Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Surge una campaña maliciosa con nuevas amenazasEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o actividades maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una campaña motivada financieramente distribuyendo dos amenazas nuevas, siendo una de ellas un ransomware denominado MortalKombat y el otro una variante del clipper Laplas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/surge-una-campana-maliciosa-con-nuevas-amenazashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o actividades maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una campaña motivada financieramente distribuyendo dos amenazas nuevas, siendo una de ellas un ransomware denominado MortalKombat y el otro una variante del clipper Laplas.
Dark Caracal APT emplea una nueva versión del spyware Bandook en objetivos de América LatinaEl grupo de Dark Caracal APT ha reaparecido con una nueva campaña de infección de computadoras en América Central y Latina. La campaña está activa desde marzo de 2022, desde entonces han conseguido establecerse en cientos de equipos en más de una docena de países. El grupo utiliza una nueva versión del spyware Bandook para apuntar a sistemas operativos Microsoft Windows, teniendo como foco principal la República Dominicana y Venezuela.http://csirtasobancaria.com/Plone/alertas-de-seguridad/dark-caracal-apt-emplea-una-nueva-version-del-spyware-bandook-en-objetivos-de-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de Dark Caracal APT ha reaparecido con una nueva campaña de infección de computadoras en América Central y Latina. La campaña está activa desde marzo de 2022, desde entonces han conseguido establecerse en cientos de equipos en más de una docena de países. El grupo utiliza una nueva versión del spyware Bandook para apuntar a sistemas operativos Microsoft Windows, teniendo como foco principal la República Dominicana y Venezuela.
Nueva variante de la botnet Mirai denominada V3G4Mirai es una botnet activa desde el año 2016, los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS, entre otros. Recientemente se han identificado nuevas variantes de esta botnet y en esta ocasión se observó una nueva denominada V3g4, la cual viene realizando explotaciones a vulnerabilidades en servidores basados en el sistema operativo Linux y dispositivos IoT para usarlos en ataques DDoS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-la-botnet-mirai-denominada-v3g4http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mirai es una botnet activa desde el año 2016, los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS, entre otros. Recientemente se han identificado nuevas variantes de esta botnet y en esta ocasión se observó una nueva denominada V3g4, la cual viene realizando explotaciones a vulnerabilidades en servidores basados en el sistema operativo Linux y dispositivos IoT para usarlos en ataques DDoS.
Nuevo criptominero denominado ProxyShellMiner explota vulnerabilidades de Microsoft ExchangeRecientemente se identificó una nueva campaña distribuyendo el criptominero 'ProxyShellMiner' que afecta equipos con sistemas Microsoft Windows, esta amenaza utiliza las vulnerabilidades de Microsoft Exchange ProxyShell para implementar cargas útiles de mineros de criptomonedas en toda la red de una organización, permitiendo a los atacantes tomar el control completo del servidor de Exchange y pivotar a otras partes de la red.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-criptominero-denominado-proxyshellminer-explota-vulnerabilidades-de-microsoft-exchangehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó una nueva campaña distribuyendo el criptominero 'ProxyShellMiner' que afecta equipos con sistemas Microsoft Windows, esta amenaza utiliza las vulnerabilidades de Microsoft Exchange ProxyShell para implementar cargas útiles de mineros de criptomonedas en toda la red de una organización, permitiendo a los atacantes tomar el control completo del servidor de Exchange y pivotar a otras partes de la red.
Nueva actividad maliciosa del troyano bancario MekotioRecientemente el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso del troyano bancario conocido como Mekotio, esta nueva campaña está dirigida a países de Latinoamérica con el objetivo de capturar datos confidenciales de entidades financieras, en donde los actores detrás de amenaza implementan nuevas (TTP) con el fin de no ser detectadas por soluciones de seguridad y tecnologías de detección antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-mekotiohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso del troyano bancario conocido como Mekotio, esta nueva campaña está dirigida a países de Latinoamérica con el objetivo de capturar datos confidenciales de entidades financieras, en donde los actores detrás de amenaza implementan nuevas (TTP) con el fin de no ser detectadas por soluciones de seguridad y tecnologías de detección antimalware.
