Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Ransomware

Ciberdelincuentes donan dinero de rescates obtenidos por ransomware Darkside.

Publicado: 21/10/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que los ciberdelincuentes detrás del Ransomware DarkSide ha donado $10.000 dólares a varias organizaciones sin ánimo de lucro, suma que es parte del dinero recaudado por las extorsiones a empresas víctimas del ransomware.

MALLOCKER, ransomware para Dispositivos Android

Publicado: 08/10/2020 | Importancia: Media

En el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha registrado un ransomware llamado MalLocker.B que afecta dispositivos Android y se muestra en la pantalla del usuario como un aviso de la Policía (local) con la exigencia del pago de una aparente multa; esto lo logra utilizando las notificaciones de “Llamada entrante” y del botón “Inicio”.

Ramsonware Exorcist 2.0 distribuido a través de software falso

Publicado: 06/10/2020 | Importancia: Baja

En el monitoreo a fuentes abiertas por parte del equipo del Csirt financiero, se ha evidenciado actividad por parte del ransomware Exorcist 2.0, que realiza afectación sobre equipos de cómputo con sistema operativo Windows. El método de distribución empleado consta de la utilización de plataformas como PopCash que contienen publicidad engañosa y dirigen al usuario a sitios web para la descarga de actualizaciones de Windows 10 o la descarga gratuita de software licenciado.

Grupo Oldgremlin distribuye Ransomware TinyPosh

Publicado: 23/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevos indicadores de compromiso de las campañas de ransomware ejecutadas por el grupo ruso OldGremlin.

Nuevo Ataque del Grupo REVil en la Región

Publicado: 08/09/2020 | Importancia: Alta

Desde el Csirt Financiero se ha evidenciado nueva actividad del grupo REvil en la región. El pasado 5 de septiembre el grupo de ciberdelincuentes REvil generó un nuevo ataque cibernético dirigido a empresas del sector agropecuario y a Banco Estado de Chile. Sobre el impacto ocasionado, el ataque afectó a 14 mil estaciones de trabajo y 4 mil servidores. La afectación generada, provocó que la página oficial del banco y algunas de sus operaciones estuvieran fuera de servicio temporalmente.

SMAUG, Ransomware como Servicio (RaaS)

Publicado: 04/09/2020 | Importancia: Media

Desde el Csirt Financiero se han evidenciado nuevas actividades maliciosas asociadas a la distribución de ransomware como servicio (RaaS) en los foros clandestinos de la deep web. El malware conocido como Smaug es un servicio diseñado para aquellos ciberdelincuentes principiantes que desean ingresar al mundo cibercriminal.

Nuevo Ransomware Cyrat suplanta aplicación para infectar equipos Windows

Publicado: 04/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha evidenciado un nuevo ransomware denominado CyRAT, el cuál utiliza el método de cifrado simétrico Fernet para cifrar los archivos de un equipo comprometido. Este ransomware simula ser una aplicación llamada DLL Fixer.

Nuevos indicadores de compromiso asociados a Wastedlocker

Publicado: 26/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, nuevos indicadores de compromiso asociados a WastedLocker. La aparición de esta nueva variante de ransomware posee características que le permite elevar privilegios mediante bypass UAC para modificar la carpeta system32 y de esta manera interactuar con los archivos del sistema.

Nuevo framework de malware multiplataforma asociado a Lazarus Group

Publicado: 25/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo que el grupo cibercriminal Lazarus, conocido por tener vínculos con el régimen norcoreano, ha creado un nuevo APT Framework multiplataforma con la intención de infiltrarse en entidades corporativas de todo el mundo, capturar datos de los clientes y distribuir Ransomware.

Conti ransomware con características avanzadas de cifrado en redes

Publicado: 15/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una nueva variante de ransomware denominado Conti con varias características avanzadas para cifrar objetivos en redes a través del protocolo SMB.

Nuevos indicadores de compromiso asociados a GandCrab

Publicado: 01/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una posible amenaza para el sector financiero; denominada ransomware GandCrab, malware identificado desde el 2018 que en poco tiempo logró posicionarse entre las 5 familias de ransomware más detectadas, llegando a niveles similares a los de WannaCry y/o Crysis.

