Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Actualización de IoC asociados a NetSupport RATNetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-de-ioc-asociados-a-netsupport-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
NetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.
El ransomware Clop es distribuido por el grupo APT Fin7El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa relacionada con el ransomware Clop, llevada a cabo por el grupo de ciberdelincuentes conocido como FIN7. Este grupo, activo desde al menos 2015, se ha destacado por implementar malware en dispositivos de punto de venta (POS) y realizar ataques de phishing dirigidos a numerosas empresas a nivel global.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-clop-es-distribuido-por-el-grupo-apt-fin7http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa relacionada con el ransomware Clop, llevada a cabo por el grupo de ciberdelincuentes conocido como FIN7. Este grupo, activo desde al menos 2015, se ha destacado por implementar malware en dispositivos de punto de venta (POS) y realizar ataques de phishing dirigidos a numerosas empresas a nivel global.
MalasLocker: Ransomware enfocado en servidores ZimbraUna nueva amenaza de ransomware llamada MalasLocker ha surgido, apuntando a servidores Zimbra con el objetivo de capturar correos electrónicos y cifrar archivos. Sin embargo, a diferencia de los ataques convencionales, los perpetradores de esta operación de ransomware no exigen un pago de rescate en criptomonedas, sino que solicitan una donación a una organización benéfica para proporcionar una clave de descifrado y evitar la filtración de datos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malaslocker-ransomware-enfocado-en-servidores-zimbrahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una nueva amenaza de ransomware llamada MalasLocker ha surgido, apuntando a servidores Zimbra con el objetivo de capturar correos electrónicos y cifrar archivos. Sin embargo, a diferencia de los ataques convencionales, los perpetradores de esta operación de ransomware no exigen un pago de rescate en criptomonedas, sino que solicitan una donación a una organización benéfica para proporcionar una clave de descifrado y evitar la filtración de datos.
Nueva actividad maliciosa del ransomware ContiEl equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el ransomware Conti. A medida que los ciberdelincuentes realizan constantes actualizaciones en el ciberespacio, se ha descubierto una nueva actividad maliciosa asociada a esta amenaza en particular. El ransomware Conti, activo desde 2019, utiliza el modelo de Ransomware as a Service (RaaS) basado en el código de la amenaza Ryuk. Es conocido por su capacidad de evasión y su efectividad al cifrar equipos que ejecutan sistemas operativos Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-contihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el ransomware Conti. A medida que los ciberdelincuentes realizan constantes actualizaciones en el ciberespacio, se ha descubierto una nueva actividad maliciosa asociada a esta amenaza en particular. El ransomware Conti, activo desde 2019, utiliza el modelo de Ransomware as a Service (RaaS) basado en el código de la amenaza Ryuk. Es conocido por su capacidad de evasión y su efectividad al cifrar equipos que ejecutan sistemas operativos Microsoft Windows.
Nuevo método de distribución de Raccoon Stealer y XMRig minerLos actores de amenazas han estado utilizando técnicas de distribución de malware a través de software no licenciado desde los primeros días de la piratería. Sin embargo, recientemente se ha observado una tendencia en la cual los atacantes están dirigiendo sus esfuerzos hacia los canales de YouTube pirateados para difundir malware mediante tutoriales en video. Estos videos se presentan como instrucciones para convencer a los usuarios de desactivar sus herramientas de seguridad y ejecutar el malware, el cual viene en un archivo comprimido de pequeño tamaño.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-distribucion-de-raccoon-stealer-y-xmrig-minerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenazas han estado utilizando técnicas de distribución de malware a través de software no licenciado desde los primeros días de la piratería. Sin embargo, recientemente se ha observado una tendencia en la cual los atacantes están dirigiendo sus esfuerzos hacia los canales de YouTube pirateados para difundir malware mediante tutoriales en video. Estos videos se presentan como instrucciones para convencer a los usuarios de desactivar sus herramientas de seguridad y ejecutar el malware, el cual viene en un archivo comprimido de pequeño tamaño.
