EcuCERT de Arcotel

Alertas

 

aaaaa

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus 

Consulta nuestras alertas anteriores

09Jul25: Usuarios en el foro de la comunidad de FORTINET reportan la amenaza W32/Tedy.7918!tr en archivo ejecutable de actualización de Adobe Acrobat Reader. Aunque no está ampliamente catalogado en las bases del Sitio Web de VirusTotal, según reporte de más usuarios, múltiples EPP (Plataforma de Protección de Endpoint) lo han detectado en tiempo de ejecución con comportamiento sospechoso. La actividad sugiere un posible ataque a la cadena de suministro.

03Jul25: Vulnerabilidad crítica de seguridad en Linux encontrada bajo CVE-2025-32463 podría permitir a un atacante ejecutar comandos arbitrarios con escalamiento de privilegios root, bajo la utilidad Sudo de Linux que permite que usuarios sin privilegios invoquen chroot() en rutas modificables y no confiables bajo su control, las cuales Sudo ejecuta con permisos de root (superusuario).

 

19Jun25: Un medio especializado en ciberseguridad, ha informado sobre una de las mayores exposiciones de datos de la historia. Se trata de aproximadamente 16 mil millones de credenciales de inicio de sesión que quedaron accesibles en línea a través de bases de datos sin protección.

 

19Jun25: Una nueva variante de Ransomware denominada “BERT” ha comenzado a atacar distribuciones Linux (lo que marca una peligrosa expansión de esta amenaza que estaba previamente limitada a SO Windows), mediante el desarrollo de archivos binarios ELF (Executable and Linkable Format) de ejecución en Linux. Su método de ingreso principal sigue siendo campañas de Phishing con Ingeniería Social.

18Jun25: INC Ransomware explota la vulnerabilidad CVE-2023-3519 y utiliza herramientas como para evadir defensas y  robar credenciales en sus distintas cadenas de ataque. Utiliza dos sitios de filtración: el primero es un sitio que requiere credenciales de inicio de sesión que el atacante proporciona a sus víctimas y que funciona como medio de comunicación; y el segundo es un sitio web de acceso público donde se alojan los datos filtrados.

02-Jun-25: Pumabot es un malware de tipo botnet basado en GO, ataca objetivos mediante una lista de direcciones IP alojadas en su servidor de comando y control C2, funciona mediante ataques de fuerza bruta de credenciales SSH y está dirigido a dispositivos IoT integrados basados en Linux.

26May25: CVE-2025-31324, una falla crítica en SAP NetWeaver Visual Composer (VC) que permite la ejecución remota de código sin autenticación que ya ha sido explotada por grupos de Ransomware como Qilin, BianLian y RansomExx.

26May25: El Ransomware VanHelsing cifra archivos del sistema Microsoft Windows, adicionando las extensiones.vanlocker o .vanhelsing, exfiltra datos sensibles del usuario antes de proceder con el cifrado (de doble extorsión) y amenaza con publicarlos si no se paga por su rescate. 

 

19May25: El Ransomware MEOW infecta el dispositivo, cifra los archivos personales y críticos de la víctima, tras esta infección los archivos afectados adicionan la extensión .MEOW y crea un archivo de nota de rescate llamado «readme.txt», con instrucciones para que las víctimas se pongan en contacto con los atacantes para descifrar los archivos. 

16May25: Las vulnerabilidades detectadas afectan a los productos FortiOS, FortiProxy, FortiPAM, FortiSRA y FortiWeb, lo cual permite a un atacante con privilegios elevados ejecutar código o comandos no autorizados mediante solicitudes HTTP o HTTPS.

16May25: Fortinet ha revelado una vulnerabilidad crítica de desbordamiento de búfer basada en pila [CWE-121], identificada como CVE-2025-32756 afecta a una amplia gama de sus productos de seguridad y red,  permitiendo que un atacante remoto no autenticado ejecute código o comandos arbitrarios mediante solicitudes HTTP.

09May25: QILIN, es un grupo de ransomware activo en 2025. Se caracteriza por emplear técnicas avanzadas como BYOVD (Bring Your Own Vulnerable Driver) para evadir herramientas EDR, y el uso de herramientas legítimas del sistema (LotL) para evitar la detección. Su enfoque combina cifrado de datos con amenazas de filtración, consolidándolo como una amenaza crítica en entornos corporativos y gubernamentales.

