Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

El auge del troyano TOITOIN y su cadena de infección sofisticada que afecta a entidades en América Latina

Publicado: 09/07/2023 | Importancia: Media

En el mundo en constante cambio de las amenazas cibernéticas, ha surgido recientemente una nueva y sofisticada campaña de ataque dirigido en la región de América Latina (LATAM). Esta campaña utiliza un troyano de múltiples etapas llamado TOITOIN, con módulos diseñados específicamente en cada etapa para llevar a cabo actividades maliciosas. Este troyano se destaca por su técnica única de descifrado XOR, que utiliza para decodificar su archivo de configuración y recopilar información crucial del sistema y datos relacionados con los navegadores instalados.

Nuevos indicadores de compromiso vinculados al stealer Vidar

Publicado: 09/07/2023 | Importancia: Media

A través del monitoreo a ciberamenazas que puedan afectar el ecosistema del sector financiero, recientemente se identificaron nuevos indicadores de compromiso vinculados a la familia de malware Vidar stealer, una amenaza que se encuentra vigente en Colombia y que continua sus operaciones de afectación.

Nuevos indicadores de compromiso relacionados con el troyano FormBook

Publicado: 08/07/2023 | Importancia: Media

En el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan generar afectaciones en la infraestructura de los asociados, se identificaron y recopilaron nuevos indicadores de compromiso relacionados con FormBook, un troyano Infostealer que se ha vuelto cada vez más frecuente en los ataques cibernéticos recientes. Esta amenaza está disponible como Malware as a Service "malware como servicio", lo que permite que atacantes con pocos conocimientos técnicos y de programación utilicen este malware para capturar diversa información sensible.

Nueva actividad del ransomware Blackbyte 2.0

Publicado: 07/07/2023 | Importancia: Media

Los ataques de ransomware se han convertido en una preocupación crítica para las organizaciones en todo el mundo. Recientemente, el equipo de analistas del Csirt Financiero ha descubierto una nueva actividad del ransomware BlackByte 2.0, el cual destaca por su velocidad y las graves consecuencias que implica. Los ciberdelincuentes son capaces de llevar a cabo un ataque completo en pocos días, lo cual plantea un desafío significativo para las organizaciones que buscan protegerse de estas operaciones maliciosas.

Underground Team Ransomware: una nueva amenaza cibernética

Publicado: 06/07/2023 | Importancia: Media

A medida que evoluciona el panorama de la ciberdelincuencia, los grupos de ransomware están adoptando nuevas estrategias y tácticas para maximizar su impacto. En este contexto, se ha descubierto una nueva cepa de ransomware llamada "Underground team ransomware", que presenta características distintivas en su nota de rescate y en sus métodos de ataque.

Nueva variante de ARCrypter ransomware con diversos canales de comunicación

Publicado: 06/07/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero realizó un monitoreo con apoyo de distintas fuentes de información en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar a infraestructura de los asociados, donde se identificó una nueva variante del ransomware ARCrypter el cual surgió en 2022 ganando popularidad después de un ataque a una entidad ubicada en Chile y que ha comenzado a dirigirse a organizaciones de todo el mundo.

Analisis de la actividad maliciosa de Redline Stealer

Publicado: 05/07/2023 | Importancia: Media

RedLine es un stealer que se comercializa en la Deep y Dark web como un servicio de malware. El equipo de Csirt financiero ha descubierto nuevos indicadores de compromiso asociados a esta amenaza, que incluyen archivos ejecutables y una dirección IP utilizada por grupos de ciberdelincuentes.

Neo_Net: La mente maestra detrás de la campaña global de eCrime contra instituciones financieras

Publicado: 04/07/2023 | Importancia: Media

Durante el período de junio de 2021 a abril de 2023, se ha llevado a cabo una extensa campaña de eCrime dirigida a clientes de importantes entidades financieras a nivel mundial. Los actores de amenazas han centrado su atención principalmente en países como España y Chile. Además, se ha relacionado a esta campaña con un actor de delitos electrónicos mexicano conocido como Neo_Net.

Evolución del ransomware Royal para afectar entornos Unix y Linux

Publicado: 04/07/2023 | Importancia: Media

El equipo de analistas del Csirt ha detectado nueva actividad relacionada con el grupo Royal Ransomware. Este grupo malicioso emergió en septiembre de 2022 y se cree que está conformado principalmente por exmiembros del grupo de ransomware Conti, también conocido como Team One. A diferencia de otros grupos, Royal Ransomware opera como un Ransomware-as-a-Service (RaaS) privado, en lugar de utilizar un modelo público. En su historial, han llevado a cabo ataques de gran magnitud dirigidos a infraestructuras críticas, el sector de la salud, la industria manufacturera, el sector educativo y el sector financiero.

White Snake: La nueva amenaza de tipo stealer con múltiples funcionalidades.

