Actividad de Ransomware Black Basta implementa herramientas del grupo FIN7El ransomware Black Basta ha estado activo desde abril de 2022, esta amenaza implementa un modelo de ataque de doble extorsión al igual que otras operaciones de ransomware, pero en las últimas actividades se pudo observar que los actores detrás de esta amenaza se vinculan con FIN7, un grupo de hackers con motivación financiera activo desde al menos 2015 que implementan malware a dispositivos POS (point-of-sale) y lanzan ataques phishing dirigidas a cientos de empresas de todo el mundo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-ransomware-black-basta-implementa-herramientas-del-grupo-fin7http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Black Basta ha estado activo desde abril de 2022, esta amenaza implementa un modelo de ataque de doble extorsión al igual que otras operaciones de ransomware, pero en las últimas actividades se pudo observar que los actores detrás de esta amenaza se vinculan con FIN7, un grupo de hackers con motivación financiera activo desde al menos 2015 que implementan malware a dispositivos POS (point-of-sale) y lanzan ataques phishing dirigidas a cientos de empresas de todo el mundo.
Reciente actividad de la Botnet Emotet se distribuye a nivel global.El equipo de analista del Csirt Financiero realizó un monitoreo de ultimas actividades maliciosas que puedan llegar afectar la infraestructura y pilares de la información de nuestros asociados, donde se observó nuevo movimiento de la botnet Emotet.http://csirtasobancaria.com/Plone/alertas-de-seguridad/reciente-actividad-de-la-botnet-emotet-se-distribuye-a-nivel-globalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analista del Csirt Financiero realizó un monitoreo de ultimas actividades maliciosas que puedan llegar afectar la infraestructura y pilares de la información de nuestros asociados, donde se observó nuevo movimiento de la botnet Emotet.
Nuevo ransomware denominado GwisinEn el ecosistema de ciberseguridad, es frecuente evidenciar que los actores de amenaza aprovechen cualquier tipo de vulnerabilidad y/o brecha de seguridad, presentada en aplicaciones, servicios y/o plataformas alojadas en internet; esto con el propósito de implementar alguna familia de malware en la infraestructura tecnológica objetivo y así, afectar la seguridad de la información de dicha organización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-gwisinhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ecosistema de ciberseguridad, es frecuente evidenciar que los actores de amenaza aprovechen cualquier tipo de vulnerabilidad y/o brecha de seguridad, presentada en aplicaciones, servicios y/o plataformas alojadas en internet; esto con el propósito de implementar alguna familia de malware en la infraestructura tecnológica objetivo y así, afectar la seguridad de la información de dicha organización.
Un nuevo wiper denominado Azov aparece en la naturalezaLos ciberataques se han reproducido de manera exponencial durante los últimos meses de ahí que surjan nuevas amenazas en la naturaleza, justamente recientemente se descubrió un destructivo wiper denominado Azov que se distribuye activamente a nivel global; la campaña en curso ha logrado impactar distintas organizaciones cifrando y eliminando su información, no obstante, la criticidad de ser infectado con Azov es que los actores de amenaza no asociaron ningún medio de comunicación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-wiper-denominado-azov-aparece-en-la-naturalezahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberataques se han reproducido de manera exponencial durante los últimos meses de ahí que surjan nuevas amenazas en la naturaleza, justamente recientemente se descubrió un destructivo wiper denominado Azov que se distribuye activamente a nivel global; la campaña en curso ha logrado impactar distintas organizaciones cifrando y eliminando su información, no obstante, la criticidad de ser infectado con Azov es que los actores de amenaza no asociaron ningún medio de comunicación.
Nueva actividad del troyano Amadey implementa ransomware LockBit.En el monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que realizo el troyano Amadey en el cual están implementando el ransomware LockBit. Este troyano se identificó por primera vez en el año 2018 con capacidades de capturar información confidencial e instalar código malicioso adicional en el equipo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-amadey-implementa-ransomware-lockbithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que realizo el troyano Amadey en el cual están implementando el ransomware LockBit. Este troyano se identificó por primera vez en el año 2018 con capacidades de capturar información confidencial e instalar código malicioso adicional en el equipo infectado.
