Nuevos indicadores del ransomware BlueSkyUna de las amenazas más comunes en el ámbito de la ciberseguridad es del tipo ransomware, siendo utilizada por los ciberdelincuentes con el objetivo de generar ganancias económicas a través de extorsiones cifrando archivos confidenciales de la víctima para reclamar una recompensa por estos; en esta ocasión, la familia BlueSky reportada este mismo año realiza nuevas actualizaciones en su método de cifrado donde se encuentran nuevos indicadores de compromiso relacionados a esta campaña.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-del-ransomware-blueskyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una de las amenazas más comunes en el ámbito de la ciberseguridad es del tipo ransomware, siendo utilizada por los ciberdelincuentes con el objetivo de generar ganancias económicas a través de extorsiones cifrando archivos confidenciales de la víctima para reclamar una recompensa por estos; en esta ocasión, la familia BlueSky reportada este mismo año realiza nuevas actualizaciones en su método de cifrado donde se encuentran nuevos indicadores de compromiso relacionados a esta campaña.
Nueva actividad maliciosa del ransomware ZeppelinEn el ámbito del ciberespacio es bastante común observar técnicas y tácticas de cifrado de activos, realizada por los ciberdelincuentes que buscan obtener un beneficio económico, de esto el ransomware es una de las amenazas más propagada por los actores de amenazas; por esta razón a través del monitoreo a fuentes abiertas el equipo de analistas del Csirt Financiero identificó nueva actividad maliciosa del ransomware Zeppelin, el cual se está ejecutando varias veces en un mismo equipo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-zeppelinhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito del ciberespacio es bastante común observar técnicas y tácticas de cifrado de activos, realizada por los ciberdelincuentes que buscan obtener un beneficio económico, de esto el ransomware es una de las amenazas más propagada por los actores de amenazas; por esta razón a través del monitoreo a fuentes abiertas el equipo de analistas del Csirt Financiero identificó nueva actividad maliciosa del ransomware Zeppelin, el cual se está ejecutando varias veces en un mismo equipo.
Nueva actividad relacionada al ransomware OnyxEl equipo de analistas del Csirt Financiero identificó actividad relacionada a Onyx, un ransomware que destaca por sus actividades de doble extorsión, donde no solo exigen un pago de rescate de la información cifrada, también amenaza con filtrarla en su página para luego ser vendida en la Dark web.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-al-ransomware-onyxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó actividad relacionada a Onyx, un ransomware que destaca por sus actividades de doble extorsión, donde no solo exigen un pago de rescate de la información cifrada, también amenaza con filtrarla en su página para luego ser vendida en la Dark web.
Ataque reciente a Cisco es atribuido al grupo YanlouwangRecientemente el gigante de las telecomunicaciones Cisco, reveló que el grupo de ransomware denominado Yanlouwang comprometió su red corporativa en el mes de mayo y además exfiltró datos propios de la compañía.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-reciente-a-cisco-es-atribuido-al-grupo-yanlouwanghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el gigante de las telecomunicaciones Cisco, reveló que el grupo de ransomware denominado Yanlouwang comprometió su red corporativa en el mes de mayo y además exfiltró datos propios de la compañía.
Tropical Scorpius implementa nuevas TTP para la distribución del ransomware CubaEl ransomware es una amenaza latente en el ciberespacio ganando cada vez más fuerza, esto debido a que es un negocio bastante lucrativo para los ciberdelincuentes; justamente esa es la razón de que Cuba ransomware continúe siendo parte de la naturaleza y resurja con nuevas técnicas, tácticas y procedimientos empleadas por un grupo de amenazas rastreado como Tropical Scorpius quienes lideran una gran campaña durante el último mes, la cual está afectando varios sectores económicos dentro de los cuales se encuentra el financiero como uno de sus principales objetivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/tropical-scorpius-implementa-nuevas-ttp-para-la-distribucion-del-ransomware-cubahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware es una amenaza latente en el ciberespacio ganando cada vez más fuerza, esto debido a que es un negocio bastante lucrativo para los ciberdelincuentes; justamente esa es la razón de que Cuba ransomware continúe siendo parte de la naturaleza y resurja con nuevas técnicas, tácticas y procedimientos empleadas por un grupo de amenazas rastreado como Tropical Scorpius quienes lideran una gran campaña durante el último mes, la cual está afectando varios sectores económicos dentro de los cuales se encuentra el financiero como uno de sus principales objetivos.
