Nuevos indicadores de compromiso asociados a RecordBreakerEn un reciente monitoreo a ciberamenazas que afecten la seguridad de la información del sector financiero de manera directa o transversal, se identificó nuevos indicadores de compromiso relacionados al stealer RecordBreaker o mejor conocido como Raccoon 2.0.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-recordbreakerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En un reciente monitoreo a ciberamenazas que afecten la seguridad de la información del sector financiero de manera directa o transversal, se identificó nuevos indicadores de compromiso relacionados al stealer RecordBreaker o mejor conocido como Raccoon 2.0.
Nueva actividad maliciosa de Amadey para la distribución de malwareEl equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa en la que el troyano Amadey distribuye diversos tipos de amenazas y en las que se pueden identificar nuevos indicadores de compromiso. Amadey fue identificado por primera vez en 2018 y se caracteriza por sus capacidades para capturar información confidencial e instalar código malicioso adicional en los equipos infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-amadey-para-la-distribucion-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa en la que el troyano Amadey distribuye diversos tipos de amenazas y en las que se pueden identificar nuevos indicadores de compromiso. Amadey fue identificado por primera vez en 2018 y se caracteriza por sus capacidades para capturar información confidencial e instalar código malicioso adicional en los equipos infectados.
UNIZA: La nueva amenaza de ransomware que cifra archivos sin agregar extensiónLa ciberseguridad es un tema cada vez más importante en la era digital, y desafortunadamente, el mundo de los ataques cibernéticos está en constante evolución. Recientemente, se ha descubierto una nueva variante de ransomware llamada UNIZA, que cifra archivos en las equipos de las víctimas para después exigir un pago de rescate en Bitcoin, a cambio de proporcionar la clave de descifrado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/uniza-la-nueva-amenaza-de-ransomware-que-cifra-archivos-sin-agregar-extensionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La ciberseguridad es un tema cada vez más importante en la era digital, y desafortunadamente, el mundo de los ataques cibernéticos está en constante evolución. Recientemente, se ha descubierto una nueva variante de ransomware llamada UNIZA, que cifra archivos en las equipos de las víctimas para después exigir un pago de rescate en Bitcoin, a cambio de proporcionar la clave de descifrado.
RedEyes (APT37) distribuye el malware RokRAT a través de archivos LNKRokRAT es un troyano de acceso remoto que ha sido utilizado por el grupo de amenaza RedEyes (también conocido como APT37, ScarCruft) para recopilar credenciales de usuario y descargar malware adicional en sistemas comprometidos. Recientemente, se ha descubierto que este grupo de amenazas ha estado distribuyendo el malware RokRAT a través de archivos LNK.http://csirtasobancaria.com/Plone/alertas-de-seguridad/redeyes-apt37-distribuye-el-malware-rokrat-a-traves-de-archivos-lnkhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
RokRAT es un troyano de acceso remoto que ha sido utilizado por el grupo de amenaza RedEyes (también conocido como APT37, ScarCruft) para recopilar credenciales de usuario y descargar malware adicional en sistemas comprometidos. Recientemente, se ha descubierto que este grupo de amenazas ha estado distribuyendo el malware RokRAT a través de archivos LNK.
Nueva actividad maliciosa vinculada a BluStealerEn el constante monitoreo a ciberamenazas que puedan afectar la seguridad de la información de las organizaciones de los diversos sectores en Colombia (principalmente el financiero), se ha evidenciado nuevos indicadores de compromiso relacionados a BluStealer, una familia de malware identificada por tener como objetivo principal Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-vinculada-a-blustealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a ciberamenazas que puedan afectar la seguridad de la información de las organizaciones de los diversos sectores en Colombia (principalmente el financiero), se ha evidenciado nuevos indicadores de compromiso relacionados a BluStealer, una familia de malware identificada por tener como objetivo principal Latinoamérica.
Se identifican nuevos indicadores de la botnet MiraiMirai es una botnet activa desde el año 2016, los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-indicadores-de-la-botnet-miraihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mirai es una botnet activa desde el año 2016, los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS, entre otros.
