Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
El malware FormBook utiliza un nuevo dropper de distribución.Desde el CSIRT Financiero, se ha detectado un nuevo dropper adjunto a documentos PDF, DOC y XLS, distribuido en campañas de spam, que es utilizado como fase inicial de infección del Keylogger FormBook. Este dropper hace aumentar la persistencia y capacidades de ofuscación del malware al ser ejecutado desde la memoria.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-malware-formbook-utiliza-un-nuevo-dropper-de-distribucionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero, se ha detectado un nuevo dropper adjunto a documentos PDF, DOC y XLS, distribuido en campañas de spam, que es utilizado como fase inicial de infección del Keylogger FormBook. Este dropper hace aumentar la persistencia y capacidades de ofuscación del malware al ser ejecutado desde la memoria.
El nuevo downloader denominado IronRiderLa superficie de ataques continúa creciendo conforme se desarrollan nuevas actualizaciones y funcionalidades en sistemas operativos, software y tecnologías emergentes, razón por la que en la naturaleza emergen nuevas amenazas alineadas con esas nuevas capacidades; en ese orden de ideas se ha detectado recientemente una sucesión de ataques desplegados en Europa del Este en los que se empleó el nuevo downloader IronRider.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-nuevo-downloader-denominado-ironriderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La superficie de ataques continúa creciendo conforme se desarrollan nuevas actualizaciones y funcionalidades en sistemas operativos, software y tecnologías emergentes, razón por la que en la naturaleza emergen nuevas amenazas alineadas con esas nuevas capacidades; en ese orden de ideas se ha detectado recientemente una sucesión de ataques desplegados en Europa del Este en los que se empleó el nuevo downloader IronRider.
El nuevo framework EX-22 emerge entre las herramientas de los adversariosAl realizar seguimiento a las principales herramientas que hacen parte del arsenal actual de los ciberdelincuentes en la orquestación de sus ataques, se ha observado un nuevo framework de ataque denominado EXFILTRATOR-22 (EX-22) que tiene como objetivo desplegar ransomware dentro de las redes de sus víctimas de forma encubierta.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-nuevo-framework-ex-22-emerge-entre-las-herramientas-de-los-adversarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Al realizar seguimiento a las principales herramientas que hacen parte del arsenal actual de los ciberdelincuentes en la orquestación de sus ataques, se ha observado un nuevo framework de ataque denominado EXFILTRATOR-22 (EX-22) que tiene como objetivo desplegar ransomware dentro de las redes de sus víctimas de forma encubierta.
El nuevo ransomware RAR1 como parte del arsenal de una campaña que distribuye distintas amenazasUno de los vectores de infección implementados por los actores de amenaza en la naturaleza es la explotación de vulnerabilidades especialmente las de clasificación crítica dado que rápidamente aparecen exploits para aprovecharse de esta y así obtener acceso a los sistemas; recientemente se descubrió una campaña en curso que explota una vulnerabilidad de VMware que permite la inyección de una carga útil y la ejecución remota de código, con el fin de implantar un nuevo ransomware denominado RAR1, junto a nueva variante del botnet Mirai y un minero en su operación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-nuevo-ransomware-rar1-como-parte-del-arsenal-de-una-campana-que-distribuye-distintas-amenazashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Uno de los vectores de infección implementados por los actores de amenaza en la naturaleza es la explotación de vulnerabilidades especialmente las de clasificación crítica dado que rápidamente aparecen exploits para aprovecharse de esta y así obtener acceso a los sistemas; recientemente se descubrió una campaña en curso que explota una vulnerabilidad de VMware que permite la inyección de una carga útil y la ejecución remota de código, con el fin de implantar un nuevo ransomware denominado RAR1, junto a nueva variante del botnet Mirai y un minero en su operación.
