Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Ransomware

Ransomware Buran, el nuevo malware de tipo RaaS (Ransomware as a service)

Publicado: 15/11/2019 | Importancia: Media

A través del continuo monitoreo e investigación que realiza el CSIRT Financiero, se han identificado nuevos indicadores de compromiso asociados al ransomware Buran. De acuerdo a su comportamiento esta nueva variante de ransomware, es asociada a evoluciones y mejoras entre diversos tipos de ransomware como lo son Jumper y VegaLocker. Es importante informar que Buran se encuentra expuesto comercialmente en diversos foros rusos de la deep web, permitiendo a los ciberdelincuentes tomar sus servicios a cambio de un 25% de las ganancias generadas por los afiliados a este ransomware.

Grupo TA2101 (campaña de distribución de IcedID y MAZE)

Publicado: 15/11/2019 | Importancia: Media

A través del observatorio de amenazas del CSIRT Financiero, se ha identificado actividad reciente acerca de un nuevo grupo denominado TA2101. Este nuevo APT, ha protagonizado una serie de campañas de tipo malspam y phishing, utilizando la imagen de entidades y organizaciones de Alemania, Italia y Estados Unidos. Hasta el momento no se tiene estipulado a que línea de usuarios buscan afectar, no obstante, han utilizado variantes del ransomware Maze y el troyano bancario IcedID en sus campañas.

Análisis técnico del malware BitPaymer

Publicado: 14/11/2019 | Importancia: Media

En referencia con los acontecimientos ocurridos a empresas y entidades españolas que fueron afectadas por ataques de Ransomware. El CSIRT Financiero realizó un análisis técnico detallado a la muestra, logrando identificar que se trata del Ransomware BitPaymer; el objetivo de este análisis es establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.

Identificación de nuevos indicadores de compromiso asociados al Ransomware MegaCortex

Publicado: 08/11/2019 | Importancia: Media

A través de las fuentes de información del CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el Ransomware MegaCortex. Los ciberdelincuentes en sus últimas campañas asociadas al Ransomware MegaCortex aparte de cifrar datos de los equipos infectados, les solicita una suma de dinero adicional a los usuarios afectados, para que sus datos no sean publicados fuera de la red corporativa.

Ciberataque de Ransomware a empresas españolas afectaron la disponibilidad de sus servicios

Publicado: 05/11/2019 | Importancia: Media

En el análisis constante en búsqueda de amenazas que puedan de algún modo afectar al sector financiero, el CSIRT Financiero identificó indicadores de compromiso asociados al ciberataque de Ransomware que sufrieron empresas españolas.

FriedEx, el ransomware BitPaymer

Publicado: 28/10/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero, se identificó actividad del ransomware FriedEx el cual fue asociado al ransomware conocido como BitPaymer, BitPaymer se enfoca en empresas de alto nivel con el fin de expandirse a todos los dispositivos a través de la red y cifrar sus archivos para obtener claramente beneficios monetarios.

Análisis Ransonware REvil/Sodinokivi, asociado a GandCrab

Publicado: 01/10/2019 | Importancia: Media

El CSIRT Financiero ha realizado análisis a la amenaza identificada como REvil Ransomware. Esta fue observada por primera vez a mediados de abril de 2019, ha sido distribuida mediante malspam, y utiliza técnicas para explotar vulnerabilidades como las de Oracle weblogic y ataques mediante protocolo RDP. Se tiene conocimiento que tiene motivaciones financieras ya que es atribuida al grupo de ciberdelincuentes Gold Southfield.

Nuevo ransomware Kvag busca afectar a los usuarios de internet

Publicado: 20/09/2019 | Importancia: Media

Por medio de diversas fuentes, el CSIRT Financiero obtiene información de un nuevo malware de tipo Ransomware llamado Kvag, el cual amenaza la región y en general a los usuarios de internet; se distribuye por medio de correos electrónicos con archivos adjuntos que camuflan el Ransomware, así como también por medio de la ejecución de activadores de software o actualizaciones falsas de software.

Nuevas amenazas relacionadas con Ransomware Ryuk

Publicado: 16/09/2019 | Importancia: Media

Se identificaron nuevos indicadores de amenazas relacionados con el Ransomware Ryuk, se tiene conocimiento de que este malware se distribuía como una infección primaria a través de archivos adjuntos de correo electrónico malicioso y conexiones de RDP insuficientemente protegidas, en el segundo trimestre de 2019 afectó empresas y organizaciones a nivel mundial.

Ransomware Lilocked (Lilu) infecta servidores linux

Publicado: 12/09/2019 | Importancia: Media

Nuevo Ransomware llamado Lilocked (Lilu), que entro en actividad desde el mes de julio de 2019 y que afecta servidores Linux enfocado en archivos con extensión HTML, PHP, JS e imágenes con cualquier tipo de extensión, este Ransomware cifra solo archivos almacenados que no tienen que ver con el sistema operativo de la máquina.

