Fortinet | Threat Intelligence Insider LATAM

Resumen Ejecutivo

Intentos de ataque de fuerza bruta en aumento

Según el Fortinet Threat Intelligence Insider para América Latina, los ataques de fuerza bruta son muy activos en la región y han estado entre los intentos de ataque de intrusión más frecuentes en el segundo trimestre del año. Algunos ejemplos son SSH.Connection.Brute.Force, un intento de ataque de fuerza bruta que consiste en múltiples solicitudes SSH destinadas a realizar un inicio de sesión SSH de fuerza bruta, lanzado a una velocidad de aproximadamente 200 veces en 10 segundos. Otro ejemplo es SMB.Login.Brute.Force, una detección de al menos 500 inicios de sesión SAMBA fallidos en un minuto, lo que indica un posible ataque de fuerza bruta en los sistemas operativos Microsoft Windows.

Con la transición masiva a la oficina en casa, los ciberdelincuentes encuentran un número significativo de servidores de Protocolo de Escritorio Remoto (RDP) mal configurados, lo que lleva a más ataques de este tipo.

El crecimiento del trabajo remoto ha reavivado el interés de los ciberdelincuentes en los ataques de fuerza bruta, que son intentos repetidos y sistemáticos de adivinar una credencial enviando diferentes nombres de usuario y contraseñas para intentar acceder a un sistema.

Los ataques de fuerza bruta se usan comúnmente para descifrar algoritmos de cifrado u obtener contraseñas débiles, contraseñas de correo electrónico, credenciales de redes sociales, acceso a Wi-Fi, etc. El atacante intenta, a través de mecanismos automáticos, múltiples intentos repetidos hasta alcanzar el resultado exitoso.

Campañas de phishing malicioso

Los resultados del Fortinet Threat Intelligence Insider Latin America para el primer semestre de 2020 revelan un aumento en los intentos de atraer a las víctimas desprevenidas a ir a sitios maliciosos, hacer clic en enlaces maliciosos o proporcionar información personal por teléfono bajo los auspicios de la pandemia de COVID-19.

FortiGuard Labs informó un aumento significativo de virus, muchos de los cuales están incluidos en estos archivos adjuntos de phishing maliciosos.

En abril se registró el mayor volumen de campañas de phishing por correo electrónico relacionadas con COVID-19 con más de 4.250. El pico más alto fue el 2 de abril, donde Fortinet informó 330 campañas de phishing de correo electrónico sobre COVID-19 en todo el mundo. Los números han disminuido constantemente desde abril, con 3.590 campañas de phishing por correo electrónico en mayo y 2.841 en junio.

La mayoría de los correos electrónicos tenían archivos maliciosos adjuntos .DOCX y .PDF (siendo .DOCX el más alto), siendo los intentos de ransomware el archivo adjunto más frecuente.

Consejos

Es esencial que las organizaciones tomen medidas para proteger a sus trabajadores remotos y ayudarlos a asegurar sus dispositivos y redes domésticas. Aquí hay algunos pasos críticos a considerar:

Capacite a sus trabajadores remotos, y a sus familias, sobre amenazas como phishing y sitios web maliciosos, y cómo detenerlos. Fortinet ha dispuesto una serie de recursos de capacitación para usuarios de forma gratuita, incluidos los dos primeros niveles de nuestro programa de capacitación NSE.
Realice una revisión de sus herramientas de seguridad.
Asegúrese de que los trabajadores remotos tengan una solución de conectividad VPN. Para una seguridad más avanzada, considere agregar herramientas para detectar y desactivar las amenazas en vivo.
Asegúrese de que su sede corporativa también esté protegida, lo que permite la autenticación multifactor. Considere también una solución NAC para garantizar que los dispositivos autenticados solo tengan acceso a los recursos de red que requieren y para responder automáticamente a los dispositivos que se comportan de forma anómala.
Dado que tantos ataques están basados en phishing, es fundamental que su gateway de correo electrónico seguro sea capaz de detectar y filtrar ataques de phishing y spam, y eliminar los archivos adjuntos maliciosos.

La mejor manera de mitigar los ataques de fuerza bruta es usar contraseñas robustas. Usar contraseñas largas y complejas es solo el primer paso para prevenir este tipo de ataque. Es importante utilizar mecanismos de encriptación y que la organización limite el número de intentos de inicio de sesión durante un cierto período, así como que habilite otros mecanismos de autenticación robustos, como multifactor, tokens o validación de imágenes (CAPTCHA).

