Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Ransomware

Tropical Scorpius implementa nuevas TTP para la distribución del ransomware Cuba

Publicado: 09/08/2022 | Importancia: Media

El ransomware es una amenaza latente en el ciberespacio ganando cada vez más fuerza, esto debido a que es un negocio bastante lucrativo para los ciberdelincuentes; justamente esa es la razón de que Cuba ransomware continúe siendo parte de la naturaleza y resurja con nuevas técnicas, tácticas y procedimientos empleadas por un grupo de amenazas rastreado como Tropical Scorpius quienes lideran una gran campaña durante el último mes, la cual está afectando varios sectores económicos dentro de los cuales se encuentra el financiero como uno de sus principales objetivos.

Nueva familia de ransomware denominada Hydrox

Publicado: 07/08/2022 | Importancia: Media

Generalmente el ransomware tiene como objetivo principal generar ganancias económicas, al cifrar la información confidencial de sus víctimas; asimismo en el ciberespacio existen distintos actores de amenazas dentro de los cuales se encuentran los Script Kiddies a quienes puede estar atribuido esta nueva familia denominada Hydrox que busca afectar sistemas operativos Microsoft Windows y MacOS.

Nueva capacidad de autopropagación implementada en Black Basta

Publicado: 06/08/2022 | Importancia: Media

Evidentemente el ransomware Black Basta se ha convertido en una ciberamenaza relevante debido a su capacidad de afectación, este dirige sus actividades a sistemas operativos Windows, Linux y ESXi. En su versión más reciente, tiene la capacidad de autopropagarse a través de la red durante el proceso de cifrado, para esto utiliza el protocolo LDAP de acceso a los directorios.

1More un ransomware basado en VoidCrypt

Publicado: 01/08/2022 | Importancia: Media

El panorama en la naturaleza de amenazas presentes en el ciberespacio continúa ampliándose cada vez más, en ese orden de ideas el ransomware hace parte de la superficie de ataque más empleada por ciberdelincuentes puesto que es un negocio rentable para estos actores; con base a lo anterior se ha detectado una variante de la familia de ransomware denominada VoidCrypt cuyo código está disponible en la Darknet, esta nueva amenaza ha sido denominado 1More.

Ransomware Monster implementa interfaz gráfica avanzada

Publicado: 28/07/2022 | Importancia: Media

Los ciberdelincuentes, mediante nuevas técnicas y tácticas realizan constantes actualizaciones en sus campañas, desarrollando nuevas amenazas que pueden afectar entidades y organizaciones; el equipo de analistas del Csirt Financiero identificó una nueva actualización del ransomware Monster, el cual es uno de los primeros en contar con una interfaz gráfica avanzada del usuario (GUI), que para los actores de amenaza lo hace mucho más sencillo y accesible al momento de realizar un ataque.

Nuevo ransomware denominado BlueSky

Publicado: 17/07/2022 | Importancia: Media

En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado un nuevo ransomware denominado BlueSky.

Nuevo RAT dirigido a Android denominado AIRAVAT

Publicado: 16/07/2022 | Importancia: Media

A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó a AIRAVAT, RAT multifuncional dirigido a Android con el objetivo de capturar y exfiltrar información como registro de llamadas, capturas de pantalla, mensajes de texto, entre otros, además, posee características para emplear funciones de tipo ransomware.

Nuevos indicadores de compromiso asociados a MedusaLocker

Publicado: 11/07/2022 | Importancia: Media

A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados a MedusaLocker, ransomware distribuido con la finalidad de cifrar datos, unidades de red compartidas y exigir el pago por el descifrado a través de una nota de rescate.

Nuevo ransomware denominado Lilith

Publicado: 09/07/2022 | Importancia: Media

A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva amenaza denominada Lilith, ransomware distribuido con la finalidad de cifrar datos y exigir el pago por el rescate.

Nuevo ransomware denominado RedAlert que cifra servidores Linux y Windows con VMware EXSi

Publicado: 06/07/2022 | Importancia: Media

A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó un nuevo ransomware denominado RedAlert, desplegado para cifrar servidores Linux y Windows que cuenten con el hipervisor EXSi de VMware.

Nuevas actualizaciones del ransomware Hive

Publicado: 06/07/2022 | Importancia: Media

Mediante el uso de herramientas de ciberinteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa del ransomware Hive, dicho ransomware ha sido reportado en ocasiones anteriores y sigue en constantes actualizaciones que agilizan su proceso para lograr su objetivo.

Nueva actividad asociada al ransomware Black Basta

Publicado: 30/06/2022 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información y en el seguimiento a amenazas potenciales que puedan generar impacto sobre la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado nueva actividad del ransomware conocido como Black Basta.

Nueva variante de LockBit

Publicado: 27/06/2022 | Importancia: Media

A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva variante de LockBit, ransomware malicioso diseñado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir el pago de un rescate para restablecerlo.

Explotación de vulnerabilidades Log4j para instaurar nuevos artefactos asociados al ransomware Avoslocker

Publicado: 21/06/2022 | Importancia: Media

Durante los últimos meses una de las ciberamenazas que ha sido constante en la red ha sido el ransomware, que continúa sumando víctimas cada día gracias a que los ciberdelincuentes pueden acceder fácilmente al modelo RaaS (Ransomware as a Service, por sus siglas en inglés) puesto que es ofrecido en muchos foros de la Deep y Dark web

Nueva campaña del ransomware eCh0raix dirigida a los dispositivos de almacenamiento en red

Publicado: 20/06/2022 | Importancia: Media

A través de actividades de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva campaña asociada a eCh0raix, ransomware con la capacidad de cifrar todos los archivos guardados en diversos equipos de TI y pedir el pago de un rescate a cambio de la información.

