Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Backdoor

Nueva actividad del backdoor Kazuar del grupo APT Turla

Publicado: 17/11/2021 | Importancia: Media

Gracias a las fuentes de información internas del Csirt Financiero , el equipo de analistas ha observado nueva actividad de la herramienta de tipo backdoor (puerta trasera) denominada Kazuar asociada al grupo de amenaza APT Turla.

Nuevos indicadores de compromiso asociados a BazarLoader

Publicado: 09/11/2021 | Importancia: Media

En el monitoreo realizado por los analistas del equipo del Csirt Financiero a fuentes abiertas de información para la identificación de amenazas potenciales que puedan generar impacto a las entidades financieras de Colombia, se han observado nuevos indicadores de compromiso asociados a BazarLoader.

Nuevo backdoor denominado Tomiris

Publicado: 30/09/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada a Tomiris un backdoor (puerta trasera) diseñado para brindar acceso a un ciber atacante para descargar otros componentes maliciosos para completar el proceso de infección de un sistema.

Nuevo backdoor FoggyWeb asociado a grupo cibercriminal Nobelium

Publicado: 27/09/2021 | Importancia: Media

En el continuo monitoreo a fuentes abiertas de información, en búsqueda de amenazas que puedan afectar al sector, el equipo del Csirt financiero ha identificado un nuevo backdoor o puerta trasera con el nombre de FoggyWeb atribuido al grupo cibercriminal Nobelium, afectando a servidores con sistemas operativos Windows.

Nuevos indicadores de compromiso asociados a BazarLoader

Publicado: 05/09/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt financiero ha identificado nuevos indicadores de compromiso (IOC) relacionados al backdoor BazarLoader, utilizado para la exfiltración de información confidencial y la entrega de múltiples familias de malware incluyendo troyanos bancarios y ransomware.

Nueva actividad maliciosa asociada al APT FIN7

Publicado: 02/09/2021 | Importancia: Media

En el monitoreo continuo a fuentes abiertas de información, el equipo del Csirt financiero ha identificado una nueva actividad relacionada al APT FIN7. Este grupo cibercriminal ha estado activo desde mediados del 2015 orientando sus ataques a entidades financieras principalmente, aunque también se han asociado afectaciones a otros sectores.

Backdoor Gasket utilizado por Ransomware Pysa

Publicado: 14/07/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado que el grupo detrás del ransomware Pysa, ha estado utilizando por largo tiempo un backdoor denominado Gasket para mantener conexión con una red comprometida.

Backdoor Facefish Dirigido A distribuciones Linux

Publicado: 29/05/2021 | Importancia: Baja

El Csirt Financiero documenta información del backdoor facefish, este se conoció en febrero de 2021, desde entonces ha sido monitoreado por la ciberactividad que ha generado, la cual va dirigida a la afectación de sistemas con distribuciones Linux, específicamente a CentOS con arquitectura x64.

Actividad reciente identificada por parte del Backdoor Vyveva atribuido al grupo Lazarus

Publicado: 09/04/2021 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado despliegue de ataques cibernéticos empleando la puerta trasera o backdoor denominado Vyveva atribuido al APT Lazarus, debido a que, en el análisis realizado a equipos infectados, se encuentra que posee similitudes en su funcionamiento y código empleados puntualmente con la muestra de Nukeped que fue empleada en campañas anteriores asociadas a este APT; en esta ocasión el backdoor fue detectado en un ciberataque dirigido a una empresa en Sudáfrica.

Backdoor More_Eggs se propaga mediante Spear-Phishing

Publicado: 05/04/2021 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado el resurgimiento de un backdoor llamado More_Eggs, su desarrollo atribuido al grupo ciberciminal Golden Chickens y ha sido ampliamente usado por los grupos FIN6, Cobalt Group y Evilnum, en anteriores campañas.

BITS, servicio legítimo de Windows es usado para establecer persistencia de malware

Publicado: 02/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado el uso del servicio BITS por parte de ciberdelincuentes para generar la descarga y carga útil de familias de malware.

Malware XcodeSpy descarga backdoor en MacOs

Publicado: 20/03/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado la aparición de un malware denominado XcodeSpy, el cual consiste en la entrega de una puerta trasera conocida como EggShell que compromete principalmente a usuarios MacOs. De Xcode se sabe que es un entorno de desarrollo integrado (IDE) para aplicaciones y sistemas de información.

