EcuCERT de Arcotel

Alertas

 

aaaaa

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus 

Consulta nuestras alertas anteriores

10Abr25: CVE-2024-48887, es una vulnerabilidad de cambio de contraseña no verificada en la Fortinet FortiSwitch GUI, puede permitir que un atacante remoto no autenticado cambie las contraseñas de administrador a través de una solicitud especialmente manipulada. 

10Abr25: CVE-2025-25254 – FortiWeb Endpoint vulnerabilidad CWE-22, es una falla de seguridad que permite a un atacante acceder a archivos o directorios fuera de la ubicación restringida prevista por el sistema. 

07Abr25: El grupo CoreInjection afirmó haber obtenido datos «altamente sensibles» de la compañía incluyendo mapas internos de la red, diagramas arquitectónicos, credenciales de usuarios y código fuente propietario de Check Point Software Technologies

26Mar25: El ransomware Trigona utiliza una amplia gama de métodos de infección y vectores de ataque, lo que le permite infiltrarse en una amplia gama de sistemas objetivo. Estos métodos suelen aprovechar vulnerabilidades y errores humanos, lo que los hace potentes y versátiles

24Mar25: Un atacante de nombre rose87168 afirmo haber robado 6 millones de registros de datos de los sistemas de autenticación de Oracle Cloud, SSO (Oracle Single Sign-On) y LDAP (Lightweight Directory Access Protocol). 

12Mar25: Se ha detectado la vulnerabilidad CVE-2025-27607 que afecta a Python-Json-Logger v3.2.x de Python v3.13. La vulnerabilidad representa un riesgo crítico, ya que permite la ejecución remota de código (RCE).

01Mar25: La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha añadido dos vulnerabilidades críticas al Catálogo de Vulnerabilidades Explotadas Conocidas, afectando a Adobe ColdFusion y Oracle Agile Product Lifecycle Management (PLM). Las vulnerabilidades identificadas como CVE-2017-3066 y CVE-2024-20953, ya están siendo aprovechadas por ciberdelincuentes.

27feb25: Se ha detectado la vulnerabilidad CVE-2025-1001 en RadiAnt DICOM Viewer versión 2024.02 que permite ataques MITM debido a una validación inadecuada de certificados en el proceso de actualización

12feb25: Se ha detectado la evolución del troyano Coyote Malware, que sigue afectando a usuarios de instituciones financieras de la región. Este malware utiliza archivos LNK maliciosos para infiltrarse en los sistemas y ejecutar comandos de PowerShell de Windows.

07feb25: La vulnerabilidad crítica CVE-2025-21298 se encuentra presente en el OLE (Object Linking and Embedding) de Windows que permite la ejecución remota de código, esta vulnerabilidad, con una puntuación CVSS de 9,8, permite la ejecución remota de código (RCE) a través de correos electrónicos especialmente diseñados.

07feb25: El proveedor de tecnología empresarial VMware Broadcom envió el 30 de enero de 2025 parches para al menos cinco defectos de seguridad en sus productos Aria Operations y Aria Operations for Logs, advirtiendo que los piratas informáticos podrían explotar estos problemas para obtener acceso de administrador

24ene25: Mozilla lanzó actualizaciones de seguridad para abordar vulnerabilidades en Firefox 134, con las que corrigen 11 vulnerabilidades, tres de estas son de alta gravedad. La más importante es la identificada con CVE-2025-0247 (CVSSv3 8.8) y está relhttps://nvd.nist.gov/vuln/detail/CVE-2025-0247acionada con un problema de corrupción de memoria que podría explotarse para ejecutar código arbitrario.

20ene25: FORTINET ha publicado información respecto a una vulnerabilidad (CVE-2024-55591) de omisión de autenticación mediante una ruta o canal alternativo [CWE-288] que afecta a FortiOS versión 7.0.0 a 7.0.16 y FortiProxy versión 7.0.0 a 7.0.19 y 7.2.0 a 7.2.12, permite a un atacante remoto obtener privilegios de superadministrador a través de solicitudes diseñadas al módulo websocket Node.js.

