Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevos IoC asociados con el troyano bancario DridexMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificaron nuevas actividades y artefactos relacionados a Dridex, un troyano bancario diseñado para capturar información de cuentas bancarias en línea; fue descubierto por primera vez en 2014 y desde entonces ha sido uno de los troyanos bancarios más relevantes en todo el mundo generando grandes impactos en diversos sectores, principalmente en las instituciones financieras y proveedores de servicio de pago.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-asociados-con-el-troyano-bancario-dridexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificaron nuevas actividades y artefactos relacionados a Dridex, un troyano bancario diseñado para capturar información de cuentas bancarias en línea; fue descubierto por primera vez en 2014 y desde entonces ha sido uno de los troyanos bancarios más relevantes en todo el mundo generando grandes impactos en diversos sectores, principalmente en las instituciones financieras y proveedores de servicio de pago.
Nuevos IoC asociados al ransomware Black BastaA medida que pasa el tiempo, los cibercriminales detrás del ransomware Black Basta actualizan esta amenaza y sus herramientas en pro de lograr tener éxito en sus actividades maliciosas, ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-ioc-asociados-al-ransomware-black-bastahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que pasa el tiempo, los cibercriminales detrás del ransomware Black Basta actualizan esta amenaza y sus herramientas en pro de lograr tener éxito en sus actividades maliciosas, ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.
DoubleFinger y GreetingGhoul: nuevos loader de malware que amenazan la seguridad de las criptomonedasLa captura ilegal de criptomonedas ha sido una práctica común entre los cibercriminales durante años, , y una de las últimas incorporaciones a este fenómeno es el loader DoubleFinger. Este cargador utiliza varias etapas y se implementa en el equipo de la víctima cuando esta abre un archivo adjunto malicioso en un correo electrónico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/doublefinger-y-greetingghoul-nuevos-loader-de-malware-que-amenazan-la-seguridad-de-las-criptomonedashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La captura ilegal de criptomonedas ha sido una práctica común entre los cibercriminales durante años, , y una de las últimas incorporaciones a este fenómeno es el loader DoubleFinger. Este cargador utiliza varias etapas y se implementa en el equipo de la víctima cuando esta abre un archivo adjunto malicioso en un correo electrónico.
Campaña de ataques a servidores Linux SSH expuestosRecientemente, se ha identificado una campaña de ataque en la que se instaló el bot Tsunami DDoS en servidores Linux SSH administrados incorrectamente. Este ataque también involucró otros códigos maliciosos como ShellBot, XMRig Coin Miner y Log Cleaner. Los ataques dirigidos a servidores Linux SSH mal administrados suelen resultar en la instalación de bots DDoS o malware de minería de monedas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-ataques-a-servidores-linux-ssh-expuestoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una campaña de ataque en la que se instaló el bot Tsunami DDoS en servidores Linux SSH administrados incorrectamente. Este ataque también involucró otros códigos maliciosos como ShellBot, XMRig Coin Miner y Log Cleaner. Los ataques dirigidos a servidores Linux SSH mal administrados suelen resultar en la instalación de bots DDoS o malware de minería de monedas.
Nuevo ransomware conocido como LMAOLMAO es una nueva familia basada en otra amenaza conocida como Chaos, este es un ransomware que tiene la finalidad de cifrar datos y con esto extorsionar a sus víctimas a través de la exigencia de un rescate a cambio de un beneficio económico para posteriormente entregar una clave de descifrado, todo esto lo hace con base en el tipo de información comprometida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-conocido-como-lmaohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
LMAO es una nueva familia basada en otra amenaza conocida como Chaos, este es un ransomware que tiene la finalidad de cifrar datos y con esto extorsionar a sus víctimas a través de la exigencia de un rescate a cambio de un beneficio económico para posteriormente entregar una clave de descifrado, todo esto lo hace con base en el tipo de información comprometida.