Nuevo backdoor rastreado como Frebniis abusa de Microsoft ISSEl panorama de amenazas continúa proliferando nuevas familias de malware, en esta ocasión se ha detectado un nuevo backdoor llamado Frebniis que aprovecha una característica de los Servicios de información de Internet de Microsoft (IIS) para ejecutar comandos sigilosamente a través de solicitudes web e implementarse en sistemas específicos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-backdoor-rastreado-como-frebniis-abusa-de-microsoft-isshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de amenazas continúa proliferando nuevas familias de malware, en esta ocasión se ha detectado un nuevo backdoor llamado Frebniis que aprovecha una característica de los Servicios de información de Internet de Microsoft (IIS) para ejecutar comandos sigilosamente a través de solicitudes web e implementarse en sistemas específicos.
Nueva actividad maliciosa del stealer VidarVidar es un stealer que en estos últimos meses se ha convertido en una de las familias de malware más relevantes en el ámbito de ciberseguridad, no solo por su capacidad de captura de información sino por el impacto que ha generado en el sector financiero; así mismo, se ha presenciado múltiples participaciones de este en diversas filtraciones de credenciales de cuentas bancarias en Colombia, las cuales se han comercializado en la Deep y Dark web, lo cual conlleva a tener presente esta amenaza y en constante monitoreo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-stealer-vidarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Vidar es un stealer que en estos últimos meses se ha convertido en una de las familias de malware más relevantes en el ámbito de ciberseguridad, no solo por su capacidad de captura de información sino por el impacto que ha generado en el sector financiero; así mismo, se ha presenciado múltiples participaciones de este en diversas filtraciones de credenciales de cuentas bancarias en Colombia, las cuales se han comercializado en la Deep y Dark web, lo cual conlleva a tener presente esta amenaza y en constante monitoreo.
Nuevo troyano de acceso remoto denominado M2RATSe ha identificado recientemente una nueva familia de malware, presentado como M2RAT, es un troyano de acceso remoto que es distribuido a través de la vulnerabilidad (CVE-2017-8291), adicionalmente, agrega técnicas de esteganografía, backdoor, inyección de código malicioso y exfiltración de data sensible del sistema informático comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-m2rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado recientemente una nueva familia de malware, presentado como M2RAT, es un troyano de acceso remoto que es distribuido a través de la vulnerabilidad (CVE-2017-8291), adicionalmente, agrega técnicas de esteganografía, backdoor, inyección de código malicioso y exfiltración de data sensible del sistema informático comprometido.
Nueva actividad maliciosa del ransomware BlackcatEl ransomware BlackCat ha sido una de las amenazas más utilizadas por grupos de ciberdelincuentes generando grandes afectaciones a organizaciones en Latinoamérica, con un gran impacto en la disponibilidad de la información de organizaciones públicas y privadas como universidades y fuerzas militares, por lo que es importante realizar un seguimiento constante de esta amenaza donde se logran identificar nuevos indicadores de compromiso relacionados a BlackCat.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-blackcathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware BlackCat ha sido una de las amenazas más utilizadas por grupos de ciberdelincuentes generando grandes afectaciones a organizaciones en Latinoamérica, con un gran impacto en la disponibilidad de la información de organizaciones públicas y privadas como universidades y fuerzas militares, por lo que es importante realizar un seguimiento constante de esta amenaza donde se logran identificar nuevos indicadores de compromiso relacionados a BlackCat.
El nuevo Stealer Stealc toma popularidad entre ciberdelincuentesÚltimamente emergen nuevas familias de malware casi a diario en el panorama de amenazas, es así como se ha rastreado Stealc un nuevo stealer que ha ganado popularidad en la web oscura debido a su agresiva promoción de capacidades de captura de datos, además de tener funcionalidades basadas en los stealer Vidar, Raccoon, Mars y Redline.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-nuevo-stealer-stealc-toma-popularidad-entre-ciberdelincuenteshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Últimamente emergen nuevas familias de malware casi a diario en el panorama de amenazas, es así como se ha rastreado Stealc un nuevo stealer que ha ganado popularidad en la web oscura debido a su agresiva promoción de capacidades de captura de datos, además de tener funcionalidades basadas en los stealer Vidar, Raccoon, Mars y Redline.
