Fortinet | Threat Intelligence Insider LATAM

Resumen Ejecutivo

Los resultados del Fortinet Threat Intelligence Insider Latin America para el segundo trimestre de 2019 revelan el aumento continuo de la actividad de malware, exploits y botnet en América Latina y el Caribe. Las amenazas principales incluyen descargas no deseadas, criptojacking, explotación de vulnerabilidades y malware para robar información de los usuarios.

¿Cuáles son las áreas de riesgo?

· Software sin parches con vulnerabilidades críticas expuestas a Internet.

· Dispositivos infectados o propensos a problemas de infecciones más graves.

· Usuarios que usan mal los recursos, navegan por sitios peligrosos o descargan software no legal.

· Publicidades engañosas con promoción de malware.

· Dispositivos IoT sin control o políticas de seguridad adecuadas.

Con respecto a las vulnerabilidades más detectadas, los sistemas de colaboración como el Protocolo de Voz sobre Internet (VoIP) y las videollamadas, entre otros que usan Protocolos de Inicio de Sesión (SIP) y servicios críticos como NTP, están siendo objeto de múltiples técnicas de reconocimiento e intrusión. Las viejas vulnerabilidades siguen siendo un vector principal para que los cibercriminales obtengan acceso a diferentes sistemas.

¿Cuáles son las áreas de riesgo?

· Soluciones de colaboración con problemas operativos debido a ataques de denegación de servicio.

· Acceso no autorizado de terceros a soluciones de VoIP con el objetivo de realizar llamadas de extorsión o abusar del uso de recursos como las llamadas de larga distancia.

· Acceso a redes corporativas a través de servidores con servicios basados en SIP, aprovechando múltiples vectores de ataque.

· Evidencia de plataformas sin actualizaciones o con contraseñas débiles.

DoublePulsar, el backdoor utilizado por el ransomware WannaCry, sigue siendo un mecanismo para distribuir malware en América Latina. Teniendo en cuenta que aprovecha vulnerabilidades ya resueltas, su uso continuo evidencia la gran huella de software sin actualizaciones en la región, que afecta tanto a empresas como a individuos.

Las botnets siguen apareciendo y evidencian que los problemas comunes con los dispositivos IoT continúan. Las contraseñas predeterminadas o débiles son el vector de infección principal para la botnet Mirai. Millones de dispositivos están conectados y controlados para aumentar las infecciones y los ataques de denegación de servicios. Las botnets están evolucionando y hoy en día pueden infectar no solo a los consumidores sino también a los dispositivos de IoT de negocios para usarlos como proxy para anonimizar las transacciones del mercado oscuro. ¿Cuáles son las áreas de riesgo?

· Ransomware e infecciones para criptojacking.

· Implicación de los dispositivos infectados en ataques DDoS o SPAM, negando el acceso de toda la compañía a los servicios.

· Robo de contraseñas e información crítica para el negocio.

· Actividades ilegales en la web oscura.

El informe también revela las infecciones más comunes en América Latina y el Caribe:

· Infecciones de malware que generan descargas de malware o redireccionamientos no deseados a sitios infectados.

· Troyanos o backdoors que permiten al atacante tomar el control total de los dispositivos infectados.

· Virus o infecciones de malware avanzado para la filtración de información como contraseñas y usuarios, entre otros.

· Malware para la explotación de vulnerabilidades comunes que permiten el acceso remoto de los atacantes a dispositivos infectados.

· Software de riesgo, uso de software libre o de origen no reconocido que ofrece características de usuario como protección, pero también permite la posibilidad de infecciones.

Consejos

Utilice contraseñas seguras o administradores de contraseñas para acceso a dispositivos IoT, dispositivos SIP y a las aplicaciones.
Actualice sus aplicaciones e infraestructuras de forma regular.
Defina sus controles en cada uno de sus perímetros, incluidas las aplicaciones en la nube.
Monitoree y analice sus datos con Indicadores de Compromiso para obtener visibilidad y detener infecciones comunes.
Asegure su servidor SIP: proteja el servidor SIP de Internet: sea más restrictivo en cuanto a qué extensiones se pueden alcanzar desde direcciones IP externas.
Cree nombres de usuario diferentes de las extensiones: la mayoría de los intentos de fuerza bruta prueban con nombres de usuario que coincidan con los números de extensión o nombres de usuario comunes.
Proteja sus dispositivos IoT con defensa perimetral que incluye control de acceso y políticas de prevención de intrusiones.
Siempre esté preparado para una infección o exploit, reduzca el impacto con planes de recuperación y acciones para evitar daños.

