Desde el inicio de la pandemia, las soluciones de videoconferencia se han convertido en una parte integral del flujo de trabajo en muchas organizaciones. Primero, Zoom tomó la delantera, y muchos ciberdelincuentes comenzaron a usarlo inmediatamente en campañas de phishing, aprovechando el hecho de que una gran cantidad de empleados no habÃa usado previamente esta […]
Creemos que hoy merecidamente damos el tÃtulo de Regla de la Semana a la exclusiva regla Sigma desarrollada por Osman Demir para habilitar la detección del ransomware VHD: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 Los primeros ataques utilizando esta cepa de ransomware comenzaron en marzo de 2020, y solo recientemente los investigadores han vinculado a Lazarus APT. Esto fue facilitado […]
Nuevamente, salimos del programa de publicaciones habitual debido a la aparición de un exploit para la vulnerabilidad crÃtica CVE-2020-3452 en Cisco ASA y Cisco Firepower, asà como el surgimiento de reglas para detectar la explotación de esta vulnerabilidad. CVE-2020-3452 – otro dolor de cabeza en julio CVE-2020-3452 fue descubierta a finales del año pasado, pero […]
Hoy, «Carga de DLL evasiva posible / Bypass de AWL (mediante cmdline)» lanzada por el equipo de SOC Prime cayó en nuestra columna «Regla de la Semana«: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Como saben, la lista blanca de aplicaciones (AWL) es un enfoque proactivo que permite ejecutar solo los programas preaprobados y especificados. Cualquier otro programa que no esté […]
Hoy en la sección Regla de la Semana, sugerimos prestar atención a la regla publicada por Emir Erdogan. La nueva regla ayuda a detectar el ransomware Thanos, que ha utilizado la táctica RIPlace para eludir las soluciones anti-ransomware: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 El ransomware Thanos apareció por primera vez a finales del año pasado, y sus autores lo […]
Este mes, los investigadores descubrieron un ataque de múltiples etapas llevado a cabo por un grupo APT indefinido. Durante este ataque, los adversarios utilizaron la función Malleable C2 en Cobalt Strike para realizar comunicaciones C&C y entregar la carga útil final. Los investigadores señalan que los atacantes usan técnicas avanzadas de evasión. Observaron un retraso […]
Y nuevamente, queremos destacar el contenido para detectar el malware QBot en la sección Regla de la Semana. Hace aproximadamente un mes, una regla simple pero efectiva de Emir Erdogan ya fue publicada en esta sección. Pero el troyano de doce años continúa evolucionando, y hace apenas un par de dÃas, se descubrieron muestras frescas […]
En la Regla de la Semana sección, te presentamos la Ejecución de Comandos en Azure VM (vÃa azureactivity) regla del equipo de SOC Prime: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#   Los adversarios pueden abusar de la funcionalidad de Azure VM para establecer un punto de apoyo en un entorno, lo que podrÃa ser utilizado para mantener el acceso y escalar […]
El troyano bancario QakBot (también conocido como QBot) ha sido utilizado en ataques a organizaciones durante más de 10 años, y sus autores monitorean continuamente las tendencias del panorama de amenazas, añadiendo nuevas caracterÃsticas o eliminándolas si no funcionan correctamente. En 2017, este malware poseÃa capacidades similares a un gusano y era capaz de bloquear […]
Esta semana queremos destacar la regla Sigma de la comunidad por Emir Erdogan que ayuda a detectar el ransomware Nefilim/Nephilim utilizado en ataques destructivos. Esta familia de ransomware fue descubierta por primera vez hace dos meses, y su código se basa en el ransomware NEMTY que surgió el verano pasado como un programa de afiliados […]