Nuevos IoC asociados a EmotetEl equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto, se han observado nuevos indicadores de compromiso (IOC) relacionados al troyano Emotet, donde su principal objetivo es la recopilación de información alojada en los equipos comprometidos como credenciales de acceso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-asociados-a-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto, se han observado nuevos indicadores de compromiso (IOC) relacionados al troyano Emotet, donde su principal objetivo es la recopilación de información alojada en los equipos comprometidos como credenciales de acceso.
Nuevos indicadores de compromiso vinculados al troyano de acceso remoto QuasarQuasar RAT es una familia de malware que permite a los ciberdelincuentes controlar de forma remota los sistemas comprometidos, este funciona como un troyano y se instala en el equipo de la víctima sin su conocimiento. Quasar, se caracteriza por poseer una interfaz de usuario fácil de usar y su amplia gama de funciones, lo que lo hace atractivo para los ciberdelincuentes con diferentes niveles de experiencia técnica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-vinculados-al-troyano-de-acceso-remoto-quasarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Quasar RAT es una familia de malware que permite a los ciberdelincuentes controlar de forma remota los sistemas comprometidos, este funciona como un troyano y se instala en el equipo de la víctima sin su conocimiento. Quasar, se caracteriza por poseer una interfaz de usuario fácil de usar y su amplia gama de funciones, lo que lo hace atractivo para los ciberdelincuentes con diferentes niveles de experiencia técnica.
Nuevos IoC asociados con el troyano bancario DridexMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificaron nuevas actividades y artefactos relacionados a Dridex, un troyano bancario diseñado para capturar información de cuentas bancarias en línea; fue descubierto por primera vez en 2014 y desde entonces ha sido uno de los troyanos bancarios más relevantes en todo el mundo generando grandes impactos en diversos sectores, principalmente en las instituciones financieras y proveedores de servicio de pago.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-asociados-con-el-troyano-bancario-dridexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificaron nuevas actividades y artefactos relacionados a Dridex, un troyano bancario diseñado para capturar información de cuentas bancarias en línea; fue descubierto por primera vez en 2014 y desde entonces ha sido uno de los troyanos bancarios más relevantes en todo el mundo generando grandes impactos en diversos sectores, principalmente en las instituciones financieras y proveedores de servicio de pago.
DoubleFinger y GreetingGhoul: nuevos loader de malware que amenazan la seguridad de las criptomonedasLa captura ilegal de criptomonedas ha sido una práctica común entre los cibercriminales durante años, , y una de las últimas incorporaciones a este fenómeno es el loader DoubleFinger. Este cargador utiliza varias etapas y se implementa en el equipo de la víctima cuando esta abre un archivo adjunto malicioso en un correo electrónico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/doublefinger-y-greetingghoul-nuevos-loader-de-malware-que-amenazan-la-seguridad-de-las-criptomonedashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La captura ilegal de criptomonedas ha sido una práctica común entre los cibercriminales durante años, , y una de las últimas incorporaciones a este fenómeno es el loader DoubleFinger. Este cargador utiliza varias etapas y se implementa en el equipo de la víctima cuando esta abre un archivo adjunto malicioso en un correo electrónico.
Campaña de ataques a servidores Linux SSH expuestosRecientemente, se ha identificado una campaña de ataque en la que se instaló el bot Tsunami DDoS en servidores Linux SSH administrados incorrectamente. Este ataque también involucró otros códigos maliciosos como ShellBot, XMRig Coin Miner y Log Cleaner. Los ataques dirigidos a servidores Linux SSH mal administrados suelen resultar en la instalación de bots DDoS o malware de minería de monedas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-ataques-a-servidores-linux-ssh-expuestoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una campaña de ataque en la que se instaló el bot Tsunami DDoS en servidores Linux SSH administrados incorrectamente. Este ataque también involucró otros códigos maliciosos como ShellBot, XMRig Coin Miner y Log Cleaner. Los ataques dirigidos a servidores Linux SSH mal administrados suelen resultar en la instalación de bots DDoS o malware de minería de monedas.
