Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de 2022

Nueva familia de ransomware denominada Ransomexx2

Publicado: 24/11/2022 | Importancia: Media

Dentro del ciberespacio es constante las actualizaciones y diversas variantes de amenazas que los ciberdelincuentes realizan en pro de afectar entidades y organizaciones con el fin de obtener alguna ganancia ya se económica o reputacional, es por eso que a través de fuentes abiertas de información el equipo de analistas del Csirt identifico una variante de ransomware denominada como RansomExx2 el cual principalmente afecta a equipos con sistema operativo Linux y donde posiblemente también se encuentre una versión para Windows.

Nueva actividad del troyano bancario Sharkbot

Publicado: 23/11/2022 | Importancia: Media

Recientemente se han evidenciado nuevas actualizaciones dentro de la tienda de aplicaciones conocida como Google Play store, donde se está distribuyendo una amenaza conocida como el troyano bancario denominado Sharkbot el cual ha sido reportado anteriormente por el equipo de analistas del Csirt Financiero donde en esta ocasión se identificaron nuevas aplicaciones para su distribución y con esto se observaron nuevos indicadores de compromiso.

El nuevo downloader denominado IronRider

Publicado: 22/11/2022 | Importancia: Media

La superficie de ataques continúa creciendo conforme se desarrollan nuevas actualizaciones y funcionalidades en sistemas operativos, software y tecnologías emergentes, razón por la que en la naturaleza emergen nuevas amenazas alineadas con esas nuevas capacidades; en ese orden de ideas se ha detectado recientemente una sucesión de ataques desplegados en Europa del Este en los que se empleó el nuevo downloader IronRider.

Nueva actividad maliciosa de Rapperbot

Publicado: 21/11/2022 | Importancia: Media

Los ataques de DDoS generalmente son desplegados en diferentes modelos de redes de bots, de las que hacen parte dispositivos IoT comprometidos, con el objetivo de lograr impactar la disponibilidad de las infraestructuras tecnológicas que tengan como objetivo los atacantes, en ese orden de ideas se han identificado una serie de ataques cibernéticos relacionados con la botnet RapperBot.

Se identifican nuevos indicadores de compromiso del troyano de acceso remoto DCRAT

Publicado: 21/11/2022 | Importancia: Media

El troyano de acceso remoto conocido como DCRat o Dark Crystal RAT, ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero y como es común en el ámbito de la ciberseguridad los ciberdelincuentes mantienen constantes actualizaciones de estas amenazas, por lo que se identificaron nuevos indicadores de compromiso relacionados a DCRat en el mes de noviembre.

Nuevos indicadores de compromiso asociados a NanoCore RAT

Publicado: 20/11/2022 | Importancia: Media

Recientemente se han evidenciado nuevos indicadores de compromiso asociados a NanoCore RAT, un troyano de acceso remoto que destaca por sus capacidades de recopilar información confidencial a través de múltiples acciones relacionadas con spyware. Así mismo, se observa que este se distribuye por medio foros clandestinos en la Deep y Dark web, donde es ofrecido a un precio muy bajo; esto permite que muchos grupos de ciberdelincuentes que no poseen conocimiento sobre elaboración de malware puedan adquirir uno e incluirlo en sus campañas maliciosas.

Nuevos métodos de distribución de Hive Ransomware

Publicado: 19/11/2022 | Importancia: Media

Hive ransomware ha seguido activo en el ciberespacio atacando múltiples organizaciones en todo el mundo, tanto así que los actores detrás de esta amenaza se han beneficiado de más de 100 millones de dólares en los pagos de rescate, esta amenaza lleva activa desde junio del 2021 y sigue el modelo de Ransomware-as-a-Service (RaaS).

Ciberdelincuentes realizan nuevas actividades para la entrega de malware

Publicado: 19/11/2022 | Importancia: Media

De forma reciente se ha identificado al grupo DEV-0569 desplegando campañas de malvertising (introducir malware en la publicidad en línea para extender otro malware) para distribuir payload de diferentes familias de malware a través del servicio Google Ads.

Nuevos Ransomware denominados AXLocker, Octocrypt y Alice.

Publicado: 18/11/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero realizo un monitoreo en el ciber espacio de nuevas amenazas que puedan llegar a afectar la infraestructura y pilares de la información de nuestros asociados, donde se encontraron tres nuevas familias de Ransomware denominadas AXLocker, Octocrypt y Alice.

LodaRAT implementa diversas variantes de malware

Publicado: 18/11/2022 | Importancia: Media

Recientemente, se ha identificado una nueva variante de LodaRAT que también es conocido por otro nombre como Nymeria; en sus nuevas actividades se ha observado que se implementa junto con otros malware conocidos como RedLine Stealer y Neshta. LodaRAT está desarrollado en AutoIT y es capaz de recopilar y exfiltrar la información alojada en las infraestructuras informáticas comprometidas.