El nuevo Stealer Stealc toma popularidad entre ciberdelincuentesÚltimamente emergen nuevas familias de malware casi a diario en el panorama de amenazas, es así como se ha rastreado Stealc un nuevo stealer que ha ganado popularidad en la web oscura debido a su agresiva promoción de capacidades de captura de datos, además de tener funcionalidades basadas en los stealer Vidar, Raccoon, Mars y Redline.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-nuevo-stealer-stealc-toma-popularidad-entre-ciberdelincuenteshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Últimamente emergen nuevas familias de malware casi a diario en el panorama de amenazas, es así como se ha rastreado Stealc un nuevo stealer que ha ganado popularidad en la web oscura debido a su agresiva promoción de capacidades de captura de datos, además de tener funcionalidades basadas en los stealer Vidar, Raccoon, Mars y Redline.
El ransomware Akira sigue activo: una mirada a su última operación y capacidadesLa amenaza de ransomware siempre ha sido una preocupación para las empresas y organizaciones de todo el mundo. El último operador en unirse a la lista de criminales cibernéticos es Akira, que retomo su operación en marzo de 2023. El ransomware ha afectado a dieciséis empresas en diferentes sectores, incluidos educación, finanzas, bienes raíces, manufactura y consultoría.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-akira-sigue-activo-una-mirada-a-su-ultima-operacion-y-capacidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La amenaza de ransomware siempre ha sido una preocupación para las empresas y organizaciones de todo el mundo. El último operador en unirse a la lista de criminales cibernéticos es Akira, que retomo su operación en marzo de 2023. El ransomware ha afectado a dieciséis empresas en diferentes sectores, incluidos educación, finanzas, bienes raíces, manufactura y consultoría.
El ransomware BlackCat implementa nuevas herramientas.Dentro de las últimas actualizaciones que se observan en el mundo de la ciberseguridad, es constante la implementación de nuevas herramientas destinadas a generar afectaciones en la tecnología y el sector financiero. En estas nuevas versiones, el equipo del Csirt identificó Sphynx, una variante del ransomware BlackCat que se evidenció a principios del año 2023. En esta ocasión, se han incorporado nuevas herramientas para llevar a cabo movimientos laterales y conexiones remotas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-blackcat-implementa-nuevas-herramientashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro de las últimas actualizaciones que se observan en el mundo de la ciberseguridad, es constante la implementación de nuevas herramientas destinadas a generar afectaciones en la tecnología y el sector financiero. En estas nuevas versiones, el equipo del Csirt identificó Sphynx, una variante del ransomware BlackCat que se evidenció a principios del año 2023. En esta ocasión, se han incorporado nuevas herramientas para llevar a cabo movimientos laterales y conexiones remotas.
El ransomware BlackCat utiliza nueva variante del cifrador SphynxEn el ámbito de las ciberamenazas, el grupo de ransomware BlackCat ha estado en constante evolución, siempre en busca de nuevas estrategias de ataque y explotación. En su evolución más reciente, BlackCat ha dado un paso significativo al incluir cuentas de Microsoft previamente comprometidas y adoptar un cifrador recién descubierto llamado Sphynx. Lo más alarmante es el soporte adicional que han integrado para el uso de credenciales personalizadas, lo que plantea un nuevo nivel de amenaza en el ciberespacio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-blackcat-utiliza-nueva-variante-del-cifrador-sphynxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito de las ciberamenazas, el grupo de ransomware BlackCat ha estado en constante evolución, siempre en busca de nuevas estrategias de ataque y explotación. En su evolución más reciente, BlackCat ha dado un paso significativo al incluir cuentas de Microsoft previamente comprometidas y adoptar un cifrador recién descubierto llamado Sphynx. Lo más alarmante es el soporte adicional que han integrado para el uso de credenciales personalizadas, lo que plantea un nuevo nivel de amenaza en el ciberespacio.