13ene25: El malware BadBox apunta ahora a smart TVs basados en AOSP (Android Source Open Projects) este tipo de malware compromete severamente los televisores Android TV y Google TV, específicamente los que no cuentan con el certificado Google Play Protect

13ene25: Investigadores han confirmado la existencia de un exploit bajo la técnica Prueba de Concepto (PoC – técnica de ciberseguridad que se utiliza para demostrar la vulnerabilidad de un sistema) para la vulnerabilidad CVE-2024-49113, también conocida como LDAP Nightmare

15dic24: El EcuCERT recibió la notificación de la presencia de RansomHub en las redes del Ecuador, este ransomware dese su creación ha cifrado y exfiltrado datos de al menos 210 víctimas que representan a los sectores de agua y aguas residuales, tecnología de la información, servicios e instalaciones gubernamentales, servicios de emergencia, alimentación y agricultura, servicios financieros, instalaciones comerciales, transporte y comunicaciones, atención médica y salud pública.

2dic24: El malware Glove Stealer es una incorporación reciente al panorama de las amenazas cibernéticas, que se distingue por su capacidad de eludir el cifrado vinculado a aplicaciones (App-Bound) de Google Chrome. Identificada durante una investigación de una campaña de phishing, representa un momento crucial en la carrera armamentista entre actores maliciosos y soluciones de seguridad tipo infostealer, diseñado para robar información sensible. 

12dic24: ClickFix,  utiliza tácticas avanzadas de ingeniería social para distribuir malware a través de páginas falsas de Google Meet y Zoom. Es un malware tipo infostealer, diseñado para robar información sensible. Esta técnica, vinculada a grupos avanzados como APT28, destaca por su capacidad de evadir defensas tradicionales, subrayando la necesidad de reforzar las estrategias de seguridad y detección en las organizaciones

15nov24: El malware FakeCall, emplea una técnica conocida como Vishing, así, a través del uso de llamadas telefónicas o mensajes de voz fraudulentos, los ciberdelincuentes engañan a las víctimas para que revelen información confidencial. FakeCall aprovecha el malware para tomar el control casi completo del dispositivo móvil, incluido la interceptación de llamadas entrantes y salientes. Las víctimas son engañadas para que llamen a números de teléfono fraudulentos controlados por el atacante e imiten la experiencia normal del usuario en el dispositivo.

14nov24: VMware ha lanzado actualizaciones de seguridad para las vulnerabilidades críticas con código CVE-2024-38812 y CVE-2024-38813, con las que un actor malicioso podría realizar la ejecución remota de código en las soluciones de Fundación VMware Cloud y VMware vCenter Server que no se corrigió correctamente en el primer parche de septiembre de 2024.

30oct24: AsyncRAT es un malware de tipo troyano de acceso remoto (RAT) que se enfoca en infectar dispositivos Windows para monitorizarlos y controlarlos remotamente a través de conexiones seguras y encriptadas. Además, proporciona una puerta trasera a los atacantes que permite incluir el dispositivo como parte de una botnet para realizar otras actividades maliciosas.

30oct24: Se ha identificado una nueva campaña de ransomware que afecta a organizaciones en países de Latinoamérica especialmente en Colombia. Esta campaña involucra variantes de ransomware conocidas como Makop y Crysis, así como una herramienta adicional para la recolección de credenciales clasificada como Trojan.Win64.Occamy. Los atacantes emplean técnicas avanzadas de evasión y persistencia, lo que hace que estas amenazas sean particularmente difíciles de detectar y mitigar.

06ago24: El malware Akira de tipo ransomware fue identificado en marzo de 2023, ha afectado a varias víctimas localizadas en Estados Unidos, Europa y Australia. Afectando a sectores entre los que se encuentran: educación, finanzas, bienes raíces, construcción, salud; Prestadores de Servicios de Telecomunicaciones. Emplea técnicas de doble extorsión. Se ha identificado su presencia en estos días en redes del Ecuador.

AL-2024-06- Ramsonwar Qilin

24jul24: El grupo de ransomware Qilin de origen ruso, también conocido como «Agenda” es un ransomware que opera bajo el modelo Ransomware como Servicio (RaaS), permitiendo que sus afiliados realicen ataques utilizando su infraestructura basada en lenguaje Rust. Este ransomware se ha convertido en una amenaza importante desde su descubrimiento en agosto de 2022 ya que emplea técnicas de doble extorsión; exige pago por la clave de descifrado y otro pago por no publicar la información robada.