Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva actividad relacionada con los ransomware Inlock y XoristLos actores de amenaza continúan empleando el ransomware como uno de los medios para generar ganancias económicas de ahí que el aumento de infecciones por esta amenaza se vea constantemente en el ciberespacio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-los-ransomware-inlock-y-xoristhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza continúan empleando el ransomware como uno de los medios para generar ganancias económicas de ahí que el aumento de infecciones por esta amenaza se vea constantemente en el ciberespacio.
Nuevo Stealer denominado Strela orientado a la exfiltración de credenciales de accesoRecientemente se ha identificado un nuevo Stealer denominado Strela; enfocado en la captura y exfiltración de información asociada a las credenciales de acceso de las cuentas de correo electrónico de Outlook y Thunderbird, los cuales son altamente utilizados por usuarios y organizaciones a nivel mundial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-strela-orientado-a-la-exfiltracion-de-credenciales-de-accesohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado un nuevo Stealer denominado Strela; enfocado en la captura y exfiltración de información asociada a las credenciales de acceso de las cuentas de correo electrónico de Outlook y Thunderbird, los cuales son altamente utilizados por usuarios y organizaciones a nivel mundial.
IceXLoader retorna con una nueva actualizaciónIceXLoader es conocido en el ecosistema de ciberseguridad por ser utilizado como un cargador que implementa diversas familias de malware en las campañas maliciosas de los ciberdelincuentes; además, es distribuido a través de foros clandestinos de la Deep y Dark web por el precio de 118 dólares, otorgando una licencia de por vida, lo cual permite que los usuarios puedan usarlo las veces que lo requieran. Anteriormente, se había evidenciado que en su versión 3.0 se encontraba en fase de desarrollo al observar sus comportamientos y actividades.http://csirtasobancaria.com/Plone/alertas-de-seguridad/icexloader-retorna-con-una-nueva-actualizacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IceXLoader es conocido en el ecosistema de ciberseguridad por ser utilizado como un cargador que implementa diversas familias de malware en las campañas maliciosas de los ciberdelincuentes; además, es distribuido a través de foros clandestinos de la Deep y Dark web por el precio de 118 dólares, otorgando una licencia de por vida, lo cual permite que los usuarios puedan usarlo las veces que lo requieran. Anteriormente, se había evidenciado que en su versión 3.0 se encontraba en fase de desarrollo al observar sus comportamientos y actividades.
Dagon Locker evoluciona y cambia su nombre a Dagon RansomwareSe conoce que Dagon Ransomware es una variante de Mount Locker ransomware, sin embargo, ha sido capacitado con nuevas herramientas que lo hacen más efectivo en la ejecución de sus actividades maliciosas dentro de las infraestructuras comprometidas; durante su proceso de cifrado manipula los archivos y les agrega la extensión .dagoned, con el objetivo de inhabilitar el acceso a estos por parte de sus víctimas, posteriormente genera una nota de rescate denominada README_TO_DECRYPT.html donde se incluyen las instrucciones que conllevan a recuperar la información comprometida por los cibercriminales a través de esta amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/dagon-locker-evoluciona-y-cambia-su-nombre-a-dagon-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se conoce que Dagon Ransomware es una variante de Mount Locker ransomware, sin embargo, ha sido capacitado con nuevas herramientas que lo hacen más efectivo en la ejecución de sus actividades maliciosas dentro de las infraestructuras comprometidas; durante su proceso de cifrado manipula los archivos y les agrega la extensión .dagoned, con el objetivo de inhabilitar el acceso a estos por parte de sus víctimas, posteriormente genera una nota de rescate denominada README_TO_DECRYPT.html donde se incluyen las instrucciones que conllevan a recuperar la información comprometida por los cibercriminales a través de esta amenaza.
