Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
BlackByte NT: La nueva versión del ransomware BlackByteBlackByte es un grupo conocido por su uso de su ransomware con el mismo nombre, ofreciendo su servicio a sus afiliados como Ransomware-as-a-Service (RaaS). Han desarrollado diferentes variantes de malware a lo largo del tiempo, implementadas en varios lenguajes de programación. Su última versión, llamada BlackByte NT, Esta nueva implementación agrega controladores adicionales para explotar una vulnerabilidad específica y desactivar herramientas de seguridad que podrían interferir con su funcionamiento.http://csirtasobancaria.com/Plone/alertas-de-seguridad/blackbyte-nt-la-nueva-version-del-ransomware-blackbytehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
BlackByte es un grupo conocido por su uso de su ransomware con el mismo nombre, ofreciendo su servicio a sus afiliados como Ransomware-as-a-Service (RaaS). Han desarrollado diferentes variantes de malware a lo largo del tiempo, implementadas en varios lenguajes de programación. Su última versión, llamada BlackByte NT, Esta nueva implementación agrega controladores adicionales para explotar una vulnerabilidad específica y desactivar herramientas de seguridad que podrían interferir con su funcionamiento.
BlackCat: Ataques de ransomware potenciados por controladores maliciososRecientemente se ha detectado un aumento en la actividad del grupo de ransomware conocido como ALPHV, también llamado BlackCat. Lo preocupante es que este grupo está utilizando controladores de kernel de Windows maliciosos, los cuales están firmados para evadir la detección por parte del software de seguridad durante sus ataques. Esta táctica les ha permitido eludir las defensas y llevar a cabo sus acciones sin ser detectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/blackcat-ataques-de-ransomware-potenciados-por-controladores-maliciososhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha detectado un aumento en la actividad del grupo de ransomware conocido como ALPHV, también llamado BlackCat. Lo preocupante es que este grupo está utilizando controladores de kernel de Windows maliciosos, los cuales están firmados para evadir la detección por parte del software de seguridad durante sus ataques. Esta táctica les ha permitido eludir las defensas y llevar a cabo sus acciones sin ser detectados.
BlackCat, Nuevo ransomware desarrollado en lenguaje RustEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo ransomware denominado BlackCat, el cual ha sido catalogado como sofisticado, debido a sus altas capacidades y desarrollo en el lenguaje de programación Rust.http://csirtasobancaria.com/Plone/alertas-de-seguridad/blackcat-nuevo-ransomware-desarrollado-en-lenguaje-rusthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo ransomware denominado BlackCat, el cual ha sido catalogado como sofisticado, debido a sus altas capacidades y desarrollo en el lenguaje de programación Rust.
BlackSuit ransomware: amenaza que afecta sistemas Linux y WindowsEn los últimos años, los ataques de ransomware se han vuelto cada vez más comunes y sofisticados. Debido a que Linux se utiliza ampliamente como sistema operativo en varios sectores, incluidos entornos empresariales y plataformas de computación en la nube, se ha convertido en un objetivo atractivo para los grupos de ransomware. Esto significa que un solo ataque puede comprometer numerosos sistemas. En ese contexto, se ha encontrado una nueva amenaza llamada BlackSuit, un ransomware utilizado por actores de amenazas para atacar a usuarios de sistemas operativos Microsoft Windows y Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/blacksuit-ransomware-amenaza-que-afecta-sistemas-linux-y-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos años, los ataques de ransomware se han vuelto cada vez más comunes y sofisticados. Debido a que Linux se utiliza ampliamente como sistema operativo en varios sectores, incluidos entornos empresariales y plataformas de computación en la nube, se ha convertido en un objetivo atractivo para los grupos de ransomware. Esto significa que un solo ataque puede comprometer numerosos sistemas. En ese contexto, se ha encontrado una nueva amenaza llamada BlackSuit, un ransomware utilizado por actores de amenazas para atacar a usuarios de sistemas operativos Microsoft Windows y Linux.
Blind Eagle (APT-C-36) utiliza infraestructura Proton66 en campaña maliciosa activaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña sigilosa atribuida al grupo Blind Eagle, también conocido como APT-C-36, la cual utiliza el servicio de alojamiento ruso Proton66 como base para su infraestructura de phishing y distribución de malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/blind-eagle-apt-c-36-utiliza-infraestructura-proton66-en-campana-maliciosa-activahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña sigilosa atribuida al grupo Blind Eagle, también conocido como APT-C-36, la cual utiliza el servicio de alojamiento ruso Proton66 como base para su infraestructura de phishing y distribución de malware.
