Alertas de seguridad

Bat

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Grupo APT TA2552 utiliza phishing para leer Información Confidencial de Office 365

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una técnica de phishing utilizada por el grupo APT TA2552 para abusar del estándar de autorización OAuth de Microsoft Office 365.

Leer Más

Grupo APT UAC-0006 se encuentra distribuyendo SmokeLoader

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en la cual distribuyen SmokeLoader.

Leer Más

Grupo APT41 distribuye software espía a dispositivos Android y IOS

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo malware llamado LightSpy.

Leer Más

Grupo ATP34 distribuye un nuevo troyano denominado Menorah

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano llamado Menorah.

Leer Más

Grupo Buhtrap utiliza vulnerabilidad de "Zero-Day" sobre plataformas Windows para Ciber espionaje

Desde el CSIRT Financiero se detecta una nueva campaña realizada por el APT Buhtrap el cual no solo busca afectar al sector financiero, sino también al sector gubernamental.

Leer Más

Grupo cibercriminal explota vulnerabilidad zero-day de Solaris

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de una vulnerabilidad zero-day en sistema operativo Solaris. El grupo cibercriminal detrás de este ataque es denominado UNC1945 y sus ataques incluyen entidades del sector de las telecomunicaciones, financiero y compañías de consultoría.

Leer Más

Grupo cibercriminal Prilex reinicia operaciones.

Desde el Csirt Financiero se ha identificado que el grupo Prilex, del cual no se tenía información desde principios del 2019, ha reiniciado sus ataques a través de campañas de malspam que tiene como objetivo infectar los equipos con malware para exfiltrar la información de los sistemas POS (Point of Sale) y capturar los datos de las tarjetas utilizadas en estos puntos de venta.

Leer Más

Grupo cibercriminal TeamTNT dirigen sus campañas a la captura de credenciales de acceso para Azure y Google Cloud

Recientemente, actores de amenaza identificados como TeamTNT han sido vinculados a campañas maliciosas que tiene la finalidad de capturar credenciales de acceso asociadas a los servicios de Microsoft Azure y Google Cloud Plataform (GCP).

Leer Más

Grupo cibercriminal utiliza herramientas para implantar ransomware

En el monitoreo a fuentes abiertas de información, el equipo del Csirt financiero ha identificado un grupo APT denominado PyXie o GOLD DUPONT, el cual ha realizado campañas de infección con ransomware a múltiples empresas de sectores como tecnología, salud, educación y entidades gubernamentales desde el año 2018. Este grupo cibercriminal se ha caracterizado por tener un bajo perfil, ser lento y cauteloso en cada una de sus campañas.

Leer Más

Grupo ciberdelincuencial FIN8 regresa con una nueva versión de BadHatch POS

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad por parte del grupo de ciberdelincuentes identificado como Fin8. Este grupo del cual se conoce actividad maliciosa desde el año 2016 y con motivación financiera es conocido por ejecutar diversas campañas para distribuir principalmente el backdoor PUNCHBUGGY y el malware PUNCHTRACK ambos dirigidos a comprometer sistemas POS (point of sale).

Leer Más

Grupo ciberdelincuente ofrece nuevo stealer

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo stealer.

Leer Más

Grupo Confucius adopta nuevos backdoors basados en Python para sus campañas de espionaje

Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida al grupo APT Confucius.

Leer Más

Grupo de amenazas UNC2447 distribuye backdoor Sombrat y ransomware Fivehands

En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un grupo actor de ciberamenazas denominado UNC2447, que para esta campaña maliciosa se encarga de explotar una vulnerabilidad en SonicWall VPN para distribuir el malware denominado Sombrat y el ransomware Fivehands.

Leer Más

Grupo de cibercriminales denominado “machete” realiza campaña de ciberespionaje en Latinoamérica

Desde el CSIRT financiero se identificó una nueva campaña de ciberespionaje orquestada por el grupo “machete”, esta nueva campaña se ha enfocado en países latinoamericanos usando técnicas como spear phishing para instalar nuevas variantes de malware en los equipos víctimas.

Leer Más

Grupo detrás de REvil Ransomware ofrece nuevos servicios de extorsión

En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha observado que los operadores de REvil ransomware están ofreciendo en foros clandestinos nuevas técnicas de extorsión para presionar aún más a las víctimas para el pago del rescate exigido por la información comprometida.

Leer Más

Grupo FULLZ HOUSE exfiltra tarjetas de crédito a través de skimming web

En el ejercicio del monitoreo a fuentes abiertas, por parte del equipo del Csirt financiero, se ha evidenciado actividad maliciosa del grupo FULLZ HOUSE. Estos cibercriminales son reconocidos por exfiltrar información de tarjetas de crédito mediante el compromiso de sitios web con pasarelas de pago.

Leer Más

Grupo Fxmsp comercializa credenciales corporativas a nivel mundial.

Un actor conocido como Fxmsp fue identificado entre 2017 y 2019 realizando ventas en foros rusos de la deep web. Las ventas se trataban de accesos a redes corporativas de diferentes países y sectores, encontrándose entre ellos algunas entidades del sector financiero y una de Colombia no identificada.

Leer Más

Grupo Gamaredon agrega plantillas y macros maliciosas a sus módulos

El grupo Gamaredon ha agregado dos herramientas de infección a su arsenal, una macro de Microsoft Visual Basic (VBA) destinada a Microsoft Outlook, con el objetivo de enviar malware mediante mensajes de correo tipo spearphishing y un módulo para inyectar macros o plantillas maliciosas en documentos ubicados en el sistema comprometido. Esto con el fin de enumerar los archivos del equipo comprometido, realizar movimientos laterales y exfiltrar información hacia su servidor de Comando y Control (C2).

Leer Más

Grupo Gootkit utiliza Gootloader como vector de infección principal

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva campaña denominada Gootloader asociada al grupo APT Gootkit, la cual tiene como objetivo principal buscar víctimas en diferentes sectores, incluido el sector financiero y brindar un servicio bajo el modelo de acceso Inicial.

Leer Más

Grupo Lazarus hace uso de archivos de acceso directo de Windows

En el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado nueva actividad llevada a cabo por el grupo Lazarus también conocido como Hidden Cobra, este grupo ha ejecutado sus actividades cibercriminales desde el año 2009 aproximadamente, el cual genera cambios constantes es sus técnicas, principalmente en sus campañas de phishing.

Leer Más