Nueva amenaza comercializada en foros clandestinos denominada Mystic StealerRecientemente, se identificó una nueva amenaza conocida como Mystic Stelaer, el cual está siendo comercializado en foros clandestinos por un valor disponible de $150 dólares por suscripción mensual y $390 dólares por tres meses de suscripción, además, los adversarios mejoran continuamente el software malicioso incorporando nuevas funciones para expandir su base de usuarios y mejorar la eficacia del stealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-comercializada-en-foros-clandestinos-denominada-mystic-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se identificó una nueva amenaza conocida como Mystic Stelaer, el cual está siendo comercializado en foros clandestinos por un valor disponible de $150 dólares por suscripción mensual y $390 dólares por tres meses de suscripción, además, los adversarios mejoran continuamente el software malicioso incorporando nuevas funciones para expandir su base de usuarios y mejorar la eficacia del stealer.
Skuld: El Infostealer Emergente que Desafía la Seguridad DigitalUn nuevo infostealer llamado Skuld basado en lenguaje de programación Golang que compromete sistemas Windows, ha surgido como una amenaza significativa en Europa, el sudeste asiático y EE. UU. Este malware tiene como objetivo capturar información confidencial de sus víctimas, incluyendo datos almacenados en aplicaciones como Discord y navegadores web, así como información del sistema y archivos en las carpetas de las víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/skuld-el-infostealer-emergente-que-desafia-la-seguridad-digitalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un nuevo infostealer llamado Skuld basado en lenguaje de programación Golang que compromete sistemas Windows, ha surgido como una amenaza significativa en Europa, el sudeste asiático y EE. UU. Este malware tiene como objetivo capturar información confidencial de sus víctimas, incluyendo datos almacenados en aplicaciones como Discord y navegadores web, así como información del sistema y archivos en las carpetas de las víctimas.
Alianza peligrosa entre Killnet, Revil y Anonymous Sudan apunta al sistema financiero occidentalEn los últimos tiempos, se ha observado un aumento en la actividad cibernética dirigida desde grupos con vínculos indirectos con el gobierno ruso. Uno de estos grupos es Killnet, conocido por su preferencia por los ataques de denegación de servicio distribuidos (DDoS). Aunque hasta ahora su impacto ha sido limitado, existen señales sólidas de que Killnet continuará desarrollándose y escalando sus ataques a través de redes maliciosas. En un giro preocupante, en las últimas 48 horas, Killnet se ha unido a los grupos Pro-Rusos REvil y Anonymous Sudan con el supuesto objetivo de llevar a cabo un ataque masivo al sistema financiero occidental.http://csirtasobancaria.com/Plone/alertas-de-seguridad/alianza-peligrosa-entre-killnet-revil-y-anonymous-sudan-apunta-al-sistema-financiero-occidentalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos tiempos, se ha observado un aumento en la actividad cibernética dirigida desde grupos con vínculos indirectos con el gobierno ruso. Uno de estos grupos es Killnet, conocido por su preferencia por los ataques de denegación de servicio distribuidos (DDoS). Aunque hasta ahora su impacto ha sido limitado, existen señales sólidas de que Killnet continuará desarrollándose y escalando sus ataques a través de redes maliciosas. En un giro preocupante, en las últimas 48 horas, Killnet se ha unido a los grupos Pro-Rusos REvil y Anonymous Sudan con el supuesto objetivo de llevar a cabo un ataque masivo al sistema financiero occidental.
Nuevo troyano bancario para Android de nombre RoamerEn el seguimiento realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña maliciosa donde los actores de amenaza suplantan páginas web principalmente de minería en la nube, para distribuir un nuevo troyano bancario denominado Roamer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-para-android-de-nombre-roamerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña maliciosa donde los actores de amenaza suplantan páginas web principalmente de minería en la nube, para distribuir un nuevo troyano bancario denominado Roamer.
Ransomware Big Head: una nueva amenaza para usuarios de WindowsEl ransomware Big Head ha surgido como una nueva amenaza en mayo de 2023, afectando a usuarios de Microsoft Windows. Este ransomware cifra los archivos de los equipos comprometidos y exige un rescate para descifrarlos. Se han identificado al menos tres variantes del ransomware Big Head, todas diseñadas con el propósito de extorsionar dinero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-big-head-una-nueva-amenaza-para-usuarios-de-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Big Head ha surgido como una nueva amenaza en mayo de 2023, afectando a usuarios de Microsoft Windows. Este ransomware cifra los archivos de los equipos comprometidos y exige un rescate para descifrarlos. Se han identificado al menos tres variantes del ransomware Big Head, todas diseñadas con el propósito de extorsionar dinero.
