Nuevo Stealer denominado Strela orientado a la exfiltración de credenciales de accesoRecientemente se ha identificado un nuevo Stealer denominado Strela; enfocado en la captura y exfiltración de información asociada a las credenciales de acceso de las cuentas de correo electrónico de Outlook y Thunderbird, los cuales son altamente utilizados por usuarios y organizaciones a nivel mundial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-strela-orientado-a-la-exfiltracion-de-credenciales-de-accesohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado un nuevo Stealer denominado Strela; enfocado en la captura y exfiltración de información asociada a las credenciales de acceso de las cuentas de correo electrónico de Outlook y Thunderbird, los cuales son altamente utilizados por usuarios y organizaciones a nivel mundial.
IceXLoader retorna con una nueva actualizaciónIceXLoader es conocido en el ecosistema de ciberseguridad por ser utilizado como un cargador que implementa diversas familias de malware en las campañas maliciosas de los ciberdelincuentes; además, es distribuido a través de foros clandestinos de la Deep y Dark web por el precio de 118 dólares, otorgando una licencia de por vida, lo cual permite que los usuarios puedan usarlo las veces que lo requieran. Anteriormente, se había evidenciado que en su versión 3.0 se encontraba en fase de desarrollo al observar sus comportamientos y actividades.http://csirtasobancaria.com/Plone/alertas-de-seguridad/icexloader-retorna-con-una-nueva-actualizacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IceXLoader es conocido en el ecosistema de ciberseguridad por ser utilizado como un cargador que implementa diversas familias de malware en las campañas maliciosas de los ciberdelincuentes; además, es distribuido a través de foros clandestinos de la Deep y Dark web por el precio de 118 dólares, otorgando una licencia de por vida, lo cual permite que los usuarios puedan usarlo las veces que lo requieran. Anteriormente, se había evidenciado que en su versión 3.0 se encontraba en fase de desarrollo al observar sus comportamientos y actividades.
Nuevo troyano bancario denominado Android FakecallsRecientemente se ha identificado un nuevo troyano bancario denominado Android Fakecalls, el cual se destaca por redirigir las llamadas de las víctimas a números telefónicos que son controlados por los actores de amenaza, donde estos fingen ser funcionarios de entidades bancarias para recopilar información confidencial de las mencionadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-denominado-android-fakecallshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado un nuevo troyano bancario denominado Android Fakecalls, el cual se destaca por redirigir las llamadas de las víctimas a números telefónicos que son controlados por los actores de amenaza, donde estos fingen ser funcionarios de entidades bancarias para recopilar información confidencial de las mencionadas.
Robin Banks retorna con nuevas funcionalidades y característicasMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se encontró que la plataforma de phishing como servicio (PhaaS) Robin Banks retornó sus operaciones, utilizando una infraestructura de una empresa de internet rusa que brinda servicios de protección contra ataques DDoS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/robin-banks-retorna-con-nuevas-funcionalidades-y-caracteristicashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se encontró que la plataforma de phishing como servicio (PhaaS) Robin Banks retornó sus operaciones, utilizando una infraestructura de una empresa de internet rusa que brinda servicios de protección contra ataques DDoS.
Nueva actividad maliciosa de SmokeLoaderRecientemente se ha identificado nueva actividad maliciosa asociada a SmokeLoader, el cual está siendo utilizado para distribuir diversas familias de malware, entre las cuales destaca SystemBC RAT, ReccordBreaker (también conocido como Raccon Stealer 2.0) y Laplas Clipper.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-smokeloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado nueva actividad maliciosa asociada a SmokeLoader, el cual está siendo utilizado para distribuir diversas familias de malware, entre las cuales destaca SystemBC RAT, ReccordBreaker (también conocido como Raccon Stealer 2.0) y Laplas Clipper.
