Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva vulnerabilidad afecta VPN de KasperskyKaspersky, una organización conocida a nivel mundial de origen ruso, destacada por sus herramientas de seguridad informática, fue vulnerada en uno de sus productos el cual permite una escalada de privilegios locales en la VPN Secure Connection de Kaspersky, la vulnerabilidad fue identificada como CVE-2022-27535 y está dirigida a sistemas operativos Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-vulnerabilidad-afecta-vpn-de-kasperskyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Kaspersky, una organización conocida a nivel mundial de origen ruso, destacada por sus herramientas de seguridad informática, fue vulnerada en uno de sus productos el cual permite una escalada de privilegios locales en la VPN Secure Connection de Kaspersky, la vulnerabilidad fue identificada como CVE-2022-27535 y está dirigida a sistemas operativos Microsoft Windows.
Nuevo troyano de acceso remoto denominado WoodyA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero recientemente identificaron un nuevo troyano de acceso remoto denominado Woody, este ha estado activo desde 2021 y desde entonces logró impactar a diferentes organizaciones en las cuales encontramos que algunas hacen parte del sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-woodyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero recientemente identificaron un nuevo troyano de acceso remoto denominado Woody, este ha estado activo desde 2021 y desde entonces logró impactar a diferentes organizaciones en las cuales encontramos que algunas hacen parte del sector financiero.
Nueva actividad maliciosa del troyano de acceso remoto NetwireEl troyano de acceso remoto (RAT) Netwire, fue identificado por primera vez en el año 2012 desde entonces los ciberdelincuentes realizan constantes actualizaciones y generan nuevos artefactos de este RAT; actualmente el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso (IoC) en el mes de agosto, el cual tiene como objetivo la captura y exfiltración de datos confidenciales dirigida a equipos con sistemas operativos Windows, Linux y MacOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-de-acceso-remoto-netwirehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano de acceso remoto (RAT) Netwire, fue identificado por primera vez en el año 2012 desde entonces los ciberdelincuentes realizan constantes actualizaciones y generan nuevos artefactos de este RAT; actualmente el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso (IoC) en el mes de agosto, el cual tiene como objetivo la captura y exfiltración de datos confidenciales dirigida a equipos con sistemas operativos Windows, Linux y MacOS.
Nuevo framework denominado ManjusakaEl panorama de amenazas es cada vez más amplio, del cual se desglosan múltiples tácticas, técnicas y procedimientos (TTP) empleados por los cibercriminales en la naturaleza, así mismo se ha observado un nuevo framework de ataque denominado Manjusaka, el cual podrán implementar los adversarios en sus acciones posteriores a la fase de explotación en un ataque cibernético por lo que tiene el potencial de prevalecer en el ciberespacio como una alternativa de Cobalt Strike.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-framework-denominado-manjusakahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de amenazas es cada vez más amplio, del cual se desglosan múltiples tácticas, técnicas y procedimientos (TTP) empleados por los cibercriminales en la naturaleza, así mismo se ha observado un nuevo framework de ataque denominado Manjusaka, el cual podrán implementar los adversarios en sus acciones posteriores a la fase de explotación en un ataque cibernético por lo que tiene el potencial de prevalecer en el ciberespacio como una alternativa de Cobalt Strike.
1More un ransomware basado en VoidCryptEl panorama en la naturaleza de amenazas presentes en el ciberespacio continúa ampliándose cada vez más, en ese orden de ideas el ransomware hace parte de la superficie de ataque más empleada por ciberdelincuentes puesto que es un negocio rentable para estos actores; con base a lo anterior se ha detectado una variante de la familia de ransomware denominada VoidCrypt cuyo código está disponible en la Darknet, esta nueva amenaza ha sido denominado 1More.http://csirtasobancaria.com/Plone/alertas-de-seguridad/1more-un-ransomware-basado-en-voidcrypthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama en la naturaleza de amenazas presentes en el ciberespacio continúa ampliándose cada vez más, en ese orden de ideas el ransomware hace parte de la superficie de ataque más empleada por ciberdelincuentes puesto que es un negocio rentable para estos actores; con base a lo anterior se ha detectado una variante de la familia de ransomware denominada VoidCrypt cuyo código está disponible en la Darknet, esta nueva amenaza ha sido denominado 1More.
