Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Nuevos indicadores de compromiso relacionados al troyano bancario LokiBot.

Publicado: 04/12/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero en un monitoreo realizado en el ciberespacio, en busca de nuevas amenazas y artefactos que puedan afectar la infraestructura tecnológica de nuestros asociados, donde se identificaron nuevos indicadores de compromiso (IoC) relacionados al troyano bancario LokiBot también conocido como Loki PWS el cual fue visto por primera vez en el año 2015.

El troyano de acceso remoto XWorm se distribuye activamente en la naturaleza

Publicado: 03/12/2022 | Importancia: Media

En la Darknet son ofertados de forma continua herramientas maliciosas o en su defecto actualizaciones de las mismas con nuevas capacidades; específicamente en foros clandestinos de la Deep y Dark web, en ése orden de ideas a mediados de este año se identificó la versión 2.2 del troyano de acceso remoto XWorm, ofrecida bajo el proyecto denominado Evilcoder; desde entonces se ha visto distribuyéndose activamente en la naturaleza, estos actores de amenaza lo describen como un sofisticado RAT con ransomware y capacidades de ataque hVNC (hidden virtual network computing, por sus siglas inglés).

Nueva campaña del troyano bancario Grandoreiro

Publicado: 02/12/2022 | Importancia: Media

A través de fuentes abiertas de información el equipo de analistas del Csirt Financiero ha identificado nueva actividad de un troyano muy popular denominado Grandoreiro, donde se observó nuevas actualizaciones en sus campañas y con esto son identificados nuevos indicadores de compromiso.

Nueva actividad de ransomware Cuba

Publicado: 01/12/2022 | Importancia: Media

Recientemente se identificó una nueva campaña del ransomware Cuba donde se identificaron afectaciones a servicios financieros, instalaciones gubernamentales, atención médica y salud pública, fabricación crítica, y Tecnología de la Información de Estados Unidos, y donde se evidencio que los ciberdelincuentes exigieron más de 145 millones de dólares estadounidenses (USD) y recibió más de 60 millones de dólares en pagos de rescate.

Stealer Vidar distribuido en foros de la Dark web para captura de credenciales bancarias

Publicado: 29/11/2022 | Importancia: Media

A través de un monitoreo realizado en la Deep y Dark web, se identificó que una amenaza de tipo Stealer conocido como Vidar, ha sido ofertado en varios foros y mercados rusos para la venta y captura de credenciales, donde se observó que los ciberdelincuentes ofrecen esta amenaza ya sea para capturar datos confidenciales de portales de transacciones bancarias o para ofertar datos ya capturados.

Nuevos indicadores de compromiso de Qbot de su última campaña en el mes de noviembre

Publicado: 28/11/2022 | Importancia: Media

En las últimas semanas del mes de noviembre, el equipo de analistas del Csirt Financiero realizó una actualización de una actividad relacionada con el troyano Qbot donde algunos grupos de ciberdelincuentes estaban aprovechando una falla de seguridad en el panel de control de Windows 10 conocido como control.exe; en esta ocasión se identificaron más indicadores de compromiso relacionados con esta nueva campaña.

Nueva actividad de Emotet es implementada para distribuir ransomware Quantum

Publicado: 28/11/2022 | Importancia: Media

Emotet, identificado por primera vez en el año 2014 como un troyano bancario, es una de las amenazas más mencionadas a nivel global, ya que su evolución y capacidades han trascendido rápidamente con el tiempo, convirtiéndolo en una botnet para distribución de cargas útiles de segunda etapa de diversos tipos de malware que tienen el objetivo de afectar la confidencialidad y disponibilidad de entidades y organizaciones.

Nuevos indicadores de compromiso del troyano bancario IcedID.

Publicado: 27/11/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero en un monitoreo realizado en el ciberespacio, con el objetivo de encontrar nuevas amenazas y artefactos que puedan afectar la infraestructura tecnológica de nuestros asociados se identificaron nuevos indicadores de compromiso (IoC) relacionados al troyano bancario IcedID también conocido como Bokbot el cual fue visto por primera vez en 2017.

Nuevas actividades de la Botnet Amadey.

Publicado: 26/11/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero realiza un monitoreo en el ciberespacio en busca de nuevas amenazas o actividades maliciosas que puedan afectar la infraestructura tecnológica de nuestros asociados, observado una reciente actividad maliciosa realizada por la botnet Amadey, la cual fue vista por primera vez en 2018.

Nueva campaña de distribución por parte del grupo Black Basta Ransomware

Publicado: 26/11/2022 | Importancia: Media

De forma continua se detectan nuevas metodologías empleadas por lo cibercriminales en el ciber espacio; el caso más reciente es el del grupo de ransomware Black Basta, los cuales se encuentran desplegando campañas que tienen el objetivo de entregar Black Basta en los sistemas informáticos comprometidos, además, en la primera etapa de dicha infección usan Qakbot como punto de apoyo permitiéndoles realizar sus actividades maliciosas y entregar en ransomware mencionado anteriormente.