Nuevo Ransomware Nemty podría expandirse por medio del protocolo RDP

Publicado: 01/09/2019 | Importancia: Media

A partir de diferentes fuentes de información, el CSIRT Financiero ha identificado una nueva amenaza relacionada con Ransomware, la cual busca infectar a los equipos víctima a partir de conexiones RDP previamente comprometidas.

Múltiples vulnerabilidades de Oracle Weblogic, están siendo utilizadas por Sodinokibi Ransomware

Publicado: 22/07/2019 | Importancia: Media

Desde el CSIRT Financiero se ha realizado la detención de múltiples vulnerabilidades liberadas por Oracle en sus informes a la comunidad. Donde se evidencia la criticidad de estas vulnerabilidades frente a las posibles aplicaciones desplegadas en el sector financiero como también en diversos sectores comerciales a nivel global.

Nueva actividad del Ransomware MegaCortex

Publicado: 20/07/2019 | Importancia: Media

Desde el CSIRT Financiero se logra detectar actividad del ransomware MegaCortex, el cual podría afectar a su entidad exigiendo una suma de dinero alta por la recuperación de sus datos.

Sodinokibi la nueva variante de los Ransomware Sodin o REvil.

Publicado: 08/07/2019 | Importancia: Media

Desde el CSIRT Financiero se detecta una amenaza la cual podría impactar sobre el sector financiero y causar daños en su entidad, se trata del troyano catalogado como ransomware Sodinokibi, también conocido como Sodin o REvil. El ransomware utiliza una vulnerabilidad antigua de día cero de Windows para elevarse a sí mismo con el objetivo final de administrar el acceso en los dispositivos infectados.

Nueva variante del troyano BianLian permite utilizarse para actividades de robo bancario

Publicado: 04/07/2019 | Importancia: Media

Desde el CSIRT Financiero se ha detectado una nueva variante del troyano bancario BianLian, el cual busca afectar a usuarios del sector bancario con sus nuevas herramientas de Socks5 y ScreenRecoder.

Ryuk Ransomware

Publicado: 03/07/2019 | Importancia: Media

Desde el CSIRT Financiero se detecta una amenaza la cual podría impactar sobre el sector financiero, se trata de un Ransomware llamado Ryuk el cual ataca activamente a organizaciones globales, asociado a Emotet y Trickbot.

DanaBot Troyano Bancario que agrego un componente de Ransomware.

Publicado: 21/06/2019 | Importancia: Alta

Desde el CSIRT Financiero se detecta una campaña distribuida a través del correo electrónico mediante la técnica de phishing, con enlaces de redirección a un dropper de JavaScript o PowerShell, Adicionalmente el troyano contiene múltiples capacidades como el robo de credenciales, inyección de sitios web, control remoto de máquinas y ejecución de comando desde servidores C&C.

Ransomware MegaCortex

Publicado: 07/05/2019 | Importancia: Alta

Campaña de rescate se registro su primer indicio el 1 de mayo de 2019 en todo el mundo, incluyendo Italia, Estados Unidos, Irlanda y Francia.

El ransomware de Sodinokibi

Publicado: 02/05/2019 | Importancia: Alta

La vulnerabilidad de Oracle WebLogic

Campaña de correo electrónico que distribuye el malware Lokibot.

Publicado: 29/04/2019 | Importancia: Alta

Campaña de correo que distribuye el malware Lokibot a través de un archivo adjunto .docx

Nueva variante de Cryptomix Ransomware

Publicado: 23/04/2019 | Importancia: Alta

Nueva variante de criptomix esta vez agrega .DLL (Biblioteca de enlace dinámico).

Jcry ransomware

Publicado: 22/04/2019 | Importancia: Alta

Jcry ransomware descubierto recientemente escrito en Go Lang

Virus NamPoHyu

Publicado: 22/04/2019 | Importancia: Alta

El Ransomware NamPoHyu va dirigido a servidores remotos de Samba

El ataque de Ransomware obligó a la ciudad de Greenville a cerrar la mayoría de sus servidores

Publicado: 14/04/2019 | Importancia: Alta

El ataque de paralizo las operaciones informáticas en la ciudad de Greenville en Carolina del sur. El ataque obligo a la desconexión de la mayoría de los servidores que se alojan en la ciudad.

Ransomware JNEC aprovecha vulnerabilidades de WinRAR

Publicado: 08/04/2019 | Importancia: Alta

Ransomware JNEC aprovecha la vulnerabilidad de WinRar como se nombraba en la alerta WinRar zero.

Guía de seguridad LockerGoga

Publicado: 01/04/2019 | Importancia: Alta

LockerGoga, aprovecha un proceso de cifrado para eliminar la capacidad de acceder a archivos y otros datos que pueden almacenarse en sistemas infectados, luego muestra una nota de rescate exigiendo el pago de bitcoin.