Fortinet | Threat Intelligence Insider LATAM

Sumário Executivo

Tentativas de ataque de força bruta em ascensão

De acordo com o Fortinet Threat Intelligence Insider Latin America, os ataques de força bruta estão muito ativos na região e estão entre as tentativas de ataque de invasão mais frequentes no segundo trimestre do ano. Alguns exemplos são o SSH.Connection.Brute.Force, uma tentativa de ataque de força bruta que consiste em várias solicitações de SSH destinadas a executar um login SSH de força bruta, lançado a uma velocidade de cerca de 200 vezes em 10 segundos. Outro exemplo é o SMB.Login.Brute.Force, uma detecção de pelo menos 500 logins SAMBA fracassados em um minuto, indicando um possível ataque de força bruta nos sistemas operacionais Microsoft Windows.

Com a transição maciça para o escritório em casa, os cibercriminosos encontram um número significativo de servidores RDP (Remote Desktop Protocol) configurados incorretamente, levando a mais ataques desse tipo.

O crescimento do trabalho remoto reacendeu o interesse dos cibercriminosos em ataques de força bruta, que são tentativas repetidas e sistemáticas de adivinhar uma credencial enviando diferentes nomes de usuário e senhas para tentar acessar um sistema.

Os ataques de força bruta são comumente usados para descriptografar algoritmos de criptografia ou obter senhas fracas, senhas de e-mail, credenciais de redes sociais, acesso Wi-Fi etc. O invasor tenta, através de mecanismos automáticos repetitivos, diversas tentativas quase simultâneas até alcançar o resultado bem-sucedido.

Campanhas de phishing maliciosas

Os resultados do Fortinet Threat Intelligence Insider Latin America para o primeiro semestre de 2020 revelam um aumento nas tentativas de atrair vítimas inocentes para acessar sites e links maliciosos ou fornecer informações pessoais por telefone sob o falso argumento da pandemia de covid-19 .

O FortiGuard Labs relatou um aumento significativo de vírus, muitos dos quais incluídos nesses anexos de phishing maliciosos.

Em abril, ocorreu o maior volume de campanhas de phishing por e-mail relacionadas à covid-19, foram mais de 4.250. O maior pico ocorreu em 2 de abril, quando a Fortinet relatou 330 campanhas de phishing por e-mail com o tema covid-19 em todo o mundo. Os números têm diminuído constantemente desde abril, com 3.590 campanhas de phishing por e-mail em maio e 2.841 em junho.

A maioria dos e-mails continha arquivos maliciosos .DOCX e .PDF anexados (.DOCX o mais alto), sendo as tentativas de ransomware as mais prevalentes.

Dicas

É essencial que as organizações tomem medidas para proteger seus funcionários remotos e para ajudá-los a proteger seus dispositivos e redes domésticas. Aqui estão algumas etapas fundamentais a serem consideradas:

Informe seus funcionários remotos e suas famílias sobre ameaças, como sites de phishing ou mal-intencionados, e sobre como detê-los. A Fortinet forneceu vários recursos gratuitos de treinamento para usuários, incluindo os dois primeiros níveis do nosso programa de treinamento NSE.
Revise suas ferramentas de segurança.
Verifique se os funcionários remotos possuem uma solução de conectividade VPN. Para uma segurança mais avançada, considere adicionar ferramentas para detectar e desativar ameaças ativas.
Verifique se a sede da sua empresa também está protegida, permitindo autenticação multifatorial. Considere também uma solução NAC para garantir que os dispositivos autenticados tenham acesso apenas aos recursos de rede necessários e para responder automaticamente aos dispositivos que estão se comportando de maneira anormal.
Como muitos ataques são baseados em phishing, é essencial que o seu gateway de e-mail seguro seja capaz de detectar e filtrar spam e ataques de phishing e remover anexos maliciosos.

A melhor maneira de mitigar ataques de força bruta é usar senhas fortes, mas usar senhas longas e complexas é apenas o primeiro passo para impedir esse tipo de ataque. É importante usar mecanismos de criptografia e que a organização limite o número de tentativas de login durante um determinado período, além de possuir outros mecanismos de autenticação robustos, como multifator, tokens ou validação de imagem (CAPTCHA).

Além disso, é importante investir em soluções de monitoramento e detecção capazes de identificar invasões de rede e comportamentos anômalos. A capacidade de responder automaticamente é crucial para evitar violações de dados.