Nuevos indicadores de compromiso asociados al troyano bancario IcedIDIcedID es un troyano bancario, un tipo de malware que se especializa en capturar información financiera de sus víctimas. Es capaz de infiltrarse en los sistemas informáticos de la organización y recopilar data sobre las credenciales de inicio de sesión y/o datos de la tarjeta de crédito.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-bancario-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IcedID es un troyano bancario, un tipo de malware que se especializa en capturar información financiera de sus víctimas. Es capaz de infiltrarse en los sistemas informáticos de la organización y recopilar data sobre las credenciales de inicio de sesión y/o datos de la tarjeta de crédito.
Emerge nueva familia de ransomware denominada CryptNetRecientemente investigadores cibernéticos identificaron una nueva variante de malware denominada CryptNet, amenaza de tipo ransomware que es ofrecido como servicio (as-a-service) a través de foros clandestinos de la Deep y Dark web; CryptNet se encuentra desarrollado bajo el lenguaje de programación .NET y emplea el algoritmo de cifrado AES en modo CBC (algoritmo que utiliza un cifrador por bloques para proveer seguridad a la información) y RSA de 2048 bits.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-nueva-familia-de-ransomware-denominada-cryptnethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente investigadores cibernéticos identificaron una nueva variante de malware denominada CryptNet, amenaza de tipo ransomware que es ofrecido como servicio (as-a-service) a través de foros clandestinos de la Deep y Dark web; CryptNet se encuentra desarrollado bajo el lenguaje de programación .NET y emplea el algoritmo de cifrado AES en modo CBC (algoritmo que utiliza un cifrador por bloques para proveer seguridad a la información) y RSA de 2048 bits.
RA Group: El ascenso del nuevo y peligroso actor de ransomwareRecientemente se ha descubierto un nuevo actor de ransomware llamado RA Group, que ha estado operando desde al menos el 22 de abril de 2023. Este actor está expandiendo rápidamente sus operaciones y ha comprometido a tres organizaciones en los EE. UU. y una en Corea del Sur en varias verticales comerciales, incluidas la fabricación, la gestión de patrimonio, los proveedores de seguros y productos farmacéuticos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ra-group-el-ascenso-del-nuevo-y-peligroso-actor-de-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha descubierto un nuevo actor de ransomware llamado RA Group, que ha estado operando desde al menos el 22 de abril de 2023. Este actor está expandiendo rápidamente sus operaciones y ha comprometido a tres organizaciones en los EE. UU. y una en Corea del Sur en varias verticales comerciales, incluidas la fabricación, la gestión de patrimonio, los proveedores de seguros y productos farmacéuticos.
Medusalocker, entre los ransomware más distribuidos en américa latinaEl equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso relacionados con el ransomware MedusaLocker, que ha experimentado un aumento en su actividad reciente. Ha afectado a diversas organizaciones de todos los sectores económicos en América Latina, incluyendo el sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/medusalocker-entre-los-ransomware-mas-distribuidos-en-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso relacionados con el ransomware MedusaLocker, que ha experimentado un aumento en su actividad reciente. Ha afectado a diversas organizaciones de todos los sectores económicos en América Latina, incluyendo el sector financiero.
Nuevas campañas maliciosas distribuyen dropper y kits de phishingEn una reciente investigación, se identificó varias campañas maliciosas las cuales distribuían un dropper y un módulo de phishing denominados CopperStealth y CopperPhishing respectivamente, estos han sido vinculados al grupo de ciberdelincuentes Water Orthrus debido a poseen similitudes con otra familia de malware llamada CopperStealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-maliciosas-distribuyen-dropper-y-kits-de-phishinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En una reciente investigación, se identificó varias campañas maliciosas las cuales distribuían un dropper y un módulo de phishing denominados CopperStealth y CopperPhishing respectivamente, estos han sido vinculados al grupo de ciberdelincuentes Water Orthrus debido a poseen similitudes con otra familia de malware llamada CopperStealer.
CLR SqlShell: La amenaza creciente que ataca servidores MS SQLLa seguridad cibernética sigue siendo una preocupación importante en el mundo digital, y los servidores Microsoft SQL (MS SQL) mal administrados se han convertido en el objetivo de una nueva campaña maliciosa. Esta campaña tiene como objetivo propagar el loader conocido como CLR SqlShell, que facilita la instalación de criptomineros y ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/clr-sqlshell-la-amenaza-creciente-que-ataca-servidores-ms-sqlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad cibernética sigue siendo una preocupación importante en el mundo digital, y los servidores Microsoft SQL (MS SQL) mal administrados se han convertido en el objetivo de una nueva campaña maliciosa. Esta campaña tiene como objetivo propagar el loader conocido como CLR SqlShell, que facilita la instalación de criptomineros y ransomware.
