Fortinet | Threat Intelligence Insider LATAM

Resumen Ejecutivo

Intentos de ataque de fuerza bruta en aumento

Según el Fortinet Threat Intelligence Insider para América Latina, los ataques de fuerza bruta son muy activos en la región y han estado entre los intentos de ataque de intrusión más frecuentes en el segundo trimestre del año. Algunos ejemplos son SSH.Connection.Brute.Force, un intento de ataque de fuerza bruta que consiste en múltiples solicitudes SSH destinadas a realizar un inicio de sesión SSH de fuerza bruta, lanzado a una velocidad de aproximadamente 200 veces en 10 segundos. Otro ejemplo es SMB.Login.Brute.Force, una detección de al menos 500 inicios de sesión SAMBA fallidos en un minuto, lo que indica un posible ataque de fuerza bruta en los sistemas operativos Microsoft Windows.

Con la transición masiva a la oficina en casa, los ciberdelincuentes encuentran un número significativo de servidores de Protocolo de Escritorio Remoto (RDP) mal configurados, lo que lleva a más ataques de este tipo.

El crecimiento del trabajo remoto ha reavivado el interés de los ciberdelincuentes en los ataques de fuerza bruta, que son intentos repetidos y sistemáticos de adivinar una credencial enviando diferentes nombres de usuario y contraseñas para intentar acceder a un sistema.

Los ataques de fuerza bruta se usan comúnmente para descifrar algoritmos de cifrado u obtener contraseñas débiles, contraseñas de correo electrónico, credenciales de redes sociales, acceso a Wi-Fi, etc. El atacante intenta, a través de mecanismos automáticos, múltiples intentos repetidos hasta alcanzar el resultado exitoso.

Campañas de phishing malicioso

Los resultados del Fortinet Threat Intelligence Insider Latin America para el primer semestre de 2020 revelan un aumento en los intentos de atraer a las víctimas desprevenidas a ir a sitios maliciosos, hacer clic en enlaces maliciosos o proporcionar información personal por teléfono bajo los auspicios de la pandemia de COVID-19.

FortiGuard Labs informó un aumento significativo de virus, muchos de los cuales están incluidos en estos archivos adjuntos de phishing maliciosos.

En abril se registró el mayor volumen de campañas de phishing por correo electrónico relacionadas con COVID-19 con más de 4.250. El pico más alto fue el 2 de abril, donde Fortinet informó 330 campañas de phishing de correo electrónico sobre COVID-19 en todo el mundo. Los números han disminuido constantemente desde abril, con 3.590 campañas de phishing por correo electrónico en mayo y 2.841 en junio.

La mayoría de los correos electrónicos tenían archivos maliciosos adjuntos .DOCX y .PDF (siendo .DOCX el más alto), siendo los intentos de ransomware el archivo adjunto más frecuente.

Consejos

Es esencial que las organizaciones tomen medidas para proteger a sus trabajadores remotos y ayudarlos a asegurar sus dispositivos y redes domésticas. Aquí hay algunos pasos críticos a considerar:

Capacite a sus trabajadores remotos, y a sus familias, sobre amenazas como phishing y sitios web maliciosos, y cómo detenerlos. Fortinet ha dispuesto una serie de recursos de capacitación para usuarios de forma gratuita, incluidos los dos primeros niveles de nuestro programa de capacitación NSE.
Realice una revisión de sus herramientas de seguridad.
Asegúrese de que los trabajadores remotos tengan una solución de conectividad VPN. Para una seguridad más avanzada, considere agregar herramientas para detectar y desactivar las amenazas en vivo.
Asegúrese de que su sede corporativa también esté protegida, lo que permite la autenticación multifactor. Considere también una solución NAC para garantizar que los dispositivos autenticados solo tengan acceso a los recursos de red que requieren y para responder automáticamente a los dispositivos que se comportan de forma anómala.
Dado que tantos ataques están basados en phishing, es fundamental que su gateway de correo electrónico seguro sea capaz de detectar y filtrar ataques de phishing y spam, y eliminar los archivos adjuntos maliciosos.

La mejor manera de mitigar los ataques de fuerza bruta es usar contraseñas robustas. Usar contraseñas largas y complejas es solo el primer paso para prevenir este tipo de ataque. Es importante utilizar mecanismos de encriptación y que la organización limite el número de intentos de inicio de sesión durante un cierto período, así como que habilite otros mecanismos de autenticación robustos, como multifactor, tokens o validación de imágenes (CAPTCHA).