Skuld: El Infostealer Emergente que Desafía la Seguridad DigitalUn nuevo infostealer llamado Skuld basado en lenguaje de programación Golang que compromete sistemas Windows, ha surgido como una amenaza significativa en Europa, el sudeste asiático y EE. UU. Este malware tiene como objetivo capturar información confidencial de sus víctimas, incluyendo datos almacenados en aplicaciones como Discord y navegadores web, así como información del sistema y archivos en las carpetas de las víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/skuld-el-infostealer-emergente-que-desafia-la-seguridad-digitalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un nuevo infostealer llamado Skuld basado en lenguaje de programación Golang que compromete sistemas Windows, ha surgido como una amenaza significativa en Europa, el sudeste asiático y EE. UU. Este malware tiene como objetivo capturar información confidencial de sus víctimas, incluyendo datos almacenados en aplicaciones como Discord y navegadores web, así como información del sistema y archivos en las carpetas de las víctimas.
Alianza peligrosa entre Killnet, Revil y Anonymous Sudan apunta al sistema financiero occidentalEn los últimos tiempos, se ha observado un aumento en la actividad cibernética dirigida desde grupos con vínculos indirectos con el gobierno ruso. Uno de estos grupos es Killnet, conocido por su preferencia por los ataques de denegación de servicio distribuidos (DDoS). Aunque hasta ahora su impacto ha sido limitado, existen señales sólidas de que Killnet continuará desarrollándose y escalando sus ataques a través de redes maliciosas. En un giro preocupante, en las últimas 48 horas, Killnet se ha unido a los grupos Pro-Rusos REvil y Anonymous Sudan con el supuesto objetivo de llevar a cabo un ataque masivo al sistema financiero occidental.http://csirtasobancaria.com/Plone/alertas-de-seguridad/alianza-peligrosa-entre-killnet-revil-y-anonymous-sudan-apunta-al-sistema-financiero-occidentalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos tiempos, se ha observado un aumento en la actividad cibernética dirigida desde grupos con vínculos indirectos con el gobierno ruso. Uno de estos grupos es Killnet, conocido por su preferencia por los ataques de denegación de servicio distribuidos (DDoS). Aunque hasta ahora su impacto ha sido limitado, existen señales sólidas de que Killnet continuará desarrollándose y escalando sus ataques a través de redes maliciosas. En un giro preocupante, en las últimas 48 horas, Killnet se ha unido a los grupos Pro-Rusos REvil y Anonymous Sudan con el supuesto objetivo de llevar a cabo un ataque masivo al sistema financiero occidental.
Nuevo troyano bancario para Android de nombre RoamerEn el seguimiento realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña maliciosa donde los actores de amenaza suplantan páginas web principalmente de minería en la nube, para distribuir un nuevo troyano bancario denominado Roamer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-para-android-de-nombre-roamerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña maliciosa donde los actores de amenaza suplantan páginas web principalmente de minería en la nube, para distribuir un nuevo troyano bancario denominado Roamer.
Ransomware Big Head: una nueva amenaza para usuarios de WindowsEl ransomware Big Head ha surgido como una nueva amenaza en mayo de 2023, afectando a usuarios de Microsoft Windows. Este ransomware cifra los archivos de los equipos comprometidos y exige un rescate para descifrarlos. Se han identificado al menos tres variantes del ransomware Big Head, todas diseñadas con el propósito de extorsionar dinero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-big-head-una-nueva-amenaza-para-usuarios-de-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Big Head ha surgido como una nueva amenaza en mayo de 2023, afectando a usuarios de Microsoft Windows. Este ransomware cifra los archivos de los equipos comprometidos y exige un rescate para descifrarlos. Se han identificado al menos tres variantes del ransomware Big Head, todas diseñadas con el propósito de extorsionar dinero.
Nueva amenaza de ransomware denominada MonoRecientemente, investigadores de seguridad han identificado una nueva amenaza conocida como Mono; un nuevo ransomware encargado de cifrar la data alojada en las infraestructuras informáticas impactadas por esta nueva cepa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-de-ransomware-denominada-monohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores de seguridad han identificado una nueva amenaza conocida como Mono; un nuevo ransomware encargado de cifrar la data alojada en las infraestructuras informáticas impactadas por esta nueva cepa.
