Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Ransomware M142 HIMARS una nueva amenaza basada en MedusaLockerA través del monitoreo continúo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de ransomware denominada M142 HIMARS, la cual pertenece a la familia MedusaLocker, un grupo de ransomware activo desde 2019 que opera bajo el modelo de "Ransomware-as-a-Service" (RaaS)http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-m142-himars-una-nueva-amenaza-basada-en-medusalockerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo continúo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de ransomware denominada M142 HIMARS, la cual pertenece a la familia MedusaLocker, un grupo de ransomware activo desde 2019 que opera bajo el modelo de "Ransomware-as-a-Service" (RaaS)
Ransomware LockFile apunta a servidores de Microsoft ExchangeEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada al ransomware LockFile el cual tiene como objetivo a servidores de Microsoft Exchange (expuestos a Internet) al aprovechar las vulnerabilidades de ProxyShell.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-lockfile-apunta-a-servidores-de-microsoft-exchangehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada al ransomware LockFile el cual tiene como objetivo a servidores de Microsoft Exchange (expuestos a Internet) al aprovechar las vulnerabilidades de ProxyShell.
Ransomware Lockbit emplea Tácticas, Técnicas y Procedimientos para mejorar el cifradoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia LockBit, un ransomware con la capacidad de realizar el proceso de cifrado de archivos en corto tiempo y una rápida difusión por la red comprometiendo más equipos de cómputo con Sistema Operativo Windows. Los ciberdelincuentes detrás del ransomware desarrollaron e implementaron tácticas, técnicas y procedimientos encargados de eliminar los archivos utilizados para la infección, luego de realizar la instalación, ejecución e infección de los equipos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-lockbit-emplea-tacticas-tecnicas-y-procedimientos-para-mejorar-el-cifradohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia LockBit, un ransomware con la capacidad de realizar el proceso de cifrado de archivos en corto tiempo y una rápida difusión por la red comprometiendo más equipos de cómputo con Sistema Operativo Windows. Los ciberdelincuentes detrás del ransomware desarrollaron e implementaron tácticas, técnicas y procedimientos encargados de eliminar los archivos utilizados para la infección, luego de realizar la instalación, ejecución e infección de los equipos.
Ransomware Lilocked (Lilu) infecta servidores linuxNuevo Ransomware llamado Lilocked (Lilu), que entro en actividad desde el mes de julio de 2019 y que afecta servidores Linux enfocado en archivos con extensión HTML, PHP, JS e imágenes con cualquier tipo de extensión, este Ransomware cifra solo archivos almacenados que no tienen que ver con el sistema operativo de la máquina.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-lilocked-lilu-infecta-servidores-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevo Ransomware llamado Lilocked (Lilu), que entro en actividad desde el mes de julio de 2019 y que afecta servidores Linux enfocado en archivos con extensión HTML, PHP, JS e imágenes con cualquier tipo de extensión, este Ransomware cifra solo archivos almacenados que no tienen que ver con el sistema operativo de la máquina.
Ransomware Kanti: una nueva amenaza escrita en lenguaje de programación NIMMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información y en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo ransomware denominado Kanti escrito en lenguaje de programación NIM, lo que permite una ejecución eficiente y la compilación de código en archivos ejecutables adecuados para los sistemas operativos Windows y Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-kanti-una-nueva-amenaza-escrita-en-lenguaje-de-programacion-nimhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información y en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo ransomware denominado Kanti escrito en lenguaje de programación NIM, lo que permite una ejecución eficiente y la compilación de código en archivos ejecutables adecuados para los sistemas operativos Windows y Linux.
Ransomware JNEC aprovecha vulnerabilidades de WinRARRansomware JNEC aprovecha la vulnerabilidad de WinRar como se nombraba en la alerta WinRar zero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-jnec-aprovecha-vulnerabilidades-de-winrarhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ransomware Hive actualiza su método de cifradoEn el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa asociada con el ransomware Hive, el cual actualiza su método de cifrado al lenguaje de programación Rust y se identifican nuevos indicadores de compromiso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-hive-actualiza-su-metodo-de-cifradohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa asociada con el ransomware Hive, el cual actualiza su método de cifrado al lenguaje de programación Rust y se identifican nuevos indicadores de compromiso.
Ransomware HelloKitty se redirige a servidores WMware ESXIEn el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado una nueva actividad con relación al ransomware HelloKitty.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-hellokitty-se-redirige-a-servidores-wmware-esxihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado una nueva actividad con relación al ransomware HelloKitty.
Ransomware Helldown transformado en multiplataformaMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva versión del ransomware Helldown.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-helldown-transformado-en-multiplataformahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva versión del ransomware Helldown.
Ransomware Hades dirigido a grandes compañíasEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo ransomware denominado Hades dirigido a sistemas operativos Windows, que está afectando a grandes empresas multinacionales en diversos países de norte américa y Europa, hechos que representan una potencial amenaza de expansión hacia países en Latinoamérica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-hades-dirigido-a-grandes-companiashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo ransomware denominado Hades dirigido a sistemas operativos Windows, que está afectando a grandes empresas multinacionales en diversos países de norte américa y Europa, hechos que representan una potencial amenaza de expansión hacia países en Latinoamérica.
Ransomware FTCODE incluye una nueva funcionalidad para exfiltrar información.El equipo del Csirt Financiero a través de búsquedas e investigaciones en fuentes de información, identificó una nueva funcionalidad del ransomware FTCODE, esta nueva funcionalidad permite la exfiltración de credenciales de acceso que la víctima tenga almacenadas en el navegador web.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-ftcode-incluye-una-nueva-funcionalidad-para-exfiltrar-informacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de búsquedas e investigaciones en fuentes de información, identificó una nueva funcionalidad del ransomware FTCODE, esta nueva funcionalidad permite la exfiltración de credenciales de acceso que la víctima tenga almacenadas en el navegador web.
