Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de 2022

LockBit 3.0: utiliza la técnica de inyección EWM para propagar el ransomware

Publicado: 27/05/2023 | Importancia: Media

En la actualidad, el mundo digital enfrenta constantemente nuevas amenazas de malware que buscan infiltrarse en sistemas y comprometer la seguridad de la información. Recientemente, se ha detectado una nueva variante del ransomware LockBit que utiliza una técnica de infección conocida como EWM (Exploit Windows Memory). Esta técnica ha sido utilizada previamente por otras familias de malware como Gapz y PowerLoader.

Nuevos indicadores de compromiso asociados a Vidar stealer

Publicado: 26/05/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado, nuevos indicadores de compromiso asociados a Vidar stealer, una amenaza que es reconocida en el ámbito de ciberseguridad en Colombia debido a sus diversas afectaciones al sector financiero.

Buhti: La amenaza emergente que aprovecha vulnerabilidades y utiliza variantes filtradas de ransomware LockBit y Babuk

Publicado: 25/05/2023 | Importancia: Media

En el oscuro mundo de la ciberdelincuencia, una nueva amenaza ha surgido y ha despertado la atención de expertos en seguridad. Se trata de Buhti, un grupo de ransomware que se destaca por su enfoque inusual. A diferencia de otros grupos, no crea su propio malware, sino que utiliza builders de ransomware filtrados de las familias LockBit y Babuk. Esta táctica ha generado preocupación debido a su capacidad para atacar tanto sistemas Windows como Linux. Además, los operadores de Buhti han sido apodados como Blacktail, aunque su afiliación a otros grupos de cibercriminales aún no ha sido confirmada.

Operación Magalenha: Amenaza brasileña dirigida a instituciones financieras portuguesas

Publicado: 24/05/2023 | Importancia: Media

Un actor de amenazas brasileño ha estado llevando a cabo una campaña de larga duración desde 2021, apuntando a más de 30 instituciones financieras portuguesas. En esta campaña, denominada "Operación Magalenha", los atacantes emplean malware para capturar información confidencial y personal de los usuarios. La operación culmina con el despliegue de dos variantes de una puerta trasera llamada PeepingTitle, que forma parte de un ecosistema de malware financiero brasileño más amplio conocido como Maxtrilha.

Evolución del Downloader Guloader

Publicado: 24/05/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa relacionada con el downloader conocido como Guloader. Este malware utiliza la herramienta de código abierto NSIS (Nullsoft Scriptable Install System) una herramienta de código abierto que se utiliza para crear instaladores de software en el sistema operativo Windows para desarrollar instaladores en el sistema operativo Windows. Durante la investigación se han identificado nuevos indicadores de compromiso asociados a esta amenaza.

BlackByte NT: La nueva versión del ransomware BlackByte

Publicado: 23/05/2023 | Importancia: Media

BlackByte es un grupo conocido por su uso de su ransomware con el mismo nombre, ofreciendo su servicio a sus afiliados como Ransomware-as-a-Service (RaaS). Han desarrollado diferentes variantes de malware a lo largo del tiempo, implementadas en varios lenguajes de programación. Su última versión, llamada BlackByte NT, Esta nueva implementación agrega controladores adicionales para explotar una vulnerabilidad específica y desactivar herramientas de seguridad que podrían interferir con su funcionamiento.

Nueva campaña maliciosa del ransomware Black Basta

Publicado: 23/05/2023 | Importancia: Media

A medida que avanza el tiempo, los cibercriminales responsables del ransomware Black Basta continúan actualizando de manera constante esta amenaza y sus herramientas maliciosas. No obstante, el equipo de analistas del Csirt Financiero se mantiene vigilante y ha logrado identificar recientemente nueva actividad maliciosa y nuevos indicadores de compromiso.

BlackCat: Ataques de ransomware potenciados por controladores maliciosos

Publicado: 22/05/2023 | Importancia: Media

Recientemente se ha detectado un aumento en la actividad del grupo de ransomware conocido como ALPHV, también llamado BlackCat. Lo preocupante es que este grupo está utilizando controladores de kernel de Windows maliciosos, los cuales están firmados para evadir la detección por parte del software de seguridad durante sus ataques. Esta táctica les ha permitido eludir las defensas y llevar a cabo sus acciones sin ser detectados.

Nuevos IoC asociados al troyano de acceso remoto AveMaria

Publicado: 22/05/2023 | Importancia: Media

AveMaria es un RAT modular con capacidades avanzadas, las cuales le permiten exfiltrar múltiple información de los equipos infectados, cabe resaltar que también es conocido como WARZONE RAT y que además esta amenaza está dirigida a todos los sectores, donde encontramos el ámbito financiero.