Actividad de Ransomware Black Basta implementa herramientas del grupo FIN7El ransomware Black Basta ha estado activo desde abril de 2022, esta amenaza implementa un modelo de ataque de doble extorsión al igual que otras operaciones de ransomware, pero en las últimas actividades se pudo observar que los actores detrás de esta amenaza se vinculan con FIN7, un grupo de hackers con motivación financiera activo desde al menos 2015 que implementan malware a dispositivos POS (point-of-sale) y lanzan ataques phishing dirigidas a cientos de empresas de todo el mundo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-ransomware-black-basta-implementa-herramientas-del-grupo-fin7http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Black Basta ha estado activo desde abril de 2022, esta amenaza implementa un modelo de ataque de doble extorsión al igual que otras operaciones de ransomware, pero en las últimas actividades se pudo observar que los actores detrás de esta amenaza se vinculan con FIN7, un grupo de hackers con motivación financiera activo desde al menos 2015 que implementan malware a dispositivos POS (point-of-sale) y lanzan ataques phishing dirigidas a cientos de empresas de todo el mundo.
Reciente actividad de la Botnet Emotet se distribuye a nivel global.El equipo de analista del Csirt Financiero realizó un monitoreo de ultimas actividades maliciosas que puedan llegar afectar la infraestructura y pilares de la información de nuestros asociados, donde se observó nuevo movimiento de la botnet Emotet.http://csirtasobancaria.com/Plone/alertas-de-seguridad/reciente-actividad-de-la-botnet-emotet-se-distribuye-a-nivel-globalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analista del Csirt Financiero realizó un monitoreo de ultimas actividades maliciosas que puedan llegar afectar la infraestructura y pilares de la información de nuestros asociados, donde se observó nuevo movimiento de la botnet Emotet.
Nuevo ransomware denominado GwisinEn el ecosistema de ciberseguridad, es frecuente evidenciar que los actores de amenaza aprovechen cualquier tipo de vulnerabilidad y/o brecha de seguridad, presentada en aplicaciones, servicios y/o plataformas alojadas en internet; esto con el propósito de implementar alguna familia de malware en la infraestructura tecnológica objetivo y así, afectar la seguridad de la información de dicha organización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-gwisinhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ecosistema de ciberseguridad, es frecuente evidenciar que los actores de amenaza aprovechen cualquier tipo de vulnerabilidad y/o brecha de seguridad, presentada en aplicaciones, servicios y/o plataformas alojadas en internet; esto con el propósito de implementar alguna familia de malware en la infraestructura tecnológica objetivo y así, afectar la seguridad de la información de dicha organización.
Un nuevo wiper denominado Azov aparece en la naturalezaLos ciberataques se han reproducido de manera exponencial durante los últimos meses de ahí que surjan nuevas amenazas en la naturaleza, justamente recientemente se descubrió un destructivo wiper denominado Azov que se distribuye activamente a nivel global; la campaña en curso ha logrado impactar distintas organizaciones cifrando y eliminando su información, no obstante, la criticidad de ser infectado con Azov es que los actores de amenaza no asociaron ningún medio de comunicación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-wiper-denominado-azov-aparece-en-la-naturalezahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberataques se han reproducido de manera exponencial durante los últimos meses de ahí que surjan nuevas amenazas en la naturaleza, justamente recientemente se descubrió un destructivo wiper denominado Azov que se distribuye activamente a nivel global; la campaña en curso ha logrado impactar distintas organizaciones cifrando y eliminando su información, no obstante, la criticidad de ser infectado con Azov es que los actores de amenaza no asociaron ningún medio de comunicación.
Nueva actividad del troyano Amadey implementa ransomware LockBit.En el monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que realizo el troyano Amadey en el cual están implementando el ransomware LockBit. Este troyano se identificó por primera vez en el año 2018 con capacidades de capturar información confidencial e instalar código malicioso adicional en el equipo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-amadey-implementa-ransomware-lockbithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que realizo el troyano Amadey en el cual están implementando el ransomware LockBit. Este troyano se identificó por primera vez en el año 2018 con capacidades de capturar información confidencial e instalar código malicioso adicional en el equipo infectado.
