Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Ransomware

Revil ejecuta modo seguro de Windows para cifrar archivos

Publicado: 08/04/2021 | Importancia: Alta

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado un nuevo procedimiento previo al cifrado de archivos ejecutado por la familia de ransomware REvil, forzando el sistema operativo a que se reinicie en modo seguro mediante el comando -smode; algunas de las afectaciones ejecutadas por la amenaza cibernética consisten en modificar la llave de registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon agregando la nueva contraseña denominada “DTrump4ever.”.

Variante actualizada de ransomware Phobos/Fair

Publicado: 04/04/2021 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado una nueva variante del ransomware Phobos denotada como “Fair”, la cual busca reducir su alcance en el momento del cifrado de la información del equipo infectado, eludiendo mecanismos de defensa durante su ejecución.

Nueva actividad de ransomware Avaddon

Publicado: 02/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso de la continua actividad del ransomware Avaddon el cual está catalogado como un Ransomware as a Service (RaaS).

Ransomware Hades dirigido a grandes compañías

Publicado: 31/03/2021 | Importancia: Alta

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo ransomware denominado Hades dirigido a sistemas operativos Windows, que está afectando a grandes empresas multinacionales en diversos países de norte américa y Europa, hechos que representan una potencial amenaza de expansión hacia países en Latinoamérica.

Nueva actividad maliciosa de Ransomware Pysa

Publicado: 18/03/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas campañas del Ransomware Pysa dirigidas al sector de la educación en Estados Unidos y Reino Unido.

Ransomware Avaddon en América Latina, crece el número de víctimas

Publicado: 17/03/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nuevas actividades del ransomware Avaddon, en el que han cambiado un poco su modo operativo, pasaron de generar campañas masivas a generar ataques dirigidos, en los que generaron una cepa más elaborada para hacer caer en la trampa a sus víctimas.

Posible ataque de Ransomware a Banco Inmobiliario de México

Publicado: 08/03/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva publicación asociada al grupo que controla el ransomware REvil. En esta publicación afirman que tienen en su poder alrededor de 250GB de información relacionada con el banco Inmobiliario Mexicano.

Grupo detrás de REvil Ransomware ofrece nuevos servicios de extorsión

Publicado: 06/03/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha observado que los operadores de REvil ransomware están ofreciendo en foros clandestinos nuevas técnicas de extorsión para presionar aún más a las víctimas para el pago del rescate exigido por la información comprometida.

Nuevas variantes de ransomware con interesantes técnicas de extorsión

Publicado: 05/03/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado dos nuevas variantes de ransomware dirigidas a sistemas operativos Windows denominadas AlumniLocker y Humble, cada una de estas variantes tiene particularidad en la forma en que extorsionan a sus víctimas después de que cifran los datos en los equipos comprometidos.

Grupo RTM ataca a entidades financieras con nuevo ransomware

Publicado: 04/03/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero identificó un nuevo ataque por parte del grupo APT ruso RTM.

Nuevos indicadores de compromiso asociados al ransomware Ryuk

Publicado: 17/02/2021 | Importancia: Media

En el monitoreo realizado por el Csirt financiero a fuentes abiertas de información, se han identificado varios indicadores de compromiso relacionados con Ryuk, un Ransomware visualizado por primera vez en el año 2018, que tiene como objetivo cifrar los archivos de cada nodo de una red comprometida para exigir el pago a través de transacciones por Bitcoins.

Indicadores de compromiso relacionados al ransomware Egregor

Publicado: 15/02/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero logró evidenciar indicadores de compromiso relacionados al ransomware Egregor.

Ransomware Zeoticus se ejecuta offline

Publicado: 05/02/2021 | Importancia: Media

En el monitoreo realizado por el equipo de Csirt Financiero, se encontró un ransomware denominado Zeoticus. Este ransomware visto por primera vez a inicio del año 2020, se caracterizada por brindar sus servicios como RaaS, Ransomware as a Service personalizado para el comprador.

Ransomware Avaddon utiliza ataques DDoS

Publicado: 25/01/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña en la que los ciberdelincuentes detrás del ransomware Avaddon utilizan ataques DDoS contra las redes vulneradas como método de coacción, esto para que las víctimas paguen el rescate exigido después de la ejecución del ransomware.

Uso de Runspace en PowerShell para lanzar a REVIL ransomware

Publicado: 25/01/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un script de PowerShell empleado para propagar a REvil ransomware, utilizando la técnica de Runspace para crear subprocesos o hilos a partir de un proceso existente, al cual se agrega código malicioso, logrando ejecutar la amenaza, impactando equipos de cómputo con sistema operativo Windows, impidiendo el acceso a la información.

Nuevo ransomware denominado Babuk Locker

Publicado: 05/01/2021 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo Ransomware denominado Babuk Locker capaz de afectar sistemas operativos Windows. Los ataques de este Ransomware han sido originados desde principios de 2021 y ya cuenta con una variada lista de víctimas alrededor del mundo. También se tiene conocimiento de que las cifras de rescate establecidas por los ciberdelincuentes varían entre $60.000 y $85.000 dólares en monedas bitcoin.