Nuevos artefactos asociados al troyano FormbookTeniendo en cuenta las constantes actualizaciones de campañas y de amenazas que realizan los ciberdelincuentes, en esta ocasión el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso (IoC) relacionados al troyano conocido como Formbook.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-asociados-al-troyano-formbook-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Teniendo en cuenta las constantes actualizaciones de campañas y de amenazas que realizan los ciberdelincuentes, en esta ocasión el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso (IoC) relacionados al troyano conocido como Formbook.
Nueva amenaza distribuida a través de Google Play denominada DawDropperA medida que los fabricantes de tecnología y servicios mejoran su seguridad, los ciberdelincuentes identifican y desarrollan nuevas formas para inyectar o distribuir malware; en esta ocasión el equipo de analistas del Csirt Financiero identifico una nueva amenaza denominada DawDropper, un dropper bancario distribuido a través de diferentes aplicaciones que tiene la finalidad de entregar troyanos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-distribuida-a-traves-de-google-play-denominada-dawdropperhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que los fabricantes de tecnología y servicios mejoran su seguridad, los ciberdelincuentes identifican y desarrollan nuevas formas para inyectar o distribuir malware; en esta ocasión el equipo de analistas del Csirt Financiero identifico una nueva amenaza denominada DawDropper, un dropper bancario distribuido a través de diferentes aplicaciones que tiene la finalidad de entregar troyanos.
Nuevos artefactos del troyano bancario IcedIDAunque el troyano bancario IcedID, ha sido reportado en ocasiones anteriores, los ciberdelincuentes mantienen en constantes actualizaciones de los artefactos utilizados en nuevas campañas y ataques que pueden llegar afectar entidades y organizaciones; en esta ocasión el equipo de analistas del Csirt Financiero identifico nuevos indicadores de compromiso (IoC) de IcedID, el cual está dirigido a sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-del-troyano-bancario-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano bancario IcedID, ha sido reportado en ocasiones anteriores, los ciberdelincuentes mantienen en constantes actualizaciones de los artefactos utilizados en nuevas campañas y ataques que pueden llegar afectar entidades y organizaciones; en esta ocasión el equipo de analistas del Csirt Financiero identifico nuevos indicadores de compromiso (IoC) de IcedID, el cual está dirigido a sistemas operativos Windows.
Ransomware Monster implementa interfaz gráfica avanzadaLos ciberdelincuentes, mediante nuevas técnicas y tácticas realizan constantes actualizaciones en sus campañas, desarrollando nuevas amenazas que pueden afectar entidades y organizaciones; el equipo de analistas del Csirt Financiero identificó una nueva actualización del ransomware Monster, el cual es uno de los primeros en contar con una interfaz gráfica avanzada del usuario (GUI), que para los actores de amenaza lo hace mucho más sencillo y accesible al momento de realizar un ataque.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-monster-implementa-interfaz-grafica-avanzadahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberdelincuentes, mediante nuevas técnicas y tácticas realizan constantes actualizaciones en sus campañas, desarrollando nuevas amenazas que pueden afectar entidades y organizaciones; el equipo de analistas del Csirt Financiero identificó una nueva actualización del ransomware Monster, el cual es uno de los primeros en contar con una interfaz gráfica avanzada del usuario (GUI), que para los actores de amenaza lo hace mucho más sencillo y accesible al momento de realizar un ataque.
Campaña de phishing refleja páginas legítimas de organizaciones para exfiltrar credenciales de accesoRecientemente se ha detectado una campaña masiva de phishing que tiene como objetivo la captura y exfiltración de credenciales de acceso a cuentas de correos corporativas, esto se realiza a través la generación de sitios web que suplantan a portales de organizaciones legítimas, esta actividad se encuentra dirigida a cuentas de correo de Google.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-refleja-paginas-legitimas-de-organizaciones-para-exfiltrar-credenciales-de-accesohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha detectado una campaña masiva de phishing que tiene como objetivo la captura y exfiltración de credenciales de acceso a cuentas de correos corporativas, esto se realiza a través la generación de sitios web que suplantan a portales de organizaciones legítimas, esta actividad se encuentra dirigida a cuentas de correo de Google.