Nuevos indicadores de compromiso asociados a BitRATMediante actividades de monitoreo a fuentes abiertas de información en busca de nuevas campañas y/o amenazas que puedan afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionados con actividades recientes de BitRAT, el cual es un troyano de acceso remoto comercializado desde febrero del 2021 en foros clandestinos de la Deep y Dark web.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-bitrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo a fuentes abiertas de información en busca de nuevas campañas y/o amenazas que puedan afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionados con actividades recientes de BitRAT, el cual es un troyano de acceso remoto comercializado desde febrero del 2021 en foros clandestinos de la Deep y Dark web.
Nueva actividad maliciosa del troyano de acceso remoto Quasar RATAunque el troyano de acceso remoto Quasar RAT ha sido reportado anteriormente por el Csirt, es importante resaltar sus recientes actividades maliciosas, donde a través de fuentes de información abierta se han identificado nuevos indicadores de compromiso relacionados a Quasar RAT, el cual se encuentra dirigido a entidades financieras y en sus últimas campañas a estado dirigida a Colombia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-de-acceso-remoto-quasar-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano de acceso remoto Quasar RAT ha sido reportado anteriormente por el Csirt, es importante resaltar sus recientes actividades maliciosas, donde a través de fuentes de información abierta se han identificado nuevos indicadores de compromiso relacionados a Quasar RAT, el cual se encuentra dirigido a entidades financieras y en sus últimas campañas a estado dirigida a Colombia.
El ransomware Magniber reaparece con nuevas capacidades para generar persistencia.Mediante diferentes fuentes de información abiertas, el equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas y amenazas que puedan afectar la infraestructura de los asociados, donde se identificó actividades recientes del ransomware Magniber implementando técnicas para generar persistencia en los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-magniber-reaparece-con-nuevas-capacidades-para-generar-persistenciahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante diferentes fuentes de información abiertas, el equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas y amenazas que puedan afectar la infraestructura de los asociados, donde se identificó actividades recientes del ransomware Magniber implementando técnicas para generar persistencia en los equipos comprometidos.
Nueva actividad maliciosa del troyano bancario LokibotA través de un monitoreo a fuentes abiertas de información el equipo de analistas del Csirt financiero identifico nuevos indicadores de compromiso relacionados con Lokibot, una de las amenazas más utilizadas por grupos de ciberdelincuentes gracias a sus altas capacidades, por lo que es importante realizar las actualizaciones correspondientes a este tipo de actividades que ayuden a prevenir cualquier tipo de afectación a su entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de un monitoreo a fuentes abiertas de información el equipo de analistas del Csirt financiero identifico nuevos indicadores de compromiso relacionados con Lokibot, una de las amenazas más utilizadas por grupos de ciberdelincuentes gracias a sus altas capacidades, por lo que es importante realizar las actualizaciones correspondientes a este tipo de actividades que ayuden a prevenir cualquier tipo de afectación a su entidad.
El downloader Pure crypter descarga diversas familias de malwareRecientemente el equipo de analistas del Csirt Financiero identificó nueva actividad relacionada a Pure Crypter un downloader el cual está reapareciendo y realizando afectaciones a organizaciones gubernamentales a nivel mundial, generando la descarga de diversos tipos de malware como ransomware y troyanos de acceso remoto, gracias a estas nuevas actividades se generan nuevos indicadores de compromiso relacionados a Pure Crypter.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-downloader-pure-crypter-descarga-diversas-familias-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el equipo de analistas del Csirt Financiero identificó nueva actividad relacionada a Pure Crypter un downloader el cual está reapareciendo y realizando afectaciones a organizaciones gubernamentales a nivel mundial, generando la descarga de diversos tipos de malware como ransomware y troyanos de acceso remoto, gracias a estas nuevas actividades se generan nuevos indicadores de compromiso relacionados a Pure Crypter.