Nuevos indicadores de compromiso vinculados a BlackCatBlackCat es un ransomware que tiene como objetivo cifrar los archivos de las víctimas y exigir un rescate para restaurar el acceso a ellos. Según investigaciones, esta familia de malware es una variante del ransomware Aurora, que ha estado activo desde al menos 2018.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-vinculados-a-blackcathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
BlackCat es un ransomware que tiene como objetivo cifrar los archivos de las víctimas y exigir un rescate para restaurar el acceso a ellos. Según investigaciones, esta familia de malware es una variante del ransomware Aurora, que ha estado activo desde al menos 2018.
Nuevos artefactos relacionados con el troyano de acceso remoto RemcosRATEn el observatorio de ciberseguridad realizado por el equipo de analistas del Csirt Financiero, en busca de nuevas campañas, amenazas o artefactos maliciosos que puedan generar afectaciones en la infraestructura de los asociados, se identificaron nuevos indicadores de compromiso relacionados con el troyano de acceso remoto RemcosRAT, una amenaza bastante implementada por ciberdelincuentes para afectar organizaciones de diferentes sectores, incluido el financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-relacionados-con-el-troyano-de-acceso-remoto-remcosrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el observatorio de ciberseguridad realizado por el equipo de analistas del Csirt Financiero, en busca de nuevas campañas, amenazas o artefactos maliciosos que puedan generar afectaciones en la infraestructura de los asociados, se identificaron nuevos indicadores de compromiso relacionados con el troyano de acceso remoto RemcosRAT, una amenaza bastante implementada por ciberdelincuentes para afectar organizaciones de diferentes sectores, incluido el financiero.
Mallox: ransomware dirigido a servidores MS-SQLEl ransomware Mallox ha surgido como una amenaza cibernética significativa en el panorama de la seguridad informática y se ha utilizado para atacar servidores MS-SQL que han sido administrados incorrectamente o que cuenten con vulnerabilidades no parchadas, poniendo en peligro la integridad de los datos y la operatividad de las organizaciones afectadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/mallox-ransomware-dirigido-a-servidores-ms-sqlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Mallox ha surgido como una amenaza cibernética significativa en el panorama de la seguridad informática y se ha utilizado para atacar servidores MS-SQL que han sido administrados incorrectamente o que cuenten con vulnerabilidades no parchadas, poniendo en peligro la integridad de los datos y la operatividad de las organizaciones afectadas.
Campaña de phishing "MULTI # STORM" utiliza archivos JavaScript para distribuir los RAT AveMaria y QuasarRecientemente se ha descubierto una campaña de phishing que utiliza tácticas de ingeniería social para comprometer a las víctimas. La campaña, denominada MULTI # STORM, tiene como objetivo principalmente a usuarios en los Estados Unidos e India.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-multi-storm-utiliza-archivos-javascript-para-distribuir-los-rat-avemaria-y-quasarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha descubierto una campaña de phishing que utiliza tácticas de ingeniería social para comprometer a las víctimas. La campaña, denominada MULTI # STORM, tiene como objetivo principalmente a usuarios en los Estados Unidos e India.
Se identifica campaña de phishing distribuyendo Lokibot (LokiPWS)Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero con apoyo de diversas fuentes de información, se identificó una campaña de phishing reciente, que ha sido distribuida en diversos países de norte América, Europa y África, donde utilizan el troyano conocido como LokiBot o LokiPWS para comprometer los sistemas de las víctimas y exfiltrar credenciales de acceso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-campana-de-phishing-distribuyendo-lokibot-lokipwshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero con apoyo de diversas fuentes de información, se identificó una campaña de phishing reciente, que ha sido distribuida en diversos países de norte América, Europa y África, donde utilizan el troyano conocido como LokiBot o LokiPWS para comprometer los sistemas de las víctimas y exfiltrar credenciales de acceso.
Nuevas actividades del stealer RecordBreakerEl equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas o amenazas que puedan llegar a afectar la infraestructura de los asociados, donde se identificó nueva actividad del stealer RecordBreaker, también conocido como Raccoon Stealer V2, el cual es un tipo de software malicioso que se hace pasar por un instalador de .NET distribuye, utilizando técnicas de persuasión y ha evolucionado con el pasar de los años.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actividades-del-stealer-recordbreakerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas o amenazas que puedan llegar a afectar la infraestructura de los asociados, donde se identificó nueva actividad del stealer RecordBreaker, también conocido como Raccoon Stealer V2, el cual es un tipo de software malicioso que se hace pasar por un instalador de .NET distribuye, utilizando técnicas de persuasión y ha evolucionado con el pasar de los años.