La botnet Fodcha continúa liberando ataques en el ciberespacioDesde mediados de enero de este año se descubrió un actor de amenazas que empleaba una botnet denominada Fodcha, desde su aparición se realizaron operaciones para derrocar la infraestructura con la que operaban estos ciberdelincuentes; no obstante, los ciberdelincuentes fingieron una derrota para implementar mejoras en sus capacidades, generando la evolución de nuevas variantes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/la-botnet-fodcha-continua-liberando-ataques-en-el-ciberespaciohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde mediados de enero de este año se descubrió un actor de amenazas que empleaba una botnet denominada Fodcha, desde su aparición se realizaron operaciones para derrocar la infraestructura con la que operaban estos ciberdelincuentes; no obstante, los ciberdelincuentes fingieron una derrota para implementar mejoras en sus capacidades, generando la evolución de nuevas variantes.
Identifican grupo denominado Cranefly que cuenta con altas capacidades de espionajeCranefly es un grupo cibercriminal que fue identificado en mayo del presente año; estos tienen como objetivo dirigirse a los correos electrónicos de los colaboradores que tienen a su cargo el desarrollo corporativo, adquisiciones y transacciones corporativas empleando un nuevo backdoor llamado Danfuan.http://csirtasobancaria.com/Plone/alertas-de-seguridad/identifican-grupo-denominado-cranefly-que-cuenta-con-altas-capacidades-de-espionajehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Cranefly es un grupo cibercriminal que fue identificado en mayo del presente año; estos tienen como objetivo dirigirse a los correos electrónicos de los colaboradores que tienen a su cargo el desarrollo corporativo, adquisiciones y transacciones corporativas empleando un nuevo backdoor llamado Danfuan.
Nuevos ransomware identificados en la naturalezaEl ransomware, es un tipo de malware comúnmente implementado por los actores de amenaza en sus campañas maliciosas, esto debido a su gran capacidad de cifrar archivos almacenados en la infraestructura tecnológica objetivo, algunas de estas familias destacan por poseer comportamientos únicos que las diferencian entre las demás y que suelen afectar organización de alto nivel.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ransomware-identificados-en-la-naturalezahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware, es un tipo de malware comúnmente implementado por los actores de amenaza en sus campañas maliciosas, esto debido a su gran capacidad de cifrar archivos almacenados en la infraestructura tecnológica objetivo, algunas de estas familias destacan por poseer comportamientos únicos que las diferencian entre las demás y que suelen afectar organización de alto nivel.
Los troyanos bancarios Sharkbot y Vultur distribuyen droppers en Google Play StoreEl equipo de analistas del Csirt Financiero ha observado una nueva campaña maliciosa en la que implementan droppers en la tienda de Google Play para distribuir troyanos bancarios, se encontraron más de 130.000 instalaciones que distribuyen a los troyanos bancarios Sharkbot y Vultur.http://csirtasobancaria.com/Plone/alertas-de-seguridad/los-troyanos-bancarios-sharkbot-y-vultur-distribuyen-droppers-en-google-play-storehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha observado una nueva campaña maliciosa en la que implementan droppers en la tienda de Google Play para distribuir troyanos bancarios, se encontraron más de 130.000 instalaciones que distribuyen a los troyanos bancarios Sharkbot y Vultur.
Nueva actividad maliciosa atribuida a STRRATEn el ecosistema de ciberseguridad, usualmente los actores de amenaza desarrollan las cargas útiles de sus familias de malware en formatos conocidos. Se han evidenciado diversas campañas maliciosas en donde los ciberdelincuentes utilizan lenguajes de programación poco convencionales para generar estos archivos maliciosos, este tipo de estrategia permite que las soluciones antimalware no detecten dichos artefactos debido a desconocen ese tipo de formatos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-atribuida-a-strrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ecosistema de ciberseguridad, usualmente los actores de amenaza desarrollan las cargas útiles de sus familias de malware en formatos conocidos. Se han evidenciado diversas campañas maliciosas en donde los ciberdelincuentes utilizan lenguajes de programación poco convencionales para generar estos archivos maliciosos, este tipo de estrategia permite que las soluciones antimalware no detecten dichos artefactos debido a desconocen ese tipo de formatos.
