Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Revil

Revil ejecuta modo seguro de Windows para cifrar archivos

Publicado: 08/04/2021 | Importancia: Alta

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado un nuevo procedimiento previo al cifrado de archivos ejecutado por la familia de ransomware REvil, forzando el sistema operativo a que se reinicie en modo seguro mediante el comando -smode; algunas de las afectaciones ejecutadas por la amenaza cibernética consisten en modificar la llave de registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon agregando la nueva contraseña denominada “DTrump4ever.”.

Actualización del ransomware Sodinokibi

Publicado: 14/05/2020 | Importancia: Media

Investigadores han detectado una nueva actualización del ransomware Sodinokibi, consistente en el uso de la API llamada ‘Windows Restart Manager’, con el fin de cerrar o apagar los procesos de los servicios que tienen abiertos o bloqueados los archivos y así poder cifrar una mayor cantidad de archivos.

Análisis Ransonware REvil/Sodinokivi, asociado a GandCrab

Publicado: 01/10/2019 | Importancia: Media

El CSIRT Financiero ha realizado análisis a la amenaza identificada como REvil Ransomware. Esta fue observada por primera vez a mediados de abril de 2019, ha sido distribuida mediante malspam, y utiliza técnicas para explotar vulnerabilidades como las de Oracle weblogic y ataques mediante protocolo RDP. Se tiene conocimiento que tiene motivaciones financieras ya que es atribuida al grupo de ciberdelincuentes Gold Southfield.