Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de 2022

Nuevos IoC asociados al ransomware Black Basta

Publicado: 12/06/2023 | Importancia: Media

A medida que pasa el tiempo, los cibercriminales detrás del ransomware Black Basta actualizan esta amenaza y sus herramientas en pro de lograr tener éxito en sus actividades maliciosas, ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.

Nuevos IoC asociados con el troyano bancario Dridex

Publicado: 11/06/2023 | Importancia: Media

Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificaron nuevas actividades y artefactos relacionados a Dridex, un troyano bancario diseñado para capturar información de cuentas bancarias en línea; fue descubierto por primera vez en 2014 y desde entonces ha sido uno de los troyanos bancarios más relevantes en todo el mundo generando grandes impactos en diversos sectores, principalmente en las instituciones financieras y proveedores de servicio de pago.

Nuevos indicadores de compromiso vinculados al troyano de acceso remoto Quasar

Publicado: 11/06/2023 | Importancia: Media

Quasar RAT es una familia de malware que permite a los ciberdelincuentes controlar de forma remota los sistemas comprometidos, este funciona como un troyano y se instala en el equipo de la víctima sin su conocimiento. Quasar, se caracteriza por poseer una interfaz de usuario fácil de usar y su amplia gama de funciones, lo que lo hace atractivo para los ciberdelincuentes con diferentes niveles de experiencia técnica.

Nuevos IoC asociados a Emotet

Publicado: 11/06/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto, se han observado nuevos indicadores de compromiso (IOC) relacionados al troyano Emotet, donde su principal objetivo es la recopilación de información alojada en los equipos comprometidos como credenciales de acceso.

Asylum Ambuscade: un actor de amenazas que combina cibercrimen y ciberespionaje

Publicado: 10/06/2023 | Importancia: Media

Un actor de amenazas conocido como Asylum Ambuscade ha estado operando en el ámbito del cibercrimen y el ciberespionaje desde principios de 2020. Este grupo se ha enfocado en atacar a clientes bancarios, comerciantes de criptomonedas y entidades gubernamentales en América del Norte, Europa y Asia Central. Asylum Ambuscade fue inicialmente identificado como una campaña de phishing patrocinada por un estado-nación, dirigida a entidades gubernativas europeas con el objetivo de extraer información confidencial y credenciales de correo electrónico de portales de gobierno.

Nueva campaña de skimmer

Publicado: 10/06/2023 | Importancia: Media

Recientemente, investigadores de seguridad identificaron una nueva campaña de skimmer web al estilo de Magecart, con la finalidad de capturar y exfiltrar información relacionada con temas financieros donde se incluye la identificación personal de las víctimas como también la data asociada a los métodos de pago utilizados en sitios web de comercio digital.

Storm-1167: Una campaña de ataques AiTM y BEC amenaza a organizaciones financieras

Publicado: 09/06/2023 | Importancia: Media

Microsoft ha revelado que las organizaciones de servicios bancarios y financieros están siendo objetivo de un nuevo tipo de ataque cibernético. Este ataque en varias etapas, llevado a cabo mediante un enfoque de adversario en el medio (AiTM), se originó a partir de un proveedor de confianza comprometido y se ha extendido a través de múltiples organizaciones. Aunque el ataque logró su objetivo final, se destacan aspectos notables como el uso de un proxy indirecto en lugar de las técnicas tradicionales de proxy inverso, lo que demuestra la evolución constante de estas amenazas.

Nuevas campañas maliciosas del grupo BlindEagle distribuyen NjRAT

Publicado: 09/06/2023 | Importancia: Media

Mediante el monitoreo generado por el equipo de analistas del Csirt Financiero se identificaron nuevas campañas maliciosas de BlindEagle dirigidas a diversas entidades de Colombia, este grupo también conocido como APT-C-36 es un actor de amenaza activo desde 2018, especializado en actividades de ciberespionaje y captura de información financiera, el cual ha ganado gran reputación por realizar ataques a instituciones y corporaciones de Latinoamérica.

Amenaza en auge: el grupo de ransomware Cl0p explota vulnerabilidades en soluciones de transferencia de archivos

Publicado: 08/06/2023 | Importancia: Media

El grupo de ransomware CL0P, también conocido como TA505, ha comenzado a aprovechar una vulnerabilidad de inyección SQL en la solución de transferencia de archivos administrados de Progress Software (MOVEit Transfer). Esta vulnerabilidad permite al grupo capturar datos de las bases de datos subyacentes de MOVEit Transfer. TA505, conocido por su uso de ransomware y phishing, ha utilizado tácticas de doble extorsión en el pasado. Además, el grupo ha explotado otras soluciones de transferencia de archivos, como Accellion File Transfer (FTA) y Fortra/Linoma GoAnywhere MFT.