Nuevas campañas implementan ransomware con facilidad mediante Raspeberry RobinEn el proceso de monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó nuevas actividades relacionadas al gusano informático Raspberry Robin dirigido a usuarios de Windows que se propaga a través de dispositivos USB extraíbles mediante un archivo .LNK malicioso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-implementan-ransomware-con-facilidad-mediante-raspeberry-robinhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el proceso de monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó nuevas actividades relacionadas al gusano informático Raspberry Robin dirigido a usuarios de Windows que se propaga a través de dispositivos USB extraíbles mediante un archivo .LNK malicioso.
Nuevo ransomware denominado ArcLocker impacta a organizaciones de LATAMEl equipo de analistas del Csirt Financiero realiza un monitoreo de nuevas amenazas que pueden llegar afectar la confidencialidad e infraestructura de nuestros asociados, donde se encontró una nueva familia de ransomware denominada como ArcLocker. Esta nueva campaña maliciosa ya tuvo actividades en China, Estonia, Turquía, impactando también en organizaciones de LATAM específicamente Chile y recientemente a Colombia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-arclocker-impacta-a-organizaciones-de-latamhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realiza un monitoreo de nuevas amenazas que pueden llegar afectar la confidencialidad e infraestructura de nuestros asociados, donde se encontró una nueva familia de ransomware denominada como ArcLocker. Esta nueva campaña maliciosa ya tuvo actividades en China, Estonia, Turquía, impactando también en organizaciones de LATAM específicamente Chile y recientemente a Colombia.
Nueva actividad maliciosa del ransomware HiveHive, es una de las familias de ransomware más reconocidas a nivel global, donde destaca su gran capacidad de afectación a la infraestructura tecnológica objetivo. Este malware As a Service (MaaS, por sus siglas en inglés) ha impactado a múltiples entidades de América Latina y Colombia, las cuales han estado en riesgo de filtración de información confidencial al haber sido infectadas por el mencionado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-hivehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Hive, es una de las familias de ransomware más reconocidas a nivel global, donde destaca su gran capacidad de afectación a la infraestructura tecnológica objetivo. Este malware As a Service (MaaS, por sus siglas en inglés) ha impactado a múltiples entidades de América Latina y Colombia, las cuales han estado en riesgo de filtración de información confidencial al haber sido infectadas por el mencionado.
Grupo Lazarus inhabilita herramientas de seguridad mediante la técnica BYOVDSe conoce que el grupo APT Lazarus es uno de los más populares en la última década dado a su amplia gama de métodos empleado en sus operaciones maliciosas; recientemente se ha identificado un ataque en el cual este grupo de amenazas utiliza una vulnerabilidad en el producto MagicLine4NX desarrollado por Dream Security con el fin de impactar en mayor manera las redes internas después de ejecutar la técnica de abrevadero (ataque contra organizaciones en la que el atacante infecta con malware sitios web de terceros muy utilizados por los usuario de la organización), posteriormente se manipula un controlador vulnerable que se usa para inhabilitar las herramientas de seguridad que se encuentren instauradas en las infraestructuras tecnológicas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-lazarus-inhabilita-herramientas-de-seguridad-mediante-la-tecnica-byovdhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se conoce que el grupo APT Lazarus es uno de los más populares en la última década dado a su amplia gama de métodos empleado en sus operaciones maliciosas; recientemente se ha identificado un ataque en el cual este grupo de amenazas utiliza una vulnerabilidad en el producto MagicLine4NX desarrollado por Dream Security con el fin de impactar en mayor manera las redes internas después de ejecutar la técnica de abrevadero (ataque contra organizaciones en la que el atacante infecta con malware sitios web de terceros muy utilizados por los usuario de la organización), posteriormente se manipula un controlador vulnerable que se usa para inhabilitar las herramientas de seguridad que se encuentren instauradas en las infraestructuras tecnológicas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}