Nueva actividad maliciosa del troyano Agent Tesla en el mes de junioA través del monitoreo realizado a fuentes de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el Csirt Financiero ha identificado nueva actividad maliciosa asociada al troyano de acceso remoto (RAT) Agent Tesla, el cual es empleado por los ciberdelincuentes para comprometer equipos con sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-agent-tesla-en-el-mes-de-juniohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado a fuentes de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el Csirt Financiero ha identificado nueva actividad maliciosa asociada al troyano de acceso remoto (RAT) Agent Tesla, el cual es empleado por los ciberdelincuentes para comprometer equipos con sistemas operativos Windows.
Backdoor denominado SessionManager se encuentra afectando a servidores Exchange de MicrosoftA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó recientemente una puerta trasera de nombre SessionManager; implementada por los ciberdelincuentes en servidores Exchange expuestos hacia Internet y que afectan al servicio web Internet Information Services (IIS).http://csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-denominado-sessionmanager-se-encuentra-afectando-a-servidores-exchange-de-microsofthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó recientemente una puerta trasera de nombre SessionManager; implementada por los ciberdelincuentes en servidores Exchange expuestos hacia Internet y que afectan al servicio web Internet Information Services (IIS).
Nueva actividad asociada al ransomware Black BastaEn el monitoreo realizado a fuentes abiertas de información y en el seguimiento a amenazas potenciales que puedan generar impacto sobre la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado nueva actividad del ransomware conocido como Black Basta.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-al-ransomware-black-bastahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información y en el seguimiento a amenazas potenciales que puedan generar impacto sobre la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado nueva actividad del ransomware conocido como Black Basta.
Campaña asociada a ZuoRAT una amenaza dirigida a enrutadoresDurante los últimos días se ha observado una campaña relacionada con un malware sigiloso que va dirigido a explotar vulnerabilidades de diferentes marcas de enrutadores, este tiene la capacidad de controlar los dispositivos enlazados a su red con sistemas operativos Windows, MacOS y Linux; con base a lo anterior la infraestructura tecnológica de los asociados podría verse impactada por este troyano de acceso remoto denominado ZuoRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-asociada-a-zuorat-una-amenaza-dirigida-a-enrutadoreshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos días se ha observado una campaña relacionada con un malware sigiloso que va dirigido a explotar vulnerabilidades de diferentes marcas de enrutadores, este tiene la capacidad de controlar los dispositivos enlazados a su red con sistemas operativos Windows, MacOS y Linux; con base a lo anterior la infraestructura tecnológica de los asociados podría verse impactada por este troyano de acceso remoto denominado ZuoRAT.
Nuevos indicadores de compromiso asociados a IcedIDA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados a IcedID, troyano bancario modular descubierto en 2017; con el propósito de descargar y ejecutar la carga útil cifrada final desde el panel de control del troyano.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-icedid-2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados a IcedID, troyano bancario modular descubierto en 2017; con el propósito de descargar y ejecutar la carga útil cifrada final desde el panel de control del troyano.
Nueva actividad maliciosa relacionada con EmotetAunque el troyano bancario Emotet ha sido reportado en repetidas ocasiones, su actividad es persistente en el ciberespacio; dado que los adversarios continúan ideando campañas distintas mes a mes, por lo cual se han observado nuevos indicadores de compromiso (IOC).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-con-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano bancario Emotet ha sido reportado en repetidas ocasiones, su actividad es persistente en el ciberespacio; dado que los adversarios continúan ideando campañas distintas mes a mes, por lo cual se han observado nuevos indicadores de compromiso (IOC).