Nuevos indicadores de compromiso asociados a Snatch Ransomware

Publicado: 01/07/2020 | Importancia: Media

En el constante monitoreo realizado por el Csirt Financiero a fuentes abiertas, se evidencian nuevos indicadores de compromiso asociados al ransomware Snatch. Este ransomware ataca de nuevo bajo la misma modalidad, utilizando la fuerza bruta en servicios de escritorio remoto (RDP) expuestos, exfiltra la información al servidor de comando y control (C2) cifra la información que pueda acceder y deja nota de rescate.

Campaña de infección de WastedLocker ransomware en entidades de Estados Unidos

Publicado: 30/06/2020 | Importancia: Media

En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque se ha evidenciado una campaña de infección a diferentes organizaciones estadounidenses, dentro de estas algunas entidades financieras. El objetivo de la campaña es instalar el ransomware WastedLocker; atribuido al grupo cibercriminal Evil Corp. Grupo al que se atribuyen otros códigos maliciosos como Dridex y el ransomware BitPaymer.

El ransomware Ragnar Locker oculto en máquina virtual

Publicado: 01/06/2020 | Importancia: Media

En el constante monitoreo que realiza el equipo del Csirt Financiero evidenció una nueva versión de ransomware denominada Ragnar Locker el cual se encuentra embebido en una máquina virtual, capaz de cifrar la información de unidades locales y de red.

Ransomware ProLock y troyano Qakbot en trabajo colaborativo

Publicado: 29/05/2020 | Importancia: Media

El ransomware ProLock se asocia con el conocido troyano bancario Qakbot para ingresar a la red interna, sustraer datos confidenciales, cifrarlos y cobrar un rescate para la devolución de la información exfiltrada. Las nuevas capacidades de Qakbot, convierten este ataque colaborativo en una amenaza persistente, con movimiento lateral para alcanzar más víctimas.

Compañía Diebold Nixdorf víctima de ransomware ProLock.

Publicado: 16/05/2020 | Importancia: Media

En el constante monitorio que el Csirt Financiero realiza, se observó que la empresa Diebold Nixdorf, proveedora de cajeros automáticos ATM y software de pago para bancos, fue atacada con el ransomware ProLock. Según medios oficiales el ataque solo afectó la red corporativa y no afecto cajeros automáticos ni redes de clientes.

Nefilim / Nephilim Ransomware, sucesor de Nemty ransomware

Publicado: 11/05/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una nueva variante de Nemty Ransomware denominado Nefilim o Nephilim Ransomware, la cual tiene por objetivo cifrar la información confidencial y exfiltrarla para extorsionar a las empresas vulneradas. En la última campaña realizada se enfocó en empresas privadas como refinerías petroleras, de ingeniería y de construcción.

Maze Team utiliza nuevas formas de extorsión orientada a la afectación reputacional

Publicado: 10/05/2020 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero ha identificado que el grupo Maze Team, ciberdelincuentes gestores del ransomware Maze, están implementando las bases de una nueva forma de extorsión a través de la afectación reputacional. Entre los meses de marzo y mayo del 2020 el grupo trató de extorsionar al Banco de Costa Rica, generando una importante afectación reputacional comunicando que había hurtado 11 millones de tarjetas de crédito de los clientes de la entidad.

Nueva campaña de phishing distribuyendo Lokibot y Jigsaw ransomware

Publicado: 06/05/2020 | Importancia: Media

Desde el Csirt Financiero se ha identificado envío masivo de mensajes de correo electrónico distribuyendo como carga inicial a Lokibot, encargado de exfiltrar información confidencial y realizar la descarga y ejecución de Jigsaw ransomware, con el fin de cifrar los archivos de usuario del equipo comprometido y solicitar rescate por la recuperación de la información.