Además, es importante invertir en soluciones de monitoreo y detección capaces de identificar intrusiones de red y comportamientos anómalos. La capacidad de responder automáticamente es crucial para evitar violaciones de datos.

seleccionar país

Mexico

Descargar PDF

FORTIGUARD AV TRENDS

Mexico AV TRENDS Q2-2020

Q2-2020 Top 10

Top	Nombre	Cuenta
1	W32/Frauder.ALT!tr.bdr	499,812
2	W32/Bancos.CFR!tr	134,051
3	W32/Tibs.HI@mm	101,594
4	W32/HexZone!tr	85,631
5	MSOffice/CVE_2017_11882.C!exploit	36,086
6	W32/Glupteba.B!tr	30,430
7	W32/BackDoor.BA!tr	15,758
8	W32/BitCoinMiner.BXPOTENTIALLYUNSAFE!tr	24,962
9	MSOffice/CVE_2017_11882.DMP!exploit	15,758
10	W32/Kazus.A!worm	14,951

Total top ten AV TRENDS:

973,267

W32/Frauder.ALT!tr.bdr

#REF!

W32/Bancos.CFR!tr

#REF!

W32/Tibs.HI@mm

#REF!

FORTIGUARD IPS TRENDS

Mexico IPS TRENDS Q2-2020

Q2-2020 Top 10

Top	Nombre	Cuenta
1	Backdoor.DoublePulsar	267,515,398
2	SIPVicious.svcrack.Brute.Force.Login	244,063,773
3	SSH.Connection.Brute.Force	1,474,435
4	WordPress.xmlrpc.Pingback.DoS	2,160,092
5	SSL.Anonymous.Ciphers.Negotiation	2,799,442
6	HTTP.URI.SQL.Injection	1,273,245
7	POP3.Login.Brute.Force	1,631,734
8	Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass	7,018,760
9	SMTP.Login.Brute.Force	2,306,130
10	ThinkPHP.Controller.Parameter.Remote.Code.Execution	948,582

Total top ten IPS TRENDS:

531,191,591

Backdoor.DoublePulsar

está clasificado como troyano con propiedades de puerta trasera. Backdoor Trojan tiene la capacidad de recibir una conexión remota de un hacker malicioso y realizar acciones contra el sistema comprometido.

SIPVicious.svcrack.Brute.Force.Login

está clasificado como un troyano. Sus actividades comúnmente incluyen establecer conexiones de acceso remoto, capturar la entrada del teclado, recopilar información del sistema, descargar / cargar archivos, colocar otro malware en el sistema infectado, realizar ataques de denegación de servicio (DoS) y ejecutar / finalizar procesos.

SSH.Connection.Brute.Force

está clasificado como virus Mass-Mailer. El virus Mass-Mailer comúnmente captura las direcciones de correo electrónico en el sistema infectado y las usa como una lista de destino.

FORTIGUARD BOTNET TRENDS

Mexico BOTNET TRENDS Q2-2020

Q2-2020 Top 10

Top	Nombre	Cuenta
1	Andromeda.Botnet	15,039,062
2	H-worm.Botnet	3,636,759
3	njRAT.Botnet	2,797,850
4	BadRabbit.Botnet	1,802,235
5	XorDDOS.Botnet	1,494,982
6	Mirai.Botnet	1,444,291
7	Emotet.Cridex.Botnet	1,407,020
8	Conficker.Botnet	1,129,335
9	Necurs.Botnet	1,100,769
10	Neurevt.Botnet	431,495

Total top ten BOTNET TRENDS:

30,283,798

Andromeda.Botnet

Es una botnet que se usa para distribuir malware con diferentes capacidades, dependiendo del comando dado por su servidor de comando y control (C&C). El kit de herramientas para esta botnet se puede obtener en Internet oscuro y se actualiza constantemente.

H-worm.Botnet

Esta botnet es un tipo de bot de malware que puede realizar muchas tareas maliciosas, como descargar y ejecutar malware adicional, recibir comandos de un servidor de control y transmitir información específica.

njRAT.Botnet

Esto indica que un sistema podría estar infectado por njRAT Botnet. Compromiso del sistema: los atacantes remotos pueden obtener el control de los sistemas vulnerables.