Alertas de seguridad

Bat

Orca, el nuevo ransomware procedente de la familia de Zeppelin

Una de las nuevas amenazas conocidas esta semana por el equipo de analistas del Csirt Financiero ha sido identificada como Orca, una amenaza de tipo ransomware y proveniente de la familia del ransomware Zeppelin debido a sus capacidades y funciones similares.

Leer Más

Nueva actividad relacionada con el troyano bancario Alien

Los troyanos bancarios son una amenaza constante la naturaleza, durante los últimos años los actores de amenaza han desarrollado múltiples familias dirigidas a usuarios de sistemas operativos móviles, especialmente Android debido a su gran porcentaje de usuarios; así mismo suelen prevalecer en el ciberespacio como es el caso de Alien, que apareció en febrero de 2020 ofertado en foros clandestinos como MaaS ( Malware as a Service, por sus siglas en inglés) desde aquel entonces su actividad ha sido constante, por lo cual en el ejercicio de monitorearlo se observó una nueva campaña que pretende engañar a las víctimas con una falsa actualización del sistema.

Leer Más

Nueva campaña del dropper NullMixer

En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó varios troyanos en un solo dropper llamado NullMixer que tiene como finalidad la distribución de una amplia variedad de familias de Malware.

Leer Más

APT Metador implementa nuevos backdoors para sus campañas maliciosas.

En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó unos nuevos backdoor llamados metaMain y Mafalda, los cuales están siendo implementados por el APT Metador, amenaza avanzada que se enfoca principalmente en telecomunicaciones, ISPs y proveedores de servicios de internet.

Leer Más

Nuevas funcionalidades de Ebrium stealer.

Erbium es una amenaza tipo stealer que se encarga de capturar información, se distribuye como Malware-as-a-Service (MaaS). Esta amenaza se vende en foros de la red social de Telegram a un valor de $ 38.847 pesos colombianos.

Leer Más

Nuevo grupo de ransomware denominado Royal

Recientemente se ha identificado una operación denominada como Royal, un grupo de actores de ransomware que a diferencia de otras amenazas de la misma familia no opera como servicio; este programa malicioso aplica un cifrado a los archivos que estén almacenados en las infraestructuras tecnológicas y les adiciona la extensión .royal; con esto inhabilitan el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.

Leer Más

El actor de amenazas Zinc despliega un backdoor en su operación denominado ZetaNile

Los grupos de cibersoldados que operan actividades de estado-nación, son bastante activos en la naturaleza como es el caso de Zinc, quienes han perpetrado ataques cibernéticos sofisticados y destructivos desde 2009; el éxito de sus misiones es incursionar herramientas personalizadas como troyanos de acceso remoto (RAT), en ese orden de ideas se ha visto en el ciberespacio una creciente ola de campañas de ingeniería social atribuida a este grupo, en la que utilizan versiones modificadas de software de libre acceso para comprometer los equipos.

Leer Más

Nuevo grupo de ciberdelincuentes denominado Guacamaya afecta entidades gubernamentales en América latina

En el ámbito del ciberespacio y la seguridad de la información, recientemente se ha evidenciado un nuevo caso de filtración de datos sensibles a organizaciones gubernamentales relacionados con el sector militar y policial. Este ataque es atribuido al grupo hacktivista denominado Guacamaya; donde, en el transcurso del año se observó que ha impactado países de América latina como Chile, México y Colombia, por decir algunos.

Leer Más

Se identifica técnica de persistencia en los hipervisores de VMware ESXi

Recientemente, investigadores de seguridad informática identificaron y detallaron una novedosa técnica empleada por los cibercriminales con el objetivo de tener acceso administrativo dentro de los hipervisores de VMware ESXi, con esto se apropian del manejo de los servidores vCenter (software de gestión de servidores avanzado que ofrece una plataforma centralizada para controlar los entornos de vSphere y obtener visibilidad en las nubes híbridas) y las máquinas virtualizadas ya sean para Windows o Linux.

Leer Más

Actores de amenaza utilizan el movimiento del mouse en plantillas PowerPoint para distribuir malware

Múltiples análisis de la seguridad de la información han identificado una técnica basada en el movimiento del ratón (mouse) en documentos de Microsoft PowerPoint con la finalidad de desplegar malware; este procedimiento de infección inicia luego de que el usuario abre estos archivos y no importa si se encuentran en vista protegida ya que dicha acción desencadena un dropper a través de un script de PowerShell contenido en los documentos maliciosos.

