Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Nuevos IoC relacionados con el troyano bancario Qakbot

Publicado: 20/06/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en diversas fuentes de información y en busca de amenazas o campañas maliciosas que pueden llegar a afectar la infraestructura de los asociados, se logró identificar y recopilar nuevos indicadores de compromiso relacionados con el troyano bancario QakBot.

Condi: La nueva Botnet DDoS que explota vulnerabilidades para ataques masivos

Publicado: 20/06/2023 | Importancia: Media

En un reciente descubrimiento, se ha identificado un nuevo botnet de tipo DDoS denominado Condi. Este botnet ha intentado expandirse aprovechando vulnerabilidades en los enrutadores TP-Link Archer AX21 (AX1800). Desde finales de mayo de 2023, se ha observado un aumento en el número de muestras de Condi recolectadas, lo que indica un activo intento de expansión de esta amenaza.

Mallox: ransomware dirigido a servidores MS-SQL

Publicado: 19/06/2023 | Importancia: Media

El ransomware Mallox ha surgido como una amenaza cibernética significativa en el panorama de la seguridad informática y se ha utilizado para atacar servidores MS-SQL que han sido administrados incorrectamente o que cuenten con vulnerabilidades no parchadas, poniendo en peligro la integridad de los datos y la operatividad de las organizaciones afectadas.

Campaña del APT BlindEagle en Colombia distribuye activamente el troyano de acceso remoto AsyncRAT

Publicado: 19/06/2023 | Importancia: Media

Una nueva y peligrosa campaña de ciberataques ha sido detectada en Colombia, perpetrada por el conocido grupo de ciberespionaje APT BlindEagle. Esta organización ha desplegado una sofisticada cadena de operaciones que utiliza técnicas de phishing para distribuir de manera activa el troyano de acceso remoto conocido como AsyncRAT. Con el objetivo de infiltrarse en sistemas sensibles y capturar información confidencial, esta campaña representa una seria amenaza para empresas e individuos en el país.

Nuevo kit de herramientas maliciosas dirigidas a macOS

Publicado: 18/06/2023 | Importancia: Media

Recientemente, investigadores de seguridad identificaron un sofisticado conjunto de elementos maliciosos que hacen parte de un complejo lote de herramientas maliciosas que son dirigidas a los sistemas operativos macOS del fabricante Apple.

Nuevos artefactos relacionados con el troyano de acceso remoto RemcosRAT

Publicado: 18/06/2023 | Importancia: Media

En el observatorio de ciberseguridad realizado por el equipo de analistas del Csirt Financiero, en busca de nuevas campañas, amenazas o artefactos maliciosos que puedan generar afectaciones en la infraestructura de los asociados, se identificaron nuevos indicadores de compromiso relacionados con el troyano de acceso remoto RemcosRAT, una amenaza bastante implementada por ciberdelincuentes para afectar organizaciones de diferentes sectores, incluido el financiero.

Nuevos indicadores de compromiso vinculados a BlackCat

Publicado: 18/06/2023 | Importancia: Media

BlackCat es un ransomware que tiene como objetivo cifrar los archivos de las víctimas y exigir un rescate para restaurar el acceso a ellos. Según investigaciones, esta familia de malware es una variante del ransomware Aurora, que ha estado activo desde al menos 2018.

Nueva amenaza de ransomware denominada Mono

Publicado: 18/06/2023 | Importancia: Media

Recientemente, investigadores de seguridad han identificado una nueva amenaza conocida como Mono; un nuevo ransomware encargado de cifrar la data alojada en las infraestructuras informáticas impactadas por esta nueva cepa.

Ransomware Big Head: una nueva amenaza para usuarios de Windows

Publicado: 16/06/2023 | Importancia: Media

El ransomware Big Head ha surgido como una nueva amenaza en mayo de 2023, afectando a usuarios de Microsoft Windows. Este ransomware cifra los archivos de los equipos comprometidos y exige un rescate para descifrarlos. Se han identificado al menos tres variantes del ransomware Big Head, todas diseñadas con el propósito de extorsionar dinero.

Nuevo troyano bancario para Android de nombre Roamer

Publicado: 16/06/2023 | Importancia: Media

En el seguimiento realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña maliciosa donde los actores de amenaza suplantan páginas web principalmente de minería en la nube, para distribuir un nuevo troyano bancario denominado Roamer.

Alianza peligrosa entre Killnet, Revil y Anonymous Sudan apunta al sistema financiero occidental

Publicado: 15/06/2023 | Importancia: Media

En los últimos tiempos, se ha observado un aumento en la actividad cibernética dirigida desde grupos con vínculos indirectos con el gobierno ruso. Uno de estos grupos es Killnet, conocido por su preferencia por los ataques de denegación de servicio distribuidos (DDoS). Aunque hasta ahora su impacto ha sido limitado, existen señales sólidas de que Killnet continuará desarrollándose y escalando sus ataques a través de redes maliciosas. En un giro preocupante, en las últimas 48 horas, Killnet se ha unido a los grupos Pro-Rusos REvil y Anonymous Sudan con el supuesto objetivo de llevar a cabo un ataque masivo al sistema financiero occidental.

