Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Nueva actividad maliciosa del ransomware Conti

Publicado: 19/05/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el ransomware Conti. A medida que los ciberdelincuentes realizan constantes actualizaciones en el ciberespacio, se ha descubierto una nueva actividad maliciosa asociada a esta amenaza en particular. El ransomware Conti, activo desde 2019, utiliza el modelo de Ransomware as a Service (RaaS) basado en el código de la amenaza Ryuk. Es conocido por su capacidad de evasión y su efectividad al cifrar equipos que ejecutan sistemas operativos Microsoft Windows.

Nuevo método de distribución de Raccoon Stealer y XMRig miner

Publicado: 17/05/2023 | Importancia: Media

Los actores de amenazas han estado utilizando técnicas de distribución de malware a través de software no licenciado desde los primeros días de la piratería. Sin embargo, recientemente se ha observado una tendencia en la cual los atacantes están dirigiendo sus esfuerzos hacia los canales de YouTube pirateados para difundir malware mediante tutoriales en video. Estos videos se presentan como instrucciones para convencer a los usuarios de desactivar sus herramientas de seguridad y ejecutar el malware, el cual viene en un archivo comprimido de pequeño tamaño.

Nuevos indicadores de compromiso asociados al troyano bancario IcedID

Publicado: 17/05/2023 | Importancia: Media

IcedID es un troyano bancario, un tipo de malware que se especializa en capturar información financiera de sus víctimas. Es capaz de infiltrarse en los sistemas informáticos de la organización y recopilar data sobre las credenciales de inicio de sesión y/o datos de la tarjeta de crédito.

Emerge nueva familia de ransomware denominada CryptNet

Publicado: 17/05/2023 | Importancia: Media

Recientemente investigadores cibernéticos identificaron una nueva variante de malware denominada CryptNet, amenaza de tipo ransomware que es ofrecido como servicio (as-a-service) a través de foros clandestinos de la Deep y Dark web; CryptNet se encuentra desarrollado bajo el lenguaje de programación .NET y emplea el algoritmo de cifrado AES en modo CBC (algoritmo que utiliza un cifrador por bloques para proveer seguridad a la información) y RSA de 2048 bits.

RA Group: El ascenso del nuevo y peligroso actor de ransomware

Publicado: 16/05/2023 | Importancia: Media

Recientemente se ha descubierto un nuevo actor de ransomware llamado RA Group, que ha estado operando desde al menos el 22 de abril de 2023. Este actor está expandiendo rápidamente sus operaciones y ha comprometido a tres organizaciones en los EE. UU. y una en Corea del Sur en varias verticales comerciales, incluidas la fabricación, la gestión de patrimonio, los proveedores de seguros y productos farmacéuticos.

Medusalocker, entre los ransomware más distribuidos en américa latina

Publicado: 16/05/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso relacionados con el ransomware MedusaLocker, que ha experimentado un aumento en su actividad reciente. Ha afectado a diversas organizaciones de todos los sectores económicos en América Latina, incluyendo el sector financiero.

Nuevas campañas maliciosas distribuyen dropper y kits de phishing

Publicado: 16/05/2023 | Importancia: Media

En una reciente investigación, se identificó varias campañas maliciosas las cuales distribuían un dropper y un módulo de phishing denominados CopperStealth y CopperPhishing respectivamente, estos han sido vinculados al grupo de ciberdelincuentes Water Orthrus debido a poseen similitudes con otra familia de malware llamada CopperStealer.

CLR SqlShell: La amenaza creciente que ataca servidores MS SQL

Publicado: 15/05/2023 | Importancia: Media

La seguridad cibernética sigue siendo una preocupación importante en el mundo digital, y los servidores Microsoft SQL (MS SQL) mal administrados se han convertido en el objetivo de una nueva campaña maliciosa. Esta campaña tiene como objetivo propagar el loader conocido como CLR SqlShell, que facilita la instalación de criptomineros y ransomware.

Nuevos artefactos relacionados al troyano bancario Zloader

Publicado: 15/05/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha detectado una nueva campaña del troyano bancario Zloader, que ha afectado a instituciones financieras en varios países. Uno de los troyanos bancarios más peligrosos y prevalentes que ha surgido en los últimos años. Conocido por su capacidad para capturar información confidencial y realizar fraudes financieros, Zloader se ha convertido en una amenaza significativa en el panorama de la ciberdelincuencia.

Greatness: Una plataforma de phishing como servicio (PaaS) para ataques de suplantación de identidad

Publicado: 14/05/2023 | Importancia: Media

La ciberdelincuencia continúa evolucionando a un ritmo alarmante, y una nueva amenaza ha surgido en el panorama de los ataques de phishing. Se trata de una plataforma como servicio (PaaS) conocida como Greatness, que ha sido adoptada por los criminales cibernéticos para apuntar a los usuarios comerciales del servicio en la nube Microsoft 365. Esta plataforma ha logrado reducir eficazmente las barreras de entrada para llevar a cabo ataques de phishing, lo que representa un peligro para las empresas y sus datos sensibles.