Nueva amenaza de ransomware denominada MonoRecientemente, investigadores de seguridad han identificado una nueva amenaza conocida como Mono; un nuevo ransomware encargado de cifrar la data alojada en las infraestructuras informáticas impactadas por esta nueva cepa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-de-ransomware-denominada-monohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores de seguridad han identificado una nueva amenaza conocida como Mono; un nuevo ransomware encargado de cifrar la data alojada en las infraestructuras informáticas impactadas por esta nueva cepa.
Nuevos indicadores de compromiso vinculados a BlackCatBlackCat es un ransomware que tiene como objetivo cifrar los archivos de las víctimas y exigir un rescate para restaurar el acceso a ellos. Según investigaciones, esta familia de malware es una variante del ransomware Aurora, que ha estado activo desde al menos 2018.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-vinculados-a-blackcathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
BlackCat es un ransomware que tiene como objetivo cifrar los archivos de las víctimas y exigir un rescate para restaurar el acceso a ellos. Según investigaciones, esta familia de malware es una variante del ransomware Aurora, que ha estado activo desde al menos 2018.
Nuevos artefactos relacionados con el troyano de acceso remoto RemcosRATEn el observatorio de ciberseguridad realizado por el equipo de analistas del Csirt Financiero, en busca de nuevas campañas, amenazas o artefactos maliciosos que puedan generar afectaciones en la infraestructura de los asociados, se identificaron nuevos indicadores de compromiso relacionados con el troyano de acceso remoto RemcosRAT, una amenaza bastante implementada por ciberdelincuentes para afectar organizaciones de diferentes sectores, incluido el financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-relacionados-con-el-troyano-de-acceso-remoto-remcosrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el observatorio de ciberseguridad realizado por el equipo de analistas del Csirt Financiero, en busca de nuevas campañas, amenazas o artefactos maliciosos que puedan generar afectaciones en la infraestructura de los asociados, se identificaron nuevos indicadores de compromiso relacionados con el troyano de acceso remoto RemcosRAT, una amenaza bastante implementada por ciberdelincuentes para afectar organizaciones de diferentes sectores, incluido el financiero.
Nuevo kit de herramientas maliciosas dirigidas a macOSRecientemente, investigadores de seguridad identificaron un sofisticado conjunto de elementos maliciosos que hacen parte de un complejo lote de herramientas maliciosas que son dirigidas a los sistemas operativos macOS del fabricante Apple.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-kit-de-herramientas-maliciosas-dirigidas-a-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores de seguridad identificaron un sofisticado conjunto de elementos maliciosos que hacen parte de un complejo lote de herramientas maliciosas que son dirigidas a los sistemas operativos macOS del fabricante Apple.
Campaña del APT BlindEagle en Colombia distribuye activamente el troyano de acceso remoto AsyncRATUna nueva y peligrosa campaña de ciberataques ha sido detectada en Colombia, perpetrada por el conocido grupo de ciberespionaje APT BlindEagle. Esta organización ha desplegado una sofisticada cadena de operaciones que utiliza técnicas de phishing para distribuir de manera activa el troyano de acceso remoto conocido como AsyncRAT. Con el objetivo de infiltrarse en sistemas sensibles y capturar información confidencial, esta campaña representa una seria amenaza para empresas e individuos en el país.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-del-apt-blindeagle-en-colombia-distribuye-activamente-el-troyano-de-acceso-remoto-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una nueva y peligrosa campaña de ciberataques ha sido detectada en Colombia, perpetrada por el conocido grupo de ciberespionaje APT BlindEagle. Esta organización ha desplegado una sofisticada cadena de operaciones que utiliza técnicas de phishing para distribuir de manera activa el troyano de acceso remoto conocido como AsyncRAT. Con el objetivo de infiltrarse en sistemas sensibles y capturar información confidencial, esta campaña representa una seria amenaza para empresas e individuos en el país.
