Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Blind Eagle mantiene una activa campaña maliciosa en contra de entidades colombianasEl grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle, ha estado desplegando campañas en Colombia desde 2019. Comúnmente utilizan correos electrónicos tipo phishing para dirigirse a entidades específicas y estratégicas en sectores clave, incluyendo salud, finanzas, judiciales, gubernamentales, entre otros. Además, también se han descubierto campañas dirigidas a Ecuador, Chile y España.http://csirtasobancaria.com/Plone/alertas-de-seguridad/blind-eagle-mantiene-una-activa-campana-maliciosa-en-contra-de-entidades-colombianashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle, ha estado desplegando campañas en Colombia desde 2019. Comúnmente utilizan correos electrónicos tipo phishing para dirigirse a entidades específicas y estratégicas en sectores clave, incluyendo salud, finanzas, judiciales, gubernamentales, entre otros. Además, también se han descubierto campañas dirigidas a Ecuador, Chile y España.
Se identifican nuevos IoC asociados al troyano bancario QakBotEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio, en busca de campañas o amenazas que pueden afectar la infraestructura tecnológica de los asociados, donde se identificaron nuevos indicadores de compromiso relacionados con el troyano bancario QakBot también conocido como Qbot que ha sido utilizado por diversos ciberdelincuentes desde el año 2007.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-ioc-asociados-al-troyano-bancario-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio, en busca de campañas o amenazas que pueden afectar la infraestructura tecnológica de los asociados, donde se identificaron nuevos indicadores de compromiso relacionados con el troyano bancario QakBot también conocido como Qbot que ha sido utilizado por diversos ciberdelincuentes desde el año 2007.
Nuevo malware para cajeros automáticos denominado FiXSMediante un monitoreo realizado por el equipo de analistas del Csirt Financiero en diversas fuentes de información abiertas se identificó un nuevo malware denominado FiXS dirigido a la región de Latinoamérica, donde los bancos de México fueron los primeros afectados por este software malicioso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-para-cajeros-automaticos-denominado-fixshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante un monitoreo realizado por el equipo de analistas del Csirt Financiero en diversas fuentes de información abiertas se identificó un nuevo malware denominado FiXS dirigido a la región de Latinoamérica, donde los bancos de México fueron los primeros afectados por este software malicioso.
El Bootkit UEFI denominado BlackLotus toma protagonismo en el panorama de amenazasLa orquestación de ataques cibernéticos se vuelve más sofisticado con herramientas como el bootkit de arranque UEFI conocido como BlackLotus, que omite la característica de seguridad de la plataforma UEFI Secure Boot. Los bootkits UEFI son amenazas muy poderosas que pueden controlar todo el proceso de arranque del sistema operativo y deshabilitar varios mecanismos de seguridad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-bootkit-uefi-denominado-blacklotus-toma-protagonismo-en-el-panorama-de-amenazashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La orquestación de ataques cibernéticos se vuelve más sofisticado con herramientas como el bootkit de arranque UEFI conocido como BlackLotus, que omite la característica de seguridad de la plataforma UEFI Secure Boot. Los bootkits UEFI son amenazas muy poderosas que pueden controlar todo el proceso de arranque del sistema operativo y deshabilitar varios mecanismos de seguridad.
Indicadores de compromiso recientes del troyano IcedIDDurante procesos de inteligencia, se identificaron nuevos indicadores de compromiso (IoC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalas y/o ejecutar otras familias de malware para maximizar su impacto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-recientes-del-troyano-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante procesos de inteligencia, se identificaron nuevos indicadores de compromiso (IoC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalas y/o ejecutar otras familias de malware para maximizar su impacto.
Nueva actividad maliciosa del troyano bancario LokibotA través de un monitoreo a fuentes abiertas de información el equipo de analistas del Csirt financiero identifico nuevos indicadores de compromiso relacionados con Lokibot, una de las amenazas más utilizadas por grupos de ciberdelincuentes gracias a sus altas capacidades, por lo que es importante realizar las actualizaciones correspondientes a este tipo de actividades que ayuden a prevenir cualquier tipo de afectación a su entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de un monitoreo a fuentes abiertas de información el equipo de analistas del Csirt financiero identifico nuevos indicadores de compromiso relacionados con Lokibot, una de las amenazas más utilizadas por grupos de ciberdelincuentes gracias a sus altas capacidades, por lo que es importante realizar las actualizaciones correspondientes a este tipo de actividades que ayuden a prevenir cualquier tipo de afectación a su entidad.
El ransomware Magniber reaparece con nuevas capacidades para generar persistencia.Mediante diferentes fuentes de información abiertas, el equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas y amenazas que puedan afectar la infraestructura de los asociados, donde se identificó actividades recientes del ransomware Magniber implementando técnicas para generar persistencia en los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-magniber-reaparece-con-nuevas-capacidades-para-generar-persistenciahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante diferentes fuentes de información abiertas, el equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas y amenazas que puedan afectar la infraestructura de los asociados, donde se identificó actividades recientes del ransomware Magniber implementando técnicas para generar persistencia en los equipos comprometidos.
