Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Abril de 2021

Actividad del ransomware Cuba en Colombia y América Latina

Publicado: 28/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado durante el presente mes actividad asociada al ransomware Cuba, que puede afectar de manera indirecta al sector financiero del país.

Vulnerabilidad Fortinet FortiWAN

Publicado: 28/04/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, por parte del Csirt Financiero se ha identificado la vulnerabilidad denominada con el código CVE-2021-26102 que compromete los dispositivos FortiWAN que tengan sus consolas de administración en las versiones 4.5.7 o anteriores, la cual cuenta con una clasificación de 8.7 de severidad en la escala CVSS3.1.

Actividad troyano bancario Flubot para Android

Publicado: 27/04/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado actividad cibercriminal realizada por el troyano bancario Flubot, este se encuentra en funcionamiento desde finales de 2020 afectando a dispositivos Android. Esta amenaza, se ha visualizado en países europeos como Reino Unido, Alemania, Hungría, Italia, Polonia y España, pero se ha observado una reciente actividad orientada a Estados Unidos.

Nuevos indicadores de compromiso asociados al troyano bancario Qbot

Publicado: 26/04/2021 | Importancia: Alta

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario Qbot, también conocido como Qakbot o Quackcbot, amenaza que ha presentado actividad maliciosa desde el año 2007, actualizando constantemente sus técnicas de persistencia, ofuscación y vector de infección.

Nuevos indicadores de compromiso asociados a Remcos RAT

Publicado: 26/04/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar nuevos indicadores de compromiso asociados al troyano de acceso remoto Remcos, el cual ha tenido gran actividad en recientes campañas de distribución contra múltiples organizaciones colombianas.

Botnet Sysrv-Hello vulnera distribuciones Windows y Linux

Publicado: 24/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Sysrv-Hello, la cual afecta a distribuciones Windows y Linux al propagar bots de minería Monero.

Botnet Prometei instala malware de minería y libera RCE

Publicado: 24/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una botnet llamada Prometei que explota dos vulnerabilidades de Microsoft Exchange conocidas como ProxyLogon para instalar un criptominero denominado Monero en los equipos infectados.

Nuevos indicadores de compromiso del troyano IcedID

Publicado: 23/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario modular IcedID, también conocido como BokBot. Este malware ha estado activo desde el año 2017 y ha sido utilizado para exfiltrar información bancaria y datos confidenciales de equipos comprometidos con sistema operativo Windows.

ToxicEYE RAT utiliza Telegram como medio de comunicación con su servidor de comando y control

Publicado: 22/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva actividad maliciosa del troyano de acceso remoto denominado ToxicEYE RAT, el cual está usando Telegram como medio de comunicación entre el RAT instalado en el equipo infectado y el servidor de comando y control (C2).

BitRAT XMRIG realiza ciberataques de spearphishing en Colombia

Publicado: 21/04/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado BitRAT.

AsyncRAT realiza ciberataques de spearphishing en Colombia

Publicado: 21/04/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Async RAT.

Puerta trasera HabitsRAT ataca a distribuciones Windows y Linux

Publicado: 20/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo Troyano de Acceso Remoto con capacidades de backdoor desarrollado en Go, el cual se dirige a infraestructura tecnológica con sistema operativo Windows y distribuciones Linux. En principio se observó una versión del malware orientada a Windows que fue detectada por primera vez en los ataques presentados en marzo a los servidores de Microsoft Exchange. Posterior a esto, se encontró otra versión dirigida a Windows, así como la versión propia para comprometer infraestructura tecnológica soportada en distribuciones Linux.

Vulnerabilidad zero day en Pulse Connect Secure

Publicado: 20/04/2021 | Importancia: Alta

En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado una vulnerabilidad zero day identificada con el CVE-2021-22893, la cual cuenta con la calificación más alta en la escala de severidad CVSSv3: 10/10. Esta vulnerabilidad afecta dispositivos VPN SSL Pulse Connect Secure.

Nueva campaña de NjRAT exfiltra información confidencial

Publicado: 20/04/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado NjRAT.

Lazarus APT utiliza método para ocultar malware en imágenes

Publicado: 19/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un método de distribución de malware por parte del grupo cibercriminal norcoreano Lazarus, también conocido como Hidden Cobra. Este grupo APT ha estado activo desde el año 2009 y desde entonces se ha centrado en realizar ataques cibernéticos principalmente a organizaciones de los sectores financiero, energético, tecnológico y de gobierno en distintas regiones.

Campaña de Dridex a través de Quickbooks

Publicado: 19/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero, se ha identificado una campaña que distribuye a Dridex a través de Quickbooks, el cual, en campañas previas ha sido objetivo predilecto de los ciberdelincuentes para expandir al troyano bancario.

Vulnerabilidad VMware NSX-T data center

Publicado: 18/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero se ha identificado la siguiente vulnerabilidad CVE-2021-21981 en la plataforma VMware NSX-T Data center en su versión 3.1.1, la cual cuenta con una clasificación de 7.5 de severidad en la escala de CVSSv3.