Skuld: El Infostealer Emergente que Desafía la Seguridad Digital

Publicado: 15/06/2023 | Importancia: Media

Un nuevo infostealer llamado Skuld basado en lenguaje de programación Golang que compromete sistemas Windows, ha surgido como una amenaza significativa en Europa, el sudeste asiático y EE. UU. Este malware tiene como objetivo capturar información confidencial de sus víctimas, incluyendo datos almacenados en aplicaciones como Discord y navegadores web, así como información del sistema y archivos en las carpetas de las víctimas.

Nueva amenaza comercializada en foros clandestinos denominada Mystic Stealer

Publicado: 14/06/2023 | Importancia: Media

Recientemente, se identificó una nueva amenaza conocida como Mystic Stelaer, el cual está siendo comercializado en foros clandestinos por un valor disponible de $150 dólares por suscripción mensual y $390 dólares por tres meses de suscripción, además, los adversarios mejoran continuamente el software malicioso incorporando nuevas funciones para expandir su base de usuarios y mejorar la eficacia del stealer.

Nuevo ransomware conocido como LMAO

Publicado: 14/06/2023 | Importancia: Media

LMAO es una nueva familia basada en otra amenaza conocida como Chaos, este es un ransomware que tiene la finalidad de cifrar datos y con esto extorsionar a sus víctimas a través de la exigencia de un rescate a cambio de un beneficio económico para posteriormente entregar una clave de descifrado, todo esto lo hace con base en el tipo de información comprometida.

Campaña de ataques a servidores Linux SSH expuestos

Publicado: 13/06/2023 | Importancia: Media

Recientemente, se ha identificado una campaña de ataque en la que se instaló el bot Tsunami DDoS en servidores Linux SSH administrados incorrectamente. Este ataque también involucró otros códigos maliciosos como ShellBot, XMRig Coin Miner y Log Cleaner. Los ataques dirigidos a servidores Linux SSH mal administrados suelen resultar en la instalación de bots DDoS o malware de minería de monedas.

DoubleFinger y GreetingGhoul: nuevos loader de malware que amenazan la seguridad de las criptomonedas

Publicado: 12/06/2023 | Importancia: Media

La captura ilegal de criptomonedas ha sido una práctica común entre los cibercriminales durante años, , y una de las últimas incorporaciones a este fenómeno es el loader DoubleFinger. Este cargador utiliza varias etapas y se implementa en el equipo de la víctima cuando esta abre un archivo adjunto malicioso en un correo electrónico.

Nuevos IoC asociados al ransomware Black Basta

Publicado: 12/06/2023 | Importancia: Media

A medida que pasa el tiempo, los cibercriminales detrás del ransomware Black Basta actualizan esta amenaza y sus herramientas en pro de lograr tener éxito en sus actividades maliciosas, ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.

Nuevos IoC asociados con el troyano bancario Dridex

Publicado: 11/06/2023 | Importancia: Media

Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificaron nuevas actividades y artefactos relacionados a Dridex, un troyano bancario diseñado para capturar información de cuentas bancarias en línea; fue descubierto por primera vez en 2014 y desde entonces ha sido uno de los troyanos bancarios más relevantes en todo el mundo generando grandes impactos en diversos sectores, principalmente en las instituciones financieras y proveedores de servicio de pago.

Nuevos indicadores de compromiso vinculados al troyano de acceso remoto Quasar

Publicado: 11/06/2023 | Importancia: Media

Quasar RAT es una familia de malware que permite a los ciberdelincuentes controlar de forma remota los sistemas comprometidos, este funciona como un troyano y se instala en el equipo de la víctima sin su conocimiento. Quasar, se caracteriza por poseer una interfaz de usuario fácil de usar y su amplia gama de funciones, lo que lo hace atractivo para los ciberdelincuentes con diferentes niveles de experiencia técnica.

Nuevos IoC asociados a Emotet

Publicado: 11/06/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto, se han observado nuevos indicadores de compromiso (IOC) relacionados al troyano Emotet, donde su principal objetivo es la recopilación de información alojada en los equipos comprometidos como credenciales de acceso.

Asylum Ambuscade: un actor de amenazas que combina cibercrimen y ciberespionaje

Publicado: 10/06/2023 | Importancia: Media

Un actor de amenazas conocido como Asylum Ambuscade ha estado operando en el ámbito del cibercrimen y el ciberespionaje desde principios de 2020. Este grupo se ha enfocado en atacar a clientes bancarios, comerciantes de criptomonedas y entidades gubernamentales en América del Norte, Europa y Asia Central. Asylum Ambuscade fue inicialmente identificado como una campaña de phishing patrocinada por un estado-nación, dirigida a entidades gubernativas europeas con el objetivo de extraer información confidencial y credenciales de correo electrónico de portales de gobierno.

