Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Evolución continúa de Bumblebee en la naturaleza

Publicado: 02/10/2022 | Importancia: Media

La evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.

Actores de amenaza utilizan el movimiento del mouse en plantillas PowerPoint para distribuir malware

Publicado: 02/10/2022 | Importancia: Media

Múltiples análisis de la seguridad de la información han identificado una técnica basada en el movimiento del ratón (mouse) en documentos de Microsoft PowerPoint con la finalidad de desplegar malware; este procedimiento de infección inicia luego de que el usuario abre estos archivos y no importa si se encuentran en vista protegida ya que dicha acción desencadena un dropper a través de un script de PowerShell contenido en los documentos maliciosos.

Se identifica técnica de persistencia en los hipervisores de VMware ESXi

Publicado: 01/10/2022 | Importancia: Media

Recientemente, investigadores de seguridad informática identificaron y detallaron una novedosa técnica empleada por los cibercriminales con el objetivo de tener acceso administrativo dentro de los hipervisores de VMware ESXi, con esto se apropian del manejo de los servidores vCenter (software de gestión de servidores avanzado que ofrece una plataforma centralizada para controlar los entornos de vSphere y obtener visibilidad en las nubes híbridas) y las máquinas virtualizadas ya sean para Windows o Linux.

Nuevo grupo de ciberdelincuentes denominado Guacamaya afecta entidades gubernamentales en América latina

Publicado: 01/10/2022 | Importancia: Media

En el ámbito del ciberespacio y la seguridad de la información, recientemente se ha evidenciado un nuevo caso de filtración de datos sensibles a organizaciones gubernamentales relacionados con el sector militar y policial. Este ataque es atribuido al grupo hacktivista denominado Guacamaya; donde, en el transcurso del año se observó que ha impactado países de América latina como Chile, México y Colombia, por decir algunos.

El actor de amenazas Zinc despliega un backdoor en su operación denominado ZetaNile

Publicado: 30/09/2022 | Importancia: Media

Los grupos de cibersoldados que operan actividades de estado-nación, son bastante activos en la naturaleza como es el caso de Zinc, quienes han perpetrado ataques cibernéticos sofisticados y destructivos desde 2009; el éxito de sus misiones es incursionar herramientas personalizadas como troyanos de acceso remoto (RAT), en ese orden de ideas se ha visto en el ciberespacio una creciente ola de campañas de ingeniería social atribuida a este grupo, en la que utilizan versiones modificadas de software de libre acceso para comprometer los equipos.

Evolución de la amenaza Prilex.

Publicado: 30/09/2022 | Importancia: Media

En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó la evolución de la amenaza Prilex el cual anteriormente realizaba ataques a cajeros automáticos (ATM) para obtener la información de las tarjetas de crédito utilizadas en ellos. Por lo anterior los ciberdelincuentes han ampliado su rango de acción centrándose ahora en ataques a sistemas de punto de venta (PoS).

Nuevo grupo de ransomware denominado Royal

Publicado: 29/09/2022 | Importancia: Media

Recientemente se ha identificado una operación denominada como Royal, un grupo de actores de ransomware que a diferencia de otras amenazas de la misma familia no opera como servicio; este programa malicioso aplica un cifrado a los archivos que estén almacenados en las infraestructuras tecnológicas y les adiciona la extensión .royal; con esto inhabilitan el acceso a la información por parte de las víctimas obligándolas a pagar o negociar el rescate.

Un nuevo ransomware denominado Bl00dy aparece en la naturaleza

Publicado: 29/09/2022 | Importancia: Media

Bl00dy es el nombre de un nuevo grupo de ransomware que apareció en escena desde julio de este año cuando impactaron varias entidades, aunque no existe demasiada información asociada a este, más que su propia descripción en su canal de Telegram en donde afirman cifrar todos los archivos de sus víctimas; así mismo se ha rastreado nueva actividad de este grupo quienes distribuyen un nuevo ransomware con su nombre, puntualmente emplean el mecanismo de doble extorsión publicando o comercializando los datos capturados en el “muro de la vergüenza” como denominaron la exfiltración de los datos a través de Telegram.

Nuevas funcionalidades de Ebrium stealer.

Publicado: 28/09/2022 | Importancia: Media

Erbium es una amenaza tipo stealer que se encarga de capturar información, se distribuye como Malware-as-a-Service (MaaS). Esta amenaza se vende en foros de la red social de Telegram a un valor de $ 38.847 pesos colombianos.

APT Metador implementa nuevos backdoors para sus campañas maliciosas.

Publicado: 28/09/2022 | Importancia: Media

En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó unos nuevos backdoor llamados metaMain y Mafalda, los cuales están siendo implementados por el APT Metador, amenaza avanzada que se enfoca principalmente en telecomunicaciones, ISPs y proveedores de servicios de internet.