Nuevos artefactos relacionados al troyano bancario ZloaderEl equipo de analistas del Csirt Financiero ha detectado una nueva campaña del troyano bancario Zloader, que ha afectado a instituciones financieras en varios países. Uno de los troyanos bancarios más peligrosos y prevalentes que ha surgido en los últimos años. Conocido por su capacidad para capturar información confidencial y realizar fraudes financieros, Zloader se ha convertido en una amenaza significativa en el panorama de la ciberdelincuencia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-relacionados-al-troyano-bancario-zloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado una nueva campaña del troyano bancario Zloader, que ha afectado a instituciones financieras en varios países. Uno de los troyanos bancarios más peligrosos y prevalentes que ha surgido en los últimos años. Conocido por su capacidad para capturar información confidencial y realizar fraudes financieros, Zloader se ha convertido en una amenaza significativa en el panorama de la ciberdelincuencia.
Greatness: Una plataforma de phishing como servicio (PaaS) para ataques de suplantación de identidadLa ciberdelincuencia continúa evolucionando a un ritmo alarmante, y una nueva amenaza ha surgido en el panorama de los ataques de phishing. Se trata de una plataforma como servicio (PaaS) conocida como Greatness, que ha sido adoptada por los criminales cibernéticos para apuntar a los usuarios comerciales del servicio en la nube Microsoft 365. Esta plataforma ha logrado reducir eficazmente las barreras de entrada para llevar a cabo ataques de phishing, lo que representa un peligro para las empresas y sus datos sensibles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/greatness-una-plataforma-de-phishing-como-servicio-paas-para-ataques-de-suplantacion-de-identidadhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La ciberdelincuencia continúa evolucionando a un ritmo alarmante, y una nueva amenaza ha surgido en el panorama de los ataques de phishing. Se trata de una plataforma como servicio (PaaS) conocida como Greatness, que ha sido adoptada por los criminales cibernéticos para apuntar a los usuarios comerciales del servicio en la nube Microsoft 365. Esta plataforma ha logrado reducir eficazmente las barreras de entrada para llevar a cabo ataques de phishing, lo que representa un peligro para las empresas y sus datos sensibles.
Nueva variante de ransomware nombrada Poop69Poop69 es un ransomware que fue identificado recientemente, este tiene como objetivo cifrar datos y a través de esta capacidad poder exigir un rescate a cambio de una clave para el descifrado, teniendo en cuenta la importancia de la información comprometida muchas organizaciones acceden al pago de esta extorsión; por lo tanto, los ciberatacantes de esta amenaza tienen fines económicos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-nombrada-poop69http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Poop69 es un ransomware que fue identificado recientemente, este tiene como objetivo cifrar datos y a través de esta capacidad poder exigir un rescate a cambio de una clave para el descifrado, teniendo en cuenta la importancia de la información comprometida muchas organizaciones acceden al pago de esta extorsión; por lo tanto, los ciberatacantes de esta amenaza tienen fines económicos.
Nueva amenaza de ransomware identificada como SolixRecientemente se ha identificado actividad maliciosa de un ransomware denominado Solix, que a diferencia de otras amenazas del mismo tipo no opera como servicio; este ransomware aplica un cifrado a los archivos que están almacenados en las infraestructuras tecnológicas y les adiciona la extensión .solix; con esto inhabilita el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-de-ransomware-identificada-como-solixhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado actividad maliciosa de un ransomware denominado Solix, que a diferencia de otras amenazas del mismo tipo no opera como servicio; este ransomware aplica un cifrado a los archivos que están almacenados en las infraestructuras tecnológicas y les adiciona la extensión .solix; con esto inhabilita el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.