Nueva actividad maliciosa asociada AsyncRAT.En el monitoreo realizado a fuentes abiertas de información y en el seguimiento a amenazas potenciales que puedan generar impacto sobre la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado nueva actividad del troyano de acceso remoto (RAT) AsyncRAT, donde los ciberdelincuentes continúan realizando campañas distintas y actualizaciones de esta amenaza, por lo cual se han observado nuevos indicadores de compromiso (IOC) de AsyncRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información y en el seguimiento a amenazas potenciales que puedan generar impacto sobre la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado nueva actividad del troyano de acceso remoto (RAT) AsyncRAT, donde los ciberdelincuentes continúan realizando campañas distintas y actualizaciones de esta amenaza, por lo cual se han observado nuevos indicadores de compromiso (IOC) de AsyncRAT.
Nuevos indicadores de compromiso asociados a Avemaria RATA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados al troyano de acceso remoto (RAT) AveMaria, el cual dirige sus campañas a equipos que tienen sistemas operativos Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-avemaria-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados al troyano de acceso remoto (RAT) AveMaria, el cual dirige sus campañas a equipos que tienen sistemas operativos Microsoft Windows.
Nueva vulnerabilidad de día cero en Google ChromeLas vulnerabilidades de día cero son cada vez más frecuentes en los ecosistemas cibernéticos, los cuales radican desde el desarrollo de nuevas aplicaciones, actualizaciones y parches que se han implementado en sistemas operativos o programas (usualmente los que están en internet), es importante mencionar que esto sucede debido a las brechas de seguridad encontradas por los actores de amenaza, donde los desarrolladores desconocen este fallo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-vulnerabilidad-de-dia-cero-en-google-chromehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las vulnerabilidades de día cero son cada vez más frecuentes en los ecosistemas cibernéticos, los cuales radican desde el desarrollo de nuevas aplicaciones, actualizaciones y parches que se han implementado en sistemas operativos o programas (usualmente los que están en internet), es importante mencionar que esto sucede debido a las brechas de seguridad encontradas por los actores de amenaza, donde los desarrolladores desconocen este fallo.
Nuevos indicadores asociados a XLoaderA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados al troyano XLoader, software malicioso dirigido a los sistemas operativos Windows y Mac con la función principal de capturar y exfiltrar información confidencial del equipo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-asociados-a-xloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados al troyano XLoader, software malicioso dirigido a los sistemas operativos Windows y Mac con la función principal de capturar y exfiltrar información confidencial del equipo infectado.
Nueva actividad maliciosa asociada al troyano bancario TrickbotA través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al troyano bancario Trickbot, el cual está afectando a sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-al-troyano-bancario-trickbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al troyano bancario Trickbot, el cual está afectando a sistemas operativos Windows.
Nuevas actualizaciones del ransomware HiveMediante el uso de herramientas de ciberinteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa del ransomware Hive, dicho ransomware ha sido reportado en ocasiones anteriores y sigue en constantes actualizaciones que agilizan su proceso para lograr su objetivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actualizaciones-del-ransomware-hivehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el uso de herramientas de ciberinteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa del ransomware Hive, dicho ransomware ha sido reportado en ocasiones anteriores y sigue en constantes actualizaciones que agilizan su proceso para lograr su objetivo.
Nuevo ransomware denominado RedAlert que cifra servidores Linux y Windows con VMware EXSiA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó un nuevo ransomware denominado RedAlert, desplegado para cifrar servidores Linux y Windows que cuenten con el hipervisor EXSi de VMware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-redalert-que-cifra-servidores-linux-y-windows-con-vmware-exsihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó un nuevo ransomware denominado RedAlert, desplegado para cifrar servidores Linux y Windows que cuenten con el hipervisor EXSi de VMware.
Nuevo ransomware denominado HavanaCryptA través de la distribución de falsas actualizaciones publicadas por los adversarios en sitios de terceros, logran persuadir a las víctimas para que las descarguen e instalen; por lo general estas incluyen algún binario malicioso, para este caso se detectó un nuevo ransomware embebido en una actualización de Google.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-havanacrypthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de la distribución de falsas actualizaciones publicadas por los adversarios en sitios de terceros, logran persuadir a las víctimas para que las descarguen e instalen; por lo general estas incluyen algún binario malicioso, para este caso se detectó un nuevo ransomware embebido en una actualización de Google.