Nueva actividad maliciosa del troyano de acceso remoto Quasar RATAunque el troyano de acceso remoto Quasar RAT ha sido reportado anteriormente por el Csirt, es importante resaltar sus recientes actividades maliciosas, donde a través de fuentes de información abierta se han identificado nuevos indicadores de compromiso relacionados a Quasar RAT, el cual se encuentra dirigido a entidades financieras y en sus últimas campañas a estado dirigida a Colombia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-de-acceso-remoto-quasar-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano de acceso remoto Quasar RAT ha sido reportado anteriormente por el Csirt, es importante resaltar sus recientes actividades maliciosas, donde a través de fuentes de información abierta se han identificado nuevos indicadores de compromiso relacionados a Quasar RAT, el cual se encuentra dirigido a entidades financieras y en sus últimas campañas a estado dirigida a Colombia.
Nueva actividad maliciosa del troyano bancario MekotioRecientemente el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso del troyano bancario conocido como Mekotio, esta nueva campaña está dirigida a países de Latinoamérica con el objetivo de capturar datos confidenciales de entidades financieras, en donde los actores detrás de amenaza implementan nuevas (TTP) con el fin de no ser detectadas por soluciones de seguridad y tecnologías de detección antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-mekotiohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso del troyano bancario conocido como Mekotio, esta nueva campaña está dirigida a países de Latinoamérica con el objetivo de capturar datos confidenciales de entidades financieras, en donde los actores detrás de amenaza implementan nuevas (TTP) con el fin de no ser detectadas por soluciones de seguridad y tecnologías de detección antimalware.
Nueva variante de la botnet Mirai denominada V3G4Mirai es una botnet activa desde el año 2016, los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS, entre otros. Recientemente se han identificado nuevas variantes de esta botnet y en esta ocasión se observó una nueva denominada V3g4, la cual viene realizando explotaciones a vulnerabilidades en servidores basados en el sistema operativo Linux y dispositivos IoT para usarlos en ataques DDoS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-la-botnet-mirai-denominada-v3g4http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mirai es una botnet activa desde el año 2016, los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS, entre otros. Recientemente se han identificado nuevas variantes de esta botnet y en esta ocasión se observó una nueva denominada V3g4, la cual viene realizando explotaciones a vulnerabilidades en servidores basados en el sistema operativo Linux y dispositivos IoT para usarlos en ataques DDoS.
Dark Caracal APT emplea una nueva versión del spyware Bandook en objetivos de América LatinaEl grupo de Dark Caracal APT ha reaparecido con una nueva campaña de infección de computadoras en América Central y Latina. La campaña está activa desde marzo de 2022, desde entonces han conseguido establecerse en cientos de equipos en más de una docena de países. El grupo utiliza una nueva versión del spyware Bandook para apuntar a sistemas operativos Microsoft Windows, teniendo como foco principal la República Dominicana y Venezuela.http://csirtasobancaria.com/Plone/alertas-de-seguridad/dark-caracal-apt-emplea-una-nueva-version-del-spyware-bandook-en-objetivos-de-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de Dark Caracal APT ha reaparecido con una nueva campaña de infección de computadoras en América Central y Latina. La campaña está activa desde marzo de 2022, desde entonces han conseguido establecerse en cientos de equipos en más de una docena de países. El grupo utiliza una nueva versión del spyware Bandook para apuntar a sistemas operativos Microsoft Windows, teniendo como foco principal la República Dominicana y Venezuela.
Surge una campaña maliciosa con nuevas amenazasEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o actividades maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una campaña motivada financieramente distribuyendo dos amenazas nuevas, siendo una de ellas un ransomware denominado MortalKombat y el otro una variante del clipper Laplas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/surge-una-campana-maliciosa-con-nuevas-amenazashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o actividades maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una campaña motivada financieramente distribuyendo dos amenazas nuevas, siendo una de ellas un ransomware denominado MortalKombat y el otro una variante del clipper Laplas.
Nueva actividad de ShadowPad RAT dirigido a organizaciones de LatinoaméricaEl troyano de acceso remoto Shadowpad RAT fue inicialmente publicado como una herramienta legítima de acceso remoto en el 2021, en ese mismo año varios actores de amenaza la empezaron a implementar con fines delictivos; en esta ocasión, se observó a un grupo de ciberdelincuentes con origen en china conocido como DEV-0147 apuntando a organizaciones en América latina distribuyendo esta familia de malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-shadowpad-rat-dirigido-a-organizaciones-de-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano de acceso remoto Shadowpad RAT fue inicialmente publicado como una herramienta legítima de acceso remoto en el 2021, en ese mismo año varios actores de amenaza la empezaron a implementar con fines delictivos; en esta ocasión, se observó a un grupo de ciberdelincuentes con origen en china conocido como DEV-0147 apuntando a organizaciones en América latina distribuyendo esta familia de malware.