Indicadores de compromiso recientes del troyano IcedIDDurante procesos de inteligencia, se identificaron nuevos indicadores de compromiso (IoC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalas y/o ejecutar otras familias de malware para maximizar su impacto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-recientes-del-troyano-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante procesos de inteligencia, se identificaron nuevos indicadores de compromiso (IoC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalas y/o ejecutar otras familias de malware para maximizar su impacto.
Nueva actividad maliciosa del troyano AsyncRAT dirigida a organizaciones de ColombiaEl troyano de acceso remoto conocido como AsyncRAT está diseñado para conceder acceso remoto a un atacante que puede recopilar información sensible del sistema y del usuario para luego exfiltrarla, gracias a sus altas capacidades es una de las amenazas más utilizadas por grupos de ciberdelincuentes a nivel mundial y en esta ocasión el equipo del Csirt Financiero identificó una nueva campaña dirigida a organizaciones de Colombia, por lo que es importante resaltar este tipo de actividad con el fin de prevenir alguna afectación a su entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-asyncrat-dirigida-a-organizaciones-de-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano de acceso remoto conocido como AsyncRAT está diseñado para conceder acceso remoto a un atacante que puede recopilar información sensible del sistema y del usuario para luego exfiltrarla, gracias a sus altas capacidades es una de las amenazas más utilizadas por grupos de ciberdelincuentes a nivel mundial y en esta ocasión el equipo del Csirt Financiero identificó una nueva campaña dirigida a organizaciones de Colombia, por lo que es importante resaltar este tipo de actividad con el fin de prevenir alguna afectación a su entidad.
El nuevo framework EX-22 emerge entre las herramientas de los adversariosAl realizar seguimiento a las principales herramientas que hacen parte del arsenal actual de los ciberdelincuentes en la orquestación de sus ataques, se ha observado un nuevo framework de ataque denominado EXFILTRATOR-22 (EX-22) que tiene como objetivo desplegar ransomware dentro de las redes de sus víctimas de forma encubierta.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-nuevo-framework-ex-22-emerge-entre-las-herramientas-de-los-adversarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Al realizar seguimiento a las principales herramientas que hacen parte del arsenal actual de los ciberdelincuentes en la orquestación de sus ataques, se ha observado un nuevo framework de ataque denominado EXFILTRATOR-22 (EX-22) que tiene como objetivo desplegar ransomware dentro de las redes de sus víctimas de forma encubierta.
El Bootkit UEFI denominado BlackLotus toma protagonismo en el panorama de amenazasLa orquestación de ataques cibernéticos se vuelve más sofisticado con herramientas como el bootkit de arranque UEFI conocido como BlackLotus, que omite la característica de seguridad de la plataforma UEFI Secure Boot. Los bootkits UEFI son amenazas muy poderosas que pueden controlar todo el proceso de arranque del sistema operativo y deshabilitar varios mecanismos de seguridad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-bootkit-uefi-denominado-blacklotus-toma-protagonismo-en-el-panorama-de-amenazashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La orquestación de ataques cibernéticos se vuelve más sofisticado con herramientas como el bootkit de arranque UEFI conocido como BlackLotus, que omite la característica de seguridad de la plataforma UEFI Secure Boot. Los bootkits UEFI son amenazas muy poderosas que pueden controlar todo el proceso de arranque del sistema operativo y deshabilitar varios mecanismos de seguridad.
Nueva actividad maliciosa del ransomware RoyalA través de fuentes abiertas de información el equipo de analistas del Csirt Financiero identifico una nueva actividad maliciosa del ransomware Royal, donde se observaron nuevas capacidades de esta amenaza y a su vez nuevos indicadores de compromisos relacionados a Royal ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-royalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de fuentes abiertas de información el equipo de analistas del Csirt Financiero identifico una nueva actividad maliciosa del ransomware Royal, donde se observaron nuevas capacidades de esta amenaza y a su vez nuevos indicadores de compromisos relacionados a Royal ransomware.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}