Mallox: ransomware dirigido a servidores MS-SQLEl ransomware Mallox ha surgido como una amenaza cibernética significativa en el panorama de la seguridad informática y se ha utilizado para atacar servidores MS-SQL que han sido administrados incorrectamente o que cuenten con vulnerabilidades no parchadas, poniendo en peligro la integridad de los datos y la operatividad de las organizaciones afectadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/mallox-ransomware-dirigido-a-servidores-ms-sqlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Mallox ha surgido como una amenaza cibernética significativa en el panorama de la seguridad informática y se ha utilizado para atacar servidores MS-SQL que han sido administrados incorrectamente o que cuenten con vulnerabilidades no parchadas, poniendo en peligro la integridad de los datos y la operatividad de las organizaciones afectadas.
Condi: La nueva Botnet DDoS que explota vulnerabilidades para ataques masivosEn un reciente descubrimiento, se ha identificado un nuevo botnet de tipo DDoS denominado Condi. Este botnet ha intentado expandirse aprovechando vulnerabilidades en los enrutadores TP-Link Archer AX21 (AX1800). Desde finales de mayo de 2023, se ha observado un aumento en el número de muestras de Condi recolectadas, lo que indica un activo intento de expansión de esta amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/condi-la-nueva-botnet-ddos-que-explota-vulnerabilidades-para-ataques-masivoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En un reciente descubrimiento, se ha identificado un nuevo botnet de tipo DDoS denominado Condi. Este botnet ha intentado expandirse aprovechando vulnerabilidades en los enrutadores TP-Link Archer AX21 (AX1800). Desde finales de mayo de 2023, se ha observado un aumento en el número de muestras de Condi recolectadas, lo que indica un activo intento de expansión de esta amenaza.
Nuevos IoC relacionados con el troyano bancario QakbotMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en diversas fuentes de información y en busca de amenazas o campañas maliciosas que pueden llegar a afectar la infraestructura de los asociados, se logró identificar y recopilar nuevos indicadores de compromiso relacionados con el troyano bancario QakBot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-relacionados-con-el-troyano-bancario-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en diversas fuentes de información y en busca de amenazas o campañas maliciosas que pueden llegar a afectar la infraestructura de los asociados, se logró identificar y recopilar nuevos indicadores de compromiso relacionados con el troyano bancario QakBot.
Nueva actividad del ransomware Clop explotando vulnerabilidades conocidasEl equipo de analistas del Csirt Financiero ha detectado recientemente una actividad maliciosa de Clop, una amenaza previamente conocida. Se han recopilado nuevos indicadores de compromiso (IoC), los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con el propósito de obtener información confidencial de manera ilícita.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-ransomware-clop-explotando-vulnerabilidades-conocidashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado recientemente una actividad maliciosa de Clop, una amenaza previamente conocida. Se han recopilado nuevos indicadores de compromiso (IoC), los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con el propósito de obtener información confidencial de manera ilícita.
Nueva amenaza de tipo Dropper denominada PindOSLa ciberseguridad es un tema cada vez más relevante en nuestra era digital, ya que las amenazas y los ataques informáticos continúan evolucionando y representando un riesgo para los pilares de la seguridad de la información de las entidades, en este contexto, se ha observado recientemente la aparición de una nueva variedad de cuentagotas de JavaScript que plantea una preocupación en el ámbito de la seguridad en línea. Esta nueva amenaza, conocida como PindOS, el cual es ejecutada a través del troyano bancario Iced ID y Bumblebee.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-de-tipo-dropper-denominada-pindoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La ciberseguridad es un tema cada vez más relevante en nuestra era digital, ya que las amenazas y los ataques informáticos continúan evolucionando y representando un riesgo para los pilares de la seguridad de la información de las entidades, en este contexto, se ha observado recientemente la aparición de una nueva variedad de cuentagotas de JavaScript que plantea una preocupación en el ámbito de la seguridad en línea. Esta nueva amenaza, conocida como PindOS, el cual es ejecutada a través del troyano bancario Iced ID y Bumblebee.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}