Surge el nuevo ransomware KillnetEl ransomware es una de las amenazas más persistentes en la superficie de ataque empleada actualmente por los ciberdelincuentes, dado que logra impactar de manera significativa una organización; las razones que tienen sus autores suelen ser orientadas a un beneficio monetario y en otros casos impulsados por causas sociales o por intereses políticos de sus países de origen.http://csirtasobancaria.com/Plone/alertas-de-seguridad/surge-el-nuevo-ransomware-killnethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware es una de las amenazas más persistentes en la superficie de ataque empleada actualmente por los ciberdelincuentes, dado que logra impactar de manera significativa una organización; las razones que tienen sus autores suelen ser orientadas a un beneficio monetario y en otros casos impulsados por causas sociales o por intereses políticos de sus países de origen.
Nuevas actividades, procesos y artefactos asociados al troyano de acceso remoto MikeyRecientemente se han identificado nuevas actividades asociadas a la amenaza Mikey, troyano de acceso remoto sigiloso que realiza procesos que le permiten generar persistencia al almacenar múltiples artefactos maliciosos en diversas rutas del sistema operativo, generar conexiones externas con su comando y control (C2), captura de pulsaciones de teclas (keylogger), descarga e instalación de archivos u otras familias de malware, finalización de tareas, ataques de denegación de servicio (DoS), recopilación y exfiltración de información sensible alojada en las infraestructuras tecnológicas comprometidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actividades-procesos-y-artefactos-asociados-al-troyano-de-acceso-remoto-mikey-2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se han identificado nuevas actividades asociadas a la amenaza Mikey, troyano de acceso remoto sigiloso que realiza procesos que le permiten generar persistencia al almacenar múltiples artefactos maliciosos en diversas rutas del sistema operativo, generar conexiones externas con su comando y control (C2), captura de pulsaciones de teclas (keylogger), descarga e instalación de archivos u otras familias de malware, finalización de tareas, ataques de denegación de servicio (DoS), recopilación y exfiltración de información sensible alojada en las infraestructuras tecnológicas comprometidas.
Nueva actividad maliciosa del troyano bancario VulturRecientemente se ha evidenciado un aumento significativo en el número de campañas maliciosas que tienen como objetivo capturar información sensible relacionada al sector financiero, donde los actores de amenaza enmarcaran las cargas útiles de troyanos bancarios en aplicaciones supuestamente legitimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-vulturhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha evidenciado un aumento significativo en el número de campañas maliciosas que tienen como objetivo capturar información sensible relacionada al sector financiero, donde los actores de amenaza enmarcaran las cargas útiles de troyanos bancarios en aplicaciones supuestamente legitimas.
Nuevas campañas del troyano bancario Hydra apuntan a entidades de Latinoamérica.En el monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad realizada por el troyano bancario Hydra donde implementaron múltiples entidades y plataformas de “exchange” de criptomonedas, haciendo posible el robo de las cuentas de los usuarios e incluso wallets (billetera electrónica para guardar dinero, tarjetas de crédito/debito, etc).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-del-troyano-bancario-hydra-apuntan-a-entidades-de-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad realizada por el troyano bancario Hydra donde implementaron múltiples entidades y plataformas de “exchange” de criptomonedas, haciendo posible el robo de las cuentas de los usuarios e incluso wallets (billetera electrónica para guardar dinero, tarjetas de crédito/debito, etc).
Continúa proliferando el ransomware Magniber en la naturalezaEl ransomware Magniber apareció en la naturaleza desde 2017, desde ese entonces había mantenido un periodo activo en sus inicios, después mantuvo una actividad poco visible en la superficie de ataque implementada por ciberdelincuentes; sin embargo, en las actualizaciones que implementaron sus autores en este año, aumentó considerablemente la cantidad de ataques cibernéticos que distribuyen esta amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/continua-proliferando-el-ransomware-magniber-en-la-naturalezahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Magniber apareció en la naturaleza desde 2017, desde ese entonces había mantenido un periodo activo en sus inicios, después mantuvo una actividad poco visible en la superficie de ataque implementada por ciberdelincuentes; sin embargo, en las actualizaciones que implementaron sus autores en este año, aumentó considerablemente la cantidad de ataques cibernéticos que distribuyen esta amenaza.