Nueva campaña de distribución de RedLine StealerEl equipo de analista del Csirt Financiero a través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar la infraestructura tecnológica de las entidades, ha identificado una nueva campaña de distribución de Redline Stealer, la cual está dirigida a equipos con sistema operativo Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-redline-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analista del Csirt Financiero a través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar la infraestructura tecnológica de las entidades, ha identificado una nueva campaña de distribución de Redline Stealer, la cual está dirigida a equipos con sistema operativo Microsoft Windows.
Amenaza dirigida a cuentas Business de Facebook denominada DucktailAmenaza dirigida a cuentas Business de Facebook denominada Ducktailhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/amenaza-dirigida-a-cuentas-business-de-facebook-denominada-ducktailhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva actividad maliciosa del grupo APT Armageddon, relacionado al conflicto entre Rusia y UcraniaEn los últimos meses del presente año, varios grupos de ciberdelincuentes se han aprovechado del conflicto armado entre Rusia y Ucrania creando campañas tipo phishing destinadas a la descarga de archivos adjuntos maliciosos; el equipo de analistas del Csirt Financiero identificó una nueva actividad del grupo APT Armageddon también conocido como UAC-0010 y Gamaredon el cual está distribuyendo correos electrónicos aparentemente provenientes de la Academia Nacional de Seguridad de Ucrania.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-grupo-apt-armageddon-relacionado-al-conflicto-entre-rusia-y-ucraniahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos meses del presente año, varios grupos de ciberdelincuentes se han aprovechado del conflicto armado entre Rusia y Ucrania creando campañas tipo phishing destinadas a la descarga de archivos adjuntos maliciosos; el equipo de analistas del Csirt Financiero identificó una nueva actividad del grupo APT Armageddon también conocido como UAC-0010 y Gamaredon el cual está distribuyendo correos electrónicos aparentemente provenientes de la Academia Nacional de Seguridad de Ucrania.
Actores de amenaza desarrollan exploits para la vulnerabilidad CVE-2022-24521Una de las superficies de ataque empleadas por los ciberdelincuentes es la explotación de vulnerabilidades ya que les garantiza el acceso sobre el equipo objetivo, para lo cual existen herramientas del lado de la seguridad ofensiva que permiten emplear exploits relacionados con las vulnerabilidades conocidas, remotas y locales; en ese orden de ideas en el mes de abril se dio a conocer la vulnerabilidad CVE-2022-24521 que permite la escalación de privilegios, razón por la cual los actores de amenazas empezaron a desarrollar una forma de explotarla.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-desarrollan-exploits-para-la-vulnerabilidad-cve-2022-24521http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una de las superficies de ataque empleadas por los ciberdelincuentes es la explotación de vulnerabilidades ya que les garantiza el acceso sobre el equipo objetivo, para lo cual existen herramientas del lado de la seguridad ofensiva que permiten emplear exploits relacionados con las vulnerabilidades conocidas, remotas y locales; en ese orden de ideas en el mes de abril se dio a conocer la vulnerabilidad CVE-2022-24521 que permite la escalación de privilegios, razón por la cual los actores de amenazas empezaron a desarrollar una forma de explotarla.
Evolución del Ransomware Black BastaA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero comparte un análisis de la evolución de Black Basta, ransomware dirigido a diferentes sectores en los cuales encontramos al financiero. Tiene como objetivo el cifrado de información y con esto lograr beneficios económicos para los ciberdelincuentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-ransomware-black-bastahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero comparte un análisis de la evolución de Black Basta, ransomware dirigido a diferentes sectores en los cuales encontramos al financiero. Tiene como objetivo el cifrado de información y con esto lograr beneficios económicos para los ciberdelincuentes.