Nuevos indicadores de compromiso del troyano bancario BrataAunque el troyano bancario Brata ha sido reportado en ocasiones anteriores, los ciberdelincuentes están en constantes actualizaciones de nuevos artefactos de estas amenazas las cuales pueden afectar la infraestructura de los asociados; en esta ocasión el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de Brata en el mes de agosto, dicho troyano afecta dispositivos con sistema operativo Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-del-troyano-bancario-bratahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano bancario Brata ha sido reportado en ocasiones anteriores, los ciberdelincuentes están en constantes actualizaciones de nuevos artefactos de estas amenazas las cuales pueden afectar la infraestructura de los asociados; en esta ocasión el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de Brata en el mes de agosto, dicho troyano afecta dispositivos con sistema operativo Android.
Nueva familia de ransomware denominada HydroxGeneralmente el ransomware tiene como objetivo principal generar ganancias económicas, al cifrar la información confidencial de sus víctimas; asimismo en el ciberespacio existen distintos actores de amenazas dentro de los cuales se encuentran los Script Kiddies a quienes puede estar atribuido esta nueva familia denominada Hydrox que busca afectar sistemas operativos Microsoft Windows y MacOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-ransomware-denominada-hydroxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Generalmente el ransomware tiene como objetivo principal generar ganancias económicas, al cifrar la información confidencial de sus víctimas; asimismo en el ciberespacio existen distintos actores de amenazas dentro de los cuales se encuentran los Script Kiddies a quienes puede estar atribuido esta nueva familia denominada Hydrox que busca afectar sistemas operativos Microsoft Windows y MacOS.
RapperBot, bonet que utiliza ataques de fuerza bruta dirigida a servidores Linux SSHA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva amenaza denominada RapperBot, botnet dirigida a servidores Linux SSH que utiliza ataques de fuerza bruta para comprometerlos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rapperbot-bonet-que-utiliza-ataques-de-fuerza-bruta-dirigida-a-servidores-linux-sshhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva amenaza denominada RapperBot, botnet dirigida a servidores Linux SSH que utiliza ataques de fuerza bruta para comprometerlos.
Ciberdelincuentes abusan de vulnerabilidad para implementar nuevas campañas de phishing.Phishing es una de las técnicas más utilizadas por los ciberdelincuentes para capturar información confidencial de las víctimas, esto es debido a que la preparación de este ataque no requiere de gran complejidad a comparación de otras campañas maliciosas que implementan diversas familias de malware, donde en algunas ocasiones es necesario haber estudiado previamente la infraestructura tecnológica que se pretende afectar.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-abusan-de-vulnerabilidad-para-implementar-nuevas-campanas-de-phishinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Phishing es una de las técnicas más utilizadas por los ciberdelincuentes para capturar información confidencial de las víctimas, esto es debido a que la preparación de este ataque no requiere de gran complejidad a comparación de otras campañas maliciosas que implementan diversas familias de malware, donde en algunas ocasiones es necesario haber estudiado previamente la infraestructura tecnológica que se pretende afectar.
Nueva capacidad de autopropagación implementada en Black BastaEvidentemente el ransomware Black Basta se ha convertido en una ciberamenaza relevante debido a su capacidad de afectación, este dirige sus actividades a sistemas operativos Windows, Linux y ESXi. En su versión más reciente, tiene la capacidad de autopropagarse a través de la red durante el proceso de cifrado, para esto utiliza el protocolo LDAP de acceso a los directorios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-capacidad-de-autopropagacion-implementada-en-black-bastahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Evidentemente el ransomware Black Basta se ha convertido en una ciberamenaza relevante debido a su capacidad de afectación, este dirige sus actividades a sistemas operativos Windows, Linux y ESXi. En su versión más reciente, tiene la capacidad de autopropagarse a través de la red durante el proceso de cifrado, para esto utiliza el protocolo LDAP de acceso a los directorios.