21Abr25:Fortinet lanza asesoramiento para una nueva técnica post-explotación para 3 vulnerabilidades conocidas en sus productos FortiOS y FortiProxy

10Abr25: CVE-2024-48887, es una vulnerabilidad de cambio de contraseña no verificada en la Fortinet FortiSwitch GUI, puede permitir que un atacante remoto no autenticado cambie las contraseñas de administrador a través de una solicitud especialmente manipulada. 

10Abr25: CVE-2025-25254 – FortiWeb Endpoint vulnerabilidad CWE-22, es una falla de seguridad que permite a un atacante acceder a archivos o directorios fuera de la ubicación restringida prevista por el sistema. 

07Abr25: El grupo CoreInjection afirmó haber obtenido datos «altamente sensibles» de la compañía incluyendo mapas internos de la red, diagramas arquitectónicos, credenciales de usuarios y código fuente propietario de Check Point Software Technologies

26Mar25: El ransomware Trigona utiliza una amplia gama de métodos de infección y vectores de ataque, lo que le permite infiltrarse en una amplia gama de sistemas objetivo. Estos métodos suelen aprovechar vulnerabilidades y errores humanos, lo que los hace potentes y versátiles

24Mar25: Un atacante de nombre rose87168 afirmo haber robado 6 millones de registros de datos de los sistemas de autenticación de Oracle Cloud, SSO (Oracle Single Sign-On) y LDAP (Lightweight Directory Access Protocol). 

12Mar25: Se ha detectado la vulnerabilidad CVE-2025-27607 que afecta a Python-Json-Logger v3.2.x de Python v3.13. La vulnerabilidad representa un riesgo crítico, ya que permite la ejecución remota de código (RCE).

01Mar25: La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha añadido dos vulnerabilidades críticas al Catálogo de Vulnerabilidades Explotadas Conocidas, afectando a Adobe ColdFusion y Oracle Agile Product Lifecycle Management (PLM). Las vulnerabilidades identificadas como CVE-2017-3066 y CVE-2024-20953, ya están siendo aprovechadas por ciberdelincuentes.

27feb25: Se ha detectado la vulnerabilidad CVE-2025-1001 en RadiAnt DICOM Viewer versión 2024.02 que permite ataques MITM debido a una validación inadecuada de certificados en el proceso de actualización

12feb25: Se ha detectado la evolución del troyano Coyote Malware, que sigue afectando a usuarios de instituciones financieras de la región. Este malware utiliza archivos LNK maliciosos para infiltrarse en los sistemas y ejecutar comandos de PowerShell de Windows.

07feb25: La vulnerabilidad crítica CVE-2025-21298 se encuentra presente en el OLE (Object Linking and Embedding) de Windows que permite la ejecución remota de código, esta vulnerabilidad, con una puntuación CVSS de 9,8, permite la ejecución remota de código (RCE) a través de correos electrónicos especialmente diseñados.

07feb25: El proveedor de tecnología empresarial VMware Broadcom envió el 30 de enero de 2025 parches para al menos cinco defectos de seguridad en sus productos Aria Operations y Aria Operations for Logs, advirtiendo que los piratas informáticos podrían explotar estos problemas para obtener acceso de administrador

24ene25: Mozilla lanzó actualizaciones de seguridad para abordar vulnerabilidades en Firefox 134, con las que corrigen 11 vulnerabilidades, tres de estas son de alta gravedad. La más importante es la identificada con CVE-2025-0247 (CVSSv3 8.8) y está relhttps://nvd.nist.gov/vuln/detail/CVE-2025-0247acionada con un problema de corrupción de memoria que podría explotarse para ejecutar código arbitrario.

20ene25: FORTINET ha publicado información respecto a una vulnerabilidad (CVE-2024-55591) de omisión de autenticación mediante una ruta o canal alternativo [CWE-288] que afecta a FortiOS versión 7.0.0 a 7.0.16 y FortiProxy versión 7.0.0 a 7.0.19 y 7.2.0 a 7.2.12, permite a un atacante remoto obtener privilegios de superadministrador a través de solicitudes diseñadas al módulo websocket Node.js.

