Intentos de ataque de fuerza bruta en aumento
Según el Fortinet Threat Intelligence Insider para América Latina, los ataques de fuerza bruta son muy activos en la región y han estado entre los intentos de ataque de intrusión más frecuentes en el segundo trimestre del año. Algunos ejemplos son SSH.Connection.Brute.Force, un intento de ataque de fuerza bruta que consiste en múltiples solicitudes SSH destinadas a realizar un inicio de sesión SSH de fuerza bruta, lanzado a una velocidad de aproximadamente 200 veces en 10 segundos. Otro ejemplo es SMB.Login.Brute.Force, una detección de al menos 500 inicios de sesión SAMBA fallidos en un minuto, lo que indica un posible ataque de fuerza bruta en los sistemas operativos Microsoft Windows.
Con la transición masiva a la oficina en casa, los ciberdelincuentes encuentran un número significativo de servidores de Protocolo de Escritorio Remoto (RDP) mal configurados, lo que lleva a más ataques de este tipo.
El crecimiento del trabajo remoto ha reavivado el interés de los ciberdelincuentes en los ataques de fuerza bruta, que son intentos repetidos y sistemáticos de adivinar una credencial enviando diferentes nombres de usuario y contraseñas para intentar acceder a un sistema.
Los ataques de fuerza bruta se usan comúnmente para descifrar algoritmos de cifrado u obtener contraseñas débiles, contraseñas de correo electrónico, credenciales de redes sociales, acceso a Wi-Fi, etc. El atacante intenta, a través de mecanismos automáticos, múltiples intentos repetidos hasta alcanzar el resultado exitoso.
Campañas de phishing malicioso
Los resultados del Fortinet Threat Intelligence Insider Latin America para el primer semestre de 2020 revelan un aumento en los intentos de atraer a las víctimas desprevenidas a ir a sitios maliciosos, hacer clic en enlaces maliciosos o proporcionar información personal por teléfono bajo los auspicios de la pandemia de COVID-19.
FortiGuard Labs informó un aumento significativo de virus, muchos de los cuales están incluidos en estos archivos adjuntos de phishing maliciosos.
En abril se registró el mayor volumen de campañas de phishing por correo electrónico relacionadas con COVID-19 con más de 4.250. El pico más alto fue el 2 de abril, donde Fortinet informó 330 campañas de phishing de correo electrónico sobre COVID-19 en todo el mundo. Los números han disminuido constantemente desde abril, con 3.590 campañas de phishing por correo electrónico en mayo y 2.841 en junio.
La mayoría de los correos electrónicos tenían archivos maliciosos adjuntos .DOCX y .PDF (siendo .DOCX el más alto), siendo los intentos de ransomware el archivo adjunto más frecuente.
Es esencial que las organizaciones tomen medidas para proteger a sus trabajadores remotos y ayudarlos a asegurar sus dispositivos y redes domésticas. Aquí hay algunos pasos críticos a considerar:
La mejor manera de mitigar los ataques de fuerza bruta es usar contraseñas robustas. Usar contraseñas largas y complejas es solo el primer paso para prevenir este tipo de ataque. Es importante utilizar mecanismos de encriptación y que la organización limite el número de intentos de inicio de sesión durante un cierto período, así como que habilite otros mecanismos de autenticación robustos, como multifactor, tokens o validación de imágenes (CAPTCHA).
Además, es importante invertir en soluciones de monitoreo y detección capaces de identificar intrusiones de red y comportamientos anómalos. La capacidad de responder automáticamente es crucial para evitar violaciones de datos.