Nuevo ransomware denominado Luna

Publicado: 16/06/2022 | Importancia: Media

Se ha identificado un nuevo ransomware dirigido a diferentes sistemas operativos que los ciberdelincuentes han denominado Luna, el cual fue desarrollado bajo el lenguaje de programación Rust, este se ha distribuido a través en foros clandestinos de la red Tor.

Nuevos artefactos asociados al ransomware Chaos

Publicado: 14/06/2022 | Importancia: Media

A través de actividades de monitoreo a diferentes fuentes de información en búsqueda de amenazas que puedan afectar al sector, el equipo de analistas del Csirt Financiero identificó nuevos artefactos asociados a Chaos, ransomware que cifra información y sobrescribe archivos bajo Base64 (sistema de numeración posicional que usa 64 como base) con una cadena aleatoria.

Nuevos indicadores de compromiso asociados al ransomware BlackCat

Publicado: 05/06/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero realiza seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura tecnológica de los asociados, con base en lo anterior se han observado nuevos indicadores de compromiso (IOC) relacionados con el ransomware BlackCat.

Nuevos indicadores de compromiso del ransomware Conti en el mes de mayo

Publicado: 19/05/2022 | Importancia: Media

A través de actividades de monitoreo a diferentes fuentes abiertas de información para la detección de posibles amenazas que afecten el sector, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados al ransomware Conti, el cual opera como Ransomware as a Service (RaaS) lo que permite que los desarrolladores lo ofrezcan en foros clandestinos de la Dark y Deep Web para la distribución de la amenaza a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates.

Nueva actividad maliciosa relacionada al ransomware Quantum

Publicado: 10/05/2022 | Importancia: Media

En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados al ransomware Quantum Locker, el cual está siendo utilizado en ataques que se propagan rápidamente, dejando a las organizaciones con un tiempo reducido para reaccionar y mitigar las afectaciones ocasionadas por estas familias de malware.

Nueva actividad del ransomware Conti afecta entidades gubernamentales en América latina

Publicado: 09/05/2022 | Importancia: Alta

En el seguimiento realizado en fuentes abiertas de información a amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado nueva actividad relacionada con el ransomware Conti, el cual está afectando a varias entidades gubernamentales de América latina.

Nueva actividad maliciosa del ransomware REvil

Publicado: 03/05/2022 | Importancia: Media

En el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha observado nueva actividad del grupo de actores de amenaza de REvil, los cuales se encuentran desarrollando nuevas técnicas y tácticas para su distribución y extorsión a corporaciones alrededor del mundo. El ransomware REvil ha regresado tras la declaración de Rusia en el que afirma que EE. UU se había retirado del proceso de negociación en contra del grupo y cerró los canales de comunicación.

Nueva actividad relacionada con el ransomware AvosLocker

Publicado: 02/05/2022 | Importancia: Media

En el seguimiento realizado en fuentes abiertas de información a amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado nueva actividad del ransomware AvosLocker, el cual se está aprovechando de una vulnerabilidad para evadir diferentes sistemas IDS (Sistema de Detección de Intrusos, por sus siglas en inglés) y antimalware.

Nueva campaña de distribución del ransomware Magniber

Publicado: 30/04/2022 | Importancia: Media

A través de actividades de monitoreo realizadas a diferentes fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado archivos que se hacen pasar por actualizaciones de Windows para distribuir Magniber, ransomware especializado en el cifrado de la información alojada en los equipos comprometidos.

Actividad maliciosa del nuevo ransomware Black Basta

Publicado: 26/04/2022 | Importancia: Media

A través de actividades de monitoreo a diferentes fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa del ransomware Black Basta, en un comienzo identificado en Europa y desplegándose rápidamente en Estados Unidos, afectando sistemas operativos Windows.

Actividad maliciosa asociada al ransomware Dharma

Publicado: 03/04/2022 | Importancia: Media

En el seguimiento a las actividades y el monitoreo a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado indicadores de compromiso asociados al ransomware Dharma también conocido como Crysis, el cual ha sido detectado desde el año 2016.

Nuevo RAT denominado Borat con capacidades para realizar ataques DDoS y distribuir ransomware

Publicado: 02/04/2022 | Importancia: Alta

En el seguimiento a las actividades y el monitoreo a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado un nuevo Troyano de Acceso Remoto (RAT) denominado Borat, el cual tiene más funcionalidades que un RAT común y se está distribuyendo a través de foros clandestinos de internet.

Ransomware Hive actualiza su método de cifrado

Publicado: 28/03/2022 | Importancia: Media

En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa asociada con el ransomware Hive, el cual actualiza su método de cifrado al lenguaje de programación Rust y se identifican nuevos indicadores de compromiso.

Ransomware denominado SunCrypt incrementa sus capacidades

Publicado: 28/03/2022 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado una familia de ransomware que ha incrementado sus capacidades y es denominado SunCrypt, esta amenaza se dirige a organizaciones en todo el mundo con el objetivo de cifrar su información y realizar extorción a sus víctimas para que realicen el pago del rescate de los datos.

Nuevo ransomware Freeud con capacidades de Wiper

Publicado: 20/03/2022 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información y en la búsqueda de nuevos artefactos maliciosos que puedan generar impacto en la infraestructura de los asociados, el equipo de analistas del Csirt Financiero ha identificado una nueva familia de ransomware de nombre Freeud, la cual está relacionada con el actual conflicto entre Rusia y Ucrania. Este tiene como objetivos a organizaciones del país ruso.