Selecione o pais

Brazil

baixar PDF

FORTIGUARD AV TRENDS

Brazil AV TRENDS Q2-2020

Q2-2020 Top 10

Top	Nome	Contagem
1	W32/Banito.B!tr.bdr	124,016
2	W32/Agent.ASJK!tr	39,369
3	JS/Agent.ALV!tr.dldr	38,670
4	W32/Bancos.CFR!tr	38,058
5	HTML/Phish.GGB!tr	24,500
6	JS/Coinhive.A!tr	18,856
7	W32/Wintri!tr	14,922
8	W32/BHO.KB!tr	16,732
9	W32/Small.JRO!tr.dldr	14,922
10	JS/Mikrotik.Q!tr	13,862

Total top ten AV TRENDS:

347,683

W32/Banito.B!tr.bdr

é classificado como Trojan com propriedades de backdoor. O Trojan Backdoor tem a capacidade de receber uma conexão remota de um hacker mal-intencionado e executar ações contra o sistema comprometido.

W32/Agent.ASJK!tr

é classificado como um Trojan. Suas atividades geralmente incluem o estabelecimento de conexões de acesso remoto, captura de entrada do teclado, coleta de informações do sistema, download / upload de arquivos, descarte de outros malwares no sistema infectado, execução de ataques de negação de serviço (DoS) e execução / encerramento de processos.

JS/Agent.ALV!tr.dldr

é classificado como um Trojan de download. Um trojan de download é um tipo de malware capaz de baixar outros arquivos maliciosos ou uma versão atualizada de si mesmo.

FORTIGUARD IPS TRENDS

Brazil IPS TRENDS Q2-2020

Q2-2020 Top 10

Top	Nome	Contagem
1	SMB.Login.Brute.Force	372,539,453
2	SSL.Anonymous.Ciphers.Negotiation	235,506,942
3	Backdoor.DoublePulsar	222,825,289
4	SSH.Connection.Brute.Force	86,078,546
5	Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass	18,242,160
6	SIP.Register.Brute.Force	13,629,858
7	SSLv3.POODLE.Information.Disclosure	9,475,950
8	POP3.Login.Brute.Force	8,132,534
9	Web.Server.Password.Files.Access	7,981,289
10	SIPVicious.svcrack.Brute.Force.Login	6,354,807

Total top ten IPS TRENDS:

980,766,828

SMB.Login.Brute.Force

Indica a detecção de pelo menos 500 logins SAMBA com falha em um minuto, indicando um possível ataque de força bruta de logins SAMBA. Sistemas operacionais Microsoft Windows afetados.

SSL.Anonymous.Ciphers.Negotiation

Indica a detecção de negociação de cifras SSL anônimas. Os conjuntos de troca de chaves anônimas podem ter uma chance maior de ataques do tipo man-in-the-middle.

Backdoor.DoublePulsar

Indica a detecção do DoublePulsar Backdoor. Os trojans backdoor têm a capacidade de conectar hosts remotos e executar ações contra o sistema comprometido. O DoublePulsar Backdoor foi revelado pelos vazamentos do Shadow Brokers em março de 2017 e foi usado no ataque de ransomware WannaCry em maio de 2017.

FORTIGUARD BOTNET TRENDS

Brazil BOTNET TRENDS Q2-2020

Q2-2020 Top 10

Top	Nome	Contagem
1	Andromeda.Botnet	3,815,322
2	Zeroaccess.Botnet	1,642,128
3	Mirai.Botnet	1,277,172
4	XorDDOS.Botnet	772,759
5	Conficker.Botnet	704,881
6	Sality.Botnet	301,634
7	Torpig.Mebroot.Botnet	256,651
8	Dorkbot.Botnet	249,850
9	Emotet.Cridex.Botnet	222,015
10	Gozi.Botnet	219,705

Total top ten BOTNET TRENDS:

9,462,117

Andromeda.Botnet

O Andromeda é uma botnet usada para distribuir malware com diferentes recursos, dependendo do comando fornecido pelo servidor de comando e controle (C&C). O kit de ferramentas para essa botnet pode ser obtido na Internet subterrânea e está sendo constantemente atualizado.

Zeroaccess.Botnet

Isso indica que um sistema pode estar infectado pelo botnet ZeroAccess. Compromisso do sistema: invasores remotos podem obter controle de sistemas vulneráveis.

Mirai.Botnet

Isso indica que um sistema pode estar infectado pelo Mirai Botnet. Compromisso do sistema: atacantes remotos podem obter controle de sistemas IoT vulneráveis.