Alertas de seguridad

Bat

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

IronNetInjector nueva herramienta asociada al grupo Turla

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero identifico una nueva herramienta desarrollada en IronPython que es usada para inyección de malware, asociada al grupo de amenazas Turla.

Leer Más

IZ1H9: La activa y peligrosa variante Mirai que amenaza la seguridad de dispositivos Linux

Recientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.

Leer Más

Jackpotting, técnica que utilizan los ciberdelincuentes para instalar malware Cutlet Maker

Por medio de fuentes de información el CSIRT Financiero ha identificado nuevos detalles de la técnica conocida como Jackpotting, esta ha sido utilizada por ciberdelincuentes para obtener acceso a dispositivos ATM y dar paso a la instalación de Cutlet Maker, un malware que va dirigido a obtener la manipulación de los cajeros automáticos para lograr la expulsión de dinero.

Leer Más

JasperLoader

Troyano que se distribuía a través de campañas de spam malicioso.

Leer Más

Jasperloader malware bancario

Se ha detectado una nueva campaña del malware JasperLoader. Este malware se clasificaría dentro de los droppers esto es, sería el encargado de descargar otras piezas de malware. Habitualmente los droppers contienen un alto nivel de ofuscación y/o técnicas para evitar la detección por parte de motores antimalware.

Leer Más

Jcry ransomware

Jcry ransomware descubierto recientemente escrito en Go Lang

Leer Más

Js-sniffers infectaron sitios webs de comercio electrónico

Detectores de JavaScript, un tipo de malware diseñado para robar datos de pago de clientes en tiendas en línea en la cual se investiga y que fueron infectados 2440 sitios de comercio financiero con un total de aproximadamente 1,5 millones de visitantes diarias.

Leer Más

Kaseya obtiene un descifrador universal para el Ransomware REvil

El Csirt Financiero dentro del seguimiento al compromiso en la cadena de suministro que sufrió Kaseya en su plataforma VSA el pasado 02 de julio de 2021 y que afectó a más de 200 organizaciones a nivel global, informa a nuestros asociados que recientemente Kaseya cuenta con una herramienta para el descifrado de la información víctima del Ransomware REvil.

Leer Más

Katana, nueva variante de la Botnet Mirai

En el monitoreo realizado por el equipo del Csirt Financiero se ha detectado una nueva variante de la botnet Mirai denominada Katana. Esta nueva variante se encuentra en desarrollo y se está utilizando para infectar cientos de aparatos interconectados o Internet de las Cosas (IoT) al día.

Leer Más

KeePass modificado empleado en distribución reciente de amenazas

Durante las labores de monitoreo el equipo de analistas del Csirt Financiero identificó una nueva campaña maliciosa que involucra la distribución de una versión modificada de KeePass, un popular administrador de contraseñas de código abierto.

Leer Más

KEKW Stealer: La nueva amenaza para la seguridad de los datos

El mundo de la ciberseguridad está constantemente en alerta ante el surgimiento de nuevas amenazas informáticas que buscan acceder a información confidencial de usuarios y empresas. Recientemente se ha detectado un nuevo stealer conocido como KEKW, el cual se presenta como un paquete de Python y tiene la capacidad de realizar múltiples acciones maliciosas en el sistema de la víctima.

Leer Más

Kimsuky expone nuevas técnicas de acceso remoto con PebbleDash

Durante el monitoreo continúo realizado por el Csirt Financiero se identificó una nueva actividad asociada al backdoor PebbleDash, activo desde 2020 y previamente vinculado al grupo APT Lazarus, el cual ha sido adoptado recientemente por el grupo Kimsuky

Leer Más

Kit de exploits Spelevo para distribuir Ursnif y Qbot.

Desde el CSIRT Financiero se ha identificado una campaña que utiliza el Kit de explotación Spelevo, el cual mediante sus capacidades de Dropper [Descargador de malware] permite la descarga del malware Ursnif y Qbot, los cuales tienen como objetivo exfiltrar información sensible de los equipos comprometidos.

Leer Más

KoiLoader: amenaza modular dirigida a sistemas Windows

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad vinculada a KoiLoader, un loader modular empleado por actores maliciosos para distribuir y ejecutar cargas útiles adicionales.

Leer Más

Koske, nuevo malware dirigido a infraestructura Linux

Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de malware denominado Koske, una amenaza dirigida a sistemas Linux que destaca por emplear técnicas evasivas y persistentes para mantener su presencia en los equipos comprometidos.

Leer Más

Kraken ransomware: capacidades y alcance de una amenaza emergente.

Durante actividades de monitoreo adelantadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad atribuida a un grupo de ransomware emergente denominado Kraken, el cual ha enfocado sus operaciones en campañas de big-game hunting, dirigiéndose a organizaciones de alto valor.

Leer Más

La botnet AndoryuBot: una amenaza creciente que utiliza la vulnerabilidad Ruckus para propagarse

La seguridad en línea es un tema cada vez más relevante en la actualidad, y la amenaza de ciberataques está siempre presente. En este sentido, recientemente se ha detectado una botnet única basada en el protocolo SOCKS, que se distribuye a través de la vulnerabilidad Ruckus (CVE-2023-25717). Esta botnet, conocida como AndoryuBot, contiene módulos de ataque DDoS para diferentes protocolos y se comunica con su servidor de comando y control utilizando proxies SOCKS5.

Leer Más

La botnet Fodcha continúa liberando ataques en el ciberespacio

Desde mediados de enero de este año se descubrió un actor de amenazas que empleaba una botnet denominada Fodcha, desde su aparición se realizaron operaciones para derrocar la infraestructura con la que operaban estos ciberdelincuentes; no obstante, los ciberdelincuentes fingieron una derrota para implementar mejoras en sus capacidades, generando la evolución de nuevas variantes.

Leer Más

La Botnet Glupteba aumenta sus infecciones

Se conoce que Glupteba se ha encontrado activa desde 2011, desde entonces se han podido identificar aproximadamente 1 millón de infraestructuras informáticas con sistemas operativos Windows que hacen parte de esta red, así mismo, en su momento Google anunció que dio de baja a Glupteba, que fue desarrollada con el objetivo de recopilar y exfiltrar datos sensibles de los usuarios como credenciales de acceso realizar minería, implementar proxy que les permiten canalizar el tráfico de red.

Leer Más

La Botnet Mirai una amenaza cibernética en dispositivos IoT

La botnet Mirai, activa desde 2016, representa una amenaza cibernética de gran alcance, enfocándose en su capacidad para infectar dispositivos IoT y utilizarlos en ataques DDoS. Mirai se propaga a través de dispositivos vulnerables, convirtiéndolos en "bots" controlados por ciberdelincuentes, y ha impactado proveedores de servicios de Internet, empresas de juegos y sitios web gubernamentales, convirtiéndose en una seria preocupación para la seguridad en línea.

Leer Más