Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Ramsonware Exorcist 2.0 distribuido a través de software falsoEn el monitoreo a fuentes abiertas por parte del equipo del Csirt financiero, se ha evidenciado actividad por parte del ransomware Exorcist 2.0, que realiza afectación sobre equipos de cómputo con sistema operativo Windows. El método de distribución empleado consta de la utilización de plataformas como PopCash que contienen publicidad engañosa y dirigen al usuario a sitios web para la descarga de actualizaciones de Windows 10 o la descarga gratuita de software licenciado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ramsonware-exorcist-2-0-distribuido-a-traves-de-software-falsohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas por parte del equipo del Csirt financiero, se ha evidenciado actividad por parte del ransomware Exorcist 2.0, que realiza afectación sobre equipos de cómputo con sistema operativo Windows. El método de distribución empleado consta de la utilización de plataformas como PopCash que contienen publicidad engañosa y dirigen al usuario a sitios web para la descarga de actualizaciones de Windows 10 o la descarga gratuita de software licenciado.
Ransomware afecta al proveedor de servicios NetgainEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la afectación al proveedor de servicios de TI y alojamiento en la nube Netgain. Esta compañía ofrece alojamiento y soluciones TI en la nube a entidades financieras y organizaciones de la salud. Se identificó que Netgain fue afectada el pasado 24 de noviembre por un ransomware el cual aún no ha sido identificado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-afecta-al-proveedor-de-servicios-netgainhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la afectación al proveedor de servicios de TI y alojamiento en la nube Netgain. Esta compañía ofrece alojamiento y soluciones TI en la nube a entidades financieras y organizaciones de la salud. Se identificó que Netgain fue afectada el pasado 24 de noviembre por un ransomware el cual aún no ha sido identificado.
Ransomware Agelocker dirige sus ataques a Nas de QnapEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado una amenaza activa desde finales de julio de 2020, se denomina AgeLocker y está dirigido a sistemas operativos Mac y distribuciones Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-agelocker-dirige-sus-ataques-a-nas-de-qnaphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado una amenaza activa desde finales de julio de 2020, se denomina AgeLocker y está dirigido a sistemas operativos Mac y distribuciones Linux.
Ransomware Akira apunta a distribuciones LinuxAkira es un ransomware que fue identificado en abril del presente año y el cual se ha destacado por afectar múltiples países. Entre los sectores que más suele afectar se observa la banca, servicios financieros y seguros (BFSI, por sus siglas en inglés) por lo cual se resalta la importancia de esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-akira-apunta-a-distribuciones-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Akira es un ransomware que fue identificado en abril del presente año y el cual se ha destacado por afectar múltiples países. Entre los sectores que más suele afectar se observa la banca, servicios financieros y seguros (BFSI, por sus siglas en inglés) por lo cual se resalta la importancia de esta amenaza.
Ransomware Akira extiende su arsenal en América LatinaAkira es un ransomware que fue identificado en abril de este año y se ha destacado por afectar a múltiples países, entre estos se ha observado que se encuentra activo en América Latina. Los sectores que más suele impactar son los servicios financieros, educación, bienes raíces, manufacturero y consultoría. Por lo tanto, es importante entender las capacidades y funcionalidades de esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-akira-extiende-su-arsenal-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Akira es un ransomware que fue identificado en abril de este año y se ha destacado por afectar a múltiples países, entre estos se ha observado que se encuentra activo en América Latina. Los sectores que más suele impactar son los servicios financieros, educación, bienes raíces, manufacturero y consultoría. Por lo tanto, es importante entender las capacidades y funcionalidades de esta amenaza.
Ransomware alpha basado en NetwalkerEl equipo del CSIRT Financiero ha identificado una nueva amenaza cibernética denominada "Alpha", la cual presenta similitudes significativas con el ransomware "NetWalker". Este último, conocido por operar como un ransomware as a service (RaaS), ganó notoriedad en septiembre de 2019 y desapareció en 2021 tras una operación policial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-alpha-basado-en-netwalkerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del CSIRT Financiero ha identificado una nueva amenaza cibernética denominada "Alpha", la cual presenta similitudes significativas con el ransomware "NetWalker". Este último, conocido por operar como un ransomware as a service (RaaS), ganó notoriedad en septiembre de 2019 y desapareció en 2021 tras una operación policial.
