Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de 2022

TA505 explota vulnerabilidad de día cero para desplegar ransomware Clop

Publicado: 10/11/2023 | Importancia: Media

El ransomware Clop se destaca como una de las amenazas más notables en los foros de la Deep y Dark web, gracias a su versatilidad y capacidades que han atraído a diversos grupos de ciberdelincuentes. En esta ocasión, el equipo de analistas del Csirt ha identificado que los actores de amenazas, específicamente el grupo TA505, han aprovechado una vulnerabilidad de día cero para distribuir el ransomware Clop.

Nueva amenaza de BlueNoroff APT denominada ObjCShellz

Publicado: 07/11/2023 | Importancia: Media

Recientemente, se observó nueva actividad del grupo BlueNoroff APT, conocido por llevar a cabo actividades cibernéticas maliciosas, incluyendo ataques dirigidos a bancos y entidades financieras.

GootBot: Nueva variante de GootLoader

Publicado: 07/11/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero realizó un monitoreo en diversas fuentes de información, donde se observó una nueva variante de GootLoader denominada "GootBot". Su principal funcionalidad es habilitar el movimiento lateral en entornos empresariales y ha sido diseñado con técnicas específicas para evadir la detección.

Nueva actividad relacionada del infostealer Jupyter

Publicado: 07/11/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha detectado una serie de actividades relacionadas con Jupyter Infostealer, un malware también conocido como Polazert, SolarMarker y Yellow Cockatoo. El cual hizo su primera aparición a finales de 2020 y en sus inicios utilizaba motores de búsqueda y publicidad maliciosa como vías de acceso inicial. Su objetivo era atraer a los usuarios a la descarga de software desde sitios web no confiables. A lo largo del tiempo, Jupyter Infostealer ha experimentado evoluciones notables en sus tácticas, buscando tanto evitar la detección como establecer una presencia duradera en los sistemas comprometidos.

Bot se encuentra realizando ataques distribuidos de denegación de servicio a servidores MySQL

Publicado: 07/11/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un Bot llamado Ddostf.

Nuevo Stealer se distribuye por medio de webhooks maliciosos

Publicado: 06/11/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo Stealer llamado Trap.

Nueva amenaza para dispositivos Android de tipo dropper denominado SecuriDropper

Publicado: 06/11/2023 | Importancia: Media

El equipo del Csirt Financiero realizó un monitoreo a través de diversas fuentes de información, donde se observó la apareción de un nuevo dropper bajo la modalidad de Dropper-as-a-service (Daas) dirigido específicamente a dispositivos Android. SecuriDropper se destaca por su capacidad para eludir las recientes restricciones de seguridad implementadas por Google en Android 13 y su capacidad de entregar software malicioso adicional.

Nuevos indicadores de compromiso relacionados con Guloader

Publicado: 05/11/2023 | Importancia: Media

Recientemente el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizada a diferentes fuentes de información identificó nuevos indicadores de compromiso relacionados con GuLoader un troyano utilizado para infiltrar y propagar diversas familias de malware en los equipos comprometidos.

Nueva campaña maliciosa distribuye Lockbit ransomware y Vidar stealer

Publicado: 05/11/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo del Csirt Financiero a través de diversas fuentes de información, se observó una nueva actividad maliciosa que involucra la distribución de LockBit ransomware y Vidar Stealer, donde los actores de amenazas suplantan currículums y los utilizan como vector de ataque.

Nueva actividad del loader DarkGate

Publicado: 04/11/2023 | Importancia: Media

En el seguimiento a las amenazas conocidas, el Csirt Financiero ha observado nueva actividad del loader denominado DarkGate, en una campaña que se encuentra activa desde agosto del presente año la cual se dirige a organizaciones del sector bancario e industrial.

Nuevo RAT personalizable dirigido a sistemas operativos Windows

Publicado: 04/11/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo RAT llamado Millenium RAT.

Actores de amenaza se encuentran distribuyendo el ransomware Phobos mediante RDP.

Publicado: 03/11/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un ransomware llamado Phobos.

Nueva actividad maliciosa del troyano bancario Ermac

Publicado: 02/11/2023 | Importancia: Media

Aunque el troyano bancario Ermac ha sido previamente observado por el equipo de analistas del Csirt, estas amenazas continúan evolucionando en el ámbito de la ciberseguridad, generando nuevas variantes y actividad maliciosa.

Nueva actividad del ransomware HelloKitty

Publicado: 01/11/2023 | Importancia: Media

De acuerdo con la búsqueda de información en fuentes abiertas, se ha observado una nueva actividad por parte de la amenaza conocida como HelloKitty ransomware, los ciberdelincuentes detrás de esta familia se encuentran realizando actualización de sus tácticas y técnicas con la finalidad de comprometer diversas empresas a nivel global.

Ransomware Akira extiende su arsenal en América Latina

Publicado: 01/11/2023 | Importancia: Media

Akira es un ransomware que fue identificado en abril de este año y se ha destacado por afectar a múltiples países, entre estos se ha observado que se encuentra activo en América Latina. Los sectores que más suele impactar son los servicios financieros, educación, bienes raíces, manufacturero y consultoría. Por lo tanto, es importante entender las capacidades y funcionalidades de esta amenaza.