Nueva campaña de skimmer

Publicado: 10/06/2023 | Importancia: Media

Recientemente, investigadores de seguridad identificaron una nueva campaña de skimmer web al estilo de Magecart, con la finalidad de capturar y exfiltrar información relacionada con temas financieros donde se incluye la identificación personal de las víctimas como también la data asociada a los métodos de pago utilizados en sitios web de comercio digital.

Storm-1167: Una campaña de ataques AiTM y BEC amenaza a organizaciones financieras

Publicado: 09/06/2023 | Importancia: Media

Microsoft ha revelado que las organizaciones de servicios bancarios y financieros están siendo objetivo de un nuevo tipo de ataque cibernético. Este ataque en varias etapas, llevado a cabo mediante un enfoque de adversario en el medio (AiTM), se originó a partir de un proveedor de confianza comprometido y se ha extendido a través de múltiples organizaciones. Aunque el ataque logró su objetivo final, se destacan aspectos notables como el uso de un proxy indirecto en lugar de las técnicas tradicionales de proxy inverso, lo que demuestra la evolución constante de estas amenazas.

Nuevas campañas maliciosas del grupo BlindEagle distribuyen NjRAT

Publicado: 09/06/2023 | Importancia: Media

Mediante el monitoreo generado por el equipo de analistas del Csirt Financiero se identificaron nuevas campañas maliciosas de BlindEagle dirigidas a diversas entidades de Colombia, este grupo también conocido como APT-C-36 es un actor de amenaza activo desde 2018, especializado en actividades de ciberespionaje y captura de información financiera, el cual ha ganado gran reputación por realizar ataques a instituciones y corporaciones de Latinoamérica.

Amenaza en auge: el grupo de ransomware Cl0p explota vulnerabilidades en soluciones de transferencia de archivos

Publicado: 08/06/2023 | Importancia: Media

El grupo de ransomware CL0P, también conocido como TA505, ha comenzado a aprovechar una vulnerabilidad de inyección SQL en la solución de transferencia de archivos administrados de Progress Software (MOVEit Transfer). Esta vulnerabilidad permite al grupo capturar datos de las bases de datos subyacentes de MOVEit Transfer. TA505, conocido por su uso de ransomware y phishing, ha utilizado tácticas de doble extorsión en el pasado. Además, el grupo ha explotado otras soluciones de transferencia de archivos, como Accellion File Transfer (FTA) y Fortra/Linoma GoAnywhere MFT.

Surge una nueva amenaza denominada KrakenKeylogger

Publicado: 08/06/2023 | Importancia: Media

Mediante los monitoreos realizados por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a generar impactos en las infraestructuras tecnológicas de los asociados, se identificó un nuevo software malicioso comercializado en foros clandestinos de la Deep y Dark web denominado KrakenKeylogger con grandes capacidades para la captura de datos sensibles.

Nuevos artefactos relacionados con el troyano de acceso remoto AsyncRAT

Publicado: 08/06/2023 | Importancia: Media

Mediante constantes monitoreos realizados por el equipo de analistas del Csirt Financiero, en busca de amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificaron nuevos artefactos relacionados con el troyano de acceso remoto denominado AsyncRAT.

Darkrace: El emergente ransomware que amenaza la seguridad de los sistemas Windows

Publicado: 07/06/2023 | Importancia: Media

El ransomware continúa siendo una de las amenazas más críticas en el ámbito de la ciberseguridad, representando un peligro para la infraestructura de las organizaciones. Recientemente se ha descubierto un nuevo tipo de ransomware llamado Darkrace, el cual comparte similitudes con LockBit Ransomware. Darkrace está diseñado para atacar específicamente sistemas operativos Windows y utiliza diversas tácticas para llevar a cabo sus operaciones.

Nueva variante de ransomware identificada como Thx

Publicado: 07/06/2023 | Importancia: Media

Thx es una nueva familia perteneciente a otra amenaza conocida como Dharma, este es un ransomware que tiene la finalidad de cifrar datos y con esto generar la capacidad de extorsionar a sus víctimas a través de la exigencia de un rescate a cambio de un beneficio económico para posteriormente entregar una clave de descifrado, todo esto lo hace con base en el tipo de información comprometida.

Nuevos indicadores de compromiso asociados a Bumblebee

Publicado: 06/06/2023 | Importancia: Media

Bumblebee era backdoor que desde su creación ha adquirido mucha popularidad entre los ciberdelincuentes debido a sus amplias capacidades, sin embargo, los actores de amenaza de tras de este con el tiempo lo han desarrollado hasta convertirlo en un Loader.