Nueva familia de ransomware denominada Ransomexx2

Publicado: 24/11/2022 | Importancia: Media

Dentro del ciberespacio es constante las actualizaciones y diversas variantes de amenazas que los ciberdelincuentes realizan en pro de afectar entidades y organizaciones con el fin de obtener alguna ganancia ya se económica o reputacional, es por eso que a través de fuentes abiertas de información el equipo de analistas del Csirt identifico una variante de ransomware denominada como RansomExx2 el cual principalmente afecta a equipos con sistema operativo Linux y donde posiblemente también se encuentre una versión para Windows.

Nueva actividad del troyano bancario Sharkbot

Publicado: 23/11/2022 | Importancia: Media

Recientemente se han evidenciado nuevas actualizaciones dentro de la tienda de aplicaciones conocida como Google Play store, donde se está distribuyendo una amenaza conocida como el troyano bancario denominado Sharkbot el cual ha sido reportado anteriormente por el equipo de analistas del Csirt Financiero donde en esta ocasión se identificaron nuevas aplicaciones para su distribución y con esto se observaron nuevos indicadores de compromiso.

El nuevo downloader denominado IronRider

Publicado: 22/11/2022 | Importancia: Media

La superficie de ataques continúa creciendo conforme se desarrollan nuevas actualizaciones y funcionalidades en sistemas operativos, software y tecnologías emergentes, razón por la que en la naturaleza emergen nuevas amenazas alineadas con esas nuevas capacidades; en ese orden de ideas se ha detectado recientemente una sucesión de ataques desplegados en Europa del Este en los que se empleó el nuevo downloader IronRider.

Nueva actividad maliciosa de Rapperbot

Publicado: 21/11/2022 | Importancia: Media

Los ataques de DDoS generalmente son desplegados en diferentes modelos de redes de bots, de las que hacen parte dispositivos IoT comprometidos, con el objetivo de lograr impactar la disponibilidad de las infraestructuras tecnológicas que tengan como objetivo los atacantes, en ese orden de ideas se han identificado una serie de ataques cibernéticos relacionados con la botnet RapperBot.

Se identifican nuevos indicadores de compromiso del troyano de acceso remoto DCRAT

Publicado: 21/11/2022 | Importancia: Media

El troyano de acceso remoto conocido como DCRat o Dark Crystal RAT, ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero y como es común en el ámbito de la ciberseguridad los ciberdelincuentes mantienen constantes actualizaciones de estas amenazas, por lo que se identificaron nuevos indicadores de compromiso relacionados a DCRat en el mes de noviembre.

Nuevos indicadores de compromiso asociados a NanoCore RAT

Publicado: 20/11/2022 | Importancia: Media

Recientemente se han evidenciado nuevos indicadores de compromiso asociados a NanoCore RAT, un troyano de acceso remoto que destaca por sus capacidades de recopilar información confidencial a través de múltiples acciones relacionadas con spyware. Así mismo, se observa que este se distribuye por medio foros clandestinos en la Deep y Dark web, donde es ofrecido a un precio muy bajo; esto permite que muchos grupos de ciberdelincuentes que no poseen conocimiento sobre elaboración de malware puedan adquirir uno e incluirlo en sus campañas maliciosas.

Nuevos métodos de distribución de Hive Ransomware

Publicado: 19/11/2022 | Importancia: Media

Hive ransomware ha seguido activo en el ciberespacio atacando múltiples organizaciones en todo el mundo, tanto así que los actores detrás de esta amenaza se han beneficiado de más de 100 millones de dólares en los pagos de rescate, esta amenaza lleva activa desde junio del 2021 y sigue el modelo de Ransomware-as-a-Service (RaaS).

Ciberdelincuentes realizan nuevas actividades para la entrega de malware

Publicado: 19/11/2022 | Importancia: Media

De forma reciente se ha identificado al grupo DEV-0569 desplegando campañas de malvertising (introducir malware en la publicidad en línea para extender otro malware) para distribuir payload de diferentes familias de malware a través del servicio Google Ads.

Nuevos Ransomware denominados AXLocker, Octocrypt y Alice.

Publicado: 18/11/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero realizo un monitoreo en el ciber espacio de nuevas amenazas que puedan llegar a afectar la infraestructura y pilares de la información de nuestros asociados, donde se encontraron tres nuevas familias de Ransomware denominadas AXLocker, Octocrypt y Alice.

LodaRAT implementa diversas variantes de malware

Publicado: 18/11/2022 | Importancia: Media

Recientemente, se ha identificado una nueva variante de LodaRAT que también es conocido por otro nombre como Nymeria; en sus nuevas actividades se ha observado que se implementa junto con otros malware conocidos como RedLine Stealer y Neshta. LodaRAT está desarrollado en AutoIT y es capaz de recopilar y exfiltrar la información alojada en las infraestructuras informáticas comprometidas.

