Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Evolución de Atomic macOS StealerDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se identificó nueva actividad maliciosa relacionada con Atomic macOS Stealer (AMOS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-de-atomic-macos-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se identificó nueva actividad maliciosa relacionada con Atomic macOS Stealer (AMOS).
Evolución de la amenaza Prilex.En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó la evolución de la amenaza Prilex el cual anteriormente realizaba ataques a cajeros automáticos (ATM) para obtener la información de las tarjetas de crédito utilizadas en ellos. Por lo anterior los ciberdelincuentes han ampliado su rango de acción centrándose ahora en ataques a sistemas de punto de venta (PoS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-de-la-amenaza-prilexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó la evolución de la amenaza Prilex el cual anteriormente realizaba ataques a cajeros automáticos (ATM) para obtener la información de las tarjetas de crédito utilizadas en ellos. Por lo anterior los ciberdelincuentes han ampliado su rango de acción centrándose ahora en ataques a sistemas de punto de venta (PoS).
Evolución del arsenal de Royal ransomwareEl ransomware Royal se ha convertido en una amenaza que afecta a diversos sectores, incluyendo el financiero. Desde su aparición en septiembre de 2022, este malware ha sido distribuido por el grupo DEV-0569, quienes emplean técnicas de phishing y evasión de defensas para propagarlo, el equipo del Csirt Financiero se encuentra en constante alerta, trabajando de manera diligente para proteger a los asociados del sector financiero y minimizar el impacto del ransomware Royal, donde fueron identificados nuevos indicadores de compromiso relacionados con esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-arsenal-de-royal-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Royal se ha convertido en una amenaza que afecta a diversos sectores, incluyendo el financiero. Desde su aparición en septiembre de 2022, este malware ha sido distribuido por el grupo DEV-0569, quienes emplean técnicas de phishing y evasión de defensas para propagarlo, el equipo del Csirt Financiero se encuentra en constante alerta, trabajando de manera diligente para proteger a los asociados del sector financiero y minimizar el impacto del ransomware Royal, donde fueron identificados nuevos indicadores de compromiso relacionados con esta amenaza.
Evolución del backdoor Dtrack utilizado por diversos grupos APTDtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado grupos de ciberdelincuentes APT utilizando esta amenaza como Lazarus y Andariel (subgrupo asociado a Lazarus), el cual se ha enfocado en recopilar información confidencial, incluyendo credenciales de inicio de sesión, información de la red y datos de sistemas operativos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-backdoor-dtrack-utilizado-por-diversos-grupos-apthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado grupos de ciberdelincuentes APT utilizando esta amenaza como Lazarus y Andariel (subgrupo asociado a Lazarus), el cual se ha enfocado en recopilar información confidencial, incluyendo credenciales de inicio de sesión, información de la red y datos de sistemas operativos.
Evolución del Downloader GuloaderEl equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa relacionada con el downloader conocido como Guloader. Este malware utiliza la herramienta de código abierto NSIS (Nullsoft Scriptable Install System) una herramienta de código abierto que se utiliza para crear instaladores de software en el sistema operativo Windows para desarrollar instaladores en el sistema operativo Windows. Durante la investigación se han identificado nuevos indicadores de compromiso asociados a esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-downloader-guloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa relacionada con el downloader conocido como Guloader. Este malware utiliza la herramienta de código abierto NSIS (Nullsoft Scriptable Install System) una herramienta de código abierto que se utiliza para crear instaladores de software en el sistema operativo Windows para desarrollar instaladores en el sistema operativo Windows. Durante la investigación se han identificado nuevos indicadores de compromiso asociados a esta amenaza.
Evolución del ransomware Blackcat y su nueva herramientaEl ransomware BlackCat es una amenaza destacada en el ámbito de la ciberseguridad, que ha afectado a nivel global, incluyendo a organizaciones en Colombia. El equipo de analistas del Csirt Financiero monitorea de cerca la actividad relacionada con BlackCat y ha identificado un nuevo enfoque en su modus operandi. En este nuevo enfoque, BlackCat utiliza una herramienta que permite a los atacantes propagar su carga útil en máquinas remotas y recursos compartidos de la red de la organización víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-ransomware-blackcat-y-su-nueva-herramientahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware BlackCat es una amenaza destacada en el ámbito de la ciberseguridad, que ha afectado a nivel global, incluyendo a organizaciones en Colombia. El equipo de analistas del Csirt Financiero monitorea de cerca la actividad relacionada con BlackCat y ha identificado un nuevo enfoque en su modus operandi. En este nuevo enfoque, BlackCat utiliza una herramienta que permite a los atacantes propagar su carga útil en máquinas remotas y recursos compartidos de la red de la organización víctima.
Evolución del Ransomware Black BastaA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero comparte un análisis de la evolución de Black Basta, ransomware dirigido a diferentes sectores en los cuales encontramos al financiero. Tiene como objetivo el cifrado de información y con esto lograr beneficios económicos para los ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-ransomware-black-bastahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero comparte un análisis de la evolución de Black Basta, ransomware dirigido a diferentes sectores en los cuales encontramos al financiero. Tiene como objetivo el cifrado de información y con esto lograr beneficios económicos para los ciberdelincuentes.