Nuevos indicadores de compromiso vinculados al troyano bancario FormBookSe han identificado, recopilado y sanitizado nuevos indicadores de compromiso relacionados al troyano bancario FormBook, los cuales, en su mayoría, hacen referencia a recursos ejecutables tales como DLL o EXE (PE o portable executable por sus siglas en ingles) que afectan el sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-vinculados-al-troyano-bancario-formbookhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han identificado, recopilado y sanitizado nuevos indicadores de compromiso relacionados al troyano bancario FormBook, los cuales, en su mayoría, hacen referencia a recursos ejecutables tales como DLL o EXE (PE o portable executable por sus siglas en ingles) que afectan el sistema operativo Windows.
Nueva actividad generada por el troyano de acceso remoto ModernLoader en ColombiaDurante la ejecución de las actividades de inteligencia, el equipo de analistas del Csirt Financiero identificaron actividad por parte de ModernLoader en Colombia, un troyano de acceso remoto (RAT) desarrollado bajo el lenguaje de programación .NET que le permite tener múltiples funciones como la recopilación de data alojada en las infraestructuras informáticas comprometidas, ejecutar comandos de forma arbitraria, ejecutar y descargar archivos desde su servidor de comando y control (C2).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-generada-por-el-troyano-de-acceso-remoto-modernloader-en-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante la ejecución de las actividades de inteligencia, el equipo de analistas del Csirt Financiero identificaron actividad por parte de ModernLoader en Colombia, un troyano de acceso remoto (RAT) desarrollado bajo el lenguaje de programación .NET que le permite tener múltiples funciones como la recopilación de data alojada en las infraestructuras informáticas comprometidas, ejecutar comandos de forma arbitraria, ejecutar y descargar archivos desde su servidor de comando y control (C2).
La botnet AndoryuBot: una amenaza creciente que utiliza la vulnerabilidad Ruckus para propagarseLa seguridad en línea es un tema cada vez más relevante en la actualidad, y la amenaza de ciberataques está siempre presente. En este sentido, recientemente se ha detectado una botnet única basada en el protocolo SOCKS, que se distribuye a través de la vulnerabilidad Ruckus (CVE-2023-25717). Esta botnet, conocida como AndoryuBot, contiene módulos de ataque DDoS para diferentes protocolos y se comunica con su servidor de comando y control utilizando proxies SOCKS5.http://csirtasobancaria.com/Plone/alertas-de-seguridad/la-botnet-andoryubot-una-amenaza-creciente-que-utiliza-la-vulnerabilidad-ruckus-para-propagarsehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad en línea es un tema cada vez más relevante en la actualidad, y la amenaza de ciberataques está siempre presente. En este sentido, recientemente se ha detectado una botnet única basada en el protocolo SOCKS, que se distribuye a través de la vulnerabilidad Ruckus (CVE-2023-25717). Esta botnet, conocida como AndoryuBot, contiene módulos de ataque DDoS para diferentes protocolos y se comunica con su servidor de comando y control utilizando proxies SOCKS5.
Nueva actividad maliciosa del Downloader PurecrypterEl equipo de analistas de Csirt Financiero ha identificado una nuevaactividad relacionada con PureCrypter, un downloader queha estado afectando a organizaciones gubernamentales en todo el mundo. Estaamenaza ha sido evidenciada desde 2021 y se ofrece en foros de la Deep y Darkweb.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-downloader-purecrypterhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas de Csirt Financiero ha identificado una nuevaactividad relacionada con PureCrypter, un downloader queha estado afectando a organizaciones gubernamentales en todo el mundo. Estaamenaza ha sido evidenciada desde 2021 y se ofrece en foros de la Deep y Darkweb.
Nuevo ransomware denominado RaptureEn recientes investigaciones, se identificó un nuevo ransomware denominado Rapture, una nueva amenaza que posee diversas funcionalidades en su proceso de ejecución y empaquetamiento de la carga útil del mismo; por otra parte, es importante resaltar que comparte similitudes con otras familias de malware como Paradise y Zeppelin.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-rapturehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En recientes investigaciones, se identificó un nuevo ransomware denominado Rapture, una nueva amenaza que posee diversas funcionalidades en su proceso de ejecución y empaquetamiento de la carga útil del mismo; por otra parte, es importante resaltar que comparte similitudes con otras familias de malware como Paradise y Zeppelin.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}