Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Noviembre de 2020

Malware Bandook apunta a múltiples sectores

Publicado: 28/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se evidencio una nueva ola de ataques dirigidos a múltiples industrias en las que se ha implementado una versión reestructurada del troyano de puerta trasera Bandook.

Nuevos indicadores de compromiso asociados a NjRAT

Publicado: 28/11/2020 | Importancia: Media

NjRAT es un malware utilizado en gran cantidad de campañas alrededor del mundo, se ha distribuido por varios métodos y cuenta con capacidades para exfiltrar información sensible de los usuarios en el equipo infectado.

Actor de amenaza vende acceso a más de 5000 enrutadores Claro

Publicado: 25/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la venta de credenciales para el inicio de sesión en más de 5000 Routers operados por el proveedor de servicios de internet colombiano Claro.

Nuevos indicadores de compromiso asociados a Trickbot

Publicado: 25/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se han observado nuevos indicadores de compromiso asociados a Trickbot, un troyano identificado inicialmente en 2016 y con antecedentes de ataques a instituciones financieras para la exfiltración de información confidencial. Se han observado nuevas versiones de este troyano en las cuales se incluyeron características como el uso de una nueva infraestructura de comando y control C2 basada en enrutadores Mikrotik.

Nuevo troyano bancario denominado BBtok

Publicado: 23/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano bancario denominado BBtok. Como la mayoría de estas familias de malware el objetivo principal de BBtok consiste en la captura y exfiltración de credenciales de diferentes entidades bancarias, afectando equipos de cómputo con sistema operativo Windows.

Ransomware Pysa/Mespinoza exfiltra credenciales para cifrar datos

Publicado: 23/11/2020 | Importancia: Media

En el constante monitoreo realizado por el equipo del Csirt Financiero, se evidenció actividad de un nuevo ransomware denominado PYSA/MESPINOZA que centra su interés en moverse lateralmente haciendo uso del protocolo RDP, con cuentas legítimas previamente comprometidas. Además de esto, hace uso de la herramienta PsExec que ejecuta scripts para recolectar credenciales como las de administrador de dominio.

Vulnerabilidad de seguridad en productos VMware

Publicado: 23/11/2020 | Importancia: Media

El equipo del Csirt Financiero en su constante monitoreo evidenció la publicación de una vulnerabilidad sobre productos de VMware. Identificada como CVE-2020-4006, a la cual se le otorga alto nivel de criticidad.

Vulnerabilidad de seguridad en productos Fortinet

Publicado: 22/11/2020 | Importancia: Media

Dentro del seguimiento y la labor investigativa que realiza el equipo del Csirt Financiero se identificó en un foro clandestino la exposición de una cantidad considerable de entidades a las que podría generarse un ataque por medio de la explotación de la vulnerabilidad CVE-2018-13379.

Troyano bancario Qbot despliega el Ransomware Egregor

Publicado: 21/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el despliegue del ransomware Egregor a través del troyano Qbot. En esta nueva campaña se han visto afectados desde el mes de septiembre, por lo menos 69 empresas en 16 países alrededor del mundo, dentro de los cuales se incluyen Estados Unidos, Francia, Italia, Alemania y Reino Unido.

Vulnerabilidades halladas en HCL Notes y Dominio

Publicado: 21/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una nueva vulnerabilidad presentada en HCL Notes, en donde existe una susceptibilidad de denegación de servicio debido a una validación incorrecta de la entrada insertada por el usuario; el ciberdelincuente puede explotar esta vulnerabilidad mediante mensajes de correos malspam.

Vulnerabilidades críticas en VMware

Publicado: 19/11/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero, se ha observado una vulnerabilidad critica con los productos de software VMware ESXi, VMware Workstation Pro / Player (estación de trabajo), VMware Fusion Pro / Fusion y Fundación VMware Cloud. Las vulnerabilidades han sido denominadas con los códigos CVE-2020-4004 y CVE-2020-4005.

Ranzy ransomware actualiza características de Thunderx

Publicado: 18/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el surgimiento de Ranzy una nueva amenaza ofrecida como RaaS (Ransomware como Servicio) derivada de ThunderX. El cambio que los ciberdelincuentes han realizado a este ransomware se debe al desarrollo y publicación de herramientas de descifrado gratuito para ThunderX.

Chaes, nuevo malware que ataca plataformas de comercio electrónico en América Latina

Publicado: 18/11/2020 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo malware que afecta a sistemas operativos Windows denominado Chaes, el cual tiene como objetivo capturar y exfiltrar información financiera de los clientes de comercio electrónico en Brasil direccionando sus ataques a la plataforma de subastas MercadoLivre.

Nuevos indicadores de compromiso asociados a Mekotio

Publicado: 18/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se evidenció la existencia de nuevos indicadores de compromiso IoC asociados al malware Mekotio. Esta amenaza cibernética es considerada un troyano bancario dirigido principalmente a países de América Latina como Brasil, Chile, México, España y Perú entre otros y cuya actividad data del año 2015, fecha que desde entonces ha presentado cambios constantes a sus características mejorando funcionalidades para causar mayor impacto en los equipos comprometidos.

APT Blacktech utiliza diferentes herramientas de malware

Publicado: 17/11/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado que el grupo APT BlackTech o Palmerworm ha tenido actividad reciente que permite observar importantes capacidades para generar afectación en el sistema operativo Windows y en el kernel de Linux.

Vulnerabilidades en Cisco Security Manager

Publicado: 16/11/2020 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado tres vulnerabilidades que afectan el producto Cisco Security Manager.