Nuevos indicadores de compromiso asociados a Pay2Key

Publicado: 19/12/2020 | Importancia: Media

A través del monitoreo continuo por parte del equipo Csirt Financiero a fuentes abiertas, se han identificado nuevos indicadores de compromiso asociados a Pay2Key. A este ransomware se le han atribuido actos ciber delictivos a lo largo del 2020 como: • Penetración a redes internas. • Cifrado de archivos alojados en servidores y equipos. • Exfiltración y fuga de información confidencial.

Ransomware afecta al proveedor de servicios Netgain

Publicado: 09/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la afectación al proveedor de servicios de TI y alojamiento en la nube Netgain. Esta compañía ofrece alojamiento y soluciones TI en la nube a entidades financieras y organizaciones de la salud. Se identificó que Netgain fue afectada el pasado 24 de noviembre por un ransomware el cual aún no ha sido identificado.

Nuevos indicadores de compromiso de ransomware Egregor

Publicado: 09/12/2020 | Importancia: Media

En el monitoreo continuo que realiza el equipo de Csirt Financiero, se evidencian nuevos indicadores de compromiso asociados al ransomware Egregor que hizo su primera aparición en septiembre del 2020. Este ransomware ha afectado a múltiples organizaciones alrededor del mundo en EE. UU., Europa, Asia Pacífico y América Latina.

Nuevos indicadores de compromiso asociados a ransomware Egregor

Publicado: 27/11/2020 | Importancia: Media

En el monitoreo diario que realiza el equipo de Csirt Financiero, se evidencian nuevos indicadores de compromiso asociados al ransomware Egregor que hizo su primera aparición en septiembre del 2020. Este ransomware es reconocido por las características que remarcan sus actividades ciberdelictivas alrededor del mundo.

Ransomware Pysa/Mespinoza exfiltra credenciales para cifrar datos

Publicado: 23/11/2020 | Importancia: Media

En el constante monitoreo realizado por el equipo del Csirt Financiero, se evidenció actividad de un nuevo ransomware denominado PYSA/MESPINOZA que centra su interés en moverse lateralmente haciendo uso del protocolo RDP, con cuentas legítimas previamente comprometidas. Además de esto, hace uso de la herramienta PsExec que ejecuta scripts para recolectar credenciales como las de administrador de dominio.

Troyano bancario Qbot despliega el Ransomware Egregor

Publicado: 21/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el despliegue del ransomware Egregor a través del troyano Qbot. En esta nueva campaña se han visto afectados desde el mes de septiembre, por lo menos 69 empresas en 16 países alrededor del mundo, dentro de los cuales se incluyen Estados Unidos, Francia, Italia, Alemania y Reino Unido.

Ranzy ransomware actualiza características de Thunderx

Publicado: 18/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el surgimiento de Ranzy una nueva amenaza ofrecida como RaaS (Ransomware como Servicio) derivada de ThunderX. El cambio que los ciberdelincuentes han realizado a este ransomware se debe al desarrollo y publicación de herramientas de descifrado gratuito para ThunderX.

Nuevo ransomware Pay2Key compromete compañías israelíes

Publicado: 05/11/2020 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña de distribución del ransomware en varias corporaciones israelíes. En estos ataques se pudo identificar varias cepas de ransomware Ryuk y REvil. Además de esto, se encontró una nueva variante de ransomware desarrollada en el lenguaje de programación en C++ denominada Pay2Key.

Ataque masivo de Ransomware en Brasil

Publicado: 05/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevos ataques de Ransomware dirigidos contra la corte superior de justicia (STJ) de Brasil. El ataque se llevó a cabo el pasado martes durante las sesiones de juicio que eran llevadas a cabo por videoconferencia.

Nuevo ransomware RegretLocker

Publicado: 03/11/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado a través del monitoreo a fuentes abiertas, un nuevo ransomware denominado RegretLocker, el cual cifra los archivos afectados con la extensión .mouse. Cuando el proceso de cifrado se ha realizado en los archivos y directorios, aparecen las notas de rescate “HOW TO RESTORE FILES.txt” en el escritorio del equipo afectado.

Ciberdelincuentes donan dinero de rescates obtenidos por ransomware Darkside.

Publicado: 21/10/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que los ciberdelincuentes detrás del Ransomware DarkSide ha donado $10.000 dólares a varias organizaciones sin ánimo de lucro, suma que es parte del dinero recaudado por las extorsiones a empresas víctimas del ransomware.

MALLOCKER, ransomware para Dispositivos Android

Publicado: 08/10/2020 | Importancia: Media

En el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha registrado un ransomware llamado MalLocker.B que afecta dispositivos Android y se muestra en la pantalla del usuario como un aviso de la Policía (local) con la exigencia del pago de una aparente multa; esto lo logra utilizando las notificaciones de “Llamada entrante” y del botón “Inicio”.

Ramsonware Exorcist 2.0 distribuido a través de software falso

Publicado: 06/10/2020 | Importancia: Baja

En el monitoreo a fuentes abiertas por parte del equipo del Csirt financiero, se ha evidenciado actividad por parte del ransomware Exorcist 2.0, que realiza afectación sobre equipos de cómputo con sistema operativo Windows. El método de distribución empleado consta de la utilización de plataformas como PopCash que contienen publicidad engañosa y dirigen al usuario a sitios web para la descarga de actualizaciones de Windows 10 o la descarga gratuita de software licenciado.

Grupo Oldgremlin distribuye Ransomware TinyPosh

Publicado: 23/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevos indicadores de compromiso de las campañas de ransomware ejecutadas por el grupo ruso OldGremlin.