Publicado: 03/07/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó actividades maliciosas del nuevo stealer conocido como White Snake con amplias funcionalidades para la captura de información; esta amenaza ha tomado bastante popularidad en foros clandestinos de la Deep y Dark web y también fue reportado por el Csirt Financiero en el Bulletin del mes de marzo del presente año.

Meduza Stealer: El peligroso infostealer que amenaza la seguridad digital

Publicado: 02/07/2023 | Importancia: Media

En el oscuro mundo de la ciberdelincuencia, la evolución de las amenazas digitales no conoce límites. Recientemente se ha descubierto un nuevo y peligroso infostealer conocido como Meduza. Este malware, diseñado para el sistema operativo Windows ha surgido como una amenaza sofisticada y lucrativa en el creciente ecosistema del crimeware como servicio (CaaS). Este stealer está siendo activamente desarrollado por su autor para evadir la detección de soluciones de software y se enfoca en la captura integral de datos de los usuarios.

Ciberdelincuentes distribuyen BlackCat ransomware mediante técnicas de malvertising

Publicado: 02/07/2023 | Importancia: Media

En el monitoreo realizado por el equipo de analistas del Csirt Financiero mediante diversas fuentes de información en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó que los operadores de BlackCat ransomware emplean técnicas de malvertising (publicidad maliciosa), para distribuir software malicioso a través de páginas web clonadas de organizaciones legítimas.

Nueva variante del backdoor RustBucket para MacOS

Publicado: 01/07/2023 | Importancia: Media

En la actualidad se está llevando a cabo una peligrosa campaña cibernética conocida como REF9135, orquestada por la República Popular Democrática de Corea (RPDC). Esta campaña emplea una variante actualizada de la puerta trasera para MacOS llamada RUSTBUCKET, caracterizada por sus mejoras en sus capacidades y detección de firmas reducida.

RedEnergy Stealer: nueva amenaza con actividades de ransomware.

Publicado: 30/06/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información y en busca de amenazas o campañas maliciosas que puedan afectar la infraestructura de los asociados y comprometer los pilares de la seguridad de la información, se identificó una nueva amenaza denominada RedEnergy Stealer altamente sofisticada con capacidades para la captura de información en varios navegadores, además de incorporar diferentes módulos para llevar a cabo actividades de ransomware.

Nuevo loader denominado DarkGate

Publicado: 30/06/2023 | Importancia: Media

En recientes hallazgos en investigaciones y a través del monitoreo al mercado de los cibercriminales se ha identificado un loader con un elevado grado de elaboración, polivalente y con la capacidad de realizar diversas actividades de otros tipos de malware; esta nueva amenaza es denominada como DarkGate.

Crysis y Venus convergen para realizar ataques RDP

Publicado: 29/06/2023 | Importancia: Media

Recientemente, se ha confirmado una nueva tendencia, los atacantes del ransomware Crysis están utilizando conjuntamente otro tipo de ransomware llamado Venus en sus ataques. Ambos se dirigen principalmente a servicios de escritorio remoto expuestos externamente.

ThirdEye: Un nuevo Infostealer que captura diversa información de los sistemas infectados.

Publicado: 28/06/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero y con apoyo de diversas fuentes de información abiertas, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo Infostealer denominado ThirdEye, el cual tiene grandes capacidades para recopilar diversa información del sistema infectado.

Expansión del troyano bancario Javali: de América Latina a Europa

Publicado: 28/06/2023 | Importancia: Media

El ciberespacio continúa siendo un terreno fértil para la propagación de amenazas virtuales, y el troyano bancario Javali es un ejemplo destacado de ello. Desde su aparición en 2017, este malware ha estado dirigido a clientes de instituciones financieras en América Latina, con un enfoque particular en Brasil y Chile. Sin embargo, recientemente se ha observado un cambio significativo en sus objetivos, ya que el grupo responsable de Javali ha iniciado una expansión hacia Europa, centrándose específicamente en clientes de la banca española y portuguesa.

Aumento de actividad del ransomware 8Base

Publicado: 28/06/2023 | Importancia: Media

Se ha detectado una creciente amenaza de ransomware conocida como 8Base, que ha estado operando en secreto durante más de un año. Durante los meses de mayo y junio de 2023, se ha observado un aumento significativo en su actividad. El grupo detrás de 8Base utiliza técnicas de cifrado y "name-and-shame" para obligar a sus víctimas a pagar rescates.

Ransomware Akira apunta a distribuciones Linux

Publicado: 28/06/2023 | Importancia: Media

Akira es un ransomware que fue identificado en abril del presente año y el cual se ha destacado por afectar múltiples países. Entre los sectores que más suele afectar se observa la banca, servicios financieros y seguros (BFSI, por sus siglas en inglés) por lo cual se resalta la importancia de esta amenaza.

Nueva actividad de la variante Lockbit green

Publicado: 27/06/2023 | Importancia: Media

En el mundo de la ciberseguridad, constantemente surgen nuevas amenazas y variantes de malware que representan un desafío para la protección de sistemas y datos. Una de estas amenazas recientes es Lockbit Green, una variante del ransomware que fue observado a principios del año 2023 y en esta ocasión el equipo de analistas del Csirt Financiero identifico nuevos indicadores de compromiso de esta amenaza.