Top | Nombre | Cuenta | |
---|---|---|---|
1 | W32/Bancos.CFR!tr | 149,014 | |
2 | W32/Tibs.PACKED!tr | 135,400 | |
3 | W32/Generic_PUA_MC.FXK | 90,268 | |
4 | W32/Glupteba.B!tr | 88,668 | |
5 | W32/Tibs.HI@mm | 56,995 | |
6 | W32/Heuri.D!tr | 49,444 | |
7 | W32/Mmorpg.HWU!tr | 37,637 | |
8 | PossibleThreat.vw | 43,078 | |
9 | W32/Gamania!tr.pws | 37,637 | |
10 | W32/Banker!tr.pws | 22,359 |
está clasificado como un troyano. Sus actividades comúnmente incluyen establecer conexiones de acceso remoto, capturar la entrada del teclado, recopilar información del sistema, descargar / cargar archivos, colocar otro malware en el sistema infectado, realizar ataques de denegación de servicio (DoS) y ejecutar / finalizar procesos.
está clasificado como un troyano. Un troyano es un tipo de malware que realiza actividades sin el conocimiento del usuario. Estas actividades comúnmente incluyen el establecimiento de conexiones de acceso remoto, capturar la entrada del teclado, recopilar información del sistema, descargar / cargar archivos, colocar otro malware en el sistema infectado, realizar ataques de denegación de servicio (DoS) y ejecutar / finalizar procesos.
se clasifica como un infector de archivos. Un infector de archivos es un tipo de malware que tiene la capacidad de propagarse al adjuntar su código a otros programas o archivos.
Top | Nombre | Cuenta | |
---|---|---|---|
1 | Backdoor.DoublePulsar | 59,084,674 | |
2 | MS.SMB.Server.Trans.Peeking.Data.Information.Disclosure | 37,867,680 | |
3 | SMB.Login.Brute.Force | 20,673,205 | |
4 | MS.RDP.Connection.Brute.Force | 9,496,139 | |
5 | SIPVicious.svcrack.Brute.Force.Login | 7,023,534 | |
6 | MySQL.Login.Brute.Force | 5,277,719 | |
7 | SIP.Register.Brute.Force | 3,964,688 | |
8 | POP3.Login.Brute.Force | 3,280,332 | |
9 | WordPress.xmlrpc.Pingback.DoS | 2,095,000 | |
10 | SSL.Anonymous.Ciphers.Negotiation | 753,906 |
Esto indica la detección de DoublePulsar Backdoor. Los troyanos de puerta trasera tienen la capacidad de conectar hosts remotos y realizar acciones contra el sistema comprometido. La puerta trasera DoublePulsar fue revelada por las filtraciones de Shadow Brokers en marzo de 2017 y se usó en el ataque del ransomware WannaCry en mayo de 2017.
Esto indica un intento de ataque contra una vulnerabilidad de divulgación de información en el servidor SMB de Microsoft Windows. Un atacante remoto puede explotar esto para obtener acceso no autorizado a información confidencial a través de la solicitud SMB diseñada. Esta vulnerabilidad se ha incorporado a varias herramientas y se utiliza para escanear objetivos vulnerables que podrían verse afectados por las vulnerabilidades relacionadas con la fuga de Shadow Brokers.
Esto indica una detección de al menos 500 inicios de sesión SAMBA fallidos en un minuto, lo que indica un posible ataque de fuerza bruta de inicios de sesión SAMBA. Sistemas operativos Microsoft Windows afectados.
Top | Nombre | Cuenta | |
---|---|---|---|
1 | Mirai.Botnet | 19,037,794 | |
2 | XorDDOS.Botnet | 4,540,026 | |
3 | Andromeda.Botnet | 2,272,901 | |
4 | Trick.Botnet | 578,965 | |
5 | Sora.Botnet | 569,039 | |
6 | Gozi.Botnet | 311,614 | |
7 | AAEH.Botnet | 238,434 | |
8 | Necurs.Botnet | 182,106 | |
9 | Emotet.Cridex.Botnet | 139,437 | |
10 | Conficker.Botnet | 120,842 |
Esto indica que un sistema podría estar infectado por Mirai Botnet. Compromiso del sistema: los atacantes remotos pueden obtener el control de los sistemas de IoT vulnerables.
Esto indica que un sistema podría estar infectado por XorDDOS Botnet. XorDDOS es un troyano que realiza ataques DDOS en una IP y puerto especificados.
es una botnet que se usa para distribuir malware con diferentes capacidades, dependiendo del comando dado por su servidor de comando y control (C&C). El kit de herramientas para esta botnet se puede obtener en Internet oscuro y se actualiza constantemente.