Descripción:
RedLine es uno de los Stealers más populares. Se alquila en foros y canales dedicados al cibercrimen bajo el modelo MaaS (Malware as a Service). Como la mayoría de los stealers, es habitual encontrarlo acechando en software pirata y otro material ilegal.
Descripción:
Ransomware. En Argentina atacó a Transportadora de Gas del Sur. Actualmente se encuentra inactivo y sus principales miembros fueron acusados de un "exit-scam" (huir con el dinero recaudado).
Descripción:
Ransomware. En Argentina atacó a Distecna, Papel Prensa y Telecentro. Un pulso de inteligencia anónimo indicó al frigorífico Arrebeef como una de sus víctimas, pero nunca fue publicada.
Descripción:
Ransomware. En Argentina encriptó al PAMI, publicando información sensible de afiliados (jubilados). Suelen solicitar rescates que superan el medio millón de dólares.
Descripción:
Ransomware. Quizás uno de los grupos de ransomware líderes en la escena, Lockbit cosechó importantes víctimas tanto en Argentina (OSDE, Ingenios Ledesma) como en Uruguay (Guyer & Regules). Su producto tiene distintas versiones, una para cada tipo de SO: GREEN, BLACK, RED.
Descripción:
Ransomware. En Argentina encriptó a Grupo Boreal y a la Municipalidad de Morón. Sufrieron un altercado con el grupo Cyber Alianza Ucraniana quienes lograron derribar parcialmente su infraestructura aunque sin comprometer su operación.
Descripción:
Ransomware. En Argentina encriptó al Senado de la Nación y a Obra Social de Seguros. Se caracteriza por ser un malware muy distribuído en el sector educativo norteamericano.
Descripción:
Stealer. Uno de los más desarrollados para macOS en cuanto a funciones. Suele enfocarse en robo de crypto wallets y códigos de 2FA (segundo factor de autenticación). Suele arrendarse en foros rusoparlantes.
Descripción:
Ransomware. En Argentina atacó exitosamente a Iperactive ISP filtrando 3.56 GB de informacion.En su estructura podemos ver que contiene la mayoría de las características consideradas estándar para ransomware (por ejemplo, eliminación VSS, múltiples mecanismos de persistencia y eliminación de registro).
Descripción:
Cl0p Ransomware utiliza técnicas como phishing, explotación de vulnerabilidades y otros malware como SDBot o TrickBot para infectar a sus víctimas. Una vez dentro de un sistema, desactiva las herramientas de seguridad y cifra los archivos con la extensión .clop. Luego, deja un mensaje de rescate con instrucciones para negociar el pago, generalmente en Bitcoin. Si la víctima se niega a pagar, los atacantes amenazan con publicar o vender los datos en la web oscura. Cl0p ha evolucionado con nuevas variantes que incluyen el robo de datos confidenciales y la identificación y encriptación de máquinas virtuales.
Descripción:
El ransomware de 8Base obtiene principalmente acceso inicial a través de correos electrónicos de phishing, pero se ha observado que muestras del ransomware han sido descargadas de dominios que parecen estar asociadas con SystemBC, una herramienta proxy y administración remota (RAT). 8Base también se encontró que está utilizando un archivo por lotes llamado defoff.bat (detected as KILLAV) para desactivar componentes de Windows Defender y permitir la lista de malware a través de la línea de comandos de Windows Management Instrumentation (WMIC).
Descripción:
Mallox ransomware (también conocido como TargetCompany, FARGO y Tohnichi) es una cepa de ransomware que se dirige a los sistemas Windows de Microsoft (MS, Microsoft Windows). Si bien ha estado activo desde junio de 2021 y se destaca por explotar servidores MS-SQL no seguros como un vector de ataque para comprometer las redes de las víctimas.
Descripción:
Ransomware. En Argentina atacó al gobierno de Santa Rosa (La Pampa). Compraron la base de su codigo fuente (Golang + C) a Hive Ransomware.
Descripción:
MEOW es un ransomware derivado de CONTI que cifra archivos y añade la extensión “.MEOW” a sus nombres. También crea una nota de rescate titulada "readme.txt" y proporciona métodos de contacto a través de cuentas de correo electrónico (AOL, Proton, MSGSafe, OnionMail) y Telegram.
Descripción:
Malware norcoreano atribuído a Labyrinth Chollima, división del grupo Lazarus. Escrito en Java y destinado a ser usado en operaciones de espionaje corporativo contra el sector financiero y crypto. Descubierto por el Equipo Quetzal de Bitso.