Nuevos indicadores de compromiso asociados a Bumblebee

Publicado: 22/05/2023 | Importancia: Media

A través del constante monitoreo a posibles amenazas que afecten el ecosistema de ciberseguridad del sector financiero, se han identificado, correlacionado y sanitizado, nuevos indicadores de compromiso relacionados al loader Bumblebee.

Actualización de IoC asociados a NetSupport RAT

Publicado: 21/05/2023 | Importancia: Media

NetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.

Nuevos indicadores de compromiso relacionados a la botnet Amadey

Publicado: 21/05/2023 | Importancia: Media

Amadey se caracteriza por su capacidad para capturar información confidencial como contraseñas, datos bancarios y credenciales de inicio de sesión, así como realizar acciones no autorizadas en el sistema infectado.

El ransomware Clop es distribuido por el grupo APT Fin7

Publicado: 20/05/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa relacionada con el ransomware Clop, llevada a cabo por el grupo de ciberdelincuentes conocido como FIN7. Este grupo, activo desde al menos 2015, se ha destacado por implementar malware en dispositivos de punto de venta (POS) y realizar ataques de phishing dirigidos a numerosas empresas a nivel global.

MalasLocker: Ransomware enfocado en servidores Zimbra

Publicado: 20/05/2023 | Importancia: Media

Una nueva amenaza de ransomware llamada MalasLocker ha surgido, apuntando a servidores Zimbra con el objetivo de capturar correos electrónicos y cifrar archivos. Sin embargo, a diferencia de los ataques convencionales, los perpetradores de esta operación de ransomware no exigen un pago de rescate en criptomonedas, sino que solicitan una donación a una organización benéfica para proporcionar una clave de descifrado y evitar la filtración de datos.

Nueva actividad maliciosa del ransomware Conti

Publicado: 19/05/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el ransomware Conti. A medida que los ciberdelincuentes realizan constantes actualizaciones en el ciberespacio, se ha descubierto una nueva actividad maliciosa asociada a esta amenaza en particular. El ransomware Conti, activo desde 2019, utiliza el modelo de Ransomware as a Service (RaaS) basado en el código de la amenaza Ryuk. Es conocido por su capacidad de evasión y su efectividad al cifrar equipos que ejecutan sistemas operativos Microsoft Windows.

Nuevo método de distribución de Raccoon Stealer y XMRig miner

Publicado: 17/05/2023 | Importancia: Media

Los actores de amenazas han estado utilizando técnicas de distribución de malware a través de software no licenciado desde los primeros días de la piratería. Sin embargo, recientemente se ha observado una tendencia en la cual los atacantes están dirigiendo sus esfuerzos hacia los canales de YouTube pirateados para difundir malware mediante tutoriales en video. Estos videos se presentan como instrucciones para convencer a los usuarios de desactivar sus herramientas de seguridad y ejecutar el malware, el cual viene en un archivo comprimido de pequeño tamaño.

Nuevos indicadores de compromiso asociados al troyano bancario IcedID

Publicado: 17/05/2023 | Importancia: Media

IcedID es un troyano bancario, un tipo de malware que se especializa en capturar información financiera de sus víctimas. Es capaz de infiltrarse en los sistemas informáticos de la organización y recopilar data sobre las credenciales de inicio de sesión y/o datos de la tarjeta de crédito.

Emerge nueva familia de ransomware denominada CryptNet

Publicado: 17/05/2023 | Importancia: Media

Recientemente investigadores cibernéticos identificaron una nueva variante de malware denominada CryptNet, amenaza de tipo ransomware que es ofrecido como servicio (as-a-service) a través de foros clandestinos de la Deep y Dark web; CryptNet se encuentra desarrollado bajo el lenguaje de programación .NET y emplea el algoritmo de cifrado AES en modo CBC (algoritmo que utiliza un cifrador por bloques para proveer seguridad a la información) y RSA de 2048 bits.

RA Group: El ascenso del nuevo y peligroso actor de ransomware

Publicado: 16/05/2023 | Importancia: Media

Recientemente se ha descubierto un nuevo actor de ransomware llamado RA Group, que ha estado operando desde al menos el 22 de abril de 2023. Este actor está expandiendo rápidamente sus operaciones y ha comprometido a tres organizaciones en los EE. UU. y una en Corea del Sur en varias verticales comerciales, incluidas la fabricación, la gestión de patrimonio, los proveedores de seguros y productos farmacéuticos.

Medusalocker, entre los ransomware más distribuidos en américa latina

Publicado: 16/05/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso relacionados con el ransomware MedusaLocker, que ha experimentado un aumento en su actividad reciente. Ha afectado a diversas organizaciones de todos los sectores económicos en América Latina, incluyendo el sector financiero.

