Fortinet | Threat Intelligence Insider LATAM

Sumário Executivo

Os resultados do Fortinet Threat Intelligence Insider Latin America para o segundo trimestre de 2019 revelam o aumento contínuo de malware, exploits e atividade de botnet na América Latina e no Caribe. As principais atividades incluem anúncios indesejados, criptojacking, exploits de vulnerabilidades e malware para roubar informações dos usuários.

Quais são as áreas de risco?

· Software não patched com vulnerabilidades críticas expostas à Internet.

· Dispositivos infectados ou propensos a problemas de infecções mais graves.

· Usuários fazendo uso indevido de recursos, navegando em sites perigosos ou fazendo download de software não-legal.

· Anúncios enganosos com malware.

· Dispositivos IoT sem controle ou políticas de segurança adequadas.

Em relação às vulnerabilidades mais detectadas, os sistemas de colaboração como o VoIP e as chamadas de vídeo, entre outros que usam SIPs, estão sendo direcionados por várias técnicas de reconhecimento e invasão. Antigas vulnerabilidades ainda são o principal vetor para os hackers terem acesso a diferentes sistemas.

Quais são as áreas de risco?

· Soluções de colaboração com problemas operacionais devido a ataques de negação de serviço.

· Acesso não autorizado de terceiros a soluções de VoIP com o objetivo de fazer chamadas de extorsão ou abusar do uso de recursos, como chamadas de longa distância.

· Acesso a redes corporativas através de servidores com serviços baseados em SIP, aproveitando vários vetores de ataque.

· Evidências de plataformas sem atualizações ou com senhas fracas.

· Reconhecimento de redes internas.

O DoublePulsar, o backdoor usado pelo ransomware WannaCry, ainda é um mecanismo de distribuição de malware na América Latina. Considerando que ele aproveita as vulnerabilidades já resolvidas, seu uso contínuo evidencia a vasta área de cobertura de software sem atualizações na região, afetando empresas e indivíduos.

Botnets ainda levantar e prova de que os problemas comuns com os dispositivos da IoT continuam. Senhas fracas são o principal vetor de infecção do botnet Mirai. Milhões de dispositivos estão conectados e controlados para aumentar infecções e ataques de negação de serviços. As redes de bots estão evoluindo e hoje são capazes de infectar não apenas os consumidores, mas os dispositivos de IoT comerciais para usá-los como proxy para transações anônimas da dark web.

· Ransomware e infecções por criptojacking.

· Envolvimento dos dispositivos infectados em ataques DDoS ou SPAM, negando o acesso de toda a empresa aos serviços.

· Senha ou roubo de informações críticas aos negócios.

· Atividades ilegais na dark web.

O relatório também revela as infecções mais comuns na América Latina e no Caribe:

· Trojans ou backdoors que permitem que o atacante assuma o controle total dos dispositivos infectados.

· Vírus ou infecções de malware avançado para a exfiltração de informações, como senhas e usuários, entre outros.

· Malware para a exploração de vulnerabilidades comuns que permitem o acesso remoto de invasores a dispositivos infectados.

· Riskware, uso de software livre ou de origem não reconhecida que ofereça características do usuário como proteção, mas também possibilita a possibilidade de infecções.

Dicas

Use senhas fortes ou gerenciadores de senhas para aplicações e acesso a dispositivos IoT, dispositivos SIP e aplicativos.
Atualize seus aplicativos e infraestruturas regularmente.
Defina seus controles em cada um de seus perímetros, incluindo aplicativos em nuvem.
Monitore e analise seus dados com Indicadores de Compromisso para obter visibilidade e impedir infecções comuns.
Proteja seu servidor SIP: Proteja o servidor SIP da Internet: seja mais restritivo em termos de quais extensões podem ser alcançadas com endereços IP externos.
Crie nomes de usuário diferentes das extensões: a maioria das tentativas de força bruta tenta nomes de usuários que correspondem aos números de extensão ou nomes de usuário comuns.
Proteja seus dispositivos IoT com defesa perimetral, incluindo controle de acesso e políticas de prevenção de intrusões.
Esteja sempre preparado para uma infecção ou exploit, reduza o impacto com planos e ações de recuperação para evitar danos.