Nueva campaña del dropper NullMixer

Publicado: 27/09/2022 | Importancia: Media

En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó varios troyanos en un solo dropper llamado NullMixer que tiene como finalidad la distribución de una amplia variedad de familias de Malware.

Nueva actividad relacionada con el troyano bancario Alien

Publicado: 25/09/2022 | Importancia: Media

Los troyanos bancarios son una amenaza constante la naturaleza, durante los últimos años los actores de amenaza han desarrollado múltiples familias dirigidas a usuarios de sistemas operativos móviles, especialmente Android debido a su gran porcentaje de usuarios; así mismo suelen prevalecer en el ciberespacio como es el caso de Alien, que apareció en febrero de 2020 ofertado en foros clandestinos como MaaS ( Malware as a Service, por sus siglas en inglés) desde aquel entonces su actividad ha sido constante, por lo cual en el ejercicio de monitorearlo se observó una nueva campaña que pretende engañar a las víctimas con una falsa actualización del sistema.

Orca, el nuevo ransomware procedente de la familia de Zeppelin

Publicado: 25/09/2022 | Importancia: Media

Una de las nuevas amenazas conocidas esta semana por el equipo de analistas del Csirt Financiero ha sido identificada como Orca, una amenaza de tipo ransomware y proveniente de la familia del ransomware Zeppelin debido a sus capacidades y funciones similares.

Nuevo backdoor denominado Roshtyak

Publicado: 25/09/2022 | Importancia: Media

En el proceso de monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó un nuevo backdoor llamado Roshtyak, el cual está siendo implementado por el gusano Raspberry Robin.

Reaparece Ginp el troyano bancario dirigido a usuarios Android

Publicado: 24/09/2022 | Importancia: Media

Ginp es un troyano que apareció en el ciberespacio a mediados de 2019, desde sus inicios ha buscado afectar usuarios de distintas entidades financieras que cuenten con un dispositivo con sistema operativo Android; asimismo el Csirt Financiero realiza monitoreo a las actividades de distintas amenazas entre este ejercicio encontramos nueva actividad relacionada con Ginp que empezó a distribuirse durante el mes de septiembre.

Se filtra el generador legítimo del ransomware LockBit 3.0

Publicado: 23/09/2022 | Importancia: Media

La versión más reciente de LockBit fue lanzada en junio del presente año, donde se evidenciaron novedades importantes como el programa de recompensas por errores identificados, pago en Zcash y tácticas de extorsión. Se conoce que este grupo se encuentra activo desde 2019, desde entonces ha ganado mucha popularidad por los impactos que ha generado a diferentes organizaciones del mundo.

Nuevo troyano para Android denominado Harly

Publicado: 22/09/2022 | Importancia: Media

Durante el monitoreo realizado a fuentes abiertas de información donde son identificadas tipos de amenazas que puedan llegar afectar la infraestructura de nuestros asociados, el equipo del Csirt ha identificado un nuevo troyano conocido como Harly el cual es dirigido a sistemas operativos Android y que cuenta con capacidades similares a la del troyano Joker reportado en ocasiones anteriores.

Nuevas técnicas y herramientas utilizadas por el ransomware BlackCat

Publicado: 21/09/2022 | Importancia: Media

Es importante resaltar este tipo de nuevas actualizaciones donde los ciberdelincuentes implementan nuevas tácticas, técnicas y procedimientos de estas amenazas para hacerlas cada vez más ofensivas en sus nuevos ataques y con estas nuevas actualizaciones se observan nuevos indicadores de compromiso (IOC) relacionados a BlackCat.

Nueva variante del ransomware Phobos denominado Duck

Publicado: 20/09/2022 | Importancia: Media

A través del monitoreó y la búsqueda de nuevas amenazas que puedan llegar afectar la infraestructura de los asociados el equipo de analistas del Csirt Financiero ha identificado una nueva variante del ransomware Phobos el cual ha sido reportado en ocasiones anteriores, esta ha sido observada y denominada como Duck esta amenaza se dirige a equipos con sistemas operativos Windows.

Nueva amenaza denominada ChromeLoader

Publicado: 19/09/2022 | Importancia: Media

Recientemente se ha identificado una campaña en la cual se está utilizando ChromeLoader, esta amenaza emplea extensiones maliciosas que se anidan a los navegadores y tiene como objetivo desplegar otras familias de malware como ransomware. Durante la investigación se identificó a un actor de amenaza responsable del loader, este grupo lleva como nombre DEV-0796.

Surge el ransomware Meow en la naturaleza

Publicado: 18/09/2022 | Importancia: Media

El ransomware es una de las amenazas que más impacta infraestructuras tecnológicas en la actualidad, esto se debe al beneficio económico que puede generar a los adversarios; así mismo surgen nuevos actores de amenaza en el ciberespacio como es el caso de Meow Corp, a quienes se les atribuye un nuevo ransomware denominado Meow.