El ransomware Clop es distribuido por el grupo APT Fin7El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa relacionada con el ransomware Clop, llevada a cabo por el grupo de ciberdelincuentes conocido como FIN7. Este grupo, activo desde al menos 2015, se ha destacado por implementar malware en dispositivos de punto de venta (POS) y realizar ataques de phishing dirigidos a numerosas empresas a nivel global.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-clop-es-distribuido-por-el-grupo-apt-fin7http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa relacionada con el ransomware Clop, llevada a cabo por el grupo de ciberdelincuentes conocido como FIN7. Este grupo, activo desde al menos 2015, se ha destacado por implementar malware en dispositivos de punto de venta (POS) y realizar ataques de phishing dirigidos a numerosas empresas a nivel global.
El ransomware de SodinokibiLa vulnerabilidad de Oracle WebLogichttp://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-de-sodinokibihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware ESXiArgs es identificado explotando vulnerabilidades de servidores VMware ESXIEl equipo de analistas del Csirt Financiero identificó un nuevo ransomware denominado ESXiArgs, el cual está realizando constantes campañas a nivel mundial explotando una vulnerabilidad de ejecución remota de código a los servidores VMware ESXi, con el objetivo de cifrar información confidencial de los equipos infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-esxiargs-es-identificado-explotando-vulnerabilidades-de-servidores-vmware-esxihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó un nuevo ransomware denominado ESXiArgs, el cual está realizando constantes campañas a nivel mundial explotando una vulnerabilidad de ejecución remota de código a los servidores VMware ESXi, con el objetivo de cifrar información confidencial de los equipos infectados.
El ransomware Magniber reaparece con nuevas capacidades para generar persistencia.Mediante diferentes fuentes de información abiertas, el equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas y amenazas que puedan afectar la infraestructura de los asociados, donde se identificó actividades recientes del ransomware Magniber implementando técnicas para generar persistencia en los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-magniber-reaparece-con-nuevas-capacidades-para-generar-persistenciahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante diferentes fuentes de información abiertas, el equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas y amenazas que puedan afectar la infraestructura de los asociados, donde se identificó actividades recientes del ransomware Magniber implementando técnicas para generar persistencia en los equipos comprometidos.
El ransomware Mimic explota Everything en su rutina de cifradoEn el panorama de amenazas actual encontramos cientos de variantes de ransomware, entre estas las derivadas del constructor de Conti; tal como el nuevo ransomware llamado Mimic, que inicio su operación desde junio de 2022, este se caracteriza por explotar las API del motor de búsqueda de archivos Everything (desarrollado por voidtools), y distribuirse en campañas dirigidas a usuarios de habla rusa e inglesa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-mimic-explota-everything-en-su-rutina-de-cifradohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el panorama de amenazas actual encontramos cientos de variantes de ransomware, entre estas las derivadas del constructor de Conti; tal como el nuevo ransomware llamado Mimic, que inicio su operación desde junio de 2022, este se caracteriza por explotar las API del motor de búsqueda de archivos Everything (desarrollado por voidtools), y distribuirse en campañas dirigidas a usuarios de habla rusa e inglesa.
El ransomware Ragnar Locker oculto en máquina virtualEn el constante monitoreo que realiza el equipo del Csirt Financiero evidenció una nueva versión de ransomware denominada Ragnar Locker el cual se encuentra embebido en una máquina virtual, capaz de cifrar la información de unidades locales y de red.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-ragnar-locker-oculto-en-maquina-virtualhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el equipo del Csirt Financiero evidenció una nueva versión de ransomware denominada Ragnar Locker el cual se encuentra embebido en una máquina virtual, capaz de cifrar la información de unidades locales y de red.
El ransomware TellyouThePass regresa con nueva reinterpretación moderna con GolangEn el constante monitoreo a fuentes abiertas de información para detectar posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada al ransomware TellyouThePass, diseñado para realizar el cifrado de archivos para luego exigir un pago en BTC (Bitcoins) por su rescate. Los ciberdelincuentes lo han utilizado para comprometer sistemas operativos Windows y Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-tellyouthepass-regresa-con-nueva-reinterpretacion-moderna-con-golanghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas de información para detectar posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada al ransomware TellyouThePass, diseñado para realizar el cifrado de archivos para luego exigir un pago en BTC (Bitcoins) por su rescate. Los ciberdelincuentes lo han utilizado para comprometer sistemas operativos Windows y Linux.