Backdoor con capacidades para realizar inteligentes capturas de pantallaEs muy frecuente evidenciar que diversas familias de malware implementen funcionalidades para amplificar el impacto de afectación sobre el sistema informático objetivo, no solo eso, en la gran mayoría de las mencionadas, tienen como propósito recopilar data sensible como credenciales de acceso, bancarias, etc. Donde utilizan diversas técnicas tipo spyware para llevar a cabo su objetivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-con-capacidades-para-realizar-capturas-inteligentes-de-pantallahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es muy frecuente evidenciar que diversas familias de malware implementen funcionalidades para amplificar el impacto de afectación sobre el sistema informático objetivo, no solo eso, en la gran mayoría de las mencionadas, tienen como propósito recopilar data sensible como credenciales de acceso, bancarias, etc. Donde utilizan diversas técnicas tipo spyware para llevar a cabo su objetivo.
El troyano Qbot es distribuido a través de archivos de Microsoft OneNoteQbot también conocido como QuakBot o Pinkslipbot fue identificado por primera vez en el año 2009, desde entonces los grupos de ciberdelincuentes detrás de esta amenaza han estado en constantes actualizaciones en su código llegándolo a convertir en una de las amenazas más utilizadas en distintos ataques a nivel global, en una de sus nuevas actualizaciones se observó una nueva campaña denominada QakNote, el cual utiliza archivos adjuntos maliciosos de Microsoft OneNote con extensión .one para su proceso de infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-qbot-es-distribuido-a-traves-de-archivos-de-microsoft-onenotehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Qbot también conocido como QuakBot o Pinkslipbot fue identificado por primera vez en el año 2009, desde entonces los grupos de ciberdelincuentes detrás de esta amenaza han estado en constantes actualizaciones en su código llegándolo a convertir en una de las amenazas más utilizadas en distintos ataques a nivel global, en una de sus nuevas actualizaciones se observó una nueva campaña denominada QakNote, el cual utiliza archivos adjuntos maliciosos de Microsoft OneNote con extensión .one para su proceso de infección.
Nueva campaña maliciosa relacionada con GootloaderEl despliegue de ataques que involucran GootLoader, implementan archivos JavaScript ofuscados, diseñados para evadir la seguridad y la carga de grandes payloads, disfrazados como legítimos. Recientemente se identificó una campaña de este loader, dirigida principalmente a entidades en países de habla inglesa, como Estados Unidos, Reino Unido y Australia, con un énfasis en el sector salud y financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-relacionada-con-gootloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El despliegue de ataques que involucran GootLoader, implementan archivos JavaScript ofuscados, diseñados para evadir la seguridad y la carga de grandes payloads, disfrazados como legítimos. Recientemente se identificó una campaña de este loader, dirigida principalmente a entidades en países de habla inglesa, como Estados Unidos, Reino Unido y Australia, con un énfasis en el sector salud y financiero.
Se identifica nueva actividad maliciosa de EmotetAunque Emotet ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-nueva-actividad-maliciosa-de-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque Emotet ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.
Royal ransomware es dirigido a servidores VMware ESXiDurante las últimas semanas diversos actores de amenazas han realizado ataques a servidores de VMware ESXi en gran parte del mundo, en esta ocasión royal ransomware se ha sumado a esta ola de amenazas que han afectado cientos de servidores VMware ESXi a nivel global, por lo que es importante destacar este tipo de actividades que pueden afectar la confidencialidad de su información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/royal-ransomware-es-dirigido-a-servidores-vmware-esxihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las últimas semanas diversos actores de amenazas han realizado ataques a servidores de VMware ESXi en gran parte del mundo, en esta ocasión royal ransomware se ha sumado a esta ola de amenazas que han afectado cientos de servidores VMware ESXi a nivel global, por lo que es importante destacar este tipo de actividades que pueden afectar la confidencialidad de su información.
Variante de Clop ransomware afecta sistemas LinuxLos operadores de Clop han diseñado una variante de su ransomware dirigida a sistemas operativos Linux, aunque con un algoritmo de cifrado deficiente, por lo cual es posible descifrar los archivos bloqueados si es afectado por esta versión.http://csirtasobancaria.com/Plone/alertas-de-seguridad/variante-de-clop-ransomware-afecta-sistemas-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los operadores de Clop han diseñado una variante de su ransomware dirigida a sistemas operativos Linux, aunque con un algoritmo de cifrado deficiente, por lo cual es posible descifrar los archivos bloqueados si es afectado por esta versión.
El ransomware ESXiArgs es identificado explotando vulnerabilidades de servidores VMware ESXIEl equipo de analistas del Csirt Financiero identificó un nuevo ransomware denominado ESXiArgs, el cual está realizando constantes campañas a nivel mundial explotando una vulnerabilidad de ejecución remota de código a los servidores VMware ESXi, con el objetivo de cifrar información confidencial de los equipos infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-esxiargs-es-identificado-explotando-vulnerabilidades-de-servidores-vmware-esxihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó un nuevo ransomware denominado ESXiArgs, el cual está realizando constantes campañas a nivel mundial explotando una vulnerabilidad de ejecución remota de código a los servidores VMware ESXi, con el objetivo de cifrar información confidencial de los equipos infectados.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}