Nueva actividad relacionada al APT Lazarus en la cual utiliza el malware YamaBotLazarus es un grupo de ciberdelincuentes APT (Amenaza Persistente Avanzada) ha estado activo desde el 2009, durante este tiempo ha sido participe de la ciberguerra dada entre diferentes naciones, en donde ha perpetrado un sinfín de ataques cibernéticos a infraestructuras críticas pertenecientes a diferentes sectores, entre ellos el financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-al-apt-lazarus-en-la-cual-utiliza-el-malware-yamabothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Lazarus es un grupo de ciberdelincuentes APT (Amenaza Persistente Avanzada) ha estado activo desde el 2009, durante este tiempo ha sido participe de la ciberguerra dada entre diferentes naciones, en donde ha perpetrado un sinfín de ataques cibernéticos a infraestructuras críticas pertenecientes a diferentes sectores, entre ellos el financiero.
Nuevo ransomware denominado LilithA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva amenaza denominada Lilith, ransomware distribuido con la finalidad de cifrar datos y exigir el pago por el rescate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-lilithhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva amenaza denominada Lilith, ransomware distribuido con la finalidad de cifrar datos y exigir el pago por el rescate.
Nueva actividad maliciosa del ransomware LockBitA través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al ransomware LockBit; esta amenaza fue identificada por primera vez en 2019 y ha ido evolucionando rápidamente siendo distribuido bajo la modalidad de Ransomware como Servicio (RaaS).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-lockbithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al ransomware LockBit; esta amenaza fue identificada por primera vez en 2019 y ha ido evolucionando rápidamente siendo distribuido bajo la modalidad de Ransomware como Servicio (RaaS).
Nuevos indicadores de compromiso asociados a MedusaLockerA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados a MedusaLocker, ransomware distribuido con la finalidad de cifrar datos, unidades de red compartidas y exigir el pago por el descifrado a través de una nota de rescate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-medusalockerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados a MedusaLocker, ransomware distribuido con la finalidad de cifrar datos, unidades de red compartidas y exigir el pago por el descifrado a través de una nota de rescate.
Nueva campaña asociada al troyano bancario AnubisA través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al troyano bancario Anubis, el cual afecta dispositivos móviles Android y que tiene como objetivo capturar y exfiltrar datos bancarios que incluyen credenciales de APP bancarias, números de tarjetas de crédito y débito.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-asociada-al-troyano-bancario-anubishttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al troyano bancario Anubis, el cual afecta dispositivos móviles Android y que tiene como objetivo capturar y exfiltrar datos bancarios que incluyen credenciales de APP bancarias, números de tarjetas de crédito y débito.
Nuevas TTP asociadas al troyano de acceso remoto NJRATUno de los troyanos de acceso remoto más utilizados en el ciberespacio es conocido como NJRAT, esto se debe a que cualquier ciberdelincuente e incluso los mismos scripts kiddies tienen acceso a una gran cantidad de contenido multimedia relacionada con el despliegue de esta amenaza; además, las capacidades de este troyano están muy consolidadas en cuanto a su eficiencia; a la hora de infectar los equipos de las víctimas NjRAT le permite al atacante tener diferentes técnicas y tácticas para llevar a cabo su cometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-ttp-asociadas-al-troyano-de-acceso-remoto-njrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Uno de los troyanos de acceso remoto más utilizados en el ciberespacio es conocido como NJRAT, esto se debe a que cualquier ciberdelincuente e incluso los mismos scripts kiddies tienen acceso a una gran cantidad de contenido multimedia relacionada con el despliegue de esta amenaza; además, las capacidades de este troyano están muy consolidadas en cuanto a su eficiencia; a la hora de infectar los equipos de las víctimas NjRAT le permite al atacante tener diferentes técnicas y tácticas para llevar a cabo su cometido.