La botnet Fodcha continúa liberando ataques en el ciberespacioDesde mediados de enero de este año se descubrió un actor de amenazas que empleaba una botnet denominada Fodcha, desde su aparición se realizaron operaciones para derrocar la infraestructura con la que operaban estos ciberdelincuentes; no obstante, los ciberdelincuentes fingieron una derrota para implementar mejoras en sus capacidades, generando la evolución de nuevas variantes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/la-botnet-fodcha-continua-liberando-ataques-en-el-ciberespaciohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde mediados de enero de este año se descubrió un actor de amenazas que empleaba una botnet denominada Fodcha, desde su aparición se realizaron operaciones para derrocar la infraestructura con la que operaban estos ciberdelincuentes; no obstante, los ciberdelincuentes fingieron una derrota para implementar mejoras en sus capacidades, generando la evolución de nuevas variantes.
Identifican grupo denominado Cranefly que cuenta con altas capacidades de espionajeCranefly es un grupo cibercriminal que fue identificado en mayo del presente año; estos tienen como objetivo dirigirse a los correos electrónicos de los colaboradores que tienen a su cargo el desarrollo corporativo, adquisiciones y transacciones corporativas empleando un nuevo backdoor llamado Danfuan.http://csirtasobancaria.com/Plone/alertas-de-seguridad/identifican-grupo-denominado-cranefly-que-cuenta-con-altas-capacidades-de-espionajehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Cranefly es un grupo cibercriminal que fue identificado en mayo del presente año; estos tienen como objetivo dirigirse a los correos electrónicos de los colaboradores que tienen a su cargo el desarrollo corporativo, adquisiciones y transacciones corporativas empleando un nuevo backdoor llamado Danfuan.
Nuevos ransomware identificados en la naturalezaEl ransomware, es un tipo de malware comúnmente implementado por los actores de amenaza en sus campañas maliciosas, esto debido a su gran capacidad de cifrar archivos almacenados en la infraestructura tecnológica objetivo, algunas de estas familias destacan por poseer comportamientos únicos que las diferencian entre las demás y que suelen afectar organización de alto nivel.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ransomware-identificados-en-la-naturalezahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware, es un tipo de malware comúnmente implementado por los actores de amenaza en sus campañas maliciosas, esto debido a su gran capacidad de cifrar archivos almacenados en la infraestructura tecnológica objetivo, algunas de estas familias destacan por poseer comportamientos únicos que las diferencian entre las demás y que suelen afectar organización de alto nivel.
Los troyanos bancarios Sharkbot y Vultur distribuyen droppers en Google Play StoreEl equipo de analistas del Csirt Financiero ha observado una nueva campaña maliciosa en la que implementan droppers en la tienda de Google Play para distribuir troyanos bancarios, se encontraron más de 130.000 instalaciones que distribuyen a los troyanos bancarios Sharkbot y Vultur.http://csirtasobancaria.com/Plone/alertas-de-seguridad/los-troyanos-bancarios-sharkbot-y-vultur-distribuyen-droppers-en-google-play-storehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha observado una nueva campaña maliciosa en la que implementan droppers en la tienda de Google Play para distribuir troyanos bancarios, se encontraron más de 130.000 instalaciones que distribuyen a los troyanos bancarios Sharkbot y Vultur.
Nueva actividad maliciosa atribuida a STRRATEn el ecosistema de ciberseguridad, usualmente los actores de amenaza desarrollan las cargas útiles de sus familias de malware en formatos conocidos. Se han evidenciado diversas campañas maliciosas en donde los ciberdelincuentes utilizan lenguajes de programación poco convencionales para generar estos archivos maliciosos, este tipo de estrategia permite que las soluciones antimalware no detecten dichos artefactos debido a desconocen ese tipo de formatos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-atribuida-a-strrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ecosistema de ciberseguridad, usualmente los actores de amenaza desarrollan las cargas útiles de sus familias de malware en formatos conocidos. Se han evidenciado diversas campañas maliciosas en donde los ciberdelincuentes utilizan lenguajes de programación poco convencionales para generar estos archivos maliciosos, este tipo de estrategia permite que las soluciones antimalware no detecten dichos artefactos debido a desconocen ese tipo de formatos.
Nuevas campañas implementan ransomware con facilidad mediante Raspeberry RobinEn el proceso de monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó nuevas actividades relacionadas al gusano informático Raspberry Robin dirigido a usuarios de Windows que se propaga a través de dispositivos USB extraíbles mediante un archivo .LNK malicioso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-implementan-ransomware-con-facilidad-mediante-raspeberry-robinhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el proceso de monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó nuevas actividades relacionadas al gusano informático Raspberry Robin dirigido a usuarios de Windows que se propaga a través de dispositivos USB extraíbles mediante un archivo .LNK malicioso.
