitios web de descarga de software donde se está implantando Redline Stealer y RecordBreaker Stealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/a-traves-de-sitios-web-de-descarga-de-software-son-distribuidas-familias-de-malware-tipo-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es evidente que en el ámbito del ciberespacio los actores de amenaza mantienen en constantes actualizaciones de nuevas técnicas y tácticas con las que intentan impactar entidades y organizaciones mediante nuevos métodos de distribución para que llegar afectar y generar ataques elaborados contra la infraestructura de las entidades; el equipo de analistas del Csirt identifico una nueva campaña de distribución por medio de sitios web de descarga de software donde se está implantando Redline Stealer y RecordBreaker Stealer.
Nuevo clipper denominado IBANClipper es un tipo de malware y/o una técnica implementada por los actores de amenaza, muy conocido en el ciberespacio por sus capacidades de afectar un sistema o usuario, este destaca por tener la particularidad de capturar información sensible o modificar la data a través del portapapeles; este entra en acción cuando la víctima hace uso de la función copiar y pegar del equipo, donde reemplaza los datos de la persona con los del ciberdelincuente para llevar a cabo actos delictivos como fraude financiero y transacciones ilícitas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-clipper-denominado-ibanhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Clipper es un tipo de malware y/o una técnica implementada por los actores de amenaza, muy conocido en el ciberespacio por sus capacidades de afectar un sistema o usuario, este destaca por tener la particularidad de capturar información sensible o modificar la data a través del portapapeles; este entra en acción cuando la víctima hace uso de la función copiar y pegar del equipo, donde reemplaza los datos de la persona con los del ciberdelincuente para llevar a cabo actos delictivos como fraude financiero y transacciones ilícitas.
Nueva variante de ransomware denominada SolidbitSolidbit, identificado por primera vez en julio del presente año distribuido bajo la modalidad de Ransomware como Servicio (RaaS), con el objetivo de cifrar datos y a través de esta capacidad poder exigir un rescate a cambio de una clave para el descifrado donde la victima tendría que realizar el pago de un monto económico para obtener dicha clave; teniendo en cuenta la importancia de la información comprometida muchas organizaciones acceden al pago de esta extorsión.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-denominada-solidbithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Solidbit, identificado por primera vez en julio del presente año distribuido bajo la modalidad de Ransomware como Servicio (RaaS), con el objetivo de cifrar datos y a través de esta capacidad poder exigir un rescate a cambio de una clave para el descifrado donde la victima tendría que realizar el pago de un monto económico para obtener dicha clave; teniendo en cuenta la importancia de la información comprometida muchas organizaciones acceden al pago de esta extorsión.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}