Nuevo troyano de acceso remoto denominado LOBSHOTSe ha identificado un nuevo troyano de acceso remoto denominado LOBSHOST, el cual se enmascara como una aplicación legítima, donde es promocionada a través de Google Ads; este RAT tiene como objetivo afectar equipos con sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-lobshothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado un nuevo troyano de acceso remoto denominado LOBSHOST, el cual se enmascara como una aplicación legítima, donde es promocionada a través de Google Ads; este RAT tiene como objetivo afectar equipos con sistemas operativos Windows.
Se identifican nuevos IoC asociados al troyano de acceso remoto NjRATAunque el troyano de acceso remoto conocido como NjRAT ha sido reportado en ocasiones anteriores por el equipo del Csirt Financiero, es importante recalcar este tipo de nuevas actividades ya que esta amenaza se ha observado en diversas campañas en contra de organizaciones y entidades financieras de Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-ioc-asociados-al-troyano-de-acceso-remoto-njrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano de acceso remoto conocido como NjRAT ha sido reportado en ocasiones anteriores por el equipo del Csirt Financiero, es importante recalcar este tipo de nuevas actividades ya que esta amenaza se ha observado en diversas campañas en contra de organizaciones y entidades financieras de Latinoamérica.
Nueva actividad del troyano SystemBCEn el mundo de la ciberseguridad, los grupos de actores de amenaza continúan evolucionando, utilizan diversas herramientas y técnicas para comprometer la privacidad y seguridad de los sistemas informáticos. Uno de los troyanos de acceso remoto (RAT) más destacados es SystemBC. Este RAT ha sido utilizado por grupos de ciberdelincuentes como una poderosa herramienta para acceder de forma remota a equipos comprometidos, lo que les permite llevar a cabo actividades maliciosas como la recopilación de información confidencial, la ejecución de ransomware y la infiltración de otros tipos de amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-systembchttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo de la ciberseguridad, los grupos de actores de amenaza continúan evolucionando, utilizan diversas herramientas y técnicas para comprometer la privacidad y seguridad de los sistemas informáticos. Uno de los troyanos de acceso remoto (RAT) más destacados es SystemBC. Este RAT ha sido utilizado por grupos de ciberdelincuentes como una poderosa herramienta para acceder de forma remota a equipos comprometidos, lo que les permite llevar a cabo actividades maliciosas como la recopilación de información confidencial, la ejecución de ransomware y la infiltración de otros tipos de amenaza.
Decoy Dog: un toolkit evasivo para ataques empresarialesDecoy Dog es un nuevo kit de herramientas de malware que está ganando popularidad en el mundo del cibercrimen. Diseñado para ayudar a los atacantes a comprometer sistemas informáticos sin ser detectados, este toolkit es una herramienta sofisticada que utiliza técnicas avanzadas de evasión para eludir la detección por parte de software antimalware y otras medidas de seguridad. Además de estar dirigido a redes empresariales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/decoy-dog-un-toolkit-evasivo-para-ataques-empresarialeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Decoy Dog es un nuevo kit de herramientas de malware que está ganando popularidad en el mundo del cibercrimen. Diseñado para ayudar a los atacantes a comprometer sistemas informáticos sin ser detectados, este toolkit es una herramienta sofisticada que utiliza técnicas avanzadas de evasión para eludir la detección por parte de software antimalware y otras medidas de seguridad. Además de estar dirigido a redes empresariales.
Nueva campaña de distribución de DarkWatchman RATEn la actualidad, los ataques de phishing son una amenaza constante y extendida que afecta tanto a individuos como a organizaciones. Los actores de amenazas utilizan diversas tácticas, como sitios web fraudulentos, para engañar a los usuarios y obtener información confidencial. En este contexto, se ha identificado recientemente un sitio web de phishing, que los actores de amenazas están utilizando para distribuir a DarkWatchman, un troyano de acceso remoto (RAT) que les permite obtener el control remoto de los sistemas comprometidos y extraer información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-darkwatchman-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la actualidad, los ataques de phishing son una amenaza constante y extendida que afecta tanto a individuos como a organizaciones. Los actores de amenazas utilizan diversas tácticas, como sitios web fraudulentos, para engañar a los usuarios y obtener información confidencial. En este contexto, se ha identificado recientemente un sitio web de phishing, que los actores de amenazas están utilizando para distribuir a DarkWatchman, un troyano de acceso remoto (RAT) que les permite obtener el control remoto de los sistemas comprometidos y extraer información confidencial.
