RedEnergy Stealer: nueva amenaza con actividades de ransomware.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información y en busca de amenazas o campañas maliciosas que puedan afectar la infraestructura de los asociados y comprometer los pilares de la seguridad de la información, se identificó una nueva amenaza denominada RedEnergy Stealer altamente sofisticada con capacidades para la captura de información en varios navegadores, además de incorporar diferentes módulos para llevar a cabo actividades de ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/redenergy-stealer-nueva-amenaza-con-actividades-de-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información y en busca de amenazas o campañas maliciosas que puedan afectar la infraestructura de los asociados y comprometer los pilares de la seguridad de la información, se identificó una nueva amenaza denominada RedEnergy Stealer altamente sofisticada con capacidades para la captura de información en varios navegadores, además de incorporar diferentes módulos para llevar a cabo actividades de ransomware.
Ciberdelincuentes distribuyen BlackCat ransomware mediante técnicas de malvertisingEn el monitoreo realizado por el equipo de analistas del Csirt Financiero mediante diversas fuentes de información en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó que los operadores de BlackCat ransomware emplean técnicas de malvertising (publicidad maliciosa), para distribuir software malicioso a través de páginas web clonadas de organizaciones legítimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-distribuyen-blackcat-ransomware-mediante-tecnicas-de-malvertisinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del Csirt Financiero mediante diversas fuentes de información en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó que los operadores de BlackCat ransomware emplean técnicas de malvertising (publicidad maliciosa), para distribuir software malicioso a través de páginas web clonadas de organizaciones legítimas.
White Snake: La nueva amenaza de tipo stealer con múltiples funcionalidades.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó actividades maliciosas del nuevo stealer conocido como White Snake con amplias funcionalidades para la captura de información; esta amenaza ha tomado bastante popularidad en foros clandestinos de la Deep y Dark web y también fue reportado por el Csirt Financiero en el Bulletin del mes de marzo del presente año.http://csirtasobancaria.com/Plone/alertas-de-seguridad/white-snake-la-nueva-amenaza-de-tipo-stealer-con-multiples-funcionalidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó actividades maliciosas del nuevo stealer conocido como White Snake con amplias funcionalidades para la captura de información; esta amenaza ha tomado bastante popularidad en foros clandestinos de la Deep y Dark web y también fue reportado por el Csirt Financiero en el Bulletin del mes de marzo del presente año.
Evolución del ransomware Royal para afectar entornos Unix y LinuxEl equipo de analistas del Csirt ha detectado nueva actividad relacionada con el grupo Royal Ransomware. Este grupo malicioso emergió en septiembre de 2022 y se cree que está conformado principalmente por exmiembros del grupo de ransomware Conti, también conocido como Team One. A diferencia de otros grupos, Royal Ransomware opera como un Ransomware-as-a-Service (RaaS) privado, en lugar de utilizar un modelo público. En su historial, han llevado a cabo ataques de gran magnitud dirigidos a infraestructuras críticas, el sector de la salud, la industria manufacturera, el sector educativo y el sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-ransomware-royal-para-afectar-entornos-unix-y-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt ha detectado nueva actividad relacionada con el grupo Royal Ransomware. Este grupo malicioso emergió en septiembre de 2022 y se cree que está conformado principalmente por exmiembros del grupo de ransomware Conti, también conocido como Team One. A diferencia de otros grupos, Royal Ransomware opera como un Ransomware-as-a-Service (RaaS) privado, en lugar de utilizar un modelo público. En su historial, han llevado a cabo ataques de gran magnitud dirigidos a infraestructuras críticas, el sector de la salud, la industria manufacturera, el sector educativo y el sector financiero.