Descripción:
Malware norcoreano atribuído a Velvet Chollima, división del grupo Lazarus. Escrito en Rust y destinado a ser usado en operaciones de espionaje corporativo contra el sector financiero y crypto. Descubierto por el Equipo Quetzal de Bitso.
Descripción:
Ransomware visto por primera vez en Abril de 2024. Tiene una victimología diversa que incluye desde compañías europeas importantes hasta empresas medianas de Latinoamérica. En Uruguay por ejemplo, encriptó a Botiga.
Descripción:
Ransomware utilizado mayormente en golpes contra estructuras de gobierno. Parte de su código fuente fue filtrado y adquirido por otros actores de amenazas entre los que se encuentran Ex-Presidents y G0DHAND, lo que podría derivar en nuevas cepas y reversiones de este malware.
Descripción:
Trickbot es un malware modular inicialmente diseñado como un troyano bancario. Ahora se utiliza para actividades como robo de credenciales, espionaje y distribución de ransomware (como Ryuk y Conti). Evoluciona constantemente y se propaga mayormente a través de correos electrónicos de phishing.
Descripción:
Formbook es un infostealer que roba credenciales, cookies y datos sensibles mediante keylogging e inyección en formularios. Es muy popular en foros clandestinos debido a su facilidad de uso y personalización. Frecuentemente dirigido a usuarios de Windows.
Descripción:
Troyano bancario latinoamericano, especializado en ataques a usuarios de bancos de Brasil y España. Utiliza técnicas de ingeniería social y actualizaciones falsas para infectar sistemas, robando credenciales y manipulando sesiones bancarias. Algunos de los asuntos con los que intenta distribuirse en campañas de phishing hacen referencia a asuntos y fechas fiscales, deudas, moratorias y multas.
Descripción:
Troyano bancario latinoamericano, muy observado en Brasil, México y Chile. Roba credenciales bancarias y aprovecha vulnerabilidades en sistemas desactualizados. Suele llegar a través de correos electrónicos con archivos ZIP maliciosos.
Descripción:
Troyano bancario que utiliza ventanas emergentes falsas para engañar a las víctimas y capturar credenciales. Activo en Brasil y Argentina, se distribuye por correos electrónicos con temas relacionados a impuestos o facturas pendientes.
Descripción:
Troyano bancario con foco en América Latina, roba credenciales bancarias y datos personales. Se distribuye a través de campañas de phishing y técnicas de ingeniería social. Frecuentemente utiliza macros en documentos de Office para ejecutarse. También conocido como: Ponteiro, Mefamorfo.
Descripción:
AsyncRAT es una herramienta de acceso remoto (RAT) de código abierto utilizada por actores maliciosos para espionaje, robo de credenciales y control remoto de sistemas. Popular entre ciberdelincuentes debido a su versatilidad y facilidad de configuración.
Descripción:
Anteriormente un troyano bancario, ahora actúa como distribuidor de malware y ransomware. Distribuido mayormente mediante correos de phishing.
Descripción:
Un loader utilizado para distribuir diversos malwares como troyanos bancarios, infostealers y ransomware. Es muy versátil y comúnmente empleado en campañas masivas.
Descripción:
Inicialmente un troyano bancario, ahora es usado para distribuir ransomware y otras herramientas maliciosas. Aprovecha macros en documentos de Office y exploits en redes vulnerables.
Descripción:
Una herramienta de acceso remoto utilizada para espionaje y control total del sistema. Frecuentemente se distribuye mediante documentos maliciosos que explotan macros o vulnerabilidades.
Descripción:
Un infostealer que se utiliza ampliamente para robar credenciales de navegadores, clientes de correo y aplicaciones FTP. Es fácil de personalizar y se distribuye a través de correos phishing con adjuntos maliciosos.
Descripción:
Un troyano bancario modular que ha evolucionado para actuar como loader de otros malwares. Se propaga mediante correos phishing con documentos maliciosos. Es conocido por integrarse con operaciones de ransomware.
Descripción:
Inicialmente un troyano bancario, ha evolucionado hacia un malware multipropósito usado para ransomware y robo de datos. Su infraestructura suele aprovechar exploits y descargas drive-by.
Descripción:
Dridex es un troyano bancario que evolucionó hacia un distribuidor de ransomware. Es operado por el grupo EvilCorp y ha sido usado en ataques altamente sofisticados.