China inicia un ambiente belicista a nivel interno a través de ataques cibernéticos dirigidosEn los últimos días se han estado librando ataques cibernéticos en China de manera constante, estos están dirigidos a entidades gubernamentales y estaciones de tren con el fin de afectar sus infraestructuras tecnológicas e interrumpir su disponibilidad; se presume que podrían ser parte de estrategias políticas para desencadenar conflictos en los sistemas de computadores o redes de otros países y hacía muchos más sectores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/china-inicia-un-ambiente-belicista-a-nivel-interno-a-traves-de-ataques-ciberneticos-dirigidoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos días se han estado librando ataques cibernéticos en China de manera constante, estos están dirigidos a entidades gubernamentales y estaciones de tren con el fin de afectar sus infraestructuras tecnológicas e interrumpir su disponibilidad; se presume que podrían ser parte de estrategias políticas para desencadenar conflictos en los sistemas de computadores o redes de otros países y hacía muchos más sectores.
Nueva campaña maliciosa relacionada a BumblebeeLos actores de amenaza conocidos como Projector Libra o EXOTIC LILY son los principales responsables de esta nueva campaña en la que se realiza la distribución del loader Bumblebee, este utiliza servicios de intercambio de archivos maliciosos mediante correos electrónicos para distribuir malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-relacionada-a-bumblebeehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza conocidos como Projector Libra o EXOTIC LILY son los principales responsables de esta nueva campaña en la que se realiza la distribución del loader Bumblebee, este utiliza servicios de intercambio de archivos maliciosos mediante correos electrónicos para distribuir malware.
Despliegue de campañas maliciosas a través del servicio c2aas de dark utilities.Recientemente desde el Csirt Financiero se observó un nuevo servicio de C2 que está siendo utilizado por ciberdelincuentes a través de una plataforma conocida en el presente año y denominada como Dark Utilities, la idea de su uso es emplear un método sencillo para realizar diferentes tipos de ciberactividades malintencionadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/despliegue-de-campanas-maliciosas-a-traves-del-servicio-c2aas-de-dark-utilitieshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente desde el Csirt Financiero se observó un nuevo servicio de C2 que está siendo utilizado por ciberdelincuentes a través de una plataforma conocida en el presente año y denominada como Dark Utilities, la idea de su uso es emplear un método sencillo para realizar diferentes tipos de ciberactividades malintencionadas.
Nueva campaña de phishing en servicios de correo electrónico de MicrosoftEn la constante evolución de las tácticas y técnicas que utilizan los ciberdelincuentes con el objetivo de comprometer usuarios, entidades u organizaciones; el equipo de analistas del Csirt Financiero en su firme monitoreo a amenazas que puedan llegar a impactar el sector observó una nueva campaña tipo phishing, una técnica muy utilizada por los ciberdelincuentes, donde envían correos electrónicos a cuentas de usuarios de Microsoft con el objetivó de capturar credenciales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-en-servicios-de-correo-electronico-de-microsofthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la constante evolución de las tácticas y técnicas que utilizan los ciberdelincuentes con el objetivo de comprometer usuarios, entidades u organizaciones; el equipo de analistas del Csirt Financiero en su firme monitoreo a amenazas que puedan llegar a impactar el sector observó una nueva campaña tipo phishing, una técnica muy utilizada por los ciberdelincuentes, donde envían correos electrónicos a cuentas de usuarios de Microsoft con el objetivó de capturar credenciales.
Nueva vulnerabilidad afecta VPN de KasperskyKaspersky, una organización conocida a nivel mundial de origen ruso, destacada por sus herramientas de seguridad informática, fue vulnerada en uno de sus productos el cual permite una escalada de privilegios locales en la VPN Secure Connection de Kaspersky, la vulnerabilidad fue identificada como CVE-2022-27535 y está dirigida a sistemas operativos Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-vulnerabilidad-afecta-vpn-de-kasperskyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Kaspersky, una organización conocida a nivel mundial de origen ruso, destacada por sus herramientas de seguridad informática, fue vulnerada en uno de sus productos el cual permite una escalada de privilegios locales en la VPN Secure Connection de Kaspersky, la vulnerabilidad fue identificada como CVE-2022-27535 y está dirigida a sistemas operativos Microsoft Windows.