Nuevo ransomware denominado ArcLocker impacta a organizaciones de LATAMEl equipo de analistas del Csirt Financiero realiza un monitoreo de nuevas amenazas que pueden llegar afectar la confidencialidad e infraestructura de nuestros asociados, donde se encontró una nueva familia de ransomware denominada como ArcLocker. Esta nueva campaña maliciosa ya tuvo actividades en China, Estonia, Turquía, impactando también en organizaciones de LATAM específicamente Chile y recientemente a Colombia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-arclocker-impacta-a-organizaciones-de-latamhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realiza un monitoreo de nuevas amenazas que pueden llegar afectar la confidencialidad e infraestructura de nuestros asociados, donde se encontró una nueva familia de ransomware denominada como ArcLocker. Esta nueva campaña maliciosa ya tuvo actividades en China, Estonia, Turquía, impactando también en organizaciones de LATAM específicamente Chile y recientemente a Colombia.
Nueva actividad maliciosa del ransomware HiveHive, es una de las familias de ransomware más reconocidas a nivel global, donde destaca su gran capacidad de afectación a la infraestructura tecnológica objetivo. Este malware As a Service (MaaS, por sus siglas en inglés) ha impactado a múltiples entidades de América Latina y Colombia, las cuales han estado en riesgo de filtración de información confidencial al haber sido infectadas por el mencionado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-hivehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Hive, es una de las familias de ransomware más reconocidas a nivel global, donde destaca su gran capacidad de afectación a la infraestructura tecnológica objetivo. Este malware As a Service (MaaS, por sus siglas en inglés) ha impactado a múltiples entidades de América Latina y Colombia, las cuales han estado en riesgo de filtración de información confidencial al haber sido infectadas por el mencionado.
Grupo Lazarus inhabilita herramientas de seguridad mediante la técnica BYOVDSe conoce que el grupo APT Lazarus es uno de los más populares en la última década dado a su amplia gama de métodos empleado en sus operaciones maliciosas; recientemente se ha identificado un ataque en el cual este grupo de amenazas utiliza una vulnerabilidad en el producto MagicLine4NX desarrollado por Dream Security con el fin de impactar en mayor manera las redes internas después de ejecutar la técnica de abrevadero (ataque contra organizaciones en la que el atacante infecta con malware sitios web de terceros muy utilizados por los usuario de la organización), posteriormente se manipula un controlador vulnerable que se usa para inhabilitar las herramientas de seguridad que se encuentren instauradas en las infraestructuras tecnológicas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-lazarus-inhabilita-herramientas-de-seguridad-mediante-la-tecnica-byovdhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se conoce que el grupo APT Lazarus es uno de los más populares en la última década dado a su amplia gama de métodos empleado en sus operaciones maliciosas; recientemente se ha identificado un ataque en el cual este grupo de amenazas utiliza una vulnerabilidad en el producto MagicLine4NX desarrollado por Dream Security con el fin de impactar en mayor manera las redes internas después de ejecutar la técnica de abrevadero (ataque contra organizaciones en la que el atacante infecta con malware sitios web de terceros muy utilizados por los usuario de la organización), posteriormente se manipula un controlador vulnerable que se usa para inhabilitar las herramientas de seguridad que se encuentren instauradas en las infraestructuras tecnológicas.
El nuevo ransomware RAR1 como parte del arsenal de una campaña que distribuye distintas amenazasUno de los vectores de infección implementados por los actores de amenaza en la naturaleza es la explotación de vulnerabilidades especialmente las de clasificación crítica dado que rápidamente aparecen exploits para aprovecharse de esta y así obtener acceso a los sistemas; recientemente se descubrió una campaña en curso que explota una vulnerabilidad de VMware que permite la inyección de una carga útil y la ejecución remota de código, con el fin de implantar un nuevo ransomware denominado RAR1, junto a nueva variante del botnet Mirai y un minero en su operación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-nuevo-ransomware-rar1-como-parte-del-arsenal-de-una-campana-que-distribuye-distintas-amenazashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Uno de los vectores de infección implementados por los actores de amenaza en la naturaleza es la explotación de vulnerabilidades especialmente las de clasificación crítica dado que rápidamente aparecen exploits para aprovecharse de esta y así obtener acceso a los sistemas; recientemente se descubrió una campaña en curso que explota una vulnerabilidad de VMware que permite la inyección de una carga útil y la ejecución remota de código, con el fin de implantar un nuevo ransomware denominado RAR1, junto a nueva variante del botnet Mirai y un minero en su operación.