seleccionar país

Peru

Descargar PDF

FORTIGUARD AV TRENDS

Peru AV TRENDS Q2-2019

Q2-2019 Top 10

Top	Nombre	Cuenta
1	Riskware/CoinMiner	962,419
2	W32/Dx.FV!tr	61,544
3	W32/Agent.CIOG!tr	46,867
4	W32/DldBAI.H!dam	22,513
5	W32/PWS_y.M!tr	16,122
6	W32/Cinmus	15,919
7	W32/Agent.CAZU!tr.dldr	14,072
8	W32/Bifrose.B!tr.bdr	15,584
9	W32/Heuri.D!tr	14,072
10	W32/Downloader_x.SE!tr.dldr	13,514

Total top ten AV TRENDS:

1,184,212

Riskware/CoinMiner

Está clasificado como un tipo de Riskware. Riskware es cualquier aplicación potencialmente no deseada que no está clasificada como malware, pero que puede utilizar recursos del sistema de manera no deseable o molesta, y / o puede representar un riesgo de seguridad.

W32/Dx.FV!tr

Está clasificado como un troyano. Este troyano tiene la capacidad de manejar la conexión de acceso remoto, realizar denegación de servicio (DoS) o DoS distribuido (DDoS), capturar entradas de teclado, eliminar archivos u objetos, o finalizar el proceso.

W32/Agent.CIOG!tr

Está clasificado como un troyano. Este troyano tiene la capacidad de manejar la conexión de acceso remoto, realizar denegación de servicio (DoS) o DoS distribuido (DDoS), capturar entradas de teclado, eliminar archivos u objetos, o finalizar el proceso.

FORTIGUARD IPS TRENDS

Peru IPS TRENDS Q2-2019

Q2-2019 Top 10

Top	Nombre	Cuenta
1	UPnP.SSDP.M.Search.Anomaly	1,025,612,082
2	SIPVicious.svcrack.Brute.Force.Login	338,219,195
3	Avahi.NULL.UDP.Packet.DoS	93,414,039
4	MS.SMB.Server.Trans.Peeking.Data.Information.Disclosure	84,807,356
5	Backdoor.DoublePulsar	79,133,943
6	SIP.Register.Brute.Force	62,874,448
7	MS.DNS.WINS.Server.Information.Spoofing	38,154,661
8	ISC.DHCP.TCP.Session.Exhaustion.DoS	37,470,339
9	TCP.Out.Of.Range.Timestamp	4,014,195
10	POP3.Login.Brute.Force	3,903,183

Total top ten IPS TRENDS:

1,767,603,441

UPnP.SSDP.M.Search.Anomaly

Esto indica la detección de un intento de escaneo utilizando los paquetes UPnP SSDP M-Search. Simple Service Discovery Protocol (SSDP) es un protocolo de red para publicidad y descubrimiento de información de servicios de red. SSDP es la base del protocolo de descubrimiento, Universal Plug and Play (UPnP).

SIPVicious.svcrack.Brute.Force.Login

Esto indica la detección de un intento de inicio de sesión de fuerza bruta desde SIPVicious svcrack. SIPVicious es un escáner SIP. La firma detecta las solicitudes SIP del escáner a una velocidad de 100 por segundo. La tasa se puede ajustar en la CLI o GUI para satisfacer sus necesidades

Avahi.NULL.UDP.Packet.DoS

Esto indica un intento de ataque contra una vulnerabilidad de corrupción de memoria en Avahi-daemon. Impacto: los ataques de denegación de servicio (DoS) y los atacantes remotos pueden bloquear sistemas vulnerables.

FORTIGUARD BOTNET TRENDS

Peru BOTNET TRENDS Q2-2019

Q2-2019 Top 10

Top	Nombre	Cuenta
1	Andromeda.Botnet	15,336,082
2	Mirai.Botnet	6,535,494
3	AAEH.Botnet	3,167,397
4	H-worm.Botnet	2,359,320
5	XorDDOS.Botnet	2,158,820
6	Emotet.Cridex.Botnet	1,219,892
7	Conficker.Botnet	892,731
8	Necurs.Botnet	801,562
9	Nitol.Botnet	704,726
10	Sality.Botnet	301,325

Total top ten BOTNET TRENDS:

33,477,349

Andromeda.Botnet

Es una botnet que se usa para distribuir malware con diferentes capacidades, dependiendo del comando dado por su servidor de comando y control (C&C). El kit de herramientas para esta botnet se puede obtener en Internet de forma clandestina y se actualiza constantemente. El primer ataque Andrómeda que se descubrió fue visto libremente en 2011.

Mirai.Botnet

Esto indica que un sistema podría estar infectado por Mirai Botnet. Compromiso del sistema: los atacantes remotos pueden obtener el control de los sistemas vulnerables

AAEH.Botnet

Esto indica que un sistema podría estar infectado por AAEH Botnet. AAEH es una familia de descargadores polimórficos creados con el objetivo principal de descargar otro malware, incluidos ladrones de contraseñas, rootkits, antivirus falso y ransomware.