Tentativas de ataque de força bruta em ascensão
De acordo com o Fortinet Threat Intelligence Insider Latin America, os ataques de força bruta estão muito ativos na região e estão entre as tentativas de ataque de invasão mais frequentes no segundo trimestre do ano. Alguns exemplos são o SSH.Connection.Brute.Force, uma tentativa de ataque de força bruta que consiste em várias solicitações de SSH destinadas a executar um login SSH de força bruta, lançado a uma velocidade de cerca de 200 vezes em 10 segundos. Outro exemplo é o SMB.Login.Brute.Force, uma detecção de pelo menos 500 logins SAMBA fracassados em um minuto, indicando um possível ataque de força bruta nos sistemas operacionais Microsoft Windows.
Com a transição maciça para o escritório em casa, os cibercriminosos encontram um número significativo de servidores RDP (Remote Desktop Protocol) configurados incorretamente, levando a mais ataques desse tipo.
O crescimento do trabalho remoto reacendeu o interesse dos cibercriminosos em ataques de força bruta, que são tentativas repetidas e sistemáticas de adivinhar uma credencial enviando diferentes nomes de usuário e senhas para tentar acessar um sistema.
Os ataques de força bruta são comumente usados para descriptografar algoritmos de criptografia ou obter senhas fracas, senhas de e-mail, credenciais de redes sociais, acesso Wi-Fi etc. O invasor tenta, através de mecanismos automáticos repetitivos, diversas tentativas quase simultâneas até alcançar o resultado bem-sucedido.
Campanhas de phishing maliciosas
Os resultados do Fortinet Threat Intelligence Insider Latin America para o primeiro semestre de 2020 revelam um aumento nas tentativas de atrair vítimas inocentes para acessar sites e links maliciosos ou fornecer informações pessoais por telefone sob o falso argumento da pandemia de covid-19 .
O FortiGuard Labs relatou um aumento significativo de vírus, muitos dos quais incluídos nesses anexos de phishing maliciosos.
Em abril, ocorreu o maior volume de campanhas de phishing por e-mail relacionadas à covid-19, foram mais de 4.250. O maior pico ocorreu em 2 de abril, quando a Fortinet relatou 330 campanhas de phishing por e-mail com o tema covid-19 em todo o mundo. Os números têm diminuído constantemente desde abril, com 3.590 campanhas de phishing por e-mail em maio e 2.841 em junho.
A maioria dos e-mails continha arquivos maliciosos .DOCX e .PDF anexados (.DOCX o mais alto), sendo as tentativas de ransomware as mais prevalentes.
É essencial que as organizações tomem medidas para proteger seus funcionários remotos e para ajudá-los a proteger seus dispositivos e redes domésticas. Aqui estão algumas etapas fundamentais a serem consideradas:
A melhor maneira de mitigar ataques de força bruta é usar senhas fortes, mas usar senhas longas e complexas é apenas o primeiro passo para impedir esse tipo de ataque. É importante usar mecanismos de criptografia e que a organização limite o número de tentativas de login durante um determinado período, além de possuir outros mecanismos de autenticação robustos, como multifator, tokens ou validação de imagem (CAPTCHA).
Além disso, é importante investir em soluções de monitoramento e detecção capazes de identificar invasões de rede e comportamentos anômalos. A capacidade de responder automaticamente é crucial para evitar violações de dados.
Top | Nome | Contagem | |
---|---|---|---|
1 | W32/Banito.B!tr.bdr | 124,016 | |
2 | W32/Agent.ASJK!tr | 39,369 | |
3 | JS/Agent.ALV!tr.dldr | 38,670 | |
4 | W32/Bancos.CFR!tr | 38,058 | |
5 | HTML/Phish.GGB!tr | 24,500 | |
6 | JS/Coinhive.A!tr | 18,856 | |
7 | W32/Wintri!tr | 14,922 | |
8 | W32/BHO.KB!tr | 16,732 | |
9 | W32/Small.JRO!tr.dldr | 14,922 | |
10 | JS/Mikrotik.Q!tr | 13,862 |
é classificado como Trojan com propriedades de backdoor. O Trojan Backdoor tem a capacidade de receber uma conexão remota de um hacker mal-intencionado e executar ações contra o sistema comprometido.
é classificado como um Trojan. Suas atividades geralmente incluem o estabelecimento de conexões de acesso remoto, captura de entrada do teclado, coleta de informações do sistema, download / upload de arquivos, descarte de outros malwares no sistema infectado, execução de ataques de negação de serviço (DoS) e execução / encerramento de processos.
é classificado como um Trojan de download. Um trojan de download é um tipo de malware capaz de baixar outros arquivos maliciosos ou uma versão atualizada de si mesmo.
Top | Nome | Contagem | |
---|---|---|---|
1 | SMB.Login.Brute.Force | 372,539,453 | |
2 | SSL.Anonymous.Ciphers.Negotiation | 235,506,942 | |
3 | Backdoor.DoublePulsar | 222,825,289 | |
4 | SSH.Connection.Brute.Force | 86,078,546 | |
5 | Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass | 18,242,160 | |
6 | SIP.Register.Brute.Force | 13,629,858 | |
7 | SSLv3.POODLE.Information.Disclosure | 9,475,950 | |
8 | POP3.Login.Brute.Force | 8,132,534 | |
9 | Web.Server.Password.Files.Access | 7,981,289 | |
10 | SIPVicious.svcrack.Brute.Force.Login | 6,354,807 |
Indica a detecção de pelo menos 500 logins SAMBA com falha em um minuto, indicando um possível ataque de força bruta de logins SAMBA. Sistemas operacionais Microsoft Windows afetados.
Indica a detecção de negociação de cifras SSL anônimas. Os conjuntos de troca de chaves anônimas podem ter uma chance maior de ataques do tipo man-in-the-middle.
Indica a detecção do DoublePulsar Backdoor. Os trojans backdoor têm a capacidade de conectar hosts remotos e executar ações contra o sistema comprometido. O DoublePulsar Backdoor foi revelado pelos vazamentos do Shadow Brokers em março de 2017 e foi usado no ataque de ransomware WannaCry em maio de 2017.
Top | Nome | Contagem | |
---|---|---|---|
1 | Andromeda.Botnet | 3,815,322 | |
2 | Zeroaccess.Botnet | 1,642,128 | |
3 | Mirai.Botnet | 1,277,172 | |
4 | XorDDOS.Botnet | 772,759 | |
5 | Conficker.Botnet | 704,881 | |
6 | Sality.Botnet | 301,634 | |
7 | Torpig.Mebroot.Botnet | 256,651 | |
8 | Dorkbot.Botnet | 249,850 | |
9 | Emotet.Cridex.Botnet | 222,015 | |
10 | Gozi.Botnet | 219,705 |
O Andromeda é uma botnet usada para distribuir malware com diferentes recursos, dependendo do comando fornecido pelo servidor de comando e controle (C&C). O kit de ferramentas para essa botnet pode ser obtido na Internet subterrânea e está sendo constantemente atualizado.
Isso indica que um sistema pode estar infectado pelo botnet ZeroAccess. Compromisso do sistema: invasores remotos podem obter controle de sistemas vulneráveis.
Isso indica que um sistema pode estar infectado pelo Mirai Botnet. Compromisso do sistema: atacantes remotos podem obter controle de sistemas IoT vulneráveis.