Cactus, el nuevo ransomware que explota vulnerabilidades de FortinetEn el ámbito del ciberespacio, se suele ver con frecuencia la aparición de nuevas actualizaciones y amenazas, que son distribuidas por grupos de ciberdelincuentes con el objetivo de atacar los pilares de la seguridad de la información de entidades y organizaciones a nivel global. Recientemente, el equipo de analistas del Csirt ha detectado un nuevo ransomware llamado Cactus, que aprovecha las vulnerabilidades en la VPN de Fortinet para afectar la disponibilidad de su entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/cactus-el-nuevo-ransomware-que-explota-vulnerabilidades-de-fortinethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito del ciberespacio, se suele ver con frecuencia la aparición de nuevas actualizaciones y amenazas, que son distribuidas por grupos de ciberdelincuentes con el objetivo de atacar los pilares de la seguridad de la información de entidades y organizaciones a nivel global. Recientemente, el equipo de analistas del Csirt ha detectado un nuevo ransomware llamado Cactus, que aprovecha las vulnerabilidades en la VPN de Fortinet para afectar la disponibilidad de su entidad.
El ransomware Akira sigue activo: una mirada a su última operación y capacidadesLa amenaza de ransomware siempre ha sido una preocupación para las empresas y organizaciones de todo el mundo. El último operador en unirse a la lista de criminales cibernéticos es Akira, que retomo su operación en marzo de 2023. El ransomware ha afectado a dieciséis empresas en diferentes sectores, incluidos educación, finanzas, bienes raíces, manufactura y consultoría.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-akira-sigue-activo-una-mirada-a-su-ultima-operacion-y-capacidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La amenaza de ransomware siempre ha sido una preocupación para las empresas y organizaciones de todo el mundo. El último operador en unirse a la lista de criminales cibernéticos es Akira, que retomo su operación en marzo de 2023. El ransomware ha afectado a dieciséis empresas en diferentes sectores, incluidos educación, finanzas, bienes raíces, manufactura y consultoría.
Nuevo ransomware denominado RaptureEn recientes investigaciones, se identificó un nuevo ransomware denominado Rapture, una nueva amenaza que posee diversas funcionalidades en su proceso de ejecución y empaquetamiento de la carga útil del mismo; por otra parte, es importante resaltar que comparte similitudes con otras familias de malware como Paradise y Zeppelin.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-rapturehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En recientes investigaciones, se identificó un nuevo ransomware denominado Rapture, una nueva amenaza que posee diversas funcionalidades en su proceso de ejecución y empaquetamiento de la carga útil del mismo; por otra parte, es importante resaltar que comparte similitudes con otras familias de malware como Paradise y Zeppelin.
Nueva actividad maliciosa del Downloader PurecrypterEl equipo de analistas de Csirt Financiero ha identificado una nuevaactividad relacionada con PureCrypter, un downloader queha estado afectando a organizaciones gubernamentales en todo el mundo. Estaamenaza ha sido evidenciada desde 2021 y se ofrece en foros de la Deep y Darkweb.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-downloader-purecrypterhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas de Csirt Financiero ha identificado una nuevaactividad relacionada con PureCrypter, un downloader queha estado afectando a organizaciones gubernamentales en todo el mundo. Estaamenaza ha sido evidenciada desde 2021 y se ofrece en foros de la Deep y Darkweb.