Nueva variante de ransomware denominada Bisamware

Publicado: 18/09/2022 | Importancia: Media

Estas nuevas amenazas puedan empezar a ser más utilizadas gracias a sus capacidades que le permiten afectar la disponibilidad de su entidad ya que el cifrado de información entre la que se encuentran las bases de datos, puede provocar que algunos servicios internos y externos queden inaccesibles, ocasionando una indisponibilidad en su entidad.

Nueva actividad relacionada con el ransomware Magniber

Publicado: 17/09/2022 | Importancia: Media

El ransomware Magniber también conocido como My Decryptor surgió en 2017 cuando apuntaba a víctimas del continente asiático, desde ese entonces ha evolucionado acoplándose en la naturaleza para proliferar hasta la actualidad; esta amenaza se ha caracterizado por distribuirse por medio de la explotación de vulnerabilidades y sitios web maliciosos que ofrecen actualizaciones, en esa trazabilidad se ha visto en actualizaciones falsas de Windows, en la vulnerabilidad conocida como PrintNightMare y sitios donde se ofrecen actualizaciones de Microsoft Edge y Google Chrome.

Botnet Emotet es utilizada para distribuir cargas útiles de ransomware

Publicado: 17/09/2022 | Importancia: Media

Emotet fue inicialmente conocido por ser un troyano bancario, el cual es atribuido al grupo de ciberdelincuentes llamados Mummy Spider (también conocidos como TA542). Con el pasar del tiempo, esta familia de malware ha tomado relevancia en el ámbito del ciberespacio, afectando a organizaciones y entidades de alto nivel en todo el mundo; actualmente, este se ha convertido en una botnet que es utilizada para entregar cargas útiles de segunda etapa de diversos tipos de malware que tienen como objetivo, la recopilación de datos sensibles de infraestructuras tecnológicas.

Nueva actividad del troyano bancario Hydra

Publicado: 16/09/2022 | Importancia: Media

Las amenazas que han afectado exitosamente millones de dispositivos como es el caso de Hydra, tienden a proliferar en el tiempo; asimismo la forma en que los ciberdelincuentes buscaran otros métodos de distribución, aunado a lo anterior es posible que Hydra continue desplegándose en futuras campañas suplantando otras aplicaciones.

El troyano URSA está de vuelta

Publicado: 16/09/2022 | Importancia: Media

Recientemente, se identificó una nueva campaña en la cual estaba implicada una nueva versión del troyano URSA luego de dos años desde su publicación oficial, en estas nuevas actividades se ha observado que impacta a los usuarios por medio de un cargador sofisticado. Sus funciones principales son la recopilación de credenciales de acceso alojadas en los navegadores web y en programas utilizados para los servicios de FTP (Protocolo de transferencia de archivos); por otro lado, también suele realizar la superposición de un sitio web falso asociado a la entidad financiera de sus víctimas.

Nuevo troyano de acceso remoto denominado Shadowpad RAT

Publicado: 15/09/2022 | Importancia: Media

A través de la búsqueda e inteligencia de amenazas por parte del equipo de analistas del Csirt Financiero se identificó un nuevo troyano de acceso remoto conocido como ShadowPad, donde se ha observado que dicha amenaza está dirigida a entidades y organizaciones gubernamentales afectando a sistemas operativos Microsoft Windows.

OriginLogger, un nuevo keylogger que es considerado el sucesor de Agent Tesla

Publicado: 15/09/2022 | Importancia: Media

OriginLogger es el nombre de un nuevo registrador de pulsaciones de teclas que es usado por los ciberdelincuentes para la obtención de información sensible; este se ha catalogado como el sucesor de Agent Tesla. Dentro de la información capturada se identifican credenciales de acceso y/o data asociada a la identificación de las víctimas.

Nueva brecha de seguridad presentada en Microsoft Teams

Publicado: 15/09/2022 | Importancia: Alta

Recientemente se ha identificado una nueva falla presentada en la plataforma Microsoft Teams, la cual afecta a todos los sistemas operativos o equipos que tengan instalada la aplicación en el escritorio. Esta brecha de seguridad permite que un actor de amenaza pueda obtener información sensible como credenciales de los diferentes servicios que ofrece Microsoft 365.

RecordBreaker el nombre de la segunda versión de Raccoon Stealer

Publicado: 14/09/2022 | Importancia: Media

Raccoon Stealer fue visto por primera vez en 2019 y a su vez una de las amenazas más mencionadas por ser un stealer simple pero mudable que le permitió a muchos ciberdelincuentes perpetrar múltiples ataques, no obstante, en marzo de este año sus creadores anunciaron que se retirarían temporalmente a causa de miembros en su equipo, aunque hicieron mención de estar trabajando en una nueva versión de su malware; en ese orden de ideas recientemente se observó actividad asociada a Raccoon a su vez resurge en la naturaleza con el nombre RecordBreaker integrando nuevas funcionalidades.