Además, es importante invertir en soluciones de monitoreo y detección capaces de identificar intrusiones de red y comportamientos anómalos. La capacidad de responder automáticamente es crucial para evitar violaciones de datos.

seleccionar país

Peru

Descargar PDF

FORTIGUARD AV TRENDS

Peru AV TRENDS Q2-2020

Q2-2020 Top 10

Top	Nombre	Cuenta
1	W32/Bancos.CFR!tr	149,014
2	W32/Tibs.PACKED!tr	135,400
3	W32/Generic_PUA_MC.FXK	90,268
4	W32/Glupteba.B!tr	88,668
5	W32/Tibs.HI@mm	56,995
6	W32/Heuri.D!tr	49,444
7	W32/Mmorpg.HWU!tr	37,637
8	PossibleThreat.vw	43,078
9	W32/Gamania!tr.pws	37,637
10	W32/Banker!tr.pws	22,359

Total top ten AV TRENDS:

720,193

W32/Bancos.CFR!tr

está clasificado como un troyano. Sus actividades comúnmente incluyen establecer conexiones de acceso remoto, capturar la entrada del teclado, recopilar información del sistema, descargar / cargar archivos, colocar otro malware en el sistema infectado, realizar ataques de denegación de servicio (DoS) y ejecutar / finalizar procesos.

W32/Tibs.PACKED!tr

está clasificado como un troyano. Un troyano es un tipo de malware que realiza actividades sin el conocimiento del usuario. Estas actividades comúnmente incluyen el establecimiento de conexiones de acceso remoto, capturar la entrada del teclado, recopilar información del sistema, descargar / cargar archivos, colocar otro malware en el sistema infectado, realizar ataques de denegación de servicio (DoS) y ejecutar / finalizar procesos.

W32/Generic_PUA_MC.FXK

se clasifica como un infector de archivos. Un infector de archivos es un tipo de malware que tiene la capacidad de propagarse al adjuntar su código a otros programas o archivos.

FORTIGUARD IPS TRENDS

Peru IPS TRENDS Q2-2020

Q2-2020 Top 10

Top	Nombre	Cuenta
1	Backdoor.DoublePulsar	59,084,674
2	MS.SMB.Server.Trans.Peeking.Data.Information.Disclosure	37,867,680
3	SMB.Login.Brute.Force	20,673,205
4	MS.RDP.Connection.Brute.Force	9,496,139
5	SIPVicious.svcrack.Brute.Force.Login	7,023,534
6	MySQL.Login.Brute.Force	5,277,719
7	SIP.Register.Brute.Force	3,964,688
8	POP3.Login.Brute.Force	3,280,332
9	WordPress.xmlrpc.Pingback.DoS	2,095,000
10	SSL.Anonymous.Ciphers.Negotiation	753,906

Total top ten IPS TRENDS:

149,516,877

Backdoor.DoublePulsar

Esto indica la detección de DoublePulsar Backdoor. Los troyanos de puerta trasera tienen la capacidad de conectar hosts remotos y realizar acciones contra el sistema comprometido. La puerta trasera DoublePulsar fue revelada por las filtraciones de Shadow Brokers en marzo de 2017 y se usó en el ataque del ransomware WannaCry en mayo de 2017.

MS.SMB.Server.Trans.Peeking.Data.Information.Disclosure

Esto indica un intento de ataque contra una vulnerabilidad de divulgación de información en el servidor SMB de Microsoft Windows. Un atacante remoto puede explotar esto para obtener acceso no autorizado a información confidencial a través de la solicitud SMB diseñada. Esta vulnerabilidad se ha incorporado a varias herramientas y se utiliza para escanear objetivos vulnerables que podrían verse afectados por las vulnerabilidades relacionadas con la fuga de Shadow Brokers.

SMB.Login.Brute.Force

Esto indica una detección de al menos 500 inicios de sesión SAMBA fallidos en un minuto, lo que indica un posible ataque de fuerza bruta de inicios de sesión SAMBA. Sistemas operativos Microsoft Windows afectados.

FORTIGUARD BOTNET TRENDS

Peru BOTNET TRENDS Q2-2020

Q2-2020 Top 10

Top	Nombre	Cuenta
1	Mirai.Botnet	19,037,794
2	XorDDOS.Botnet	4,540,026
3	Andromeda.Botnet	2,272,901
4	Trick.Botnet	578,965
5	Sora.Botnet	569,039
6	Gozi.Botnet	311,614
7	AAEH.Botnet	238,434
8	Necurs.Botnet	182,106
9	Emotet.Cridex.Botnet	139,437
10	Conficker.Botnet	120,842

Total top ten BOTNET TRENDS:

27,991,158

Mirai.Botnet

Esto indica que un sistema podría estar infectado por Mirai Botnet. Compromiso del sistema: los atacantes remotos pueden obtener el control de los sistemas de IoT vulnerables.

XorDDOS.Botnet

Esto indica que un sistema podría estar infectado por XorDDOS Botnet. XorDDOS es un troyano que realiza ataques DDOS en una IP y puerto especificados.

Andromeda.Botnet

es una botnet que se usa para distribuir malware con diferentes capacidades, dependiendo del comando dado por su servidor de comando y control (C&C). El kit de herramientas para esta botnet se puede obtener en Internet oscuro y se actualiza constantemente.