Nuevos artefactos relacionados con DCRat vistos en numerosas campañas desde el mes de abrilEl troyano de acceso remoto (RAT) DarkCrystal también conocido como DCRat, se desarrolla activamente dado que es ofrecido con el modelo de negocio MaaS (Malware as a Service) por lo que los actores de amenazas implementan mejoras en su código para continuar ofreciendo otras capacidades a sus compradores; además el modelo de venta es a través de foros de la Darknet particularmente los de habla rusa, por precios asequibles para cualquier ciberdelincuente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-relacionados-con-dcrat-vistos-en-numerosas-campanas-desde-el-mes-de-abrilhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano de acceso remoto (RAT) DarkCrystal también conocido como DCRat, se desarrolla activamente dado que es ofrecido con el modelo de negocio MaaS (Malware as a Service) por lo que los actores de amenazas implementan mejoras en su código para continuar ofreciendo otras capacidades a sus compradores; además el modelo de venta es a través de foros de la Darknet particularmente los de habla rusa, por precios asequibles para cualquier ciberdelincuente.
Microsoft dejará de brindar soporte a Windows Server 20H2El fabricante de tecnología Microsoft ha informado la fecha en la cual dejará de brindar soporte a el sistema Windows Server 20H2, esto se hará oficial a partir de 9 de agosto del presente año.http://csirtasobancaria.com/Plone/alertas-de-seguridad/microsoft-dejara-de-brindar-soporte-a-windows-server-20h2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El fabricante de tecnología Microsoft ha informado la fecha en la cual dejará de brindar soporte a el sistema Windows Server 20H2, esto se hará oficial a partir de 9 de agosto del presente año.
Nuevos indicadores de compromiso asociados a Remcos Rat en el mes de julioAunque el troyano acceso remoto Remcos RAT ha sido reportado en ocasiones anteriores, su actividad es persistente en el ciberespacio; dado que los ciberdelincuentes continúan en constantes actualizaciones de nuevas campañas, donde se han observado nuevos indicadores de compromiso (IOC) de esta amenaza que se dirige a equipos con sistema operativo Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-remcos-rat-en-el-mes-de-juliohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano acceso remoto Remcos RAT ha sido reportado en ocasiones anteriores, su actividad es persistente en el ciberespacio; dado que los ciberdelincuentes continúan en constantes actualizaciones de nuevas campañas, donde se han observado nuevos indicadores de compromiso (IOC) de esta amenaza que se dirige a equipos con sistema operativo Microsoft Windows.
Nuevos artefactos relacionados con Konni RAT hacen parte de ataques cibernéticos dirigidos por APT37APT37 es un grupo de delincuentes informáticos, cuya financiación es realizada por el gobierno de Corea del Norte y ha estado activo desde principios de 2012, este APT es conocido por tener como objetivos organizaciones de alto valor como las del sector financiero; recientemente se le atribuye una nueva campaña en curso dirigida a países de la unión europea en la que infectan a sus víctimas con el troyano de acceso remoto (RAT) Konni.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-relacionados-con-konni-rat-hacen-parte-de-ataques-ciberneticos-dirigidos-por-apt37http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
APT37 es un grupo de delincuentes informáticos, cuya financiación es realizada por el gobierno de Corea del Norte y ha estado activo desde principios de 2012, este APT es conocido por tener como objetivos organizaciones de alto valor como las del sector financiero; recientemente se le atribuye una nueva campaña en curso dirigida a países de la unión europea en la que infectan a sus víctimas con el troyano de acceso remoto (RAT) Konni.
Nueva actividad maliciosa asociada a QuasarRATA través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar la infraestructura tecnológica de las entidades, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de QuasarRat, identificado por primera vez en 2015 y escrito en lenguaje de programación .NET el cual afecta a sistemas operativos Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-a-quasarrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar la infraestructura tecnológica de las entidades, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de QuasarRat, identificado por primera vez en 2015 y escrito en lenguaje de programación .NET el cual afecta a sistemas operativos Microsoft Windows.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}