Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Botnet

Nuevos Indicadores de compromiso asociados a Dridex

Publicado: 12/06/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el troyano Dridex, también conocido como “Cridex” que afecta a equipos con sistema operativo Windows.

Botnet Sysrv-Hello vulnera distribuciones Windows y Linux

Publicado: 24/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Sysrv-Hello, la cual afecta a distribuciones Windows y Linux al propagar bots de minería Monero.

Botnet Prometei instala malware de minería y libera RCE

Publicado: 24/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Prometei que explota dos vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon para instalar un criptominero denominado Monero en los equipos infectados.

Trickbot reactiva su actividad con un nuevo módulo denominado MASRV

Publicado: 01/02/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se han Identificado nuevas campañas de phishing y malspam utilizadas para la distribución de Trickbot, donde se ha evidenciado un nuevo módulo denominado Masrv.

Botnet DreamBus apunta a aplicaciones ejecutadas en servidores Linux

Publicado: 25/01/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una botnet denominada DreamBus que enfoca sus esfuerzos hacia aplicaciones empresariales como PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack y el servicio SSH. DreamBus explota debilidades en el sistema como; contraseñas débiles, ejecución remota de código no autenticado (RCE) en aplicaciones como SSH, herramientas en la nube o las relacionadas con bases de datos para vulnerar el sistema. De su procedencia se cree que es oriunda de Rusia o Europa del Este por los horarios en los cuales se despliegan sus actividades maliciosas. El componente principal de esta Botnet es un binario ELF (formato de archivo para ejecutables) responsable de preparar el entorno, duplicación de la amenaza en los sistemas afectados y liberación de XMRig para extraer la criptomoneda Monero.

Botnet Pgminer apunta a Postgresql

Publicado: 12/12/2020 | Importancia: Media

El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una botnet denominada PgMiner, que apunta a las bases de datos PostgreSQL sobre infraestructura con distribuciones Linux con el fin de instalar un minero de criptomonedas.

Emotet utiliza documentos Word con falsas actualizaciones de Microsoft para su distribución

Publicado: 29/10/2020 | Importancia: Alta

En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado la distribución del troyano bancario Emotet utilizando archivos de ofimática con macros embebidas maliciosas. En este caso, se observó que los ciberdelincuentes agregaron una nueva temática o mensaje en el contenido de los archivos, que trata al respecto de una actualización de Microsoft Word y la necesidad de habilitar las macros para ejecutar dicha actualización. El método de distribución de estos documentos maliciosos es por medio de mensajes de correo electrónico malspam.

Plataformas CMS afectadas por Botnet Kashmirblack

Publicado: 24/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet denominada KashmirBlack, capaz de explotar una antigua vulnerabilidad en sistemas de administración de contenido (CMS) como por ejemplo WordPress, Joomla, Magneto y Drupal. KashmirBlack es una botnet que ha realizado el secuestro de cientos de miles de sistemas CMS en 30 países.

Aumento de actividad de botnet Lemon Duck

Publicado: 14/10/2020 | Importancia: Media

En el mes de agosto de 2020 el equipo del Csirt Financiero notificó sobre LemonDuck, una botnet de criptominería considerada como una de las más avanzadas, ya que los ciberdelincuentes mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Este criptominero ha estado activo desde diciembre de 2018 aumentando su actividad maliciosa en los últimos dos meses.

Nuevo módulo de Emotet para exfiltrar información de correos electrónicos

Publicado: 31/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, la inclusión de un nuevo módulo en Emotet para capturar y exfiltrar documentos adjuntos y contactos de asociados a las cuentas de correo electrónico.

LOLSnif, nueva variante basada en el troyano bancario Ursnif

Publicado: 24/05/2020 | Importancia: Media

Ursnif: es un troyano bancario que ha tenido diferentes variantes debido a la estabilidad de su código. La variante que se analizará utiliza técnicas basadas en LOLBINS y varias capas de ofuscación con el fin de dificultar su detección. También utiliza Internet Explorer para realizar la comunicación con el servidor de comando y control (C2), ya que mediante este navegador puede omitir configuraciones de proxy en redes corporativas.

Indicadores de compromiso asociados a Botnet LeetHozer.

Publicado: 30/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado indicadores de compromiso asociados a una nueva botnet llamada LeetHozer que infecta equipos con el fin de realizar ataques DDOS.

Hoaxcalls, botnet que aprovecha vulnerabilidades en dispositivos Grandstream y DrayTek

Publicado: 12/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una forma en que la botnet Hoaxcalls utiliza las capacidades físicas de routers y dispositivos que proveen sistemas telefónicos para realizar ataques DDoS, utiliza para este propósito, exploits de las vulnerabilidades CVE-2020-8515 y CVE-2020-5722 que se encuentran en dichos dispositivos.