Nueva actividad maliciosa atribuida a Qbot

Publicado: 17/11/2022 | Importancia: Media

Recientemente se ha identificado un nuevo vector de infección del troyano Qbot, donde los actores de amenaza se aprovechan de una falla presentada en el ejecutable del panel de control de Windows 10 (control.exe), esta brecha de seguridad les permite realizar “el secuestro de DLL”, este método es utilizado para suplantar librerías legitimas del sistema por archivos maliciosos creados por los ciberdelincuentes para implementar la carga útil de Qakbot.

Operadores de Emotet implementan nuevas tácticas en la cadena de infección

Publicado: 17/11/2022 | Importancia: Media

Recientemente se había identificado el retorno del troyano polimórfico conocido como Emotet clasificado como un botnet gracias a sus constantes actualizaciones, ya que inicialmente se categorizo como un troyano bancario, sin embargo la implementación de un módulo de botnet spam hizo que evolucionara; desde su aparición en 2014 los atacantes que han distribuido esta amenaza a través de campañas que entregan la carga útil de Emotet, en documentos maliciosos para impactar empresas de distintos sectores económicos.

Campaña maliciosa distribuye Wiki ransomware

Publicado: 16/11/2022 | Importancia: Media

Wiki es un software malicioso que es identificado como una variante de otro ransomware identificado como Crysis, diseñado con las capacidades de cifrar archivos y así mismo mantenerlos bloqueados gracias a su método de cifrado utilizado, lo cual afecta de forma directa a la disponibilidad de la información y servicios de las organizaciones comprometidas por esta amenaza, además, en el transcurso de su proceso de cifrado, a cada archivo le cambia el nombre agregándole un número de identificación único, dirección de correo electrónico de los actores de amenaza y la extensión .wiki.

Múltiples campañas se han visto distribuyendo Batloader

Publicado: 16/11/2022 | Importancia: Media

Las amenazas de acceso inicial abundan en la naturaleza, de ahí que los ciberdelincuentes las empleen para tener éxito en sus ataques cibernéticos, por medio de estos loader pueden instaurar cargas útiles de otras familias en los equipos comprometidos.

Nueva actividad del ransomware Koxic

Publicado: 15/11/2022 | Importancia: Media

Recientemente se ha identificado una campaña de distribución del ransomware Koxic, el cual fue identificado por primera vez a inicios del presente año, teniendo capacidades que le permiten cifrar archivos alojados en las infraestructuras tecnológicas comprometidas y agregándoles la extensión .KOXIC_PLCAW, por último, suele generar una nota de rescate en cada ruta del sistema operativo conocida como WANNA_RECOVER_KOXIC_FILEZ_PLCAW.txt, esta puede ser diferente en cada infraestructura comprometida.

Nuevo stealer denominado SMSeye

Publicado: 15/11/2022 | Importancia: Media

Recientemente, se ha identificado una nueva campaña maliciosa dirigida a una entidad financiera ubicada en Indonesia, donde los actores de amenaza implementan múltiples sitios web phishing y stealers, con el propósito de recopilar información sensible de los usuarios suscritos a esta organización.

Nuevas capacidades del Stealer Typhon.

Publicado: 15/11/2022 | Importancia: Media

En el mundo del ciberespacio es muy común ver la evolución y nuevas capacidades que implementan los actores de amenaza en sus herramientas de malware, por lo cual el equipo de analistas del Csirt Financiero realizo un monitoreo en el cual encontró recientes actividades y actualizaciones de Typhon Stealer, el cual fue descubierto y reportado a principios de agosto del 2022.

Nuevos artefactos maliciosos asociados al ransomware Black Basta

Publicado: 14/11/2022 | Importancia: Media

Recientemente, el ransomware Black Basta ha generado nueva actividad en la cual se observaron nuevos indicadores de compromiso donde a su vez mejoran sus técnicas para el éxito de sus actividades maliciosas; ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.

Troyano bancario Dridex retorna sus actividades con nuevos indicadores de compromiso

Publicado: 14/11/2022 | Importancia: Media

Recientemente, se han identificado nuevas campañas maliciosas por parte de los actores de amenaza, las cuales están distribuyendo el troyano bancario Dridex; esta familia de malware es reconocida en el ecosistema de ciberseguridad por su gran afectación al sector financiero a nivel global, llegando a impactar a más de 40 organizaciones en el año 2019.

Un nuevo brote de ransomware denominado Somnia

Publicado: 12/11/2022 | Importancia: Media

Los actores de amenaza rusos suelen estar ligados con la creación de nuevas familias de malware dentro del panorama de amenazas, especialmente han estado activos en el ciberespacio a razón del conflicto que existe con Ucrania y sus aliados; es así como algunos grupos de hacktivistas rusos se involucran en la ciberguerra que se lidia actualmente, para lo cual crean nuevas herramientas que impacten eficientemente las infraestructuras tecnológicas de sus objetivos, de ahí que recientemente se descubriera una nueva cepa de ransomware denominada Somnia.