Nuevo troyano bancario denominado Android FakecallsRecientemente se ha identificado un nuevo troyano bancario denominado Android Fakecalls, el cual se destaca por redirigir las llamadas de las víctimas a números telefónicos que son controlados por los actores de amenaza, donde estos fingen ser funcionarios de entidades bancarias para recopilar información confidencial de las mencionadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-denominado-android-fakecallshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado un nuevo troyano bancario denominado Android Fakecalls, el cual se destaca por redirigir las llamadas de las víctimas a números telefónicos que son controlados por los actores de amenaza, donde estos fingen ser funcionarios de entidades bancarias para recopilar información confidencial de las mencionadas.
Robin Banks retorna con nuevas funcionalidades y característicasMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se encontró que la plataforma de phishing como servicio (PhaaS) Robin Banks retornó sus operaciones, utilizando una infraestructura de una empresa de internet rusa que brinda servicios de protección contra ataques DDoS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/robin-banks-retorna-con-nuevas-funcionalidades-y-caracteristicashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se encontró que la plataforma de phishing como servicio (PhaaS) Robin Banks retornó sus operaciones, utilizando una infraestructura de una empresa de internet rusa que brinda servicios de protección contra ataques DDoS.
Nueva actividad del troyano bancario Ponteiro apunta a entidades de LatinoaméricaLos actores de amenazas detrás de la operación de las distintas campañas del troyano bancario Ponteiro habían cesado su actividad desde hacía unos meses, no obstante, estos atacantes durante ese periodo actualizaron sus estrategias de ataque para dirigirse a nuevas entidades financieras de Latinoamérica; esta amenaza apareció en la naturaleza desde 2018 desde aquel entonces ha impactado usuarios de Brasil, México y recientemente en Perú.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-bancario-ponteiro-apunta-a-entidades-de-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenazas detrás de la operación de las distintas campañas del troyano bancario Ponteiro habían cesado su actividad desde hacía unos meses, no obstante, estos atacantes durante ese periodo actualizaron sus estrategias de ataque para dirigirse a nuevas entidades financieras de Latinoamérica; esta amenaza apareció en la naturaleza desde 2018 desde aquel entonces ha impactado usuarios de Brasil, México y recientemente en Perú.
Nueva actividad maliciosa de SmokeLoaderRecientemente se ha identificado nueva actividad maliciosa asociada a SmokeLoader, el cual está siendo utilizado para distribuir diversas familias de malware, entre las cuales destaca SystemBC RAT, ReccordBreaker (también conocido como Raccon Stealer 2.0) y Laplas Clipper.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-smokeloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado nueva actividad maliciosa asociada a SmokeLoader, el cual está siendo utilizado para distribuir diversas familias de malware, entre las cuales destaca SystemBC RAT, ReccordBreaker (también conocido como Raccon Stealer 2.0) y Laplas Clipper.
Actividad de Ransomware Black Basta implementa herramientas del grupo FIN7El ransomware Black Basta ha estado activo desde abril de 2022, esta amenaza implementa un modelo de ataque de doble extorsión al igual que otras operaciones de ransomware, pero en las últimas actividades se pudo observar que los actores detrás de esta amenaza se vinculan con FIN7, un grupo de hackers con motivación financiera activo desde al menos 2015 que implementan malware a dispositivos POS (point-of-sale) y lanzan ataques phishing dirigidas a cientos de empresas de todo el mundo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-ransomware-black-basta-implementa-herramientas-del-grupo-fin7http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Black Basta ha estado activo desde abril de 2022, esta amenaza implementa un modelo de ataque de doble extorsión al igual que otras operaciones de ransomware, pero en las últimas actividades se pudo observar que los actores detrás de esta amenaza se vinculan con FIN7, un grupo de hackers con motivación financiera activo desde al menos 2015 que implementan malware a dispositivos POS (point-of-sale) y lanzan ataques phishing dirigidas a cientos de empresas de todo el mundo.