Ransomware Avaddon en América Latina, crece el número de víctimasEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nuevas actividades del ransomware Avaddon, en el que han cambiado un poco su modo operativo, pasaron de generar campañas masivas a generar ataques dirigidos, en los que generaron una cepa más elaborada para hacer caer en la trampa a sus víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-avaddon-en-america-latina-crece-el-numero-de-victimashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nuevas actividades del ransomware Avaddon, en el que han cambiado un poco su modo operativo, pasaron de generar campañas masivas a generar ataques dirigidos, en los que generaron una cepa más elaborada para hacer caer en la trampa a sus víctimas.
Ransomware Avaddon utiliza ataques DDoSEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña en la que los ciberdelincuentes detrás del ransomware Avaddon utilizan ataques DDoS contra las redes vulneradas como método de coacción, esto para que las víctimas paguen el rescate exigido después de la ejecución del ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-avaddon-utiliza-ataques-ddoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña en la que los ciberdelincuentes detrás del ransomware Avaddon utilizan ataques DDoS contra las redes vulneradas como método de coacción, esto para que las víctimas paguen el rescate exigido después de la ejecución del ransomware.
Ransomware Bianlian y sus estrategias evolutivas en sectores críticosEl ransomware BianLian ha emergido como una de las amenazas más activas en la actualidad, concentrando sus actividades principalmente en sectores críticos como la atención médica, manufactura, servicios financieros y educación. El impacto se ha sentido significativamente en organizaciones ubicadas principalmente en los Estados Unidos (EE. UU.) y Europa (UE).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-bianlian-y-sus-estrategias-evolutivas-en-sectores-criticoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware BianLian ha emergido como una de las amenazas más activas en la actualidad, concentrando sus actividades principalmente en sectores críticos como la atención médica, manufactura, servicios financieros y educación. El impacto se ha sentido significativamente en organizaciones ubicadas principalmente en los Estados Unidos (EE. UU.) y Europa (UE).
Ransomware Big Head: una nueva amenaza para usuarios de WindowsEl ransomware Big Head ha surgido como una nueva amenaza en mayo de 2023, afectando a usuarios de Microsoft Windows. Este ransomware cifra los archivos de los equipos comprometidos y exige un rescate para descifrarlos. Se han identificado al menos tres variantes del ransomware Big Head, todas diseñadas con el propósito de extorsionar dinero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-big-head-una-nueva-amenaza-para-usuarios-de-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Big Head ha surgido como una nueva amenaza en mayo de 2023, afectando a usuarios de Microsoft Windows. Este ransomware cifra los archivos de los equipos comprometidos y exige un rescate para descifrarlos. Se han identificado al menos tres variantes del ransomware Big Head, todas diseñadas con el propósito de extorsionar dinero.
Ransomware Black Basta: amenaza persistente y tácticas avanzadas de distribuciónEl ransomware Black Basta ha ganado notoriedad en los últimos meses por atacar a organizaciones de alto perfil en Europa y América del Norte en diversas industrias. Se cree que este ransomware es un sucesor del Conti ransomware, y se ha relacionado con el grupo de amenazas Fin7. Black Basta opera bajo un modelo Ransomware-as-a-Service (RaaS), proporcionando herramientas y soporte técnico a sus afiliados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-black-basta-amenaza-persistente-y-tacticas-avanzadas-de-distribucionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Black Basta ha ganado notoriedad en los últimos meses por atacar a organizaciones de alto perfil en Europa y América del Norte en diversas industrias. Se cree que este ransomware es un sucesor del Conti ransomware, y se ha relacionado con el grupo de amenazas Fin7. Black Basta opera bajo un modelo Ransomware-as-a-Service (RaaS), proporcionando herramientas y soporte técnico a sus afiliados.
Ransomware BlackMatter afecta a servidores VMware ESXiEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo grupo cibercriminal para la distribución de ransomware BlackMatter. Según este grupo homónimo es el sucesor de REvil, Darkside y LockBit, y a través de foros clandestinos busca afiliados para distribuir el ransomware con su mismo nombre BlackMatter, su objetivo está dirigido a grandes organizaciones, especialmente en Estados Unidos, Canadá, Reino Unido y Australia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-blackmatter-afecta-a-servidores-vmware-esxihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo grupo cibercriminal para la distribución de ransomware BlackMatter. Según este grupo homónimo es el sucesor de REvil, Darkside y LockBit, y a través de foros clandestinos busca afiliados para distribuir el ransomware con su mismo nombre BlackMatter, su objetivo está dirigido a grandes organizaciones, especialmente en Estados Unidos, Canadá, Reino Unido y Australia.