Botnet Vollgar busca minar mediante MS-SQL

Publicado: 08/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una red de bots de criptominería que ha estado operando desde hace dos años aproximadamente sin ser detectada, apuntando a servidores de base de datos MS-SQL para realizar criptojacking y exfiltrar datos sensibles del servidor comprometido.

Botnet DDG utiliza servidores Linux para minar Criptomonedas

Publicado: 04/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una nueva amenaza que afecta a distribuciones Linux, se trata de la botnet DDG, la cual accede a los equipos mediante unos servicios utilizando fuerza bruta en contraseñas débiles.

Nueva variante del botnet Mirai

El equipo del Csirt Financiero ha identificado indicadores de compromiso de la nueva variante (Mukashi) de la botnet Mirai, la cual explota la vulnerabilidad CVE-2020-9054 y afecta los equipos conectados a la red de Zyxel network-attached storage (NAS).

Emotet cambia la estructura de registro en el C2

Publicado: 29/12/2019 | Importancia: Media

Por medio de fuentes de información, el CSIRT Financiero ha identificado alteraciones en el cliente del troyano Emotet. Este cambio está asociado a la forma como se registra el cliente ante el servidor de comando y control [C2]. Para consultar los indicadores de compromiso asociados a esta variante comuníquese con el CSIRT Financiero.

Nuevos indicadores de compromiso asociados a Lokibot

Publicado: 26/12/2019 | Importancia: Media

El CSIRT Financiero han identificado nuevos indicadores de compromiso asociados a Lokibot, troyano bancario que realiza captura de información sensible del usuario comprometido. Por lo general, es distribuido por medio de campañas de malspam con documentos maliciosos que conllevan a la descarga de este. Adicionalmente, una vez infecta los dispositivos los introduce a su red de Botnets.

Mozi, la nueva Botnet que utiliza el protocolo DHT.

Publicado: 23/12/2019 | Importancia: Media

Por medio de investigaciones y continuas revisiones en fuentes de información abiertas, el equipo del CSIRT Financiero ha identificado una nueva botnet denominada Mozi. Esta botnet tiene la capacidad de utilizar el protocolo DHT [Data Hash Tables] para crear sus propias redes P2P [red entre pares], aprovechando claves débiles de telnet sobre equipos Netgear, D-Link y los enrutadores de Huawei.

Indicadores de amenaza relacionadas a botnet Geost

Publicado: 08/10/2019 | Importancia: Media

Se ha identificado una nueva botnet llamada Geost que afecta dispositivos Android y busca capturar datos de las cuentas de los usuarios dueños de los dispositivos. El método de propagación de esta botnet se ha realizado por medio de diferentes APK's infectadas que provienen de tiendas de apps no oficiales, el malware que realiza la infección de esta botnet es conocido como “HTBot”.

Más de medio millón de equipos infectados por la botnet de criptomonedas Smominru.

Publicado: 23/09/2019 | Importancia: Media

La botnet llamada Smominru lleva activa aproximadamente desde Mayo del 2017, desde entonces ha comprometido a más de medio millón de equipos enfocado a dos objetivos, el primero se basa en la capturara de información de acceso a plataformas usadas por el usuario y la segunda en convertir al dispositivo infectado en un bot más para poder hacer más grande su red de minería de criptomonedas.

Se evidencia nueva actividad de la Botnet de Emotet.

Publicado: 26/08/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una nueva actividad de la botnet llamada Emotet y en esta nueva campaña, aunque esta botnet no cambia su estructura, está siendo usada para distribuir malware dentro de los que se destacan dos troyanos bancarios. Adicional a esto, cabe destacar que en la actividad detectada desde la reaparición de la campaña no se han identificado nuevos binarios de bot, si no únicamente nueva actividad de los servidores que ya estaban usando.

Nueva variante Echobot Botnet

Publicado: 06/08/2019 | Importancia: Media

Desde CSIRT Financiero se identifica una nueva variante de la botnet Echobot que incluye más de 50 exploits los cuales conducen a vulnerabilidades de ejecución remota de código (RCE) en varios dispositivos de Internet de las cosas (IoT).

Nueva variante de Mirai llamada Miori

Publicado: 16/07/2019 | Importancia: Media

Desde el CSIRT Financiero se detecta una nueva variante de Mirai (malware con objetivo de ejecutar ataques de denegación de servicio distribuidos, comandados por un servidor comando y control (C&C) remoto, además de localizar y comprometer otros dispositivos IoT para aumentar el tamaño de la botnet) llamada Miori.

La Nueva Botnet Echobot que afecta aplicaciones Oracle WebLogic y VMware SD-Wan

Publicado: 16/06/2019 | Importancia: Alta

La nueva Botnet "Echobot" agrego 26 Exploits nuevos que buscan no solo atacar a dispositivos IoT sin ultimas actualizaciones, sino tambien tiene como objetivo atacar Aplicaciones como Oracle WebLogic y VMware SD-Wan .