Nueva actividad maliciosa atribuida a Qbot

Publicado: 17/11/2022 | Importancia: Media

Recientemente se ha identificado un nuevo vector de infección del troyano Qbot, donde los actores de amenaza se aprovechan de una falla presentada en el ejecutable del panel de control de Windows 10 (control.exe), esta brecha de seguridad les permite realizar “el secuestro de DLL”, este método es utilizado para suplantar librerías legitimas del sistema por archivos maliciosos creados por los ciberdelincuentes para implementar la carga útil de Qakbot.

Operadores de Emotet implementan nuevas tácticas en la cadena de infección

Publicado: 17/11/2022 | Importancia: Media

Recientemente se había identificado el retorno del troyano polimórfico conocido como Emotet clasificado como un botnet gracias a sus constantes actualizaciones, ya que inicialmente se categorizo como un troyano bancario, sin embargo la implementación de un módulo de botnet spam hizo que evolucionara; desde su aparición en 2014 los atacantes que han distribuido esta amenaza a través de campañas que entregan la carga útil de Emotet, en documentos maliciosos para impactar empresas de distintos sectores económicos.

Campaña maliciosa distribuye Wiki ransomware

Publicado: 16/11/2022 | Importancia: Media

Wiki es un software malicioso que es identificado como una variante de otro ransomware identificado como Crysis, diseñado con las capacidades de cifrar archivos y así mismo mantenerlos bloqueados gracias a su método de cifrado utilizado, lo cual afecta de forma directa a la disponibilidad de la información y servicios de las organizaciones comprometidas por esta amenaza, además, en el transcurso de su proceso de cifrado, a cada archivo le cambia el nombre agregándole un número de identificación único, dirección de correo electrónico de los actores de amenaza y la extensión .wiki.

Múltiples campañas se han visto distribuyendo Batloader

Publicado: 16/11/2022 | Importancia: Media

Las amenazas de acceso inicial abundan en la naturaleza, de ahí que los ciberdelincuentes las empleen para tener éxito en sus ataques cibernéticos, por medio de estos loader pueden instaurar cargas útiles de otras familias en los equipos comprometidos.

Nueva actividad del ransomware Koxic

Publicado: 15/11/2022 | Importancia: Media

Recientemente se ha identificado una campaña de distribución del ransomware Koxic, el cual fue identificado por primera vez a inicios del presente año, teniendo capacidades que le permiten cifrar archivos alojados en las infraestructuras tecnológicas comprometidas y agregándoles la extensión .KOXIC_PLCAW, por último, suele generar una nota de rescate en cada ruta del sistema operativo conocida como WANNA_RECOVER_KOXIC_FILEZ_PLCAW.txt, esta puede ser diferente en cada infraestructura comprometida.

Nuevo stealer denominado SMSeye

Publicado: 15/11/2022 | Importancia: Media

Recientemente, se ha identificado una nueva campaña maliciosa dirigida a una entidad financiera ubicada en Indonesia, donde los actores de amenaza implementan múltiples sitios web phishing y stealers, con el propósito de recopilar información sensible de los usuarios suscritos a esta organización.

Nuevas capacidades del Stealer Typhon.

Publicado: 15/11/2022 | Importancia: Media

En el mundo del ciberespacio es muy común ver la evolución y nuevas capacidades que implementan los actores de amenaza en sus herramientas de malware, por lo cual el equipo de analistas del Csirt Financiero realizo un monitoreo en el cual encontró recientes actividades y actualizaciones de Typhon Stealer, el cual fue descubierto y reportado a principios de agosto del 2022.

Nuevos artefactos maliciosos asociados al ransomware Black Basta

Publicado: 14/11/2022 | Importancia: Media

Recientemente, el ransomware Black Basta ha generado nueva actividad en la cual se observaron nuevos indicadores de compromiso donde a su vez mejoran sus técnicas para el éxito de sus actividades maliciosas; ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.

Troyano bancario Dridex retorna sus actividades con nuevos indicadores de compromiso

Publicado: 14/11/2022 | Importancia: Media

Recientemente, se han identificado nuevas campañas maliciosas por parte de los actores de amenaza, las cuales están distribuyendo el troyano bancario Dridex; esta familia de malware es reconocida en el ecosistema de ciberseguridad por su gran afectación al sector financiero a nivel global, llegando a impactar a más de 40 organizaciones en el año 2019.

Un nuevo brote de ransomware denominado Somnia

Publicado: 12/11/2022 | Importancia: Media

Los actores de amenaza rusos suelen estar ligados con la creación de nuevas familias de malware dentro del panorama de amenazas, especialmente han estado activos en el ciberespacio a razón del conflicto que existe con Ucrania y sus aliados; es así como algunos grupos de hacktivistas rusos se involucran en la ciberguerra que se lidia actualmente, para lo cual crean nuevas herramientas que impacten eficientemente las infraestructuras tecnológicas de sus objetivos, de ahí que recientemente se descubriera una nueva cepa de ransomware denominada Somnia.