Ransomware Black Basta: amenaza persistente y tácticas avanzadas de distribuciónEl ransomware Black Basta ha ganado notoriedad en los últimos meses por atacar a organizaciones de alto perfil en Europa y América del Norte en diversas industrias. Se cree que este ransomware es un sucesor del Conti ransomware, y se ha relacionado con el grupo de amenazas Fin7. Black Basta opera bajo un modelo Ransomware-as-a-Service (RaaS), proporcionando herramientas y soporte técnico a sus afiliados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-black-basta-amenaza-persistente-y-tacticas-avanzadas-de-distribucionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Black Basta ha ganado notoriedad en los últimos meses por atacar a organizaciones de alto perfil en Europa y América del Norte en diversas industrias. Se cree que este ransomware es un sucesor del Conti ransomware, y se ha relacionado con el grupo de amenazas Fin7. Black Basta opera bajo un modelo Ransomware-as-a-Service (RaaS), proporcionando herramientas y soporte técnico a sus afiliados.
Nueva campaña del troyano bancario AnatsaEn el mundo actual, donde la tecnología móvil se ha vuelto constante en el ámbito laboral y en el día a día de las personas, también ha habido un aumento en las amenazas cibernéticas dirigidas a dispositivos móviles. Una de las últimas campañas maliciosas que ha surgido es la del troyano bancario de Android llamado Anatsa. Desde marzo de 2023, esta amenaza ha estado afectando a los usuarios de banca en línea en países como Estados Unidos, Reino Unido, Alemania, Austria y Suiza. Los ciberdelincuentes están utilizando la Play Store, la tienda oficial de aplicaciones de Android, como medio de distribución.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-bancario-anatsahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo actual, donde la tecnología móvil se ha vuelto constante en el ámbito laboral y en el día a día de las personas, también ha habido un aumento en las amenazas cibernéticas dirigidas a dispositivos móviles. Una de las últimas campañas maliciosas que ha surgido es la del troyano bancario de Android llamado Anatsa. Desde marzo de 2023, esta amenaza ha estado afectando a los usuarios de banca en línea en países como Estados Unidos, Reino Unido, Alemania, Austria y Suiza. Los ciberdelincuentes están utilizando la Play Store, la tienda oficial de aplicaciones de Android, como medio de distribución.
Expansión del troyano bancario Javali: de América Latina a EuropaEl ciberespacio continúa siendo un terreno fértil para la propagación de amenazas virtuales, y el troyano bancario Javali es un ejemplo destacado de ello. Desde su aparición en 2017, este malware ha estado dirigido a clientes de instituciones financieras en América Latina, con un enfoque particular en Brasil y Chile. Sin embargo, recientemente se ha observado un cambio significativo en sus objetivos, ya que el grupo responsable de Javali ha iniciado una expansión hacia Europa, centrándose específicamente en clientes de la banca española y portuguesa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/expansion-del-troyano-bancario-javali-de-america-latina-a-europahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ciberespacio continúa siendo un terreno fértil para la propagación de amenazas virtuales, y el troyano bancario Javali es un ejemplo destacado de ello. Desde su aparición en 2017, este malware ha estado dirigido a clientes de instituciones financieras en América Latina, con un enfoque particular en Brasil y Chile. Sin embargo, recientemente se ha observado un cambio significativo en sus objetivos, ya que el grupo responsable de Javali ha iniciado una expansión hacia Europa, centrándose específicamente en clientes de la banca española y portuguesa.
ThirdEye: Un nuevo Infostealer que captura diversa información de los sistemas infectados.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero y con apoyo de diversas fuentes de información abiertas, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo Infostealer denominado ThirdEye, el cual tiene grandes capacidades para recopilar diversa información del sistema infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/thirdeye-un-nuevo-infostealer-que-captura-diversa-informacion-de-los-sistemas-infectadoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero y con apoyo de diversas fuentes de información abiertas, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo Infostealer denominado ThirdEye, el cual tiene grandes capacidades para recopilar diversa información del sistema infectado.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}