Selecione o pais

Puerto Rico

baixar PDF

FORTIGUARD AV TRENDS

Puerto Rico AV TRENDS Q2-2019

Q2-2019 Top 10

Top	Nome	Contagem
1	W32/PCCLIEN.AFR!tr.bdr	12,889
2	PHP/Rst.CO!tr.bdr	6,398
3	W32/Agent.AJFK!tr	5,678
4	Riskware/GenericBG	3,984
5	W32/Delf.TXH!tr.dldr	2,907
6	W32/Agent.CAZU!tr.dldr	2,656
7	JS/ProxyChanger.ES!tr	1,227
8	W32/PWS_y.M!tr	1,521
9	VBA/Agent.FPV!tr.dldr	1,227
10	LNK/Agent.IC!tr.dldr	1,219

Total top ten AV TRENDS:

40,134

W32/PCCLIEN.AFR!tr.bdr

É classificado como trojan com propriedades de backdoor. O trojan backdoor tem a capacidade de receber uma conexão remota de um hacker mal-intencionado e executar ações contra o sistema comprometido.

PHP/Rst.CO!tr.bdr

É uma detecção genérica para um trojan backdoor. Como se trata de uma detecção genérica, esse malware pode ter um comportamento variável. Esse malware pode ser implantado em sites invadidos.

W32/Agent.AJFK!tr

É uma detecção genérica para um trojan Key-logger/Botnet/Downloader. Como se trata de uma detecção genérica, os malwares detectados como W32/Agent.AJFK!Tr podem ter um comportamento variável.

FORTIGUARD IPS TRENDS

Puerto Rico IPS TRENDS Q2-2019

Q2-2019 Top 10

Top	Nome	Contagem
1	SSH.Connection.Brute.Force	41,643,845
2	UPnP.SSDP.M.Search.Anomaly	1,954,371
3	Backdoor.DoublePulsar	1,882,137
4	NTP.Zero.Transmit.Timestamp	1,664,025
5	TCP.Overlapping.Fragments	1,276,479
6	Port.Scanning	981,052
7	TCP.Out.Of.Range.Timestamp	673,103
8	MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution	630,189
9	FG-VD-19-040_Plex.Web.Client.0day	445,147
10	Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass	416,685

Total top ten IPS TRENDS:

51,567,033

SSH.Connection.Brute.Force

Isso indica a detecção de uma tentativa de ataque de força bruta no SSH. O ataque consiste em várias solicitações SSH destinadas a realizar um login SSH de força bruta, lançado a uma taxa de cerca de 200 vezes em 10 segundos.

UPnP.SSDP.M.Search.Anomaly

Indica a detecção de uma tentativa de varredura usando pacotes UPnP SSDP M-Search. O Simple Service Discovery Protocol (SSDP) é um protocolo de rede para propaganda e descoberta de informações de serviços de rede. O SSDP é a base do protocolo de descoberta, Universal Plug and Play (UPnP).

Backdoor.DoublePulsar

Indica a detecção do DoublePulsar Backdoor. Os trojans backdoor têm a capacidade de conectar hosts remotos e executar ações contra o sistema comprometido. O DoublePulsar Backdoor foi revelado pelos vazamentos do Shadow Brokers em março de 2017 e foi usado no ataque de ransomware WannaCry em maio de 2017.

FORTIGUARD BOTNET TRENDS

Puerto Rico BOTNET TRENDS Q2-2019

Q2-2019 Top 10

Top	Nome	Contagem
1	Emotet.Cridex.Botnet	413,074
2	Ayabot.Botnet	95,267
3	Sora.Botnet	78,923
4	Sality.Botnet	77,778
5	Mariposa.Botnet	65,147
6	Conficker.Botnet	45,319
7	Zeroaccess.Botnet	23,426
8	Virut.Botnet	17,496
9	Gozi.Botnet	14,290
10	Torpig.Mebroot.Botnet	14,112

Total top ten BOTNET TRENDS:

844,832

Emotet.Cridex.Botnet

Indica a detecção do DoublePulsar Backdoor. Os trojans backdoor têm a capacidade de conectar hosts remotos e executar ações contra o sistema comprometido. O DoublePulsar Backdoor foi revelado pelos vazamentos do Shadow Brokers em março de 2017 e foi usado no ataque de ransomware WannaCry em maio de 2017.

Ayabot.Botnet

Ayabot é um trojan que infecta máquinas Windows. Também é conhecido como Mowfote. Ayabot pode baixar / instalar malware adicional.

Sora.Botnet

Isso indica que um sistema pode estar infectado por um Sora Botnet. Sora é um malware de IoT que tem como alvo sistemas embarcados.