Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Nuevos indicadores de compromiso asociados al ransomware Ryuk
Publicado: 17/02/2021 | Importancia: Media
En el monitoreo realizado por el Csirt financiero a fuentes abiertas de información, se han identificado varios indicadores de compromiso relacionados con Ryuk, un Ransomware visualizado por primera vez en el año 2018, que tiene como objetivo cifrar los archivos de cada nodo de una red comprometida para exigir el pago a través de transacciones por Bitcoins.
Uso de Runspace en PowerShell para lanzar a REVIL ransomware
Publicado: 25/01/2021 | Importancia: Alta
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un script de PowerShell empleado para propagar a REvil ransomware, utilizando la técnica de Runspace para crear subprocesos o hilos a partir de un proceso existente, al cual se agrega código malicioso, logrando ejecutar la amenaza, impactando equipos de cómputo con sistema operativo Windows, impidiendo el acceso a la información.
Ciberdelincuentes alteran las URL para evadir los Sistemas Antimalware
Publicado: 08/10/2020 | Importancia: Media
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado un método utilizado por los ciberdelincuentes para agregar texto aleatorio a las direcciones URL para evadir la detección antispam.
Nueva variante de FTCode Ransomware
Publicado: 10/08/2020 | Importancia: Media
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una nueva variante del ransomware FTCode el cual utiliza scripts en Powershell para cifrar los archivos del equipo comprometido sin descargar ningún otro componente adicional.
Malware Sarwent con enfoque en RDP
Publicado: 07/06/2020 | Importancia: Media
A través del monitoreo de fuentes abiertas disponibles en la red, el equipo del Csirt Financiero ha evidenciado el análisis relacionado con el malware de puerta trasera Sarwent; se apoya en el protocolo de escritorio remoto (RDP) para acceder de forma no autorizada al sistema y exfiltrar información confidencial.
Nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia.
Publicado: 03/05/2020 | Importancia: Media
Desde el Csirt Financiero se ha detectado una nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia, en la que se ha utilizado un malware basado en Powershell. Este malware se trata de un backdoor orientado a la captura de información, el cual intenta hacerse pasar por un documento de office en formato .docx, pero realmente se trata de un archivo de acceso directo .lnk.
Sigilo, persistencia y reconocimiento, objetivos del nuevo backdoor PowerTrick.
Publicado: 13/01/2020 | Importancia: Media
El equipo del Csirt Financiero identificó un nuevo backdoor de nombre PowerTrick diseñado por los ciberdelincuentes de TrickBot, cuenta con características de persistencia y reconocimiento dirigido a objetivos de alto valor como entidades financieras.
Técnicas de infección de malware Nodersok sin uso de archivos
Publicado: 07/10/2019 | Importancia: Media
Se ha identificado una campaña de malware denominado Nodersok por Microsoft o Divergent por Cisco Talos, que utiliza técnicas avanzadas como activar malware ejecutando un archivo HTA (Hypertext Application o HTML Application) que actúa conjuntamente con Internet Explorer, el cual inicia el proceso de infección a través de varias etapas que pueden utilizar scripts de JS y PowerShell que generalmente vienen cifrados. El fin del malware es convertir la máquina víctima en un posible zombi proxy para poder ser aprovechada y tener acceso a sus recursos.