Alertas de seguridad

Bat

Actividad de Ransomware Black Basta implementa herramientas del grupo FIN7

El ransomware Black Basta ha estado activo desde abril de 2022, esta amenaza implementa un modelo de ataque de doble extorsión al igual que otras operaciones de ransomware, pero en las últimas actividades se pudo observar que los actores detrás de esta amenaza se vinculan con FIN7, un grupo de hackers con motivación financiera activo desde al menos 2015 que implementan malware a dispositivos POS (point-of-sale) y lanzan ataques phishing dirigidas a cientos de empresas de todo el mundo.

Leer Más

Reciente actividad de la Botnet Emotet se distribuye a nivel global.

El equipo de analista del Csirt Financiero realizó un monitoreo de ultimas actividades maliciosas que puedan llegar afectar la infraestructura y pilares de la información de nuestros asociados, donde se observó nuevo movimiento de la botnet Emotet.

Leer Más

Nuevo ransomware denominado Gwisin

En el ecosistema de ciberseguridad, es frecuente evidenciar que los actores de amenaza aprovechen cualquier tipo de vulnerabilidad y/o brecha de seguridad, presentada en aplicaciones, servicios y/o plataformas alojadas en internet; esto con el propósito de implementar alguna familia de malware en la infraestructura tecnológica objetivo y así, afectar la seguridad de la información de dicha organización.

Leer Más

Un nuevo wiper denominado Azov aparece en la naturaleza

Los ciberataques se han reproducido de manera exponencial durante los últimos meses de ahí que surjan nuevas amenazas en la naturaleza, justamente recientemente se descubrió un destructivo wiper denominado Azov que se distribuye activamente a nivel global; la campaña en curso ha logrado impactar distintas organizaciones cifrando y eliminando su información, no obstante, la criticidad de ser infectado con Azov es que los actores de amenaza no asociaron ningún medio de comunicación.

Leer Más

Nueva actividad del troyano Amadey implementa ransomware LockBit.

En el monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que realizo el troyano Amadey en el cual están implementando el ransomware LockBit. Este troyano se identificó por primera vez en el año 2018 con capacidades de capturar información confidencial e instalar código malicioso adicional en el equipo infectado.

Leer Más

La botnet Fodcha continúa liberando ataques en el ciberespacio

Desde mediados de enero de este año se descubrió un actor de amenazas que empleaba una botnet denominada Fodcha, desde su aparición se realizaron operaciones para derrocar la infraestructura con la que operaban estos ciberdelincuentes; no obstante, los ciberdelincuentes fingieron una derrota para implementar mejoras en sus capacidades, generando la evolución de nuevas variantes.

Leer Más

Identifican grupo denominado Cranefly que cuenta con altas capacidades de espionaje

Cranefly es un grupo cibercriminal que fue identificado en mayo del presente año; estos tienen como objetivo dirigirse a los correos electrónicos de los colaboradores que tienen a su cargo el desarrollo corporativo, adquisiciones y transacciones corporativas empleando un nuevo backdoor llamado Danfuan.

Leer Más

Nuevos ransomware identificados en la naturaleza

El ransomware, es un tipo de malware comúnmente implementado por los actores de amenaza en sus campañas maliciosas, esto debido a su gran capacidad de cifrar archivos almacenados en la infraestructura tecnológica objetivo, algunas de estas familias destacan por poseer comportamientos únicos que las diferencian entre las demás y que suelen afectar organización de alto nivel.

Leer Más

Los troyanos bancarios Sharkbot y Vultur distribuyen droppers en Google Play Store

El equipo de analistas del Csirt Financiero ha observado una nueva campaña maliciosa en la que implementan droppers en la tienda de Google Play para distribuir troyanos bancarios, se encontraron más de 130.000 instalaciones que distribuyen a los troyanos bancarios Sharkbot y Vultur.

Leer Más

Nueva actividad maliciosa atribuida a STRRAT

En el ecosistema de ciberseguridad, usualmente los actores de amenaza desarrollan las cargas útiles de sus familias de malware en formatos conocidos. Se han evidenciado diversas campañas maliciosas en donde los ciberdelincuentes utilizan lenguajes de programación poco convencionales para generar estos archivos maliciosos, este tipo de estrategia permite que las soluciones antimalware no detecten dichos artefactos debido a desconocen ese tipo de formatos.

Leer Más

Nuevas campañas implementan ransomware con facilidad mediante Raspeberry Robin

En el proceso de monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó nuevas actividades relacionadas al gusano informático Raspberry Robin dirigido a usuarios de Windows que se propaga a través de dispositivos USB extraíbles mediante un archivo .LNK malicioso.