El rasnomware Blackcat explota vulnerabilidades expuestas en internetA través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero a fuentes abiertas de información, se identificó una nueva actividad maliciosa del ransomware Blackcat también conocido como ALPHV donde un grupo de ciberdelincuentes está realizando la explotación de vulnerabilidades para entregar la carga útil de Blackcat.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-rasnomware-blackcat-explota-vulnerabilidades-expuestas-en-internethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero a fuentes abiertas de información, se identificó una nueva actividad maliciosa del ransomware Blackcat también conocido como ALPHV donde un grupo de ciberdelincuentes está realizando la explotación de vulnerabilidades para entregar la carga útil de Blackcat.
El skimmer Magecart denominado Mr. SNIFFALos kits de herramientas maliciosas son parte del panorama de amenazas relacionada con los skimmer, puesto que les brindan a los atacantes mayores posibilidades de tener éxito en sus ataques, estos motivados económicamente por la captura de información financiera asociada a tarjetas de crédito.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-skimmer-magecart-denominado-mr-sniffahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los kits de herramientas maliciosas son parte del panorama de amenazas relacionada con los skimmer, puesto que les brindan a los atacantes mayores posibilidades de tener éxito en sus ataques, estos motivados económicamente por la captura de información financiera asociada a tarjetas de crédito.
El troyano bancario Ares resurge con nuevas TTPAunque el troyano bancario Ares no es una nueva amenaza en el ciberespacio, ha resurgido con nuevas técnicas, tácticas y procedimientos compiladas en su segunda versión lanzada a mediados del mes de agosto; su aparición en el panorama de amenazas radica de febrero de 2021 desde entonces los ciberdelincuentes lo han empleado para apuntar al sector financiero, asimismo se ha rastreado que esta nueva versión está siendo desplegada en México hacia entidades financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-ares-resurge-con-nuevas-ttphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano bancario Ares no es una nueva amenaza en el ciberespacio, ha resurgido con nuevas técnicas, tácticas y procedimientos compiladas en su segunda versión lanzada a mediados del mes de agosto; su aparición en el panorama de amenazas radica de febrero de 2021 desde entonces los ciberdelincuentes lo han empleado para apuntar al sector financiero, asimismo se ha rastreado que esta nueva versión está siendo desplegada en México hacia entidades financieras.
El troyano bancario Dridex apunta a usuarios del sistema operativo MacOSDridex es una amenaza conocida en el panorama de amenazas, puesto que es uno de los troyanos bancarios más prolíficos de los últimos años de hecho hace unos meses sus operadores retomaron nuevamente la operación, al desplegar nuevas campañas con distintos artefactos con la carga útil de esta amenaza, entre los intereses de estos tenían ampliar su lista de objetivos y agregar mejoras en su código.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-dridex-apunta-a-usuarios-del-sistema-operativo-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dridex es una amenaza conocida en el panorama de amenazas, puesto que es uno de los troyanos bancarios más prolíficos de los últimos años de hecho hace unos meses sus operadores retomaron nuevamente la operación, al desplegar nuevas campañas con distintos artefactos con la carga útil de esta amenaza, entre los intereses de estos tenían ampliar su lista de objetivos y agregar mejoras en su código.
El troyano bancario IcedID alojado en sitios phishingEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de amenazas y nuevas campañas que puedan afectar a los asociados, donde se identificó una nueva campaña relacionada al troyano IcedID, el cual ha estado activo desde el año 2017, principalmente para capturar información bancaria de las víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-icedid-alojado-en-sitios-phishinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de amenazas y nuevas campañas que puedan afectar a los asociados, donde se identificó una nueva campaña relacionada al troyano IcedID, el cual ha estado activo desde el año 2017, principalmente para capturar información bancaria de las víctimas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}