Nuevo troyano de acceso remoto denominado WoodyA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero recientemente identificaron un nuevo troyano de acceso remoto denominado Woody, este ha estado activo desde 2021 y desde entonces logró impactar a diferentes organizaciones en las cuales encontramos que algunas hacen parte del sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-woodyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero recientemente identificaron un nuevo troyano de acceso remoto denominado Woody, este ha estado activo desde 2021 y desde entonces logró impactar a diferentes organizaciones en las cuales encontramos que algunas hacen parte del sector financiero.
Nueva actividad maliciosa del troyano de acceso remoto NetwireEl troyano de acceso remoto (RAT) Netwire, fue identificado por primera vez en el año 2012 desde entonces los ciberdelincuentes realizan constantes actualizaciones y generan nuevos artefactos de este RAT; actualmente el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso (IoC) en el mes de agosto, el cual tiene como objetivo la captura y exfiltración de datos confidenciales dirigida a equipos con sistemas operativos Windows, Linux y MacOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-de-acceso-remoto-netwirehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano de acceso remoto (RAT) Netwire, fue identificado por primera vez en el año 2012 desde entonces los ciberdelincuentes realizan constantes actualizaciones y generan nuevos artefactos de este RAT; actualmente el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso (IoC) en el mes de agosto, el cual tiene como objetivo la captura y exfiltración de datos confidenciales dirigida a equipos con sistemas operativos Windows, Linux y MacOS.
Nuevo framework denominado ManjusakaEl panorama de amenazas es cada vez más amplio, del cual se desglosan múltiples tácticas, técnicas y procedimientos (TTP) empleados por los cibercriminales en la naturaleza, así mismo se ha observado un nuevo framework de ataque denominado Manjusaka, el cual podrán implementar los adversarios en sus acciones posteriores a la fase de explotación en un ataque cibernético por lo que tiene el potencial de prevalecer en el ciberespacio como una alternativa de Cobalt Strike.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-framework-denominado-manjusakahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de amenazas es cada vez más amplio, del cual se desglosan múltiples tácticas, técnicas y procedimientos (TTP) empleados por los cibercriminales en la naturaleza, así mismo se ha observado un nuevo framework de ataque denominado Manjusaka, el cual podrán implementar los adversarios en sus acciones posteriores a la fase de explotación en un ataque cibernético por lo que tiene el potencial de prevalecer en el ciberespacio como una alternativa de Cobalt Strike.
1More un ransomware basado en VoidCryptEl panorama en la naturaleza de amenazas presentes en el ciberespacio continúa ampliándose cada vez más, en ese orden de ideas el ransomware hace parte de la superficie de ataque más empleada por ciberdelincuentes puesto que es un negocio rentable para estos actores; con base a lo anterior se ha detectado una variante de la familia de ransomware denominada VoidCrypt cuyo código está disponible en la Darknet, esta nueva amenaza ha sido denominado 1More.http://csirtasobancaria.com/Plone/alertas-de-seguridad/1more-un-ransomware-basado-en-voidcrypthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama en la naturaleza de amenazas presentes en el ciberespacio continúa ampliándose cada vez más, en ese orden de ideas el ransomware hace parte de la superficie de ataque más empleada por ciberdelincuentes puesto que es un negocio rentable para estos actores; con base a lo anterior se ha detectado una variante de la familia de ransomware denominada VoidCrypt cuyo código está disponible en la Darknet, esta nueva amenaza ha sido denominado 1More.
Nuevos artefactos asociados al troyano FormbookTeniendo en cuenta las constantes actualizaciones de campañas y de amenazas que realizan los ciberdelincuentes, en esta ocasión el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso (IoC) relacionados al troyano conocido como Formbook.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-asociados-al-troyano-formbook-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Teniendo en cuenta las constantes actualizaciones de campañas y de amenazas que realizan los ciberdelincuentes, en esta ocasión el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso (IoC) relacionados al troyano conocido como Formbook.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}