Nuevas campañas maliciosas distribuyen dropper y kits de phishing

Publicado: 16/05/2023 | Importancia: Media

En una reciente investigación, se identificó varias campañas maliciosas las cuales distribuían un dropper y un módulo de phishing denominados CopperStealth y CopperPhishing respectivamente, estos han sido vinculados al grupo de ciberdelincuentes Water Orthrus debido a poseen similitudes con otra familia de malware llamada CopperStealer.

CLR SqlShell: La amenaza creciente que ataca servidores MS SQL

Publicado: 15/05/2023 | Importancia: Media

La seguridad cibernética sigue siendo una preocupación importante en el mundo digital, y los servidores Microsoft SQL (MS SQL) mal administrados se han convertido en el objetivo de una nueva campaña maliciosa. Esta campaña tiene como objetivo propagar el loader conocido como CLR SqlShell, que facilita la instalación de criptomineros y ransomware.

Nuevos artefactos relacionados al troyano bancario Zloader

Publicado: 15/05/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha detectado una nueva campaña del troyano bancario Zloader, que ha afectado a instituciones financieras en varios países. Uno de los troyanos bancarios más peligrosos y prevalentes que ha surgido en los últimos años. Conocido por su capacidad para capturar información confidencial y realizar fraudes financieros, Zloader se ha convertido en una amenaza significativa en el panorama de la ciberdelincuencia.

Greatness: Una plataforma de phishing como servicio (PaaS) para ataques de suplantación de identidad

Publicado: 14/05/2023 | Importancia: Media

La ciberdelincuencia continúa evolucionando a un ritmo alarmante, y una nueva amenaza ha surgido en el panorama de los ataques de phishing. Se trata de una plataforma como servicio (PaaS) conocida como Greatness, que ha sido adoptada por los criminales cibernéticos para apuntar a los usuarios comerciales del servicio en la nube Microsoft 365. Esta plataforma ha logrado reducir eficazmente las barreras de entrada para llevar a cabo ataques de phishing, lo que representa un peligro para las empresas y sus datos sensibles.

Nueva variante de ransomware nombrada Poop69

Publicado: 14/05/2023 | Importancia: Media

Poop69 es un ransomware que fue identificado recientemente, este tiene como objetivo cifrar datos y a través de esta capacidad poder exigir un rescate a cambio de una clave para el descifrado, teniendo en cuenta la importancia de la información comprometida muchas organizaciones acceden al pago de esta extorsión; por lo tanto, los ciberatacantes de esta amenaza tienen fines económicos.

El troyano de acceso remoto Xworm se aprovecha de vulnerabilidades expuestas

Publicado: 13/05/2023 | Importancia: Media

Descubierta campaña de phishing en la Darknet que distribuye el malware XWorm mediante documentos falsos de Microsoft Word. Los objetivos son empresas y clínicas en Alemania, pero también podría afectar a países de América Latina. Los atacantes aprovechan la vulnerabilidad de Follina para insertar un script de PowerShell ofuscado y propagar la infección.

Nueva amenaza de ransomware identificada como Solix

Publicado: 13/05/2023 | Importancia: Media

Recientemente se ha identificado actividad maliciosa de un ransomware denominado Solix, que a diferencia de otras amenazas del mismo tipo no opera como servicio; este ransomware aplica un cifrado a los archivos que están almacenados en las infraestructuras tecnológicas y les adiciona la extensión .solix; con esto inhabilita el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.

Nuevos indicadores de compromiso vinculados al troyano bancario FormBook

Publicado: 13/05/2023 | Importancia: Media

Se han identificado, recopilado y sanitizado nuevos indicadores de compromiso relacionados al troyano bancario FormBook, los cuales, en su mayoría, hacen referencia a recursos ejecutables tales como DLL o EXE (PE o portable executable por sus siglas en ingles) que afectan el sistema operativo Windows.

BlackSuit ransomware: amenaza que afecta sistemas Linux y Windows

Publicado: 12/05/2023 | Importancia: Media

En los últimos años, los ataques de ransomware se han vuelto cada vez más comunes y sofisticados. Debido a que Linux se utiliza ampliamente como sistema operativo en varios sectores, incluidos entornos empresariales y plataformas de computación en la nube, se ha convertido en un objetivo atractivo para los grupos de ransomware. Esto significa que un solo ataque puede comprometer numerosos sistemas. En ese contexto, se ha encontrado una nueva amenaza llamada BlackSuit, un ransomware utilizado por actores de amenazas para atacar a usuarios de sistemas operativos Microsoft Windows y Linux.

Nuevo ransomware identificado como Rancoz

Publicado: 11/05/2023 | Importancia: Media

Recientemente se ha identificado una nueva amenaza identificada como Rancoz, ransomware desarrollado a partir de otra amenaza conocida como Vice Society; lo que le permite a los cibercriminales adaptarlo a diferentes sectores u organizaciones objetivos, dándole la posibilidad de ser indetectable ante las herramientas de seguridad.