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 16/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha observado actividad por parte del troyano modular Emotet, enfocado a la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows. Esta amenaza cibernética se distribuye a través de mensajes de correo electrónico malspam con adjuntos maliciosos diseñados para persuadir al usuario a que descargue y acceda al contenido, momento en el cual se inicia el proceso de infección.

Regresa el envenenamiento de cache de DNS

Publicado: 15/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha observado múltiples fallas de seguridad críticas que pueden generar una reactivación de los ataques de envenenamiento de cache de DNS, el cual consiste en obtener control sobre un servidor DNS y realizar modificaciones de direccionamiento IP logrando con esto, redirigir a los usuarios a otros sitios web controlados por los ciberdelincuentes, en donde realizan la captura de información confidencial o descargan en el equipo de la víctima algún tipo de malware.

Aumento de actividad de cibercriminales y explotación de vulnerabilidades en LATAM

Publicado: 15/11/2020 | Importancia: Alta

Durante los últimos meses, el equipo de analistas del Csirt Financiero ha observado un incremento de publicaciones sobre accesos iniciales a entidades bancarias. Estas publicaciones se han creado en foros asociados con el cibercrimen, donde se venden accesos a diferentes bancos mediante vulnerabilidades descubiertas.

Nueva variante del troyano de acceso remoto CRAT con grandes capacidades evasivas

Publicado: 14/11/2020 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado la presencia de una nueva variante del troyano de acceso remoto CRAT que afecta equipos con sistemas operativos Windows. Esta nueva variante se ha caracterizado por sus técnicas de evasión ante los sistemas antimalware al permitirle la ofuscación de código mediante clave XOR, ocultar los llamados a la API utilizadas, ejecutar parches sobre de funciones o rutinas en el momento de la ejecución para evadir los mecanismos de detección y las direcciones URL del servidor de comando y control (C2) con que establece comunicación.

Backdoor ModPipe afecta a clientes de Oracle Micros RES 3700 POS

Publicado: 12/11/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt financiero ha observado el accionar de un backdoor modular con altas capacidades de afectación sobre el software Oracle Micros RES 3700 POS (Suite integrada de software para restaurantes). Los ciberdelincuentes al comprometer los sistemas pueden recopilar contraseñas de bases de datos, descifrándolas directamente de los valores de registro de Windows.

CostaRicto APT distribuye malware a entidades financieras y de entretenimiento

Publicado: 12/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad del grupo cibercriminal denominado CostaRicto, el cual ha realizado diversas campañas para la distribución de malware desde el mes de octubre de 2019 y hasta la fecha, este grupo APT ha enfocado parte de sus ataques a instituciones financieras a países en el continente asiático y en otras regiones países como: EEUU, Australia, Francia y Holanda entre otros.

Vulnerabilidades críticas en Google Chrome

Publicado: 11/11/2020 | Importancia: Media

En el monitoreo de fuentes abiertas, el equipo del Csirt Financiero conoció dos vulnerabilidades día cero en el navegador Google Chrome, identificadas con los CVE 2020-16013 y 2020-16017; estas pueden afectar a sistemas operativos Windows, Linux y MacOS.

Grupo cibercriminal utiliza herramientas para implantar ransomware

Publicado: 11/11/2020 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt financiero ha identificado un grupo APT denominado PyXie o GOLD DUPONT, el cual ha realizado campañas de infección con ransomware a múltiples empresas de sectores como tecnología, salud, educación y entidades gubernamentales desde el año 2018. Este grupo cibercriminal se ha caracterizado por tener un bajo perfil, ser lento y cauteloso en cada una de sus campañas.

Nuevo ransomware Pay2Key compromete compañías israelíes

Publicado: 05/11/2020 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña de distribución del ransomware en varias corporaciones israelíes. En estos ataques se pudo identificar varias cepas de ransomware Ryuk y REvil. Además de esto, se encontró una nueva variante de ransomware desarrollada en el lenguaje de programación en C++ denominada Pay2Key.

Campaña de malspam para distribuir el troyano bancario Qbot

Publicado: 05/11/2020 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña masiva de envío de mensajes de correo electrónico tipo malspam con temática sobre las elecciones presidenciales de Estados Unidos que tiene por objetivo distribuir el troyano bancario Qbot. Al igual Emotet, Qbot está empleando técnicas de secuestrando los hilos de los correos electrónicos para reenvíalos a los usuarios objetivos para propagarse y aumentando la credibilidad del mensaje malicioso.

Ataque masivo de Ransomware en Brasil

Publicado: 05/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevos ataques de Ransomware dirigidos contra la corte superior de justicia (STJ) de Brasil. El ataque se llevó a cabo el pasado martes durante las sesiones de juicio que eran llevadas a cabo por videoconferencia.

Infostealer Kpot la nueva herramienta del grupo Revil

Publicado: 03/11/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado que el grupo de ciberdelincuentes denominados REvil quienes son los autores detrás del ransomware Sodinokibi, han adquirido la última versión del InfoStealer KPOT.

Nuevo ransomware RegretLocker

Publicado: 03/11/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado a través del monitoreo a fuentes abiertas, un nuevo ransomware denominado RegretLocker, el cual cifra los archivos afectados con la extensión .mouse. Cuando el proceso de cifrado se ha realizado en los archivos y directorios, aparecen las notas de rescate “HOW TO RESTORE FILES.txt” en el escritorio del equipo afectado.

Grupo cibercriminal explota vulnerabilidad zero-day de Solaris

Publicado: 03/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de una vulnerabilidad zero-day en sistema operativo Solaris. El grupo cibercriminal detrás de este ataque es denominado UNC1945 y sus ataques incluyen entidades del sector de las telecomunicaciones, financiero y compañías de consultoría.

Archivo