Blind Eagle mantiene una activa campaña maliciosa en contra de entidades colombianasEl grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle, ha estado desplegando campañas en Colombia desde 2019. Comúnmente utilizan correos electrónicos tipo phishing para dirigirse a entidades específicas y estratégicas en sectores clave, incluyendo salud, finanzas, judiciales, gubernamentales, entre otros. Además, también se han descubierto campañas dirigidas a Ecuador, Chile y España.http://csirtasobancaria.com/Plone/alertas-de-seguridad/blind-eagle-mantiene-una-activa-campana-maliciosa-en-contra-de-entidades-colombianashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle, ha estado desplegando campañas en Colombia desde 2019. Comúnmente utilizan correos electrónicos tipo phishing para dirigirse a entidades específicas y estratégicas en sectores clave, incluyendo salud, finanzas, judiciales, gubernamentales, entre otros. Además, también se han descubierto campañas dirigidas a Ecuador, Chile y España.
BlindEagle ataca el sector financiero de Colombia con BlotchyQuasarMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que afecta el sector financiero de Colombia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/blindeagle-ataca-el-sector-financiero-de-colombia-con-blotchyquasarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que afecta el sector financiero de Colombia.
BlueNoroff lanza nuevas campañas GhostCall y GhostHire con capacidades multiplataformaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente atribuida al grupo BlueNoroff (también referido en la literatura como Sapphire Sleet, APT38, Alluring Pisces, Stardust Chollima y TA444).http://csirtasobancaria.com/Plone/alertas-de-seguridad/bluenoroff-lanza-nuevas-campanas-ghostcall-y-ghosthire-con-capacidades-multiplataformahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una actividad reciente atribuida al grupo BlueNoroff (también referido en la literatura como Sapphire Sleet, APT38, Alluring Pisces, Stardust Chollima y TA444).
Bondnet establece entornos RDP inversosMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva función de la botnet llamada Bondnet.http://csirtasobancaria.com/Plone/alertas-de-seguridad/bondnet-establece-entornos-rdp-inversoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva función de la botnet llamada Bondnet.
Bootkit ESPecter afecta al arranque de sistemas operativos WindowsEn el monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios o el sector, el Csirt Financiero ha identificado un Bootkit denominado ESPecter el cual ha presentado actividad desde el 2012 y presentando actualizaciones a sus mecanismos, permitiendo afectar a un equipo comprometiendo los controladores de arranque empleados por el sistema operativo Windows en sus sistemas ya sean Heredado (Legacy) o UEFI (Unified Extensible Firmware Interface).http://csirtasobancaria.com/Plone/alertas-de-seguridad/bootkit-especter-afecta-al-arranque-de-sistemas-operativos-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios o el sector, el Csirt Financiero ha identificado un Bootkit denominado ESPecter el cual ha presentado actividad desde el 2012 y presentando actualizaciones a sus mecanismos, permitiendo afectar a un equipo comprometiendo los controladores de arranque empleados por el sistema operativo Windows en sus sistemas ya sean Heredado (Legacy) o UEFI (Unified Extensible Firmware Interface).
Bot se encuentra realizando ataques distribuidos de denegación de servicio a servidores MySQLMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un Bot llamado Ddostf.http://csirtasobancaria.com/Plone/alertas-de-seguridad/bot-se-encuentra-realizando-ataques-distribuidos-de-denegacion-de-servicio-a-servidores-mysqlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un Bot llamado Ddostf.
Botnet basada en Mirai está explotando la vulnerabilidad de Spring4ShellA través de actividades de monitoreo realizadas a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una explotación activa de la vulnerabilidad sobre Spring4Shell, que permite a los ciberdelincuentes distribuir y ejecutar la Bonet Mirai.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-basada-en-mirai-esta-explotando-la-vulnerabilidad-de-spring4shellhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una explotación activa de la vulnerabilidad sobre Spring4Shell, que permite a los ciberdelincuentes distribuir y ejecutar la Bonet Mirai.
Botnet Bigviktor aprovecha vulnerabilidad en routers DrayTekEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la Botnet denominada Bigviktor que se propaga a través de la vulnerabilidad CVE-2020-8515, que expone a los dispositivos DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta y Vigor300B 1.3.3_Beta, 1.4.2.1_Beta y 1.4.4_Beta, a la ejecución remota de código como root sin autenticación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-bigviktor-aprovecha-vulnerabilidad-en-routers-draytekhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la Botnet denominada Bigviktor que se propaga a través de la vulnerabilidad CVE-2020-8515, que expone a los dispositivos DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta y Vigor300B 1.3.3_Beta, 1.4.2.1_Beta y 1.4.4_Beta, a la ejecución remota de código como root sin autenticación.
Botnet criptominero LemonDuck apunta a sistemas Windows y LinuxEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa relacionada a una botnet de criptominería, denominado “LemonDuck”, diseñado para explotar vulnerabilidades en sistemas operativos Windows y distribuciones Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-criptominero-lemonduck-apunta-a-sistemas-windows-y-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa relacionada a una botnet de criptominería, denominado “LemonDuck”, diseñado para explotar vulnerabilidades en sistemas operativos Windows y distribuciones Linux.