Ransomware MedusaLocker

Publicado: 29/04/2020 | Importancia: Media

En el continuo monitoreo realizado por el Csirt Financiero a nuevos vectores de amenazas se ha evidenciado a MedusaLocker, troyano de tipo ransomware que adicionalmente cuenta con capacidades que lo hacen diferente a otras familias.

Filtración del código fuente del ransomware Dharma

Publicado: 02/04/2020 | Importancia: Media

El equipo del Csirt Financiero en el monitoreo que realiza a los distintos tipos de códigos maliciosos que pueden afectar al sector financiero, ha detectado la filtración y comercialización del código fuente del ransomware Dharma. La venta se ha puesto en marcha desde dos foros al parecer rusos.

Nuevos indicadores de compromiso asociados a una variante de WannaCry

Publicado: 19/02/2020 | Importancia: Media

El Csirt Financiero identificó nuevos indicadores de compromiso asociados a WannaCry que podrían afectar los activos de una entidad.

Nuevos indicadores de compromiso asociados a Sodinokibi

Publicado: 04/02/2020 | Importancia: Media

El malware conocido como Sodinokibi es catalogado como RaaS (Ransomware como Servicio), su afectación ha sido dirigida a empresas y consumidores de distintos sectores desde principios de mayo de 2019, el objetivo es cifrar información y generar cobros por su rescate.

La nueva amenaza a redes empresariales, ransomware Snake

Publicado: 12/01/2020 | Importancia: Media

Desde el Csirt Financiero se identificó un nuevo ransomware de nombre Snake, cuenta con un sistema de ofuscación avanzado en comparación a otras variantes de ransomware, su método de infección y organizaciones a las que va dirigido es por el momento desconocido, no descartando al sector financiero entre ellas.

Nuevos indicadores de compromiso asociados al Ransomware Maze

Publicado: 06/01/2020 | Importancia: Media

Por medio del monitoreo constante que realiza el Csirt Financiero, identifica nuevos IOC asociados al Ransomware “Maze”, malware utilizado para cifrar información sensible y posteriormente solicitar un rescate por el descifrado de esta.

Clop Ransomware ha sido actualizado

Publicado: 05/01/2020 | Importancia: Media

Ransomware Clop utilizado por grupos de ciberdelincuentes como TA505, han mejorado y actualizado sus capacidades en cuanto a técnicas y tácticas.

Nuevos indicadores de compromiso asociados al Ransomware Zeppelin

Publicado: 17/12/2019 | Importancia: Media

El CSIRT financiero a través de sus investigaciones identifica a “Zeppelin”, nuevo tipo de Ransomware de tipo RaaS [Ransomware como Servicio, por sus siglas en inglés] que permite a los ciberdelincuentes alquilar sus servicios para atacar de manera dirigida a objetivos en específico. Por este motivo, es importante tener presente estos indicadores de compromiso con el fin de que no se vea afectada la infraestructura de nuestros asociados.

Nuevos indicadores de compromiso asociados al ransomware Ryuk

Publicado: 15/12/2019 | Importancia: Baja

Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados a un ataque realizado al Ayuntamiento de Nueva Orleans por el troyano de tipo ransomware Ryuk.

PyXie, una RAT escrita en Python

Publicado: 04/12/2019 | Importancia: Media

El CSIRT Financiero ha identificado una RAT (Troyano de acceso remoto), que ha sido escrito en Python llamado por investigadores como “PyXie” y está dirigida al sector industria, se ha visto este malware en conjunto con el malware Cobalt strike y un malware descargador similar al Shifu, en análisis realizados se ha verificado que este intenta realizar entrega de ransomware a usuarios infectados.

Ryuk Ransomware que afecta empresas a nivel internacional

Publicado: 29/11/2019 | Importancia: Media

Por medio de fuentes de inteligencia del CSIRT Financiero, se advierte sobre el incremento de la distribución del ransomware Ryuk. El último mes se han visto afectadas empresas españolas, con grandes pérdidas de información, este tipo de ciberamenazas podrían ser utilizadas para afectar a usuarios de la región, por lo tanto, se recomienda tener los debidos cuidados, para no ser víctima de ciberdelincuentes.

Archivo