Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Nuevos indicadores de compromiso del troyano IcedID

Publicado: 06/05/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados al troyano bancario IcedID, esta ciberamenaza se encuentra activa desde el año 2017 y ha sido utilizada para realizar exfiltración de información bancaria y datos confidenciales de equipos comprometidos que utilizan sistemas operativos Windows.

Nueva actividad del troyano bancario Javali

Publicado: 06/05/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado un nuevo proceso en la cadena de infección del troyano bancario Javali, también conocido como Ousaban.

Nueva Actividad Del Troyano Bancario Bizarro

Publicado: 05/05/2021 | Importancia: Alta

En el monitoreo permanente a fuentes abiertas y de inteligencia, el Csirt Financiero ha identificado nuevas muestras del troyano bancario Bizarro que están siendo utilizadas recientemente en campañas contra países de habla hispana.

Posible Ataque Fabricante ATM Kioscos

Publicado: 04/05/2021 | Importancia: Media

El Csirt Financiero ha evidenciado un aparente ataque dirigido al productor colombiano de cajeros automáticos kioscos, en el cual se han visto comprometida información posiblemente sensible de la entidad.

Nueva Variante De Malware Buer / RustyBuer

Publicado: 02/05/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva variante del downloader Buer, la cual se encuentra reescrita completamente en el lenguaje de programación RUST, denominando a esta variante como RustyBuer.

Nueva actividad del malware ATM DispCashBR

Publicado: 01/05/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado actividad por parte del malware dirigido a cajeros automáticos (ATM) denominado DispCashBR. Este malware se ha observado en operación desde el año 2019 y hace uso de la técnica denominada Jackpotting que consiste en vulnerar los sistemas de las maquinas ATM e implementar malware dispuesto para el retiro fraudulento de dinero desde los cajeros automáticos

Indicadores de compromiso asociados a grupo Lazarus

Publicado: 01/05/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado indicadores de compromiso IoC relacionados a las actividades cibercriminales llevadas a cabo por parte del grupo Lazarus.

Grupo de amenazas UNC2447 distribuye backdoor Sombrat y ransomware Fivehands

Publicado: 30/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un grupo actor de ciberamenazas denominado UNC2447, que para esta campaña maliciosa se encarga de explotar una vulnerabilidad en SonicWall VPN para distribuir el malware denominado Sombrat y el ransomware Fivehands.

Rotajakiro puerta trasera dirigida a distribuciones Linux

Publicado: 29/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un backdoor de nombre Rotajakiro que tiene como objetivo distribuciones Linux con arquitectura X64. Los investigadores no habían visto detecciones en VirusTotal de esta backdoor solo hasta marzo de 2021; se tiene conocimiento que esta backdoor se había analizado en esta plataforma desde 2018.

Abuso de macros Excel 4.0 para distribuir malware

Publicado: 29/04/2021 | Importancia: Alta

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso IoC asociados al abuso de macros en Excel en versión 4.0 que data de 1992 y el cual utiliza XML como lenguaje de secuencia de comandos. Dichas macros han venido siendo utilizadas con gran frecuencia para distribuir malware que compromete principalmente sistemas operativos Windows.

Actividad del ransomware Cuba en Colombia y América Latina

Publicado: 28/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado durante el presente mes actividad asociada al ransomware Cuba, que puede afectar de manera indirecta al sector financiero del país.

Vulnerabilidad Fortinet FortiWAN

Publicado: 28/04/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, por parte del Csirt Financiero se ha identificado la vulnerabilidad denominada con el código CVE-2021-26102 que compromete los dispositivos FortiWAN que tengan sus consolas de administración en las versiones 4.5.7 o anteriores, la cual cuenta con una clasificación de 8.7 de severidad en la escala CVSS3.1.

Actividad troyano bancario Flubot para Android

Publicado: 27/04/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado actividad cibercriminal realizada por el troyano bancario Flubot, este se encuentra en funcionamiento desde finales de 2020 afectando a dispositivos Android. Esta amenaza, se ha visualizado en países europeos como Reino Unido, Alemania, Hungría, Italia, Polonia y España, pero se ha observado una reciente actividad orientada a Estados Unidos.

Nuevos indicadores de compromiso asociados al troyano bancario Qbot

Publicado: 26/04/2021 | Importancia: Alta

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario Qbot, también conocido como Qakbot o Quackcbot, amenaza que ha presentado actividad maliciosa desde el año 2007, actualizando constantemente sus técnicas de persistencia, ofuscación y vector de infección.