Leer Más

Nuevo ransomware denominado ArcLocker impacta a organizaciones de LATAM

El equipo de analistas del Csirt Financiero realiza un monitoreo de nuevas amenazas que pueden llegar afectar la confidencialidad e infraestructura de nuestros asociados, donde se encontró una nueva familia de ransomware denominada como ArcLocker. Esta nueva campaña maliciosa ya tuvo actividades en China, Estonia, Turquía, impactando también en organizaciones de LATAM específicamente Chile y recientemente a Colombia.

Leer Más

Nueva actividad maliciosa del ransomware Hive

Hive, es una de las familias de ransomware más reconocidas a nivel global, donde destaca su gran capacidad de afectación a la infraestructura tecnológica objetivo. Este malware As a Service (MaaS, por sus siglas en inglés) ha impactado a múltiples entidades de América Latina y Colombia, las cuales han estado en riesgo de filtración de información confidencial al haber sido infectadas por el mencionado.

Leer Más

Grupo Lazarus inhabilita herramientas de seguridad mediante la técnica BYOVD

Se conoce que el grupo APT Lazarus es uno de los más populares en la última década dado a su amplia gama de métodos empleado en sus operaciones maliciosas; recientemente se ha identificado un ataque en el cual este grupo de amenazas utiliza una vulnerabilidad en el producto MagicLine4NX desarrollado por Dream Security con el fin de impactar en mayor manera las redes internas después de ejecutar la técnica de abrevadero (ataque contra organizaciones en la que el atacante infecta con malware sitios web de terceros muy utilizados por los usuario de la organización), posteriormente se manipula un controlador vulnerable que se usa para inhabilitar las herramientas de seguridad que se encuentren instauradas en las infraestructuras tecnológicas.

Leer Más

El nuevo ransomware RAR1 como parte del arsenal de una campaña que distribuye distintas amenazas

Uno de los vectores de infección implementados por los actores de amenaza en la naturaleza es la explotación de vulnerabilidades especialmente las de clasificación crítica dado que rápidamente aparecen exploits para aprovecharse de esta y así obtener acceso a los sistemas; recientemente se descubrió una campaña en curso que explota una vulnerabilidad de VMware que permite la inyección de una carga útil y la ejecución remota de código, con el fin de implantar un nuevo ransomware denominado RAR1, junto a nueva variante del botnet Mirai y un minero en su operación.

Leer Más

Nueva campaña maliciosa que entrega NetSupport RAT

Recientemente se ha descubierto una campaña maliciosa dirigida a usuarios de Microsoft Windows denominada “sczriptzzbn inject”, esta tiene operación sobre sitios web comprometidos para persuadir al usuario a descargar un instalador malicioso de Google Chrome que resulta en la implementación de NetSupport RAT.

Leer Más

Nuevos indicadores de compromiso relacionados al troyano IcedID.

En el monitoreo realizado por el equipo de analistas del Csirt Financiero se encontraron nuevos indicadores de compromiso (IoC) relacionados al troyano bancario IcedID, también conocido como Bokbot que se observó por primera vez en 2017, esta amenaza está dirigida a cualquier organización o entidad que maneje información financiera, incluidas las credenciales de inicio de sesión las aplicaciones bancarias en línea.

Leer Más

Nueva actividad relacionada con el troyano bancario Qakbot

Uno de los troyanos bancarios más prolíficos en la naturaleza es Qakbot, pues desde su aparición en 2007 los actores de esta amenaza no han detenido su operación, con esto han desarrollado y mantenido campañas dirigidas a entidades financieras a nivel mundial; partiendo de lo anterior la actividad relacionada con este troyano ha hecho que se posicione como una de las amenazas más relevantes, de ahí que durante su evolución implemente capacidades dirigidas a capturar mayor cantidad de información sensible de sus víctimas.

Leer Más

Nueva actividad maliciosa atribuida a la botnet Emotet

En el ecosistema de ciberseguridad, una de las estrategias más utilizadas por los actores de amenaza en sus campañas maliciosas es la distribución de malspam, utilizando esta técnica se ha identificado una nueva actividad de Emotet donde se adjuntan archivos comprimidos con la carga útil de esta amenaza en mensajes de correo electrónico.

Leer Más

Nueva actualización del troyano bancario Ursnif denominada LDR4

Ursnif es una variante del malware Gozi, identificado por primera vez en el año 2017 y desde entonces un tipo de amenaza conocido como un troyano bancario, la cual ha sido muy popular entre diversos grupos de ciberdelincuentes ya que se encuentra dirigido específicamente al sector financiero con el objetivo de capturar información y credenciales bancarias principalmente de los sistemas operativos Microsoft Windows.

Leer Más

Archivo