Evolución del Ransomware en el 2020En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la evolución de los grupos cibercriminales que utilizan y distribuyen ransomware, desarrollando nuevas técnicas y tácticas para su distribución y extorsión a grandes corporaciones alrededor del mundo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-ransomware-en-el-2020http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la evolución de los grupos cibercriminales que utilizan y distribuyen ransomware, desarrollando nuevas técnicas y tácticas para su distribución y extorsión a grandes corporaciones alrededor del mundo.
Evolución del ransomware Royal para afectar entornos Unix y LinuxEl equipo de analistas del Csirt ha detectado nueva actividad relacionada con el grupo Royal Ransomware. Este grupo malicioso emergió en septiembre de 2022 y se cree que está conformado principalmente por exmiembros del grupo de ransomware Conti, también conocido como Team One. A diferencia de otros grupos, Royal Ransomware opera como un Ransomware-as-a-Service (RaaS) privado, en lugar de utilizar un modelo público. En su historial, han llevado a cabo ataques de gran magnitud dirigidos a infraestructuras críticas, el sector de la salud, la industria manufacturera, el sector educativo y el sector financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-ransomware-royal-para-afectar-entornos-unix-y-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt ha detectado nueva actividad relacionada con el grupo Royal Ransomware. Este grupo malicioso emergió en septiembre de 2022 y se cree que está conformado principalmente por exmiembros del grupo de ransomware Conti, también conocido como Team One. A diferencia de otros grupos, Royal Ransomware opera como un Ransomware-as-a-Service (RaaS) privado, en lugar de utilizar un modelo público. En su historial, han llevado a cabo ataques de gran magnitud dirigidos a infraestructuras críticas, el sector de la salud, la industria manufacturera, el sector educativo y el sector financiero.
Evolución del troyano bancario JavaliEn la era digital en la que vivimos, la ciberseguridad se ha convertido en un desafío a nivel global. Entre las muchas amenazas en la red, el troyano bancario Javali destaca con su persistente evolución y adaptación. Su historia se remonta a 2017, cuando comenzó a generar ataques dirigidos principalmente a usuarios de instituciones financieras en América Latina, con un enfoque particular en Brasil y Chile.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-troyano-bancario-javalihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la era digital en la que vivimos, la ciberseguridad se ha convertido en un desafío a nivel global. Entre las muchas amenazas en la red, el troyano bancario Javali destaca con su persistente evolución y adaptación. Su historia se remonta a 2017, cuando comenzó a generar ataques dirigidos principalmente a usuarios de instituciones financieras en América Latina, con un enfoque particular en Brasil y Chile.
Expansión del troyano bancario Javali: de América Latina a EuropaEl ciberespacio continúa siendo un terreno fértil para la propagación de amenazas virtuales, y el troyano bancario Javali es un ejemplo destacado de ello. Desde su aparición en 2017, este malware ha estado dirigido a clientes de instituciones financieras en América Latina, con un enfoque particular en Brasil y Chile. Sin embargo, recientemente se ha observado un cambio significativo en sus objetivos, ya que el grupo responsable de Javali ha iniciado una expansión hacia Europa, centrándose específicamente en clientes de la banca española y portuguesa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/expansion-del-troyano-bancario-javali-de-america-latina-a-europahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ciberespacio continúa siendo un terreno fértil para la propagación de amenazas virtuales, y el troyano bancario Javali es un ejemplo destacado de ello. Desde su aparición en 2017, este malware ha estado dirigido a clientes de instituciones financieras en América Latina, con un enfoque particular en Brasil y Chile. Sin embargo, recientemente se ha observado un cambio significativo en sus objetivos, ya que el grupo responsable de Javali ha iniciado una expansión hacia Europa, centrándose específicamente en clientes de la banca española y portuguesa.
Exploit público aprovecha vulnerabilidad crítica en sistemas SAPEn el monitorio realizado a fuentes abiertas de información, el Csirt Financiero ha identificado que ciberdelincuentes podrían tratar de explotar la vulnerabilidad CVE-2020-6207 en el sistema SAP Solution Manager (SolMan) v7.2 de las organizaciones que aún no han parchado esta vulnerabilidad, lo anterior al observar escaneos masivos en internet que tienen como objetivo utilizar el exploit público disponible actualmente, lo que aumenta la posibilidad de ser víctima de un ciberataque.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/exploit-publico-aprovecha-vulnerabilidad-critica-en-sistemas-saphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitorio realizado a fuentes abiertas de información, el Csirt Financiero ha identificado que ciberdelincuentes podrían tratar de explotar la vulnerabilidad CVE-2020-6207 en el sistema SAP Solution Manager (SolMan) v7.2 de las organizaciones que aún no han parchado esta vulnerabilidad, lo anterior al observar escaneos masivos en internet que tienen como objetivo utilizar el exploit público disponible actualmente, lo que aumenta la posibilidad de ser víctima de un ciberataque.