Nuevos indicadores de compromiso asociados a Remcos RAT

Publicado: 26/04/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar nuevos indicadores de compromiso asociados al troyano de acceso remoto Remcos, el cual ha tenido gran actividad en recientes campañas de distribución contra múltiples organizaciones colombianas.

Botnet Sysrv-Hello vulnera distribuciones Windows y Linux

Publicado: 24/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Sysrv-Hello, la cual afecta a distribuciones Windows y Linux al propagar bots de minería Monero.

Botnet Prometei instala malware de minería y libera RCE

Publicado: 24/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Prometei que explota dos vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon para instalar un criptominero denominado Monero en los equipos infectados.

Nuevos indicadores de compromiso del troyano IcedID

Publicado: 23/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario modular IcedID, también conocido como BokBot. Este malware ha estado activo desde el año 2017 y ha sido utilizado para exfiltrar información bancaria y datos confidenciales de equipos comprometidos con sistema operativo Windows.

ToxicEYE RAT utiliza Telegram como medio de comunicación con su servidor de comando y control

Publicado: 22/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva actividad maliciosa del troyano de acceso remoto denominado ToxicEYE RAT, el cual está usando Telegram como medio de comunicación entre el RAT instalado en el equipo infectado y el servidor de comando y control (C2).

BitRAT XMRIG realiza ciberataques de spearphishing en Colombia

Publicado: 21/04/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado BitRAT.

AsyncRAT realiza ciberataques de spearphishing en Colombia

Publicado: 21/04/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Async RAT.

Puerta trasera HabitsRAT ataca a distribuciones Windows y Linux

Publicado: 20/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo Troyano de Acceso Remoto con capacidades de backdoor desarrollado en Go, el cual se dirige a infraestructura tecnológica con sistema operativo Windows y distribuciones Linux. En principio se observó una versión del malware orientada a Windows que fue detectada por primera vez en los ataques presentados en marzo a los servidores de Microsoft Exchange. Posterior a esto, se encontró otra versión dirigida a Windows, así como la versión propia para comprometer infraestructura tecnológica soportada en distribuciones Linux.

Vulnerabilidad zero day en Pulse Connect Secure

Publicado: 20/04/2021 | Importancia: Alta

En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado una vulnerabilidad zero day identificada con el CVE-2021-22893, la cual cuenta con la calificación más alta en la escala de severidad CVSSv3: 10/10. Esta vulnerabilidad afecta dispositivos VPN SSL Pulse Connect Secure.

Nueva campaña de NjRAT exfiltra información confidencial

Publicado: 20/04/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado NjRAT.

Lazarus APT utiliza método para ocultar malware en imágenes

Publicado: 19/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un método de distribución de malware por parte del grupo cibercriminal norcoreano Lazarus, también conocido como Hidden Cobra. Este grupo APT ha estado activo desde el año 2009 y desde entonces se ha centrado en realizar ataques cibernéticos principalmente a organizaciones de los sectores financiero, energético, tecnológico y de gobierno en distintas regiones.

Campaña de Dridex a través de Quickbooks

Publicado: 19/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero, se ha identificado una campaña que distribuye a Dridex a través de Quickbooks, el cual, en campañas previas ha sido objetivo predilecto de los ciberdelincuentes para expandir al troyano bancario.

Vulnerabilidad VMware NSX-T data center

Publicado: 18/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero se ha identificado la siguiente vulnerabilidad CVE-2021-21981 en la plataforma VMware NSX-T Data center en su versión 3.1.1, la cual cuenta con una clasificación de 7.5 de severidad en la escala de CVSSv3.

Variante del ataque Rowhammer / smash

Publicado: 17/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero se ha identificado una variante del ataque conocido como Rowhammer, este ataque consiste en la explotación de una vulnerabilidad física en las memorias RAM del equipo objetivo con el fin de tener acceso a los datos almacenados en memoria y así obtener permisos dentro del equipo comprometido.

Nuevos vectores de distribución utilizados por Ryuk ransomware

Publicado: 17/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el uso de dos nuevas técnicas en el vector de distribución por parte de los ciberdelincuentes que utilizan Ryuk ransomware, las cuales han implementado en sus ciberataques.

BazarCall, nueva campaña de BazarLoader

Publicado: 16/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva campaña de infección del backdoor BazarLoader, el cual ha sido reconocido como parte de las herramientas utilizadas por los ciberdelincuentes detrás del troyano bancario Trickbot. Este backdoor se ha observado desde principios del año 2020 y es utilizado para exfiltrar información confidencial, controlar el sistema mediante comandos y entregar malware a través de sus servidores de comando y control (C2).