Nueva variante de ransomware nombrada Poop69

Publicado: 14/05/2023 | Importancia: Media

Poop69 es un ransomware que fue identificado recientemente, este tiene como objetivo cifrar datos y a través de esta capacidad poder exigir un rescate a cambio de una clave para el descifrado, teniendo en cuenta la importancia de la información comprometida muchas organizaciones acceden al pago de esta extorsión; por lo tanto, los ciberatacantes de esta amenaza tienen fines económicos.

El troyano de acceso remoto Xworm se aprovecha de vulnerabilidades expuestas

Publicado: 13/05/2023 | Importancia: Media

Descubierta campaña de phishing en la Darknet que distribuye el malware XWorm mediante documentos falsos de Microsoft Word. Los objetivos son empresas y clínicas en Alemania, pero también podría afectar a países de América Latina. Los atacantes aprovechan la vulnerabilidad de Follina para insertar un script de PowerShell ofuscado y propagar la infección.

Nueva amenaza de ransomware identificada como Solix

Publicado: 13/05/2023 | Importancia: Media

Recientemente se ha identificado actividad maliciosa de un ransomware denominado Solix, que a diferencia de otras amenazas del mismo tipo no opera como servicio; este ransomware aplica un cifrado a los archivos que están almacenados en las infraestructuras tecnológicas y les adiciona la extensión .solix; con esto inhabilita el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.

Nuevos indicadores de compromiso vinculados al troyano bancario FormBook

Publicado: 13/05/2023 | Importancia: Media

Se han identificado, recopilado y sanitizado nuevos indicadores de compromiso relacionados al troyano bancario FormBook, los cuales, en su mayoría, hacen referencia a recursos ejecutables tales como DLL o EXE (PE o portable executable por sus siglas en ingles) que afectan el sistema operativo Windows.

BlackSuit ransomware: amenaza que afecta sistemas Linux y Windows

Publicado: 12/05/2023 | Importancia: Media

En los últimos años, los ataques de ransomware se han vuelto cada vez más comunes y sofisticados. Debido a que Linux se utiliza ampliamente como sistema operativo en varios sectores, incluidos entornos empresariales y plataformas de computación en la nube, se ha convertido en un objetivo atractivo para los grupos de ransomware. Esto significa que un solo ataque puede comprometer numerosos sistemas. En ese contexto, se ha encontrado una nueva amenaza llamada BlackSuit, un ransomware utilizado por actores de amenazas para atacar a usuarios de sistemas operativos Microsoft Windows y Linux.

Nuevo ransomware identificado como Rancoz

Publicado: 11/05/2023 | Importancia: Media

Recientemente se ha identificado una nueva amenaza identificada como Rancoz, ransomware desarrollado a partir de otra amenaza conocida como Vice Society; lo que le permite a los cibercriminales adaptarlo a diferentes sectores u organizaciones objetivos, dándole la posibilidad de ser indetectable ante las herramientas de seguridad.

Evolución del arsenal de Royal ransomware

Publicado: 10/05/2023 | Importancia: Media

El ransomware Royal se ha convertido en una amenaza que afecta a diversos sectores, incluyendo el financiero. Desde su aparición en septiembre de 2022, este malware ha sido distribuido por el grupo DEV-0569, quienes emplean técnicas de phishing y evasión de defensas para propagarlo, el equipo del Csirt Financiero se encuentra en constante alerta, trabajando de manera diligente para proteger a los asociados del sector financiero y minimizar el impacto del ransomware Royal, donde fueron identificados nuevos indicadores de compromiso relacionados con esta amenaza.

Nueva actividad generada por el troyano de acceso remoto ModernLoader en Colombia

Publicado: 09/05/2023 | Importancia: Media

Durante la ejecución de las actividades de inteligencia, el equipo de analistas del Csirt Financiero identificaron actividad por parte de ModernLoader en Colombia, un troyano de acceso remoto (RAT) desarrollado bajo el lenguaje de programación .NET que le permite tener múltiples funciones como la recopilación de data alojada en las infraestructuras informáticas comprometidas, ejecutar comandos de forma arbitraria, ejecutar y descargar archivos desde su servidor de comando y control (C2).

La botnet AndoryuBot: una amenaza creciente que utiliza la vulnerabilidad Ruckus para propagarse

Publicado: 08/05/2023 | Importancia: Media

La seguridad en línea es un tema cada vez más relevante en la actualidad, y la amenaza de ciberataques está siempre presente. En este sentido, recientemente se ha detectado una botnet única basada en el protocolo SOCKS, que se distribuye a través de la vulnerabilidad Ruckus (CVE-2023-25717). Esta botnet, conocida como AndoryuBot, contiene módulos de ataque DDoS para diferentes protocolos y se comunica con su servidor de comando y control utilizando proxies SOCKS5.

Nueva actividad maliciosa del Downloader Purecrypter

Publicado: 08/05/2023 | Importancia: Media

El equipo de analistas de Csirt Financiero ha identificado una nuevaactividad relacionada con PureCrypter, un downloader queha estado afectando a organizaciones gubernamentales en todo el mundo. Estaamenaza ha sido evidenciada desde 2021 y se ofrece en foros de la Deep y Darkweb.