Nueva actividad relacionada con los ransomware Inlock y Xorist

Publicado: 11/11/2022 | Importancia: Media

Los actores de amenaza continúan empleando el ransomware como uno de los medios para generar ganancias económicas de ahí que el aumento de infecciones por esta amenaza se vea constantemente en el ciberespacio.

Nuevo Stealer denominado Strela orientado a la exfiltración de credenciales de acceso

Publicado: 10/11/2022 | Importancia: Media

Recientemente se ha identificado un nuevo Stealer denominado Strela; enfocado en la captura y exfiltración de información asociada a las credenciales de acceso de las cuentas de correo electrónico de Outlook y Thunderbird, los cuales son altamente utilizados por usuarios y organizaciones a nivel mundial.

IceXLoader retorna con una nueva actualización

Publicado: 09/11/2022 | Importancia: Media

IceXLoader es conocido en el ecosistema de ciberseguridad por ser utilizado como un cargador que implementa diversas familias de malware en las campañas maliciosas de los ciberdelincuentes; además, es distribuido a través de foros clandestinos de la Deep y Dark web por el precio de 118 dólares, otorgando una licencia de por vida, lo cual permite que los usuarios puedan usarlo las veces que lo requieran. Anteriormente, se había evidenciado que en su versión 3.0 se encontraba en fase de desarrollo al observar sus comportamientos y actividades.

Dagon Locker evoluciona y cambia su nombre a Dagon Ransomware

Publicado: 08/11/2022 | Importancia: Media

Se conoce que Dagon Ransomware es una variante de Mount Locker ransomware, sin embargo, ha sido capacitado con nuevas herramientas que lo hacen más efectivo en la ejecución de sus actividades maliciosas dentro de las infraestructuras comprometidas; durante su proceso de cifrado manipula los archivos y les agrega la extensión .dagoned, con el objetivo de inhabilitar el acceso a estos por parte de sus víctimas, posteriormente genera una nota de rescate denominada README_TO_DECRYPT.html donde se incluyen las instrucciones que conllevan a recuperar la información comprometida por los cibercriminales a través de esta amenaza.

Surge el nuevo ransomware Killnet

Publicado: 08/11/2022 | Importancia: Media

El ransomware es una de las amenazas más persistentes en la superficie de ataque empleada actualmente por los ciberdelincuentes, dado que logra impactar de manera significativa una organización; las razones que tienen sus autores suelen ser orientadas a un beneficio monetario y en otros casos impulsados por causas sociales o por intereses políticos de sus países de origen.

Nuevas actividades, procesos y artefactos asociados al troyano de acceso remoto Mikey

Publicado: 07/11/2022 | Importancia: Media

Recientemente se han identificado nuevas actividades asociadas a la amenaza Mikey, troyano de acceso remoto sigiloso que realiza procesos que le permiten generar persistencia al almacenar múltiples artefactos maliciosos en diversas rutas del sistema operativo, generar conexiones externas con su comando y control (C2), captura de pulsaciones de teclas (keylogger), descarga e instalación de archivos u otras familias de malware, finalización de tareas, ataques de denegación de servicio (DoS), recopilación y exfiltración de información sensible alojada en las infraestructuras tecnológicas comprometidas.

Nueva actividad maliciosa del troyano bancario Vultur

Publicado: 07/11/2022 | Importancia: Media

Recientemente se ha evidenciado un aumento significativo en el número de campañas maliciosas que tienen como objetivo capturar información sensible relacionada al sector financiero, donde los actores de amenaza enmarcaran las cargas útiles de troyanos bancarios en aplicaciones supuestamente legitimas.

Nuevas campañas del troyano bancario Hydra apuntan a entidades de Latinoamérica.

Publicado: 06/11/2022 | Importancia: Media

En el monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad realizada por el troyano bancario Hydra donde implementaron múltiples entidades y plataformas de “exchange” de criptomonedas, haciendo posible el robo de las cuentas de los usuarios e incluso wallets (billetera electrónica para guardar dinero, tarjetas de crédito/debito, etc).

Continúa proliferando el ransomware Magniber en la naturaleza

Publicado: 06/11/2022 | Importancia: Media

El ransomware Magniber apareció en la naturaleza desde 2017, desde ese entonces había mantenido un periodo activo en sus inicios, después mantuvo una actividad poco visible en la superficie de ataque implementada por ciberdelincuentes; sin embargo, en las actualizaciones que implementaron sus autores en este año, aumentó considerablemente la cantidad de ataques cibernéticos que distribuyen esta amenaza.