Reciente actividad de la Botnet Emotet se distribuye a nivel global.El equipo de analista del Csirt Financiero realizó un monitoreo de ultimas actividades maliciosas que puedan llegar afectar la infraestructura y pilares de la información de nuestros asociados, donde se observó nuevo movimiento de la botnet Emotet.http://csirtasobancaria.com/Plone/alertas-de-seguridad/reciente-actividad-de-la-botnet-emotet-se-distribuye-a-nivel-globalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analista del Csirt Financiero realizó un monitoreo de ultimas actividades maliciosas que puedan llegar afectar la infraestructura y pilares de la información de nuestros asociados, donde se observó nuevo movimiento de la botnet Emotet.
Nuevo ransomware denominado GwisinEn el ecosistema de ciberseguridad, es frecuente evidenciar que los actores de amenaza aprovechen cualquier tipo de vulnerabilidad y/o brecha de seguridad, presentada en aplicaciones, servicios y/o plataformas alojadas en internet; esto con el propósito de implementar alguna familia de malware en la infraestructura tecnológica objetivo y así, afectar la seguridad de la información de dicha organización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-gwisinhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ecosistema de ciberseguridad, es frecuente evidenciar que los actores de amenaza aprovechen cualquier tipo de vulnerabilidad y/o brecha de seguridad, presentada en aplicaciones, servicios y/o plataformas alojadas en internet; esto con el propósito de implementar alguna familia de malware en la infraestructura tecnológica objetivo y así, afectar la seguridad de la información de dicha organización.
Un nuevo wiper denominado Azov aparece en la naturalezaLos ciberataques se han reproducido de manera exponencial durante los últimos meses de ahí que surjan nuevas amenazas en la naturaleza, justamente recientemente se descubrió un destructivo wiper denominado Azov que se distribuye activamente a nivel global; la campaña en curso ha logrado impactar distintas organizaciones cifrando y eliminando su información, no obstante, la criticidad de ser infectado con Azov es que los actores de amenaza no asociaron ningún medio de comunicación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-wiper-denominado-azov-aparece-en-la-naturalezahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberataques se han reproducido de manera exponencial durante los últimos meses de ahí que surjan nuevas amenazas en la naturaleza, justamente recientemente se descubrió un destructivo wiper denominado Azov que se distribuye activamente a nivel global; la campaña en curso ha logrado impactar distintas organizaciones cifrando y eliminando su información, no obstante, la criticidad de ser infectado con Azov es que los actores de amenaza no asociaron ningún medio de comunicación.
Nueva actividad del troyano Amadey implementa ransomware LockBit.En el monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que realizo el troyano Amadey en el cual están implementando el ransomware LockBit. Este troyano se identificó por primera vez en el año 2018 con capacidades de capturar información confidencial e instalar código malicioso adicional en el equipo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-amadey-implementa-ransomware-lockbithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que realizo el troyano Amadey en el cual están implementando el ransomware LockBit. Este troyano se identificó por primera vez en el año 2018 con capacidades de capturar información confidencial e instalar código malicioso adicional en el equipo infectado.
La botnet Fodcha continúa liberando ataques en el ciberespacioDesde mediados de enero de este año se descubrió un actor de amenazas que empleaba una botnet denominada Fodcha, desde su aparición se realizaron operaciones para derrocar la infraestructura con la que operaban estos ciberdelincuentes; no obstante, los ciberdelincuentes fingieron una derrota para implementar mejoras en sus capacidades, generando la evolución de nuevas variantes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/la-botnet-fodcha-continua-liberando-ataques-en-el-ciberespaciohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde mediados de enero de este año se descubrió un actor de amenazas que empleaba una botnet denominada Fodcha, desde su aparición se realizaron operaciones para derrocar la infraestructura con la que operaban estos ciberdelincuentes; no obstante, los ciberdelincuentes fingieron una derrota para implementar mejoras en sus capacidades, generando la evolución de nuevas variantes.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}