Nueva variante identificada de IceXLoaderA través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva variante de IceXLoader 3.0, cargador utilizado para descargar e implementar malware adicional en las máquinas infectadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-identificada-de-icexloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva variante de IceXLoader 3.0, cargador utilizado para descargar e implementar malware adicional en las máquinas infectadas.
Nueva campaña de spam distribuye Matanbuchus con Cobalt StrikeUna nueva campaña de spam ha estado distribuyéndose durante los últimos días, en la cual el adversario pretende dar la continuidad a respuestas anteriores con asuntos de RE (reply) en el asunto, en un intento de ganar confianza con su víctima; ahora bien, el objetivo principal es infectar los equipos de los usuarios con la carga útil de Matanbuchus que está diseñado para causar infecciones en cadena, con la ayuda de Cobalt strike.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-spam-distribuye-matanbuchus-con-cobalt-strikehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una nueva campaña de spam ha estado distribuyéndose durante los últimos días, en la cual el adversario pretende dar la continuidad a respuestas anteriores con asuntos de RE (reply) en el asunto, en un intento de ganar confianza con su víctima; ahora bien, el objetivo principal es infectar los equipos de los usuarios con la carga útil de Matanbuchus que está diseñado para causar infecciones en cadena, con la ayuda de Cobalt strike.
Nueva actividad asociada al troyano bancario de Android BrataA través de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nueva actividad de Brata, troyano de Android empleado para la exfiltración de información financiera.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-asociada-al-troyano-bancario-de-android-bratahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nueva actividad de Brata, troyano de Android empleado para la exfiltración de información financiera.
Nueva versión del ransomware Cerber2021 que aprovecha vulnerabilidadesA través de actividades de monitoreo a diferentes fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva versión del Ransomware-as-a-Service (RaaS, por sus siglas en inglés) denominado Cerber2021, el cual impacta a sistemas operativos Windows y Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-del-ransomware-cerber2021-que-aprovecha-vulnerabilidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo a diferentes fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva versión del Ransomware-as-a-Service (RaaS, por sus siglas en inglés) denominado Cerber2021, el cual impacta a sistemas operativos Windows y Linux.
Nueva campaña del ransomware eCh0raix dirigida a los dispositivos de almacenamiento en redA través de actividades de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva campaña asociada a eCh0raix, ransomware con la capacidad de cifrar todos los archivos guardados en diversos equipos de TI y pedir el pago de un rescate a cambio de la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-ransomware-ech0raix-dirigida-a-los-dispositivos-de-almacenamiento-en-redhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva campaña asociada a eCh0raix, ransomware con la capacidad de cifrar todos los archivos guardados en diversos equipos de TI y pedir el pago de un rescate a cambio de la información.
Nuevo ataque de retransmisión denominado DFSCoerce a través del protocolo NTLMLos adversarios han logrado vulnerar la seguridad de varios protocolos referentes a la configuración de un dominio incluido en servicios de directorio de red como lo es Active Directory, por lo anterior se da a conocer un nuevo método para la retransmisión del protocolo NTLM, con la ayuda de un relé malicioso controlado por el atacante.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ataque-de-retransmision-denominado-dfscoerce-a-traves-del-protocolo-ntlmhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los adversarios han logrado vulnerar la seguridad de varios protocolos referentes a la configuración de un dominio incluido en servicios de directorio de red como lo es Active Directory, por lo anterior se da a conocer un nuevo método para la retransmisión del protocolo NTLM, con la ayuda de un relé malicioso controlado por el atacante.
Nuevo grupo APT denominado ToddyCatA través de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) denominado ToddyCat, el cual está impactando servidores MS Exchange.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-apt-denominado-toddycathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) denominado ToddyCat, el cual está impactando servidores MS Exchange.
Explotación de vulnerabilidades Log4j para instaurar nuevos artefactos asociados al ransomware AvoslockerDurante los últimos meses una de las ciberamenazas que ha sido constante en la red ha sido el ransomware, que continúa sumando víctimas cada día gracias a que los ciberdelincuentes pueden acceder fácilmente al modelo RaaS (Ransomware as a Service, por sus siglas en inglés) puesto que es ofrecido en muchos foros de la Deep y Dark webhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/explotacion-de-vulnerabilidades-log4j-para-instaurar-nuevos-artefactos-asociados-al-ransomware-avoslockerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos meses una de las ciberamenazas que ha sido constante en la red ha sido el ransomware, que continúa sumando víctimas cada día gracias a que los ciberdelincuentes pueden acceder fácilmente al modelo RaaS (Ransomware as a Service, por sus siglas en inglés) puesto que es ofrecido en muchos foros de la Deep y Dark web
Nueva actividad maliciosa del ransomware Black BastaA través de actividades de monitoreo a diferentes fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa del ransomware Black Basta, el cual sigue mejorando sus características para desplegarse rápidamente a más víctimas; una de las últimas actualizaciones es una versión del ransomware dirigida al ecosistema NIX, concretamente al entorno ESXi.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-black-bastahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo a diferentes fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa del ransomware Black Basta, el cual sigue mejorando sus características para desplegarse rápidamente a más víctimas; una de las últimas actualizaciones es una versión del ransomware dirigida al ecosistema NIX, concretamente al entorno ESXi.
Nuevos indicadores de compromiso asociados a BumblebeeA través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores asociados a Bumblebee, un loader empleado para la inyección de códigos maliciosos más sofisticados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-bumblebeehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores asociados a Bumblebee, un loader empleado para la inyección de códigos maliciosos más sofisticados.