Surge una nueva amenaza denominada KrakenKeylogger

Publicado: 08/06/2023 | Importancia: Media

Mediante los monitoreos realizados por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a generar impactos en las infraestructuras tecnológicas de los asociados, se identificó un nuevo software malicioso comercializado en foros clandestinos de la Deep y Dark web denominado KrakenKeylogger con grandes capacidades para la captura de datos sensibles.

Nuevos artefactos relacionados con el troyano de acceso remoto AsyncRAT

Publicado: 08/06/2023 | Importancia: Media

Mediante constantes monitoreos realizados por el equipo de analistas del Csirt Financiero, en busca de amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificaron nuevos artefactos relacionados con el troyano de acceso remoto denominado AsyncRAT.

Darkrace: El emergente ransomware que amenaza la seguridad de los sistemas Windows

Publicado: 07/06/2023 | Importancia: Media

El ransomware continúa siendo una de las amenazas más críticas en el ámbito de la ciberseguridad, representando un peligro para la infraestructura de las organizaciones. Recientemente se ha descubierto un nuevo tipo de ransomware llamado Darkrace, el cual comparte similitudes con LockBit Ransomware. Darkrace está diseñado para atacar específicamente sistemas operativos Windows y utiliza diversas tácticas para llevar a cabo sus operaciones.

Nueva variante de ransomware identificada como Thx

Publicado: 07/06/2023 | Importancia: Media

Thx es una nueva familia perteneciente a otra amenaza conocida como Dharma, este es un ransomware que tiene la finalidad de cifrar datos y con esto generar la capacidad de extorsionar a sus víctimas a través de la exigencia de un rescate a cambio de un beneficio económico para posteriormente entregar una clave de descifrado, todo esto lo hace con base en el tipo de información comprometida.

Nuevos indicadores de compromiso asociados a Bumblebee

Publicado: 06/06/2023 | Importancia: Media

Bumblebee era backdoor que desde su creación ha adquirido mucha popularidad entre los ciberdelincuentes debido a sus amplias capacidades, sin embargo, los actores de amenaza de tras de este con el tiempo lo han desarrollado hasta convertirlo en un Loader.

Nuevo troyano bancario denominado HelloTeacher

Publicado: 06/06/2023 | Importancia: Media

En el ecosistema de ciberseguridad en el sector financiero, los actores de amenaza implementan diversas familias de malware que tienen como propósito recopilar información bancaria de las víctimas para beneficio económico propio; estas amenazas son comúnmente conocidas como troyanos bancarios.

CMDStealer, operación dirigida al sector financiero

Publicado: 05/06/2023 | Importancia: Media

Un desconocido actor de amenazas con objetivos financieros está desplegando campañas maliciosas a países como Portugal, México y Perú, con la finalidad de exfiltrar información bancaria de sus víctimas, dentro de las cuales se encuentran las credenciales de acceso. Para ello, emplean una táctica conocida como LOLBaS (Living Off the Land Binaries and Scripts) la cual se basa en la manipulación de binarios legítimos de los sistemas operativos para lograr sus actividades maliciosas, además, los cibercriminales se apoyan con scripts basados en CMD para comprometer la información de la víctima.

Nueva actividad maliciosa relacionada con la Botnet TrueBot.

Publicado: 04/06/2023 | Importancia: Media

A través de monitoreo constante a diversas fuentes de información, el equipo de analistas del Csirt Financiero identificó actividades recientes del software malicioso denominado TrueBot, botnet de descarga que ha estado activa desde el 2017.

NoEscape RaaS: amenaza dual para sistemas Windows y Linux

Publicado: 04/06/2023 | Importancia: Media

Recientemente, se ha descubierto una nueva iniciativa de Ransomware-as-a-Service (RaaS) llamada 'NoEscape'. Esta nueva amenaza fue promocionada en un foro de cibercrimen a finales de mayo de 2023, y sus creadores buscaban activamente afiliados para unirse a su red. NoEscape ofrece a los afiliados una variedad de opciones de construcción de ejecutables de ransomware para sistemas Windows y Linux.

IOC recientes del troyano IcedID

Publicado: 04/06/2023 | Importancia: Media

Durante procesos de monitoreo, se identificaron nuevos indicadores de compromiso (IOC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalar y/o ejecutar otras familias de malware para maximizar su impacto.

Nuevos IoC relacionados con el troyano de acceso remoto NjRAT

Publicado: 03/06/2023 | Importancia: Media

Mediante un monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información abiertas, en busca de campañas, artefactos o nuevas amenazas que puedan afectar la infraestructura tecnológica de los asociados, se identificaron indicadores de compromiso recientes y relacionados con el troyano de acceso remoto NjRAT.