13ene25: El malware BadBox apunta ahora a smart TVs basados en AOSP (Android Source Open Projects) este tipo de malware compromete severamente los televisores Android TV y Google TV, específicamente los que no cuentan con el certificado Google Play Protect

13ene25: Investigadores han confirmado la existencia de un exploit bajo la técnica Prueba de Concepto (PoC – técnica de ciberseguridad que se utiliza para demostrar la vulnerabilidad de un sistema) para la vulnerabilidad CVE-2024-49113, también conocida como LDAP Nightmare

15dic24: El EcuCERT recibió la notificación de la presencia de RansomHub en las redes del Ecuador, este ransomware dese su creación ha cifrado y exfiltrado datos de al menos 210 víctimas que representan a los sectores de agua y aguas residuales, tecnología de la información, servicios e instalaciones gubernamentales, servicios de emergencia, alimentación y agricultura, servicios financieros, instalaciones comerciales, transporte y comunicaciones, atención médica y salud pública.

2dic24: El malware Glove Stealer es una incorporación reciente al panorama de las amenazas cibernéticas, que se distingue por su capacidad de eludir el cifrado vinculado a aplicaciones (App-Bound) de Google Chrome. Identificada durante una investigación de una campaña de phishing, representa un momento crucial en la carrera armamentista entre actores maliciosos y soluciones de seguridad tipo infostealer, diseñado para robar información sensible. 

12dic24: ClickFix,  utiliza tácticas avanzadas de ingeniería social para distribuir malware a través de páginas falsas de Google Meet y Zoom. Es un malware tipo infostealer, diseñado para robar información sensible. Esta técnica, vinculada a grupos avanzados como APT28, destaca por su capacidad de evadir defensas tradicionales, subrayando la necesidad de reforzar las estrategias de seguridad y detección en las organizaciones

15nov24: El malware FakeCall, emplea una técnica conocida como Vishing, así, a través del uso de llamadas telefónicas o mensajes de voz fraudulentos, los ciberdelincuentes engañan a las víctimas para que revelen información confidencial. FakeCall aprovecha el malware para tomar el control casi completo del dispositivo móvil, incluido la interceptación de llamadas entrantes y salientes. Las víctimas son engañadas para que llamen a números de teléfono fraudulentos controlados por el atacante e imiten la experiencia normal del usuario en el dispositivo.

14nov24: VMware ha lanzado actualizaciones de seguridad para las vulnerabilidades críticas con código CVE-2024-38812 y CVE-2024-38813, con las que un actor malicioso podría realizar la ejecución remota de código en las soluciones de Fundación VMware Cloud y VMware vCenter Server que no se corrigió correctamente en el primer parche de septiembre de 2024.

30oct24: AsyncRAT es un malware de tipo troyano de acceso remoto (RAT) que se enfoca en infectar dispositivos Windows para monitorizarlos y controlarlos remotamente a través de conexiones seguras y encriptadas. Además, proporciona una puerta trasera a los atacantes que permite incluir el dispositivo como parte de una botnet para realizar otras actividades maliciosas.

30oct24: Se ha identificado una nueva campaña de ransomware que afecta a organizaciones en países de Latinoamérica especialmente en Colombia. Esta campaña involucra variantes de ransomware conocidas como Makop y Crysis, así como una herramienta adicional para la recolección de credenciales clasificada como Trojan.Win64.Occamy. Los atacantes emplean técnicas avanzadas de evasión y persistencia, lo que hace que estas amenazas sean particularmente difíciles de detectar y mitigar.

06ago24: El malware Akira de tipo ransomware fue identificado en marzo de 2023, ha afectado a varias víctimas localizadas en Estados Unidos, Europa y Australia. Afectando a sectores entre los que se encuentran: educación, finanzas, bienes raíces, construcción, salud; Prestadores de Servicios de Telecomunicaciones. Emplea técnicas de doble extorsión. Se ha identificado su presencia en estos días en redes del Ecuador.

AL-2024-06- Ramsonwar Qilin

24jul24: El grupo de ransomware Qilin de origen ruso, también conocido como «Agenda” es un ransomware que opera bajo el modelo Ransomware como Servicio (RaaS), permitiendo que sus afiliados realicen ataques utilizando su infraestructura basada en lenguaje Rust. Este ransomware se ha convertido en una amenaza importante desde su descubrimiento en agosto de 2022 ya que emplea técnicas de doble extorsión; exige pago por la clave de descifrado y otro pago por no publicar la información robada.