Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Abril de 2021

Vulnerabilidades en el kernel de Linux afectan distribuciones Ubuntu

Publicado: 16/04/2021 | Importancia: Media

En el monitoreo continúo realizado por el equipo del Csirt financiero, se identificaron las siguientes vulnerabilidades denominadas: CVE-2021-3492 y CVE-2021-3493, las cuales afectan a las versiones del kernel de Linux 4.4.0 hasta la versión 5.8.0, presentes en distribuciones como Ubuntu, que hasta la fecha ha sido quien ha notificado estas vulnerabilidades a la comunidad y está siendo investigado por otras distribuciones para determinar si presentan afectación.

Vulnerabilidad en IBM Spectrum Protect permite ataques DOS

Publicado: 16/04/2021 | Importancia: Media

En el monitoreo continúo realizado por el equipo del Csirt financiero, se ha logrado identificar una vulnerabilidad denominada CVE-2021-20491 que afecta al producto IBM Spectrum Protect en donde se puede producir un ataque de denegación de servicio en el servidor afectado.

Nueva actividad del ransomware Darkside

Publicado: 15/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nueva actividad del ransomware Darkside, de acuerdo con una reciente investigación sus últimos ataques han sido dirigidos a países en Latinoamérica como lo son Chile y Brasil, por lo anterior no se descarta que esta amenaza pueda generar ataques cibernéticos dirigidos a más países en América latina.

Campaña de AsyncRat enfocada en Colombia

Publicado: 15/04/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución de AsyncRAT. La fase de distribución no difiere de otros analizados anteriormente por el Csirt, puesto que los ciberdelincuentes detrás de estas campañas siguen usando mensajes de correo electrónico suplantando entidades con técnicas de phishing, en las que comunican supuestas transacciones bancarias, que pueden ser descargadas desde un repositorio de nube pública como Dropbox.

BRata evoluciona y emplea nuevamente servicios de Google Play

Publicado: 14/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nueva actividad del troyano de acceso remoto denominado BRata. Esta amenaza a presentando actividad desde el año 2016 y sus principales ataques han sido dirigidos a entidades financieras en Brasil.

Nueva campaña distribuye troyano de acceso remoto NjRAT

Publicado: 13/04/2021 | Importancia: Alta

Gracias a la colaboración y participación de las entidades asociadas al sector financiero, se ha evidenciado una nueva campaña que distribuye el troyano de acceso remoto NjRAT, bajo modalidad de phishing, en la que suplantan la oficina de Cultura y Turismo de Sotaquirá Boyacá, con asunto "ajuste de consignación", en el que se adjunta un archivo que contiene la amenaza.

Nueva campaña que distribuye a Remcos RAT

Publicado: 12/04/2021 | Importancia: Alta

La fase de distribución no difiere de otros analizados anteriormente por el Csirt, ya que los ciberdelincuentes detrás de estas campañas siguen usando correos electrónicos suplantando entidades para enviar supuestas notificaciones judiciales, que pueden ser descargadas desde otro repositorio.

Vulnerabilidad de RCE en navegadores Chrome, Chromium y Microsoft Edge

Publicado: 12/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha observado la publicación de una vulnerabilidad, que permite la ejecución de código remoto (RCE) a través de los navegadores Chrome, Chromium y Microsoft Edge.

Saint Bot, nuevo Downloader utilizado para descargar y ejecutar malware

Publicado: 09/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo downloader denominado Saint Bot el cual está siendo utilizado para distribuir, descargar y ejecutar malware adicional en un equipo comprometido como lo es el malware Taurus, que consiste en un Stealer de credenciales que afecta a equipos con sistema operativo Windows.

Actividad reciente identificada por parte del Backdoor Vyveva atribuido al grupo Lazarus

Publicado: 09/04/2021 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado despliegue de ataques cibernéticos empleando la puerta trasera o backdoor denominado Vyveva atribuido al APT Lazarus, debido a que, en el análisis realizado a equipos infectados, se encuentra que posee similitudes en su funcionamiento y código empleados puntualmente con la muestra de Nukeped que fue empleada en campañas anteriores asociadas a este APT; en esta ocasión el backdoor fue detectado en un ciberataque dirigido a una empresa en Sudáfrica.