Botnet DDG utiliza servidores Linux para minar CriptomonedasEl equipo del Csirt Financiero ha identificado una nueva amenaza que afecta a distribuciones Linux, se trata de la botnet DDG, la cual accede a los equipos mediante unos servicios utilizando fuerza bruta en contraseñas débiles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-ddg-utiliza-servidores-linux-para-minar-criptomonedashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva amenaza que afecta a distribuciones Linux, se trata de la botnet DDG, la cual accede a los equipos mediante unos servicios utilizando fuerza bruta en contraseñas débiles.
Botnet Devil Shadow distribuido en instalador de Zoom.El equipo del Csirt Financiero ha evidenciado cómo los ciberdelincuentes aprovechan aplicaciones de videoconferencia como Zoom para distribuir malware en sus instaladores. La muestra analizada por el equipo del Csirt, la instalación de la herramienta ha evidenciado el compromiso del equipo en la botnet Devil Shadow; permitiendo al ciberdelincuente tomar el control del equipo mediante acceso remoto y exfiltrar información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-devil-shadow-distribuido-en-instalador-de-zoomhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado cómo los ciberdelincuentes aprovechan aplicaciones de videoconferencia como Zoom para distribuir malware en sus instaladores. La muestra analizada por el equipo del Csirt, la instalación de la herramienta ha evidenciado el compromiso del equipo en la botnet Devil Shadow; permitiendo al ciberdelincuente tomar el control del equipo mediante acceso remoto y exfiltrar información confidencial.
Botnet diseñada para filtrar credenciales de AWS y MicrosoftMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet llamada Androxgh0st.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-disenada-para-filtrar-credenciales-de-aws-y-microsofthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet llamada Androxgh0st.
Botnet DreamBus apunta a aplicaciones ejecutadas en servidores LinuxEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una botnet denominada DreamBus que enfoca sus esfuerzos hacia aplicaciones empresariales como PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack y el servicio SSH. DreamBus explota debilidades en el sistema como; contraseñas débiles, ejecución remota de código no autenticado (RCE) en aplicaciones como SSH, herramientas en la nube o las relacionadas con bases de datos para vulnerar el sistema. De su procedencia se cree que es oriunda de Rusia o Europa del Este por los horarios en los cuales se despliegan sus actividades maliciosas. El componente principal de esta Botnet es un binario ELF (formato de archivo para ejecutables) responsable de preparar el entorno, duplicación de la amenaza en los sistemas afectados y liberación de XMRig para extraer la criptomoneda Monero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-dreambus-apunta-a-aplicaciones-ejecutadas-en-servidores-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una botnet denominada DreamBus que enfoca sus esfuerzos hacia aplicaciones empresariales como PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack y el servicio SSH. DreamBus explota debilidades en el sistema como; contraseñas débiles, ejecución remota de código no autenticado (RCE) en aplicaciones como SSH, herramientas en la nube o las relacionadas con bases de datos para vulnerar el sistema. De su procedencia se cree que es oriunda de Rusia o Europa del Este por los horarios en los cuales se despliegan sus actividades maliciosas. El componente principal de esta Botnet es un binario ELF (formato de archivo para ejecutables) responsable de preparar el entorno, duplicación de la amenaza en los sistemas afectados y liberación de XMRig para extraer la criptomoneda Monero.
Botnet DreamBus dirige sus ataques a sistemas basados en LinuxEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la ejecución de nuevos ciberataques encargados de distribuir la botnet DreamBus que compromete servidores web con distribuciones Linux y que cuenten con gran capacidad de recursos de hardware. Una vez logran acceder a la infraestructura, los servidores se ven comprometidos con la ejecución del minero de criptomonedas XMRig, además sacan provecho de los servidores comprometidos para hacerlos parte de la botnet e intentar propagarse hacía otra infraestructura tecnológica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-dreambus-dirige-sus-ataques-a-sistemas-basados-en-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la ejecución de nuevos ciberataques encargados de distribuir la botnet DreamBus que compromete servidores web con distribuciones Linux y que cuenten con gran capacidad de recursos de hardware. Una vez logran acceder a la infraestructura, los servidores se ven comprometidos con la ejecución del minero de criptomonedas XMRig, además sacan provecho de los servidores comprometidos para hacerlos parte de la botnet e intentar propagarse hacía otra infraestructura tecnológica.
Botnet Echobot implementa nuevas vulnerabilidades.Echobot es una reconocida variante de la Botnet Mirai. Sus intereses se centran en el aprovechamiento de vulnerabilidades antiguas como recientes. Actualmente, esta botnet, ha reaparecido en internet con nuevas vulnerabilidades que permiten afectar gran diversidad dispositivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-echobot-implementa-nuevas-vulnerabilidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Echobot es una reconocida variante de la Botnet Mirai. Sus intereses se centran en el aprovechamiento de vulnerabilidades antiguas como recientes. Actualmente, esta botnet, ha reaparecido en internet con nuevas vulnerabilidades que permiten afectar gran diversidad dispositivos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}