Neo_Net: La mente maestra detrás de la campaña global de eCrime contra instituciones financierasDurante el período de junio de 2021 a abril de 2023, se ha llevado a cabo una extensa campaña de eCrime dirigida a clientes de importantes entidades financieras a nivel mundial. Los actores de amenazas han centrado su atención principalmente en países como España y Chile. Además, se ha relacionado a esta campaña con un actor de delitos electrónicos mexicano conocido como Neo_Net.http://csirtasobancaria.com/Plone/alertas-de-seguridad/neo_net-la-mente-maestra-detras-de-la-campana-global-de-ecrime-contra-instituciones-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el período de junio de 2021 a abril de 2023, se ha llevado a cabo una extensa campaña de eCrime dirigida a clientes de importantes entidades financieras a nivel mundial. Los actores de amenazas han centrado su atención principalmente en países como España y Chile. Además, se ha relacionado a esta campaña con un actor de delitos electrónicos mexicano conocido como Neo_Net.
Underground Team Ransomware: una nueva amenaza cibernéticaA medida que evoluciona el panorama de la ciberdelincuencia, los grupos de ransomware están adoptando nuevas estrategias y tácticas para maximizar su impacto. En este contexto, se ha descubierto una nueva cepa de ransomware llamada "Underground team ransomware", que presenta características distintivas en su nota de rescate y en sus métodos de ataque.http://csirtasobancaria.com/Plone/alertas-de-seguridad/underground-team-ransomware-una-nueva-amenaza-ciberneticahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que evoluciona el panorama de la ciberdelincuencia, los grupos de ransomware están adoptando nuevas estrategias y tácticas para maximizar su impacto. En este contexto, se ha descubierto una nueva cepa de ransomware llamada "Underground team ransomware", que presenta características distintivas en su nota de rescate y en sus métodos de ataque.
Nuevos indicadores de compromiso vinculados al stealer VidarA través del monitoreo a ciberamenazas que puedan afectar el ecosistema del sector financiero, recientemente se identificaron nuevos indicadores de compromiso vinculados a la familia de malware Vidar stealer, una amenaza que se encuentra vigente en Colombia y que continua sus operaciones de afectación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-vinculados-al-stealer-vidarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo a ciberamenazas que puedan afectar el ecosistema del sector financiero, recientemente se identificaron nuevos indicadores de compromiso vinculados a la familia de malware Vidar stealer, una amenaza que se encuentra vigente en Colombia y que continua sus operaciones de afectación.
NokNok: La nueva amenaza para sistemas MacOS distribuida por el APT Charming KittenEn el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se identificó una nueva amenaza llamada NokNok dirigida a sistemas macOS y distribuida por el grupo de ciberdelincuentes conocido como APT Charming Kitten (APT42 o Phosphorus). Este grupo ha estado activo desde al menos 2014 y se cree que opera desde Irán.http://csirtasobancaria.com/Plone/alertas-de-seguridad/noknok-la-nueva-amenaza-para-sistemas-macos-distribuida-por-el-apt-charming-kittenhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se identificó una nueva amenaza llamada NokNok dirigida a sistemas macOS y distribuida por el grupo de ciberdelincuentes conocido como APT Charming Kitten (APT42 o Phosphorus). Este grupo ha estado activo desde al menos 2014 y se cree que opera desde Irán.
Nueva actividad del troyano LokiBot: explotación de vulnerabilidades en documentos de Microsoft Office.En el ámbito de la seguridad informática, es fundamental estar al tanto de las amenazas emergentes y las tácticas utilizadas por los ciberdelincuentes para infiltrarse en los sistemas. Recientemente, se ha descubierto una serie de documentos maliciosos de Microsoft Office que aprovechan vulnerabilidades conocidas, en particular, CVE-2021-40444 y CVE-2022-30190, que son vulnerabilidades de ejecución remota de código. Estas vulnerabilidades permitieron a los atacantes insertar macros maliciosas en los documentos de Microsoft, lo que resultó en la instalación del troyano LokiBot en el sistema de las víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-lokibot-explotacion-de-vulnerabilidades-en-documentos-de-microsoft-officehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito de la seguridad informática, es fundamental estar al tanto de las amenazas emergentes y las tácticas utilizadas por los ciberdelincuentes para infiltrarse en los sistemas. Recientemente, se ha descubierto una serie de documentos maliciosos de Microsoft Office que aprovechan vulnerabilidades conocidas, en particular, CVE-2021-40444 y CVE-2022-30190, que son vulnerabilidades de ejecución remota de código. Estas vulnerabilidades permitieron a los atacantes insertar macros maliciosas en los documentos de Microsoft, lo que resultó en la instalación del troyano LokiBot en el sistema de las víctimas.