Exploits en WordPress Social WarfareAtaques dirigidos a un complemento de WordPress llamado " Social Warfare".http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/exploits-en-wordpress-social-warfarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Exploits para cajeros automáticos multifunción del banco Pichincha del EcuadorEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, ha identificado un usuario llamado HotarusCorp, el cual ha publicado en un foro de internet, que se encuentra vendiendo un exploit dirigido a ATM, este malware solo funciona para cajeros con software front-end del banco Pichincha del Ecuador.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/exploits-para-cajeros-automaticos-multifuncion-del-banco-pichincha-del-ecuadorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, ha identificado un usuario llamado HotarusCorp, el cual ha publicado en un foro de internet, que se encuentra vendiendo un exploit dirigido a ATM, este malware solo funciona para cajeros con software front-end del banco Pichincha del Ecuador.
Exploits Zero day dirigidos a servidores ExchangeEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado ataques mediante exploits dirigidos a Microsoft Exchange Server, con el propósito de acceder a los servidores de Exchange locales. De esta manera, se exfiltran cuentas de correo electrónico, además de instalar malware adicional para establecer persistencia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/exploits-zero-day-dirigidos-a-servidores-exchangehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado ataques mediante exploits dirigidos a Microsoft Exchange Server, con el propósito de acceder a los servidores de Exchange locales. De esta manera, se exfiltran cuentas de correo electrónico, además de instalar malware adicional para establecer persistencia.
Explotación de la vulnerabilidad de Pulse Secure VPN.Se evidencia que ciberdelincuentes están explotando la vulnerabilidad identificada con CVE-2019-11510 a través del acceso a la red por dispositivos VPN, esto con el fin de capturar credenciales del directorio activo y una vez dentro, obtener información de archivos confidenciales los cuales serían comercializados posteriormente en foros del mercado negro.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/explotacion-de-la-vulnerabilidad-de-pulse-secure-vpn-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se evidencia que ciberdelincuentes están explotando la vulnerabilidad identificada con CVE-2019-11510 a través del acceso a la red por dispositivos VPN, esto con el fin de capturar credenciales del directorio activo y una vez dentro, obtener información de archivos confidenciales los cuales serían comercializados posteriormente en foros del mercado negro.
Explotación de la vulnerabilidad CVE-2025-59287 en WSUS permite la distribución de Skuld StealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a Skuld Stealer, distribuido mediante la explotación de una vulnerabilidad crítica en el servicio Windows Server Update Service (WSUS), identificada como CVE-2025-59287.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/explotacion-de-la-vulnerabilidad-cve-2025-59287-en-wsus-permite-la-distribucion-de-skuld-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a Skuld Stealer, distribuido mediante la explotación de una vulnerabilidad crítica en el servicio Windows Server Update Service (WSUS), identificada como CVE-2025-59287.
Explotación de puertas traseras en python: la estrategia de ransomhub para el despliegue de ransomwareEl Csirt Financiero ha identificado una nueva actividad maliciosa asociada a un ransomware llamado Ransom, se trata de un actor de amenazas que utiliza una puerta trasera basada en Python para obtener acceso persistente a sistemas comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/explotacion-de-puertas-traseras-en-python-la-estrategia-de-ransomhub-para-el-despliegue-de-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha identificado una nueva actividad maliciosa asociada a un ransomware llamado Ransom, se trata de un actor de amenazas que utiliza una puerta trasera basada en Python para obtener acceso persistente a sistemas comprometidos.
Explotación de vulnerabilidades Log4j para instaurar nuevos artefactos asociados al ransomware AvoslockerDurante los últimos meses una de las ciberamenazas que ha sido constante en la red ha sido el ransomware, que continúa sumando víctimas cada día gracias a que los ciberdelincuentes pueden acceder fácilmente al modelo RaaS (Ransomware as a Service, por sus siglas en inglés) puesto que es ofrecido en muchos foros de la Deep y Dark webhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/explotacion-de-vulnerabilidades-log4j-para-instaurar-nuevos-artefactos-asociados-al-ransomware-avoslockerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos meses una de las ciberamenazas que ha sido constante en la red ha sido el ransomware, que continúa sumando víctimas cada día gracias a que los ciberdelincuentes pueden acceder fácilmente al modelo RaaS (Ransomware as a Service, por sus siglas en inglés) puesto que es ofrecido en muchos foros de la Deep y Dark web
Extorsión ante ataques DDoS en LatinoaméricaEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas se ha evidenciado que, en las últimas dos semanas, diferentes entidades bancarias han sido objetivos de ataques de DDoS, ataques atribuidos a un grupo cibercriminal que parece suplantar a Lazarus.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/extorsion-ante-ataques-ddos-en-latinoamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas se ha evidenciado que, en las últimas dos semanas, diferentes entidades bancarias han sido objetivos de ataques de DDoS, ataques atribuidos a un grupo cibercriminal que parece suplantar a Lazarus.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}