Makop Ransomware: Un peligroso actor de amenazas en constante evolución

Publicado: 02/06/2023 | Importancia: Media

En el mundo digital actual, los ataques de ransomware representan una amenaza creciente para las empresas y organizaciones de todo el mundo. Entre los diversos actores de ransomware, se encuentra la pandilla Makop, que ha estado activo desde 2020. A pesar de su reputación relativamente baja, Makop ha logrado comprometer infraestructuras tecnológicas con éxito mediante el uso de un arsenal de herramientas híbridas y personalizadas.

Campaña de ciberataque "Horabot" amenaza a usuarios de habla hispana en América Latina

Publicado: 01/06/2023 | Importancia: Media

Una campaña de malware denominada Horabot ha sido descubierta recientemente, afectando a usuarios de habla hispana en América Latina. Este malware de tipo botnet se dirige a usuarios de habla hispana en Latinoamérica, con un enfoque particular en México, Horabot utiliza un troyano bancario y una herramienta de spam para comprometer las cuentas de correo web y controlar el buzón de Outlook de las víctimas. El troyano recopila credenciales de inicio de sesión, información del sistema operativo y pulsaciones de teclas, mientras que la herramienta de spam envía correos electrónicos no deseados a los contactos de la víctima.

IZ1H9: La activa y peligrosa variante Mirai que amenaza la seguridad de dispositivos Linux

Publicado: 31/05/2023 | Importancia: Media

Recientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.

Nuevos indicadores de compromiso asociados a LockBit y su versión 3.0

Publicado: 31/05/2023 | Importancia: Media

A través del monitoreo realizado a diversas fuentes de información en búsqueda de nuevas amenazas o campañas que puedan afectar el ecosistema de ciberseguridad del sector financiero, se identificaron nuevos indicadores de compromiso relacionados a LockBit y su versión 3.5.

SeroXen: Un nuevo y evasivo troyano de acceso remoto (RAT)

Publicado: 30/05/2023 | Importancia: Media

SeroXen es un nuevo troyano de acceso remoto (RAT) que ha ganado popularidad en 2023. Se presenta como una herramienta legítima que proporciona acceso a los equipos objetivo sin ser detectado por solo $30 al mes o $60 de por vida. Es una RAT sin archivos que combina proyectos de código abierto como Quasar RAT, r77-rootkit y NirCmd. Este RAT evita la detección en análisis estáticos y dinámicos, lo que lo convierte en una amenaza preocupante.

Identificada una nueva familia de ransomware con el nombre de xCor

Publicado: 30/05/2023 | Importancia: Media

xCor es una nueva familia de ransomware que una vez compromete un equipo o sistema asigna un ID a cada víctima, el cual es usado en las extensiones de los diversos elementos afectados. Este ransomware hace parte de la familia de Dharma.

Nuevo ransomware denominado Rhysida

Publicado: 30/05/2023 | Importancia: Media

Recientemente, se ha identificado un nuevo ransomware denominado como Rhysida, el cual ha sido atribuido a un incidente relacionado con el ejército de Chile, donde ha afectado sus servicios y disponibilidad.

Nueva amenaza denominada PixBankBot afecta al sector bancario

Publicado: 29/05/2023 | Importancia: Media

Mediante un monitoreo realizado a través de diferentes fuentes de información, el equipo de analistas del Csirt Financiero, identificó una nueva amenaza denominada PixBankBot dirigido en principio a bancos brasileños; este software malicioso utiliza el framework del Sistema de Transferencia Automatizado (ATS), lo que le permite malicioso realizar transacciones fraudulentas en los dispositivos de las víctimas.

Bandit Stealer: el nuevo InfoStealer que apunta a navegadores y billeteras de criptomonedas

Publicado: 28/05/2023 | Importancia: Media

Bandit Stealer, un nuevo tipo de infostealer que ha surgido recientemente y está ganando terreno al dirigirse a múltiples navegadores y billeteras de criptomonedas, mientras evade la detección. Aunque actualmente se centra en la plataforma Windows, su desarrollo en el lenguaje de programación Go sugiere la posibilidad de una compatibilidad multiplataforma en el futuro.

Nueva amenaza denominada PowerExchange

Publicado: 28/05/2023 | Importancia: Media

PowerExchange es una amenaza identificada recientemente, la cual se encuentra desarrollada bajo PowerShell y con el objetivo de penetrar en servidores de Microsoft Exchange que se encuentre expuestos en la internet o de forma local.