Variante del ataque Rowhammer / smash

Publicado: 17/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero se ha identificado una variante del ataque conocido como Rowhammer, este ataque consiste en la explotación de una vulnerabilidad física en las memorias RAM del equipo objetivo con el fin de tener acceso a los datos almacenados en memoria y así obtener permisos dentro del equipo comprometido.

Nuevos vectores de distribución utilizados por Ryuk ransomware

Publicado: 17/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el uso de dos nuevas técnicas en el vector de distribución por parte de los ciberdelincuentes que utilizan Ryuk ransomware, las cuales han implementado en sus ciberataques.

BazarCall, nueva campaña de BazarLoader

Publicado: 16/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva campaña de infección del backdoor BazarLoader, el cual ha sido reconocido como parte de las herramientas utilizadas por los ciberdelincuentes detrás del troyano bancario Trickbot. Este backdoor se ha observado desde principios del año 2020 y es utilizado para exfiltrar información confidencial, controlar el sistema mediante comandos y entregar malware a través de sus servidores de comando y control (C2).

Vulnerabilidades en el kernel de Linux afectan distribuciones Ubuntu

Publicado: 16/04/2021 | Importancia: Media

En el monitoreo continúo realizado por el equipo del Csirt financiero, se identificaron las siguientes vulnerabilidades denominadas: CVE-2021-3492 y CVE-2021-3493, las cuales afectan a las versiones del kernel de Linux 4.4.0 hasta la versión 5.8.0, presentes en distribuciones como Ubuntu, que hasta la fecha ha sido quien ha notificado estas vulnerabilidades a la comunidad y está siendo investigado por otras distribuciones para determinar si presentan afectación.

Vulnerabilidad en IBM Spectrum Protect permite ataques DOS

Publicado: 16/04/2021 | Importancia: Media

En el monitoreo continúo realizado por el equipo del Csirt financiero, se ha logrado identificar una vulnerabilidad denominada CVE-2021-20491 que afecta al producto IBM Spectrum Protect en donde se puede producir un ataque de denegación de servicio en el servidor afectado.

Nueva actividad del ransomware Darkside

Publicado: 15/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nueva actividad del ransomware Darkside, de acuerdo con una reciente investigación sus últimos ataques han sido dirigidos a países en Latinoamérica como lo son Chile y Brasil, por lo anterior no se descarta que esta amenaza pueda generar ataques cibernéticos dirigidos a más países en América latina.

Campaña de AsyncRat enfocada en Colombia

Publicado: 15/04/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución de AsyncRAT. La fase de distribución no difiere de otros analizados anteriormente por el Csirt, puesto que los ciberdelincuentes detrás de estas campañas siguen usando mensajes de correo electrónico suplantando entidades con técnicas de phishing, en las que comunican supuestas transacciones bancarias, que pueden ser descargadas desde un repositorio de nube pública como Dropbox.

BRata evoluciona y emplea nuevamente servicios de Google Play

Publicado: 14/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nueva actividad del troyano de acceso remoto denominado BRata. Esta amenaza a presentando actividad desde el año 2016 y sus principales ataques han sido dirigidos a entidades financieras en Brasil.

Nueva campaña distribuye troyano de acceso remoto NjRAT

Publicado: 13/04/2021 | Importancia: Alta

Gracias a la colaboración y participación de las entidades asociadas al sector financiero, se ha evidenciado una nueva campaña que distribuye el troyano de acceso remoto NjRAT, bajo modalidad de phishing, en la que suplantan la oficina de Cultura y Turismo de Sotaquirá Boyacá, con asunto "ajuste de consignación", en el que se adjunta un archivo que contiene la amenaza.

Nueva campaña que distribuye a Remcos RAT

Publicado: 12/04/2021 | Importancia: Alta

La fase de distribución no difiere de otros analizados anteriormente por el Csirt, ya que los ciberdelincuentes detrás de estas campañas siguen usando correos electrónicos suplantando entidades para enviar supuestas notificaciones judiciales, que pueden ser descargadas desde otro repositorio.

Vulnerabilidad de RCE en navegadores Chrome, Chromium y Microsoft Edge

Publicado: 12/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha observado la publicación de una vulnerabilidad, que permite la ejecución de código remoto (RCE) a través de los navegadores Chrome, Chromium y Microsoft Edge.

Saint Bot, nuevo Downloader utilizado para descargar y ejecutar malware

Publicado: 09/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo downloader denominado Saint Bot el cual está siendo utilizado para distribuir, descargar y ejecutar malware adicional en un equipo comprometido como lo es el malware Taurus, que consiste en un Stealer de credenciales que afecta a equipos con sistema operativo Windows.

Actividad reciente identificada por parte del Backdoor Vyveva atribuido al grupo Lazarus

Publicado: 09/04/2021 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado despliegue de ataques cibernéticos empleando la puerta trasera o backdoor denominado Vyveva atribuido al APT Lazarus, debido a que, en el análisis realizado a equipos infectados, se encuentra que posee similitudes en su funcionamiento y código empleados puntualmente con la muestra de Nukeped que fue empleada en campañas anteriores asociadas a este APT; en esta ocasión el backdoor fue detectado en un ciberataque dirigido a una empresa en Sudáfrica.