Grupo cibercriminal TeamTNT dirigen sus campañas a la captura de credenciales de acceso para Azure y Google CloudRecientemente, actores de amenaza identificados como TeamTNT han sido vinculados a campañas maliciosas que tiene la finalidad de capturar credenciales de acceso asociadas a los servicios de Microsoft Azure y Google Cloud Plataform (GCP).http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-cibercriminal-teamtnt-dirigen-sus-campanas-a-la-captura-de-credenciales-de-acceso-para-azure-y-google-cloudhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, actores de amenaza identificados como TeamTNT han sido vinculados a campañas maliciosas que tiene la finalidad de capturar credenciales de acceso asociadas a los servicios de Microsoft Azure y Google Cloud Plataform (GCP).
Nueva campaña activa del APT Lazarus distribuyendo amenazas personalizadas actualizadasMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó una campaña activa hasta la fecha y dirigida a India, Sudáfrica y Colombia por el APT Lazarus, un grupo de amenazas cibernéticas patrocinado por el estado de Corea del Note; donde los adversarios utilizan aplicaciones troyanizadas con puertas traseras para acceder a los sistemas objetivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-activa-del-apt-lazarus-distribuyendo-amenazas-personalizadas-actualizadashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó una campaña activa hasta la fecha y dirigida a India, Sudáfrica y Colombia por el APT Lazarus, un grupo de amenazas cibernéticas patrocinado por el estado de Corea del Note; donde los adversarios utilizan aplicaciones troyanizadas con puertas traseras para acceder a los sistemas objetivos.
Ciberdelincuentes utilizan tecnología WebAPK en sus aplicaciones maliciosas para AndroidRecientemente, se ha identificado una nueva estrategia por parte de los actores de amenaza para instalar aplicaciones maliciosas en los dispositivos móviles de las víctimas, donde no se requiere la autorización de permisos por parte del usuario y no genera alertamiento al equipo sobre la descarga de APPs de fuentes no confiables.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-utilizan-tecnologia-webapk-en-sus-aplicaciones-maliciosas-para-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una nueva estrategia por parte de los actores de amenaza para instalar aplicaciones maliciosas en los dispositivos móviles de las víctimas, donde no se requiere la autorización de permisos por parte del usuario y no genera alertamiento al equipo sobre la descarga de APPs de fuentes no confiables.
Nuevos indicadores de compromiso relacionados con el troyano de acceso remoto NanoCoreMediante el monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información, se identificaron nuevos indicadores de compromiso (IoC) relacionados con el troyano de acceso remoto NanoCore, siendo una amenaza comercializada en varios foros clandestinos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-el-troyano-de-acceso-remoto-nanocorehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información, se identificaron nuevos indicadores de compromiso (IoC) relacionados con el troyano de acceso remoto NanoCore, siendo una amenaza comercializada en varios foros clandestinos.
Nueva campaña maliciosa en Latinoamérica con ataque Multi-FaseMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó nueva actividad del actor de amenaza que fue nombrado como Manipulated Caiman, el cual ha estado activo durante al menos dos años, dirigiéndose principalmente a ciudadanos de México.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-en-latinoamerica-con-ataque-multi-fasehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó nueva actividad del actor de amenaza que fue nombrado como Manipulated Caiman, el cual ha estado activo durante al menos dos años, dirigiéndose principalmente a ciudadanos de México.