Leer Más

Evolución continúa de Bumblebee en la naturaleza

La evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.

Leer Más

Nuevo vector de distribución del ransomware Bisamware

Teniendo en cuenta el monitoreo realizado sobre las nuevas amenazas que puedan a llegar afectar al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa del ransomware conocido como Bisamware, y aunque fue reportado anteriormente en esta ocasión se identificó un aumento en el número de muestras encontradas además de una nueva actividad maliciosa donde se está distribuyendo por medio de explotación de vulnerabilidades.

Leer Más

Agent Tesla y NjRat distribuidos en una nueva campaña de maldocs

La creciente ola de ataques cibernéticos dirigidos a distintos sectores económicos es un comportamiento habitual en el ciberespacio, esta actividad a su vez conlleva que los ciberdelincuentes empleen familias de malware para lograr sus objetivos de ahí que se halla rastreado una nueva campaña desplegada desde el mes pasado.

Leer Más

Maggie el nuevo backdoor dirigido a servidores Microsoft Server SQL

En el ejercicio de monitorear constantemente las nuevas amenazas descubiertas en la naturaleza, se ha rastreado un nuevo backdoor denominado Maggie, el cual se ha estado distribuyendo a nivel global y ha comprometido exitosamente servidores MSSQL (Microsoft SQL) de diferentes organizaciones; esta amenaza brinda a los ciberdelincuentes capacidades notorias como la ejecución remota de comandos y la posibilidad de realizar movimientos laterales.

Leer Más

El troyano Xloader distribuido en foros populares de la Deep y Dark web

Xloader es un troyano conocido por sus altas capacidades de capturar información confidencial de equipos con sistemas operativos Microsoft Windows y Mac Os, donde el código de este troyano se encuentra basado en otro troyano muy popular como lo es FormBook.

Leer Más

Nueva actividad detectada del RAT Agent Tesla

Agent Tesla es una de las familias de malware más renombradas en la naturaleza, desde su aparición en el ciberespacio en 2014 ha tenido una gran trayectoria gracias a las exitosas campañas que han desplegado distintos ciberdelincuentes; este troyano de acceso remoto como se ha mencionado anteriormente se comercializa bajo la modalidad de negocio (MaaS) y es distribuido a nivel global.

Leer Más

Identificados nuevos indicadores de compromiso del troyano bancario Lokibot

El troyano bancario Lokibot ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero siendo una de las amenazas más utilizadas a nivel global por diferentes grupos de ciberdelincuentes debido a sus grandes capacidades, esto con el objetivo principal de capturar datos bancarios confidenciales y exfiltrarlos a servidores de comando y control C2, dicho troyano se encuentra dirigido a equipos con sistemas operativos Windows y dispositivos Android.

Leer Más

Nuevos indicadores de compromiso del troyano Formbook

A través de actividades de monitoreo en distintas fuentes de información, el equipo de analista del Csirt financiero realizó un seguimiento a las amenazas reportadas en ocasiones anteriores, ya que los actores de amenaza mantienen constantes actualizaciones de técnicas y tácticas con los que buscan generar un impacto en la seguridad de la información de las entidades y organizaciones.

Leer Más

Nuevo método de infección del ransomware BlackByte

Entre las nuevas actualizaciones y novedades de las amenazas reportadas anteriormente por el Csirt Financiero se ha identificado una nueva actividad maliciosa relacionada con el ransomware BlackByte, donde se evidenció que esta amenaza se está aprovechando de una vulnerabilidad en un controlador legítimo de Windows para evadir soluciones antimalware.

Leer Más

Un nuevo kit de herramientas de phishing como servicio denominado Caffeine

Las plataformas de phishing como servicio (PhaaS, Phishing as a Service) son herramientas que cobran más fuerza en la naturaleza gracias a la automatización que les brinda a los ciberdelincuentes en sus campañas maliciosas; recientemente se rastreó la plataforma Caffeine un conjunto de herramientas, que está siendo usado activamente por los atacantes en la orquestación de su vector de distribución en sus ataques cibernéticos por ejemplo en la fase de armamentización.

Leer Más

Archivo