La botnet AndoryuBot: una amenaza creciente que utiliza la vulnerabilidad Ruckus para propagarseLa seguridad en línea es un tema cada vez más relevante en la actualidad, y la amenaza de ciberataques está siempre presente. En este sentido, recientemente se ha detectado una botnet única basada en el protocolo SOCKS, que se distribuye a través de la vulnerabilidad Ruckus (CVE-2023-25717). Esta botnet, conocida como AndoryuBot, contiene módulos de ataque DDoS para diferentes protocolos y se comunica con su servidor de comando y control utilizando proxies SOCKS5.http://csirtasobancaria.com/Plone/alertas-de-seguridad/la-botnet-andoryubot-una-amenaza-creciente-que-utiliza-la-vulnerabilidad-ruckus-para-propagarsehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad en línea es un tema cada vez más relevante en la actualidad, y la amenaza de ciberataques está siempre presente. En este sentido, recientemente se ha detectado una botnet única basada en el protocolo SOCKS, que se distribuye a través de la vulnerabilidad Ruckus (CVE-2023-25717). Esta botnet, conocida como AndoryuBot, contiene módulos de ataque DDoS para diferentes protocolos y se comunica con su servidor de comando y control utilizando proxies SOCKS5.
Nueva actividad generada por el troyano de acceso remoto ModernLoader en ColombiaDurante la ejecución de las actividades de inteligencia, el equipo de analistas del Csirt Financiero identificaron actividad por parte de ModernLoader en Colombia, un troyano de acceso remoto (RAT) desarrollado bajo el lenguaje de programación .NET que le permite tener múltiples funciones como la recopilación de data alojada en las infraestructuras informáticas comprometidas, ejecutar comandos de forma arbitraria, ejecutar y descargar archivos desde su servidor de comando y control (C2).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-generada-por-el-troyano-de-acceso-remoto-modernloader-en-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante la ejecución de las actividades de inteligencia, el equipo de analistas del Csirt Financiero identificaron actividad por parte de ModernLoader en Colombia, un troyano de acceso remoto (RAT) desarrollado bajo el lenguaje de programación .NET que le permite tener múltiples funciones como la recopilación de data alojada en las infraestructuras informáticas comprometidas, ejecutar comandos de forma arbitraria, ejecutar y descargar archivos desde su servidor de comando y control (C2).
Nuevos indicadores de compromiso vinculados al troyano bancario FormBookSe han identificado, recopilado y sanitizado nuevos indicadores de compromiso relacionados al troyano bancario FormBook, los cuales, en su mayoría, hacen referencia a recursos ejecutables tales como DLL o EXE (PE o portable executable por sus siglas en ingles) que afectan el sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-vinculados-al-troyano-bancario-formbookhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han identificado, recopilado y sanitizado nuevos indicadores de compromiso relacionados al troyano bancario FormBook, los cuales, en su mayoría, hacen referencia a recursos ejecutables tales como DLL o EXE (PE o portable executable por sus siglas en ingles) que afectan el sistema operativo Windows.
Nueva amenaza de ransomware identificada como SolixRecientemente se ha identificado actividad maliciosa de un ransomware denominado Solix, que a diferencia de otras amenazas del mismo tipo no opera como servicio; este ransomware aplica un cifrado a los archivos que están almacenados en las infraestructuras tecnológicas y les adiciona la extensión .solix; con esto inhabilita el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-de-ransomware-identificada-como-solixhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado actividad maliciosa de un ransomware denominado Solix, que a diferencia de otras amenazas del mismo tipo no opera como servicio; este ransomware aplica un cifrado a los archivos que están almacenados en las infraestructuras tecnológicas y les adiciona la extensión .solix; con esto inhabilita el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.
Nueva variante de ransomware nombrada Poop69Poop69 es un ransomware que fue identificado recientemente, este tiene como objetivo cifrar datos y a través de esta capacidad poder exigir un rescate a cambio de una clave para el descifrado, teniendo en cuenta la importancia de la información comprometida muchas organizaciones acceden al pago de esta extorsión; por lo tanto, los ciberatacantes de esta amenaza tienen fines económicos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-nombrada-poop69http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Poop69 es un ransomware que fue identificado recientemente, este tiene como objetivo cifrar datos y a través de esta capacidad poder exigir un rescate a cambio de una clave para el descifrado, teniendo en cuenta la importancia de la información comprometida muchas organizaciones acceden al pago de esta extorsión; por lo tanto, los ciberatacantes de esta amenaza tienen fines económicos.