Nueva actividad del grupo Apt FIN8 utilizando el backdoor Sardonic para distribuir el ransomware BlackcatA través de fuentes abiertas de información se identificó nueva actividad del grupo de ciberdelincuentes conocido como APT FIN8, el cual está utilizando una versión actualizada de un backdoor denominado Sardonic para distribuir el ransomware BlackCat.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-apt-fin8-utilizando-el-backdoor-sardonic-para-distribuir-el-ransomware-blackcathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de fuentes abiertas de información se identificó nueva actividad del grupo de ciberdelincuentes conocido como APT FIN8, el cual está utilizando una versión actualizada de un backdoor denominado Sardonic para distribuir el ransomware BlackCat.
Nueva variante de AsyncRAT denominada HotRATRecientemente investigadores de seguridad identificaron una nueva amenaza en la naturaleza, la cual fue denominada como HotRAT, además, se identificó que se trata de una variante de la familia de malware conocida como AsyncRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-asyncrat-denominada-hotrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente investigadores de seguridad identificaron una nueva amenaza en la naturaleza, la cual fue denominada como HotRAT, además, se identificó que se trata de una variante de la familia de malware conocida como AsyncRAT.
Nueva actividad maliciosa de Raccoon stealerEl equipo de analistas del CSIRT Financiero ha detectado nuevos indicadores de compromiso en el actual panorama de ciberseguridad. Se ha observado un aumento en las campañas de distribución de Raccoon Stealer, un malware activo desde alrededor de 2019, diseñado para capturar información confidencial, incluidas credenciales de inicio de sesión y detalles financieros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-raccoon-stealer-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del CSIRT Financiero ha detectado nuevos indicadores de compromiso en el actual panorama de ciberseguridad. Se ha observado un aumento en las campañas de distribución de Raccoon Stealer, un malware activo desde alrededor de 2019, diseñado para capturar información confidencial, incluidas credenciales de inicio de sesión y detalles financieros.
Ransomware Kanti: una nueva amenaza escrita en lenguaje de programación NIMMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información y en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo ransomware denominado Kanti escrito en lenguaje de programación NIM, lo que permite una ejecución eficiente y la compilación de código en archivos ejecutables adecuados para los sistemas operativos Windows y Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-kanti-una-nueva-amenaza-escrita-en-lenguaje-de-programacion-nimhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información y en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo ransomware denominado Kanti escrito en lenguaje de programación NIM, lo que permite una ejecución eficiente y la compilación de código en archivos ejecutables adecuados para los sistemas operativos Windows y Linux.
Nueva amenaza denominada como BundleBotSe ha identificado una amenaza denominada BundleBot que recientemente ha estado operando de forma silenciosa, esta abusa del paquete Donet, archivo único se encuentra desarrollado bajo el lenguaje de programación .NET, minimizando la tasa de detección y permitiendo la captura y exfiltración de información sensible alojada en los sistemas operativos comprometidos por parte de los actores de amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-como-bundlebothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una amenaza denominada BundleBot que recientemente ha estado operando de forma silenciosa, esta abusa del paquete Donet, archivo único se encuentra desarrollado bajo el lenguaje de programación .NET, minimizando la tasa de detección y permitiendo la captura y exfiltración de información sensible alojada en los sistemas operativos comprometidos por parte de los actores de amenaza.
Nueva herramienta de cifrado conocida como Attacker-CrypterRecientemente se identificó una nueva herramienta de cifrado que ha surgido en el panorama del ciberespacio y que representa una amenaza inminente para la integridad y seguridad de los sistemas y redes objetivo. Esta herramienta se conoce como "Attacker-Crypter" y tiene la capacidad de ofuscar y manipular código malicioso para evadir la detección por parte de las soluciones de seguridad y antivirus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-herramienta-de-cifrado-conocida-como-attacker-crypterhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó una nueva herramienta de cifrado que ha surgido en el panorama del ciberespacio y que representa una amenaza inminente para la integridad y seguridad de los sistemas y redes objetivo. Esta herramienta se conoce como "Attacker-Crypter" y tiene la capacidad de ofuscar y manipular código malicioso para evadir la detección por parte de las soluciones de seguridad y antivirus.