Ransomware Cephalus compromete sistemas mediante accesos RDP sin autenticación multifactorDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida al nuevo grupo de ransomware identificado como Cephalus, el cual emergió en junio de 2025.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-cephalus-compromete-sistemas-mediante-accesos-rdp-sin-autenticacion-multifactorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad atribuida al nuevo grupo de ransomware identificado como Cephalus, el cual emergió en junio de 2025.
Ransomware Chimera impulsado por IAMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, identificó un nuevo ransomware llamado Chimera.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-chimera-impulsado-por-iahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, identificó un nuevo ransomware llamado Chimera.
Ransomware como servicio RansomHubRansomHub es un ransomware como servicio RaaS que cuenta con un programa de afiliados creado en 2024, desde entonces ha afectado al menos a 210 organizaciones de múltiples sectores.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-como-servicio-ransomhubhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
RansomHub es un ransomware como servicio RaaS que cuenta con un programa de afiliados creado en 2024, desde entonces ha afectado al menos a 210 organizaciones de múltiples sectores.
Ransomware DearCry, ataca servidores Microsoft ExchangeEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo ransomware de nombre DearCry, Microsoft le da el nombre de Win32/DoejoCrypt.A, el cual está atacando a servidores de Microsoft Exchange que no cuentan con las ultimas actualizaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-dearcry-ataca-servidores-microsoft-exchangehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo ransomware de nombre DearCry, Microsoft le da el nombre de Win32/DoejoCrypt.A, el cual está atacando a servidores de Microsoft Exchange que no cuentan con las ultimas actualizaciones.
Ransomware denominado SunCrypt incrementa sus capacidadesEn el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado una familia de ransomware que ha incrementado sus capacidades y es denominado SunCrypt, esta amenaza se dirige a organizaciones en todo el mundo con el objetivo de cifrar su información y realizar extorción a sus víctimas para que realicen el pago del rescate de los datos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-denominado-suncrypt-incrementa-sus-capacidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado una familia de ransomware que ha incrementado sus capacidades y es denominado SunCrypt, esta amenaza se dirige a organizaciones en todo el mundo con el objetivo de cifrar su información y realizar extorción a sus víctimas para que realicen el pago del rescate de los datos.
Ransomware DragonForce basado en LockBit BlackA través del monitoreo realizado por el equipo de analistas del Csirt Financiero se observaron nuevos detalles del ransomware conocido como DragonForce, el cual fue identificado en noviembre del 2023, donde se identificó que esta amenaza está basada en el ransomware LockBit Black. Esto sugiere que los actores de amenazas detrás de DragonForce utilizaron un compilador filtrado de LockBit Black para generar su binario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-dragonforce-basado-en-lockbit-blackhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero se observaron nuevos detalles del ransomware conocido como DragonForce, el cual fue identificado en noviembre del 2023, donde se identificó que esta amenaza está basada en el ransomware LockBit Black. Esto sugiere que los actores de amenazas detrás de DragonForce utilizaron un compilador filtrado de LockBit Black para generar su binario.
Ransomware en acción: LockBit, Snake, Anubis y Lynx en actividad recienteDurante actividades de monitoreo y análisis de ciberamenazas, se ha identificado actividad relacionada con los ransomware Snake (EKANS), LockBit, Anubis y Lynx, los cuales representan un riesgo significativo para el sector financiero debido a sus tácticas de cifrado de información y extorsión.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-en-accion-lockbit-snake-anubis-y-lynx-en-actividad-recientehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y análisis de ciberamenazas, se ha identificado actividad relacionada con los ransomware Snake (EKANS), LockBit, Anubis y Lynx, los cuales representan un riesgo significativo para el sector financiero debido a sus tácticas de cifrado de información y extorsión.
Ransomware FTCODE incluye una nueva funcionalidad para exfiltrar información.El equipo del Csirt Financiero a través de búsquedas e investigaciones en fuentes de información, identificó una nueva funcionalidad del ransomware FTCODE, esta nueva funcionalidad permite la exfiltración de credenciales de acceso que la víctima tenga almacenadas en el navegador web.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-ftcode-incluye-una-nueva-funcionalidad-para-exfiltrar-informacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de búsquedas e investigaciones en fuentes de información, identificó una nueva funcionalidad del ransomware FTCODE, esta nueva funcionalidad permite la exfiltración de credenciales de acceso que la víctima tenga almacenadas en el navegador web.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}