Revil ejecuta modo seguro de Windows para cifrar archivos

Publicado: 08/04/2021 | Importancia: Alta

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado un nuevo procedimiento previo al cifrado de archivos ejecutado por la familia de ransomware REvil, forzando el sistema operativo a que se reinicie en modo seguro mediante el comando -smode; algunas de las afectaciones ejecutadas por la amenaza cibernética consisten en modificar la llave de registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon agregando la nueva contraseña denominada “DTrump4ever.”.

Filtración de información sensible de tarjetas de crédito de Swarmshop

Publicado: 08/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha observado una gran filtración de información confidencial y sensible de la tienda de tarjetas de crédito Swarmshop en foros clandestinos. Swarmshop es un mercado de tarjetas de crédito de la darknet que ha estado activo desde el año 2019.

Múltiples vulnerabilidades en SD-WAN y Routers Cisco

Publicado: 08/04/2021 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se han identificado las siguientes vulnerabilidades a los productos de CISCO, principalmente a la plataforma SD-WAN y a modelos de Routers que están próximos a terminar su vida útil.

Actividad maliciosa por parte del troyano bancario Janeleiro

Publicado: 06/04/2021 | Importancia: Media

Mediante el continuo monitoreo a fuentes abiertas, el Csirt Financiero logró evidenciar el troyano bancario denominado Janeleiro, el cual cuenta con actividad cibercriminal desde el año 2018, con principal enfoque en Brasil en infraestructuras tecnológicas con sistema operativo Windows, afectando sectores como el financiero, salud, educación, Pymes y manufactura. Mantiene similitudes con otros troyanos bancarios como Casbaneiro, Grandoreiro y Mekotio.

Herramienta EtterSilent utilizada para diseñar maldoc

Publicado: 05/04/2021 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero, se ha observado la existencia de una nueva herramienta encargada de diseñar y generar archivos maliciosos para propagar diferentes familias de malware como por ejemplo Bazar Loader y TrickBot.

Backdoor More_Eggs se propaga mediante Spear-Phishing

Publicado: 05/04/2021 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado el resurgimiento de un backdoor llamado More_Eggs, su desarrollo atribuido al grupo ciberciminal Golden Chickens y ha sido ampliamente usado por los grupos FIN6, Cobalt Group y Evilnum, en anteriores campañas.

Variante actualizada de ransomware Phobos/Fair

Publicado: 04/04/2021 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado una nueva variante del ransomware Phobos denotada como “Fair”, la cual busca reducir su alcance en el momento del cifrado de la información del equipo infectado, eludiendo mecanismos de defensa durante su ejecución.

Nueva actividad de ransomware Avaddon

Publicado: 02/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso de la continua actividad del ransomware Avaddon el cual está catalogado como un Ransomware as a Service (RaaS).

BITS, servicio legítimo de Windows es usado para establecer persistencia de malware

Publicado: 02/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado el uso del servicio BITS por parte de ciberdelincuentes para generar la descarga y carga útil de familias de malware.

Vulnerabilidad crítica en VMware Carbon Black Cloud Workload

Publicado: 31/03/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, se ha identificado una vulnerabilidad de omisión de seguridad sobre dispositivos VMware Carbon Black Cloud Workload, identificada con el CVE-2021-21982, la cual cuenta con una calificación de 9.1 de severidad en la escala CVSSv3.

Nuevo skimmer web afecta sitios de e-commerce

Publicado: 31/03/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado accionar delictivo por parte del Skimmer web denominado Angrybeaver que afecta a sitios web de comercio electrónico. Por la facilidad con que el código del skimmer fue analizado y por el modo en que se desarrolló, se tiene la hipótesis de que se trata de un nuevo tipo de amenaza cibernética distinto a los usualmente empleados por grupos de Magecart.

Ransomware Hades dirigido a grandes compañías

Publicado: 31/03/2021 | Importancia: Alta

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo ransomware denominado Hades dirigido a sistemas operativos Windows, que está afectando a grandes empresas multinacionales en diversos países de norte américa y Europa, hechos que representan una potencial amenaza de expansión hacia países en Latinoamérica.