Grupo ciberdelincuencial FIN8 regresa con una nueva versión de BadHatch POS

Publicado: 09/03/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad por parte del grupo de ciberdelincuentes identificado como Fin8. Este grupo del cual se conoce actividad maliciosa desde el año 2016 y con motivación financiera es conocido por ejecutar diversas campañas para distribuir principalmente el backdoor PUNCHBUGGY y el malware PUNCHTRACK ambos dirigidos a comprometer sistemas POS (point of sale).

Backdoor ModPipe afecta a clientes de Oracle Micros RES 3700 POS

Publicado: 12/11/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt financiero ha observado el accionar de un backdoor modular con altas capacidades de afectación sobre el software Oracle Micros RES 3700 POS (Suite integrada de software para restaurantes). Los ciberdelincuentes al comprometer los sistemas pueden recopilar contraseñas de bases de datos, descifrándolas directamente de los valores de registro de Windows.

CostaRicto APT distribuye malware a entidades financieras y de entretenimiento

Publicado: 12/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad del grupo cibercriminal denominado CostaRicto, el cual ha realizado diversas campañas para la distribución de malware desde el mes de octubre de 2019 y hasta la fecha, este grupo APT ha enfocado parte de sus ataques a instituciones financieras a países en el continente asiático y en otras regiones países como: EEUU, Australia, Francia y Holanda entre otros.

Nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia.

Publicado: 03/05/2020 | Importancia: Media

Desde el Csirt Financiero se ha detectado una nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia, en la que se ha utilizado un malware basado en Powershell. Este malware se trata de un backdoor orientado a la captura de información, el cual intenta hacerse pasar por un documento de office en formato .docx, pero realmente se trata de un archivo de acceso directo .lnk.

Nuevo malware de puerta trasera BazarBackdoor.

Publicado: 28/04/2020 | Importancia: Media

El Csirt financiero ha identificado una nueva campaña de phishing encargada de instalar una puerta trasera sigilosa llamada BazarBackdoor, la cual es utilizada por los ciberdelincuentes para comprometer y obtener acceso a redes corporativas, capturando información sensible de los equipos comprometidos.

Ataques de dns hijacking para descargar app maliciosa de Covid-19

Publicado: 27/03/2020 | Importancia: Baja

Desde el Csirt Financiero se ha identificado actividad del troyano Oski Stealer, el cual puede exfiltrar la información de los navegadores mediante ataques DNS hijacking los cuales modifica los servidores de DNS para redirigir a los usuarios a sitios web fraudulentos y/o maliciosos.

Análisis avanzado de APT - Silence Group

Publicado: 25/02/2020 | Importancia: Media

Silence es un grupo APT con motivación económica cuyos objetivos son las entidades financieras a nivel internacional, actualizan constantemente sus TTP, evitando su detección y dificultando su análisis.

Nueva herramienta loader denominada "Bioload", asociada al grupo FIN7

Publicado: 28/12/2019 | Importancia: Media

Bioload es una herramienta desarrollada por el grupo de amenazas FIN7, este ha realizado múltiples campañas dirigidas principalmente al sector financiero. La herramienta tiene como objetivo cargar la puerta trasera Carbanak, adicionalmente, Bioload tiene la capacidad de evasión y abusa de un método utilizado por Windows para buscar DLL necesarias para cargar programas sin ser detectado.

Propagación de múltiples Backdoors a través de red de bots

Publicado: 20/06/2019 | Importancia: Alta

El CSIRT Financiero a través de la búsqueda de indicadores de amenazas se detecta red de bot que distribuye 4 backdoors de diferente tipos, los cuales permite lo siguiente ejecución con propiedades root para configuración de hadware Linux, apertura de archivos con propiedades de administrador en sistemas Windows, apertura de puerta trasera para acceso remoto a sitios web y apertura de archivos asociados a ransonware Dharma, estas amenazas podrían afectar la confidencialidad, disponibilidad e integridad de la información de las entidades financieras.

Nueva campaña que explota servidores de Linux

Publicado: 20/06/2019 | Importancia: Alta

Desde el CSIRT Financiero se ha identificado una nueva campaña que explota servidores de Linux para implantar una nueva variante de Backdoor que no es detectado por los motores de antivirus de los proveedores de seguridad. Se han identificado un total de 39 indicadores de compromiso que pueden afectar las operaciones a nivel Global.

Nueva campaña que explota servidores de Linux para implantar Backdoor

Publicado: 19/06/2019 | Importancia: Media

Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas. Los indicadores identificados pueden generar un incidente de seguridad adentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.