Nueva campaña del troyano DCRAT

Publicado: 27/06/2023 | Importancia: Media

El troyano de acceso remoto (RAT) conocido como DarkCrystal o DCRat ha surgido como una amenaza persistente en el mundo de la ciberseguridad. Este malware en constante evolución se ofrece en foros de la Deep y Dark web como Malware as a Service (MaaS). Los actores de amenazas detrás de DarkCrystal continúan perfeccionando su código y añadiendo nuevas capacidades para satisfacer las demandas de los compradores. Su distribución se lleva a cabo en la Darknet, particularmente en foros de idioma ruso.

Nueva campaña del troyano bancario Anatsa

Publicado: 26/06/2023 | Importancia: Media

En el mundo actual, donde la tecnología móvil se ha vuelto constante en el ámbito laboral y en el día a día de las personas, también ha habido un aumento en las amenazas cibernéticas dirigidas a dispositivos móviles. Una de las últimas campañas maliciosas que ha surgido es la del troyano bancario de Android llamado Anatsa. Desde marzo de 2023, esta amenaza ha estado afectando a los usuarios de banca en línea en países como Estados Unidos, Reino Unido, Alemania, Austria y Suiza. Los ciberdelincuentes están utilizando la Play Store, la tienda oficial de aplicaciones de Android, como medio de distribución.

Ransomware Black Basta: amenaza persistente y tácticas avanzadas de distribución

Publicado: 25/06/2023 | Importancia: Media

El ransomware Black Basta ha ganado notoriedad en los últimos meses por atacar a organizaciones de alto perfil en Europa y América del Norte en diversas industrias. Se cree que este ransomware es un sucesor del Conti ransomware, y se ha relacionado con el grupo de amenazas Fin7. Black Basta opera bajo un modelo Ransomware-as-a-Service (RaaS), proporcionando herramientas y soporte técnico a sus afiliados.

Nuevas actividades del stealer RecordBreaker

Publicado: 25/06/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas o amenazas que puedan llegar a afectar la infraestructura de los asociados, donde se identificó nueva actividad del stealer RecordBreaker, también conocido como Raccoon Stealer V2, el cual es un tipo de software malicioso que se hace pasar por un instalador de .NET distribuye, utilizando técnicas de persuasión y ha evolucionado con el pasar de los años.

Amenaza cibernética: El APT Flea ataca ministerios y corporaciones con la nueva puerta trasera Graphican

Publicado: 24/06/2023 | Importancia: Media

Durante el periodo que abarcó desde finales de 2022 hasta principios de 2023, los ministerios de asuntos exteriores en las Américas fueron objeto de una serie de ataques cibernéticos. Estos ataques fueron llevados a cabo por un grupo chino patrocinado por el estado llamado Flea, también conocido como APT15, que ha estado operando desde al menos 2004. Los informes indican que la campaña reciente también tuvo como objetivo otros sectores, como un departamento de finanzas del gobierno y una corporación que opera en las Américas. El grupo utiliza una variedad de herramientas, incluyendo una nueva puerta trasera denominada Graphican, así como otras herramientas previamente asociadas con Flea.

Se identifica campaña de phishing distribuyendo Lokibot (LokiPWS)

Publicado: 24/06/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero con apoyo de diversas fuentes de información, se identificó una campaña de phishing reciente, que ha sido distribuida en diversos países de norte América, Europa y África, donde utilizan el troyano conocido como LokiBot o LokiPWS para comprometer los sistemas de las víctimas y exfiltrar credenciales de acceso.

Campaña de phishing "MULTI # STORM" utiliza archivos JavaScript para distribuir los RAT AveMaria y Quasar

Publicado: 23/06/2023 | Importancia: Media

Recientemente se ha descubierto una campaña de phishing que utiliza tácticas de ingeniería social para comprometer a las víctimas. La campaña, denominada MULTI # STORM, tiene como objetivo principalmente a usuarios en los Estados Unidos e India.

Nueva amenaza de tipo Dropper denominada PindOS

Publicado: 22/06/2023 | Importancia: Media

La ciberseguridad es un tema cada vez más relevante en nuestra era digital, ya que las amenazas y los ataques informáticos continúan evolucionando y representando un riesgo para los pilares de la seguridad de la información de las entidades, en este contexto, se ha observado recientemente la aparición de una nueva variedad de cuentagotas de JavaScript que plantea una preocupación en el ámbito de la seguridad en línea. Esta nueva amenaza, conocida como PindOS, el cual es ejecutada a través del troyano bancario Iced ID y Bumblebee.

Nueva actividad del ransomware Clop explotando vulnerabilidades conocidas

Publicado: 21/06/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha detectado recientemente una actividad maliciosa de Clop, una amenaza previamente conocida. Se han recopilado nuevos indicadores de compromiso (IoC), los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con el propósito de obtener información confidencial de manera ilícita.