Ransomware en acción: LockBit, Snake, Anubis y Lynx en actividad recienteDurante actividades de monitoreo y análisis de ciberamenazas, se ha identificado actividad relacionada con los ransomware Snake (EKANS), LockBit, Anubis y Lynx, los cuales representan un riesgo significativo para el sector financiero debido a sus tácticas de cifrado de información y extorsión.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-en-accion-lockbit-snake-anubis-y-lynx-en-actividad-recientehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y análisis de ciberamenazas, se ha identificado actividad relacionada con los ransomware Snake (EKANS), LockBit, Anubis y Lynx, los cuales representan un riesgo significativo para el sector financiero debido a sus tácticas de cifrado de información y extorsión.
Ransomware DragonForce basado en LockBit BlackA través del monitoreo realizado por el equipo de analistas del Csirt Financiero se observaron nuevos detalles del ransomware conocido como DragonForce, el cual fue identificado en noviembre del 2023, donde se identificó que esta amenaza está basada en el ransomware LockBit Black. Esto sugiere que los actores de amenazas detrás de DragonForce utilizaron un compilador filtrado de LockBit Black para generar su binario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-dragonforce-basado-en-lockbit-blackhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero se observaron nuevos detalles del ransomware conocido como DragonForce, el cual fue identificado en noviembre del 2023, donde se identificó que esta amenaza está basada en el ransomware LockBit Black. Esto sugiere que los actores de amenazas detrás de DragonForce utilizaron un compilador filtrado de LockBit Black para generar su binario.
Ransomware denominado SunCrypt incrementa sus capacidadesEn el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado una familia de ransomware que ha incrementado sus capacidades y es denominado SunCrypt, esta amenaza se dirige a organizaciones en todo el mundo con el objetivo de cifrar su información y realizar extorción a sus víctimas para que realicen el pago del rescate de los datos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-denominado-suncrypt-incrementa-sus-capacidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado una familia de ransomware que ha incrementado sus capacidades y es denominado SunCrypt, esta amenaza se dirige a organizaciones en todo el mundo con el objetivo de cifrar su información y realizar extorción a sus víctimas para que realicen el pago del rescate de los datos.
Ransomware DearCry, ataca servidores Microsoft ExchangeEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo ransomware de nombre DearCry, Microsoft le da el nombre de Win32/DoejoCrypt.A, el cual está atacando a servidores de Microsoft Exchange que no cuentan con las ultimas actualizaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-dearcry-ataca-servidores-microsoft-exchangehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo ransomware de nombre DearCry, Microsoft le da el nombre de Win32/DoejoCrypt.A, el cual está atacando a servidores de Microsoft Exchange que no cuentan con las ultimas actualizaciones.
Ransomware como servicio RansomHubRansomHub es un ransomware como servicio RaaS que cuenta con un programa de afiliados creado en 2024, desde entonces ha afectado al menos a 210 organizaciones de múltiples sectores.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-como-servicio-ransomhubhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
RansomHub es un ransomware como servicio RaaS que cuenta con un programa de afiliados creado en 2024, desde entonces ha afectado al menos a 210 organizaciones de múltiples sectores.
Ransomware Chimera impulsado por IAMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, identificó un nuevo ransomware llamado Chimera.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-chimera-impulsado-por-iahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, identificó un nuevo ransomware llamado Chimera.
Ransomware Cephalus compromete sistemas mediante accesos RDP sin autenticación multifactorDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida al nuevo grupo de ransomware identificado como Cephalus, el cual emergió en junio de 2025.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-cephalus-compromete-sistemas-mediante-accesos-rdp-sin-autenticacion-multifactorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida al nuevo grupo de ransomware identificado como Cephalus, el cual emergió en junio de 2025.
Ransomware BlackMatter afecta a servidores VMware ESXiEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo grupo cibercriminal para la distribución de ransomware BlackMatter. Según este grupo homónimo es el sucesor de REvil, Darkside y LockBit, y a través de foros clandestinos busca afiliados para distribuir el ransomware con su mismo nombre BlackMatter, su objetivo está dirigido a grandes organizaciones, especialmente en Estados Unidos, Canadá, Reino Unido y Australia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-blackmatter-afecta-a-servidores-vmware-esxihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo grupo cibercriminal para la distribución de ransomware BlackMatter. Según este grupo homónimo es el sucesor de REvil, Darkside y LockBit, y a través de foros clandestinos busca afiliados para distribuir el ransomware con su mismo nombre BlackMatter, su objetivo está dirigido a grandes organizaciones, especialmente en Estados Unidos, Canadá, Reino Unido y Australia.
Ransomware Black Basta: amenaza persistente y tácticas avanzadas de distribuciónEl ransomware Black Basta ha ganado notoriedad en los últimos meses por atacar a organizaciones de alto perfil en Europa y América del Norte en diversas industrias. Se cree que este ransomware es un sucesor del Conti ransomware, y se ha relacionado con el grupo de amenazas Fin7. Black Basta opera bajo un modelo Ransomware-as-a-Service (RaaS), proporcionando herramientas y soporte técnico a sus afiliados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-black-basta-amenaza-persistente-y-tacticas-avanzadas-de-distribucionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Black Basta ha ganado notoriedad en los últimos meses por atacar a organizaciones de alto perfil en Europa y América del Norte en diversas industrias. Se cree que este ransomware es un sucesor del Conti ransomware, y se ha relacionado con el grupo de amenazas Fin7. Black Basta opera bajo un modelo Ransomware-as-a-Service (RaaS), proporcionando herramientas y soporte técnico a sus afiliados.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}