Nueva campaña maliciosa que entrega NetSupport RATRecientemente se ha descubierto una campaña maliciosa dirigida a usuarios de Microsoft Windows denominada “sczriptzzbn inject”, esta tiene operación sobre sitios web comprometidos para persuadir al usuario a descargar un instalador malicioso de Google Chrome que resulta en la implementación de NetSupport RAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-que-entrega-netsupport-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha descubierto una campaña maliciosa dirigida a usuarios de Microsoft Windows denominada “sczriptzzbn inject”, esta tiene operación sobre sitios web comprometidos para persuadir al usuario a descargar un instalador malicioso de Google Chrome que resulta en la implementación de NetSupport RAT.
Nuevos indicadores de compromiso relacionados al troyano IcedID.En el monitoreo realizado por el equipo de analistas del Csirt Financiero se encontraron nuevos indicadores de compromiso (IoC) relacionados al troyano bancario IcedID, también conocido como Bokbot que se observó por primera vez en 2017, esta amenaza está dirigida a cualquier organización o entidad que maneje información financiera, incluidas las credenciales de inicio de sesión las aplicaciones bancarias en línea.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-al-troyano-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del Csirt Financiero se encontraron nuevos indicadores de compromiso (IoC) relacionados al troyano bancario IcedID, también conocido como Bokbot que se observó por primera vez en 2017, esta amenaza está dirigida a cualquier organización o entidad que maneje información financiera, incluidas las credenciales de inicio de sesión las aplicaciones bancarias en línea.
Nueva actividad relacionada con el troyano bancario QakbotUno de los troyanos bancarios más prolíficos en la naturaleza es Qakbot, pues desde su aparición en 2007 los actores de esta amenaza no han detenido su operación, con esto han desarrollado y mantenido campañas dirigidas a entidades financieras a nivel mundial; partiendo de lo anterior la actividad relacionada con este troyano ha hecho que se posicione como una de las amenazas más relevantes, de ahí que durante su evolución implemente capacidades dirigidas a capturar mayor cantidad de información sensible de sus víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-con-el-troyano-bancario-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Uno de los troyanos bancarios más prolíficos en la naturaleza es Qakbot, pues desde su aparición en 2007 los actores de esta amenaza no han detenido su operación, con esto han desarrollado y mantenido campañas dirigidas a entidades financieras a nivel mundial; partiendo de lo anterior la actividad relacionada con este troyano ha hecho que se posicione como una de las amenazas más relevantes, de ahí que durante su evolución implemente capacidades dirigidas a capturar mayor cantidad de información sensible de sus víctimas.
Nueva actividad maliciosa atribuida a la botnet EmotetEn el ecosistema de ciberseguridad, una de las estrategias más utilizadas por los actores de amenaza en sus campañas maliciosas es la distribución de malspam, utilizando esta técnica se ha identificado una nueva actividad de Emotet donde se adjuntan archivos comprimidos con la carga útil de esta amenaza en mensajes de correo electrónico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-atribuida-a-la-botnet-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ecosistema de ciberseguridad, una de las estrategias más utilizadas por los actores de amenaza en sus campañas maliciosas es la distribución de malspam, utilizando esta técnica se ha identificado una nueva actividad de Emotet donde se adjuntan archivos comprimidos con la carga útil de esta amenaza en mensajes de correo electrónico.
Nueva actualización del troyano bancario Ursnif denominada LDR4Ursnif es una variante del malware Gozi, identificado por primera vez en el año 2017 y desde entonces un tipo de amenaza conocido como un troyano bancario, la cual ha sido muy popular entre diversos grupos de ciberdelincuentes ya que se encuentra dirigido específicamente al sector financiero con el objetivo de capturar información y credenciales bancarias principalmente de los sistemas operativos Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actualizacion-del-troyano-bancario-ursnif-denominada-ldr4http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ursnif es una variante del malware Gozi, identificado por primera vez en el año 2017 y desde entonces un tipo de amenaza conocido como un troyano bancario, la cual ha sido muy popular entre diversos grupos de ciberdelincuentes ya que se encuentra dirigido específicamente al sector financiero con el objetivo de capturar información y credenciales bancarias principalmente de los sistemas operativos Microsoft Windows.