Software PyCharm troyanizado y distribuido a través de ADS

Publicado: 31/10/2023 | Importancia: Media

A través de actividades de monitoreo realizadas a diferentes fuentes de información, el equipo de analistas del Csirt Financiero observó una nueva campaña de Anuncios Dinámicos de Búsqueda(ADS); una campaña que se basa en la inyección de código en sitios web con la finalidad de promover versiones alteradas del Entorno de desarrollo integrado (IDE) para desarrolladores en lenguaje Python denominado PyCharm.

Recientes actividades relacionadas con el ransomware Knight

Publicado: 31/10/2023 | Importancia: Media

El ransomware Knight es un grupo de ransomware que surgió en 2023 y que ha adoptado tácticas de doble extorsión, cifrando los archivos de las víctimas y extrayendo datos con el propósito de extorsionar y obtener beneficios económicos.

SeroXen RAT se distribuye mediante paquetes NuGet

Publicado: 30/10/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de SeroXen RAT.

Surge nueva amenaza de tipo loader denominada GHOSTPULSE

Publicado: 30/10/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo del Csirt Financiero a través de fuentes de información abiertas, se identificó una nueva amenaza de tipo Loader denominada GHOSTPULSE. En esta campaña, los ciberdelincuentes utilizaron archivos MSIX falsos para distribuir esta amenaza a través de programas de software ampliamente utilizados, incluyendo Google Chrome, Microsoft Edge, Brave, Grammarly y Cisco Webex.

Nuevo malware denominado StripeFly

Publicado: 30/10/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un malware complejo que ha estado activo desde hace varios años y hasta el momento había pasado desapercibido.

Nuevo ransomware denominado Hunters International

Publicado: 29/10/2023 | Importancia: Media

A través de actividades de monitoreo realizadas a diferentes fuentes de información, el equipo de analistas del Csirt Financiero identificó nuevas familias de Ransomware-as-a Service (RaaS) denominada Hunters International utilizando un nuevo cifrado y el código base por la familia de ransomware Hive.

Nueva variante del ransomware Chaos denominada Mad Cat

Publicado: 28/10/2023 | Importancia: Media

En el ámbito de la ciberseguridad, el ransomware sigue siendo una amenaza recurrente utilizada por diversos grupos de ciberdelincuentes. Estas amenazas evolucionan constantemente, con nuevas variantes y actualizaciones diseñadas para cifrar y capturar datos confidenciales de organizaciones y entidades. Recientemente, el equipo de analistas del Csirt Financiero ha identificado una nueva variante denominada Mad Cat, derivada del ransomware Chaos.

Nueva actividad maliciosa por el grupo Lazarus implementando dos loader denominados signbt y lpec

Publicado: 28/10/2023 | Importancia: Media

A través de actividades de monitoreo realizadas a diferentes fuentes de información, el equipo de analistas del Csirt Financiero identificó nuevas actividades por parte del grupo APT Lazarus aprovechando vulnerabilidades conocidas, implementando técnicas para distribuir nuevos loader llamados SIGNBT y LPEClient.

Aumenta la amenaza Lokibot: Nuevos indicadores de compromiso

Publicado: 28/10/2023 | Importancia: Media

Se ha identificado actividad reciente relacionada con el troyano LokiBot, también conocido como Loki PWS. Esto ha impulsado la recopilación de nuevos Indicadores de Compromiso (IoC) asociados a diversos grupos de ciberdelincuentes con el objetivo de obtener información confidencial.

Nueva actividad maliciosa relacionada con IMAPLoader

Publicado: 27/10/2023 | Importancia: Media

Recientemente el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizada a diferentes fuentes de información identificó actividad relacionada con el cargador denominado IMAPLoader por parte de los actores de amenazas iraní llamados Yellow Liderc afectando a varias organizaciones.

Nuevo troyano de acceso remoto denominado Rusty Droid

Publicado: 25/10/2023 | Importancia: Media

El equipo del Csirt Financiero observó una nueva campaña que se encuentra distribuyendo el troyano de acceso remoto denominado Rusty Droid, esta amenaza sigilosa se dirige a dispositivos Android, realiza la suplantación de la aplicación del navegador web Chrome con el objetivo de pasar desapercibido por herramientas de seguridad y ejecutar diversas actividades maliciosas.

La evolución de Quasar RAT: nuevas técnicas de infección

Publicado: 23/10/2023 | Importancia: Media

La evolución de Quasar RAT: nuevas técnicas de infección

Nueva actividad maliciosa relacionada con ExelaStealer

Publicado: 22/10/2023 | Importancia: Media

Recientemente, el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizado a diferentes fuentes de información, identificó actividad de un stealer denominado Exela que está siendo comercializado en foros y canales clandestinos ofreciéndolo en muy bajo costo, diseñado para infiltrarse en sistemas Windows para la captura de datos confidenciales, financieros y entre otros.

Akira Stealer utiliza Telegram como servidor de comando y control.

Publicado: 21/10/2023 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un stealer llamado Akira.

Evolución del ransomware Blackcat y su nueva herramienta

Publicado: 20/10/2023 | Importancia: Media

El ransomware BlackCat es una amenaza destacada en el ámbito de la ciberseguridad, que ha afectado a nivel global, incluyendo a organizaciones en Colombia. El equipo de analistas del Csirt Financiero monitorea de cerca la actividad relacionada con BlackCat y ha identificado un nuevo enfoque en su modus operandi. En este nuevo enfoque, BlackCat utiliza una herramienta que permite a los atacantes propagar su carga útil en máquinas remotas y recursos compartidos de la red de la organización víctima.

Archivo