Nueva amenaza denominada Quantum BuilderA través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva amenaza denominada Quantum Builder, herramienta que permite a los ciberdelincuentes crear archivos maliciosos de acceso directo de Windows (.LNK).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-quantum-builderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva amenaza denominada Quantum Builder, herramienta que permite a los ciberdelincuentes crear archivos maliciosos de acceso directo de Windows (.LNK).
Nueva variante de Ave Maria RAT con capacidades de stealer.El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se ha observado una nueva variante de Ave Maria RAT que contiene capacidades de stealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ave-maria-rat-con-capacidades-de-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se ha observado una nueva variante de Ave Maria RAT que contiene capacidades de stealer.
Nuevos indicadores de compromiso asociados a BluStealerA través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nueva actividad asociada a BluStealer, cargador que se distribuye por medio de correos electrónicos que contienen archivos adjuntos o enlaces que redirigen a un sitio web para realizar una descarga.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-blustealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nueva actividad asociada a BluStealer, cargador que se distribuye por medio de correos electrónicos que contienen archivos adjuntos o enlaces que redirigen a un sitio web para realizar una descarga.
Nuevas TTP relacionadas con el troyano bancario IcedIDLa constante evolución de las diferentes amenazas existentes en el ciberespacio que hacen parte de la incesante ciberguerra es el origen de esta nueva campaña que distribuye enlaces de phishing a través de Google Cloud y Google Firebase que llegan vía correo electrónico para entregar una nueva variante del troyano bancario IcedID que incluye nuevas tácticas y técnicas de detección y respuesta.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-ttp-relacionadas-con-el-troyano-bancario-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La constante evolución de las diferentes amenazas existentes en el ciberespacio que hacen parte de la incesante ciberguerra es el origen de esta nueva campaña que distribuye enlaces de phishing a través de Google Cloud y Google Firebase que llegan vía correo electrónico para entregar una nueva variante del troyano bancario IcedID que incluye nuevas tácticas y técnicas de detección y respuesta.
Nuevos indicadores de compromiso asociados a FormbookEl grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados al troyano Formbook, este puede ser adquirido bajo la modalidad Malware-as-Service (MaaS, por sus siglas en ingles) y suele ser distribuido por los ciberdelincuentes a través de correos electrónicos tipo phishing que contienen archivos adjuntos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-formbookhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados al troyano Formbook, este puede ser adquirido bajo la modalidad Malware-as-Service (MaaS, por sus siglas en ingles) y suele ser distribuido por los ciberdelincuentes a través de correos electrónicos tipo phishing que contienen archivos adjuntos.
Nueva actividad maliciosa asociada al troyano QakBotEn el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa del troyano QakBot, donde los ciberdelincuentes, implementan herramientas de seguridad legítimas como Cobalt strike para su vector de infección, que permiten tener el control remoto del equipo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-al-troyano-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa del troyano QakBot, donde los ciberdelincuentes, implementan herramientas de seguridad legítimas como Cobalt strike para su vector de infección, que permiten tener el control remoto del equipo.
Nueva variante de LockBitA través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva variante de LockBit, ransomware malicioso diseñado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir el pago de un rescate para restablecerlo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-lockbithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva variante de LockBit, ransomware malicioso diseñado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir el pago de un rescate para restablecerlo.
Nuevo troyano bancario denominado Revive afecta a dispositivos AndroidA través de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo troyano dirigido al sector financiero denominado Revive, el cual tiene como objetivo impactar las aplicaciones bancarias en los dispositivos Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-denominado-revive-afecta-a-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo troyano dirigido al sector financiero denominado Revive, el cual tiene como objetivo impactar las aplicaciones bancarias en los dispositivos Android.
Nuevos artefactos relacionados al troyano bancario MekotioMekotio es parte de una serie de troyanos desplegados en Latinoamérica por varios grupos de ciberdelincuentes informáticos, los cuales se han encargado de generar nuevas campañas con vectores diferentes de infección; esta ciberamenaza había estado inactiva durante un periodo de cuatro meses. Recientemente los ciberdelincuentes han realizado cambios en su carga útil con el objetivo de no ser detectados por los sistemas de seguridad de las entidades.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-relacionados-al-troyano-bancario-mekotiohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mekotio es parte de una serie de troyanos desplegados en Latinoamérica por varios grupos de ciberdelincuentes informáticos, los cuales se han encargado de generar nuevas campañas con vectores diferentes de infección; esta ciberamenaza había estado inactiva durante un periodo de cuatro meses. Recientemente los ciberdelincuentes han realizado cambios en su carga útil con el objetivo de no ser detectados por los sistemas de seguridad de las entidades.
Nueva actividad maliciosa asociada a Raccoon stealerDespués de una investigación en fuentes abiertas de información en búsqueda de amenazas que puedan afectar su infraestructura informática, el equipo de analistas del Csirt financiero ha identificado una nueva versión del stealer Raccoon, el cual fue desactivado en el mes de marzo del presente año y ahora ha vuelto a circular utilizando el lenguaje de programación C/C++.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-a-raccoon-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Después de una investigación en fuentes abiertas de información en búsqueda de amenazas que puedan afectar su infraestructura informática, el equipo de analistas del Csirt financiero ha identificado una nueva versión del stealer Raccoon, el cual fue desactivado en el mes de marzo del presente año y ahora ha vuelto a circular utilizando el lenguaje de programación C/C++.