Nuevo ransomware denominado Rapture

Publicado: 08/05/2023 | Importancia: Media

En recientes investigaciones, se identificó un nuevo ransomware denominado Rapture, una nueva amenaza que posee diversas funcionalidades en su proceso de ejecución y empaquetamiento de la carga útil del mismo; por otra parte, es importante resaltar que comparte similitudes con otras familias de malware como Paradise y Zeppelin.

El ransomware Akira sigue activo: una mirada a su última operación y capacidades

Publicado: 07/05/2023 | Importancia: Media

La amenaza de ransomware siempre ha sido una preocupación para las empresas y organizaciones de todo el mundo. El último operador en unirse a la lista de criminales cibernéticos es Akira, que retomo su operación en marzo de 2023. El ransomware ha afectado a dieciséis empresas en diferentes sectores, incluidos educación, finanzas, bienes raíces, manufactura y consultoría.

Cactus, el nuevo ransomware que explota vulnerabilidades de Fortinet

Publicado: 07/05/2023 | Importancia: Media

En el ámbito del ciberespacio, se suele ver con frecuencia la aparición de nuevas actualizaciones y amenazas, que son distribuidas por grupos de ciberdelincuentes con el objetivo de atacar los pilares de la seguridad de la información de entidades y organizaciones a nivel global. Recientemente, el equipo de analistas del Csirt ha detectado un nuevo ransomware llamado Cactus, que aprovecha las vulnerabilidades en la VPN de Fortinet para afectar la disponibilidad de su entidad.

Nueva campaña de distribución de DarkWatchman RAT

Publicado: 06/05/2023 | Importancia: Media

En la actualidad, los ataques de phishing son una amenaza constante y extendida que afecta tanto a individuos como a organizaciones. Los actores de amenazas utilizan diversas tácticas, como sitios web fraudulentos, para engañar a los usuarios y obtener información confidencial. En este contexto, se ha identificado recientemente un sitio web de phishing, que los actores de amenazas están utilizando para distribuir a DarkWatchman, un troyano de acceso remoto (RAT) que les permite obtener el control remoto de los sistemas comprometidos y extraer información confidencial.

Nueva actividad del grupo de ciberdelincuentes ALPHV

Publicado: 05/05/2023 | Importancia: Media

Dentro de las actividades de monitoreo a fuentes abiertas de seguridad de la información el equipo de analistas del Csirt Financiero identificó nueva actividad relacionada con el grupo de ciberdelincuentes que distribuye el ransomware BlackCat el cual ha generado diversas afectaciones a nivel mundial y en esta ocasión se observó un nuevo ataque a una empresa de software canadiense.

KEKW Stealer: La nueva amenaza para la seguridad de los datos

Publicado: 04/05/2023 | Importancia: Media

El mundo de la ciberseguridad está constantemente en alerta ante el surgimiento de nuevas amenazas informáticas que buscan acceder a información confidencial de usuarios y empresas. Recientemente se ha detectado un nuevo stealer conocido como KEKW, el cual se presenta como un paquete de Python y tiene la capacidad de realizar múltiples acciones maliciosas en el sistema de la víctima.

Decoy Dog: un toolkit evasivo para ataques empresariales

Publicado: 03/05/2023 | Importancia: Media

Decoy Dog es un nuevo kit de herramientas de malware que está ganando popularidad en el mundo del cibercrimen. Diseñado para ayudar a los atacantes a comprometer sistemas informáticos sin ser detectados, este toolkit es una herramienta sofisticada que utiliza técnicas avanzadas de evasión para eludir la detección por parte de software antimalware y otras medidas de seguridad. Además de estar dirigido a redes empresariales.

Nueva actividad del troyano SystemBC

Publicado: 02/05/2023 | Importancia: Media

En el mundo de la ciberseguridad, los grupos de actores de amenaza continúan evolucionando, utilizan diversas herramientas y técnicas para comprometer la privacidad y seguridad de los sistemas informáticos. Uno de los troyanos de acceso remoto (RAT) más destacados es SystemBC. Este RAT ha sido utilizado por grupos de ciberdelincuentes como una poderosa herramienta para acceder de forma remota a equipos comprometidos, lo que les permite llevar a cabo actividades maliciosas como la recopilación de información confidencial, la ejecución de ransomware y la infiltración de otros tipos de amenaza.

Se identifican nuevos IoC asociados al troyano de acceso remoto NjRAT

Publicado: 01/05/2023 | Importancia: Media

Aunque el troyano de acceso remoto conocido como NjRAT ha sido reportado en ocasiones anteriores por el equipo del Csirt Financiero, es importante recalcar este tipo de nuevas actividades ya que esta amenaza se ha observado en diversas campañas en contra de organizaciones y entidades financieras de Latinoamérica.

Nuevo troyano de acceso remoto denominado LOBSHOT

Publicado: 01/05/2023 | Importancia: Media

Se ha identificado un nuevo troyano de acceso remoto denominado LOBSHOST, el cual se enmascara como una aplicación legítima, donde es promocionada a través de Google Ads; este RAT tiene como objetivo afectar equipos con sistemas operativos Windows.