Fortinet | Threat Intelligence Insider LATAM

Sumário Executivo

Os resultados do Fortinet Threat Intelligence Insider Latin America para o terceiro trimestre de 2019 revelam o aumento contínuo de malware, exploits e atividade de botnet na América Latina e no Caribe. As principais atividades incluem anúncios indesejados, criptojacking, intrusões de IoT, exploits de vulnerabilidades e malware para roubar informações dos usuários.

Quais são as áreas de risco?

Silos de rede, seções não visíveis ou sem gerenciamento de segurança integrado.
Software não recomendado com vulnerabilidades críticas expostas à Internet.
Dispositivos infectados ou propensos a problemas de infecções mais graves.
Usuários fazendo uso indevido de recursos, navegando em sites perigosos ou fazendo download de software não-legal.
Anúncios enganosos com malware.
Dispositivos IoT sem controle ou políticas de segurança adequadas.

Em relação às vulnerabilidades mais detectadas, o DoublePulsar, o backdoor usado pelo ransomware WannaCry, ainda é um mecanismo de distribuição de malware na América Latina. Considerando que ele aproveita as vulnerabilidades já resolvidas, seu uso contínuo evidencia a vasta área de cobertura de software sem atualizações na região, afetando empresas e indivíduos.

Diferentes variações de exploits de ransomware ainda são muito ativas na América Latina.

Como se defender contra esses múltiplos ataques?

Inventário de todos os dispositivos
Automatizar patches
Segmentar a rede
Rastrear ameaças
Estar atento aos indicadores de comprometimento
Fortalecer endpoints e pontos de acesso
Implementar controles de segurança
Usar segurança automatizada
Ter backup de sistemas críticos
Criar um ambiente de segurança integrado.

Botnets ainda levantam e provam de que os problemas comuns com os dispositivos da IoT continuam. Senhas fracas são o principal vetor de infecção do botnet Mirai. Milhões de dispositivos estão conectados e controlados para aumentar infecções e ataques de negação de serviços. As redes de bots estão evoluindo e hoje são capazes de infectar não apenas os consumidores, mas os dispositivos de IoT comerciais para usá-los como proxy para transações anônimas da dark web.

Durante o terceiro trimestre de 2019, um número crescente de tentativas de WIFICAM foi detectado na América Latina, um ataque que visa controlar as câmeras IP. Outro sinal do risco de que os dispositivos IoT funcionando sem proteção de rede adequada.

Quais são as implicações para dispositivos IoT comprometidos?
Ransomware e infecções por criptojacking.
Envolvimento dos dispositivos infectados em ataques DDoS ou SPAM, negando o acesso de toda a empresa aos serviços.
Roubo da senha ou informações críticas aos negócios.
Atividades ilegais na dark web.

O relatório também revela as infecções mais comuns na América Latina e no Caribe:

Trojans ou backdoors que permitem que o atacante assuma o controle total dos dispositivos infectados.
Vírus ou infecções de malware avançado para a exfiltração de informações, como senhas e usuários, entre outros.
Malware para a exploração de vulnerabilidades comuns que permitem o acesso remoto de invasores a dispositivos infectados.
Riskware, uso de software livre ou de origem não reconhecida que ofereça características do usuário como proteção, mas também viabiliza a possibilidade de infecções.

Dicas

Use senhas fortes ou gerenciadores de senhas para aplicações e acesso a dispositivos IoT, dispositivos SIP e aplicações
Atualize suas aplicações e infraestruturas regularmente.
Defina seus controles em cada um de seus perímetros, incluindo aplicações em nuvem.
Monitore e analise seus dados com Indicadores de Compromisso para obter visibilidade e impedir infecções comuns.
Proteja seu servidor SIP: Proteja o servidor SIP da Internet: seja mais restritivo em termos de quais extensões podem ser alcançadas com endereços IP externos.
Crie nomes de usuário diferentes das extensões: a maioria das tentativas de força bruta tenta nomes de usuários que correspondem aos números de extensão ou nomes de usuário comuns.
Proteja seus dispositivos IoT com defesa perimetral, incluindo controle de acesso e políticas de prevenção de intrusões.
Esteja sempre preparado para uma infecção ou exploit, reduza o impacto com planos e ações de recuperação para evitar danos.
Implemente uma estratégia de segurança integrada, use controles de segurança e segurança automatizada.

Selecione o pais

Costa Rica

baixar PDF

FORTIGUARD AV TRENDS

Costa Rica AV TRENDS Q3-2019

Q3-2019 Top 10

Top	Nome	Contagem
1	MSOffice/CVE_2017_11882.B!exploit	36,273
2	W32/Midgare.NFV!tr	36,216
3	Data/Phish.AF6A!phish	18,536
4	W32/Dorf.AGK!tr.dldr	14,454
5	W32/Buzus.ATVX!tr	10,929
6	W32/Dx.FV!tr	7,803
7	W32/Dropper!tr	4,044
8	W32/PcClient.AHFM!tr.bdr	7,516
9	W32/PECompact!tr	4,044
10	Adware/Abetterintrnt	3,636

Total top ten AV TRENDS:

146,964

MSOffice/CVE_2017_11882.B!exploit

Exploit Detecta documentos do Microsoft Office que podem estar explorando uma vulnerabilidade de corrupção de memória no executável EQNEDT32.EXE que pode ser chamado por meio de um conjunto anterior de produtos do Microsoft Office.

W32/Midgare.NFV!tr

É classificado como um Trojan. Um Trojan é um tipo de malware que executa atividades sem o conhecimento do usuário. Essas atividades geralmente incluem o estabelecimento de conexões de acesso remoto, captura de entrada do teclado, coleta de informações do sistema, download / upload de arquivos, colocação de outros malwares no sistema infectado, execução de ataques de negação de serviço (DoS) e execução / encerramento de processos.

Data/Phish.AF6A!phish

Campanha de phishing para roubar dados pessoais dos usuários

FORTIGUARD IPS TRENDS

Costa Rica IPS TRENDS Q3-2019

Q3-2019 Top 10

Top	Nome	Contagem
1	SIPVicious.SIP.Scanner	58,065,653
2	UPnP.SSDP.M.Search.Anomaly	46,102,040
3	Memcached.UDP.Amplification.Detection	14,884,401
4	Netcore.Netis.Devices.Hardcoded.Password.Secur...	12,529,498
5	SSL.Anonymous.Ciphers.Negotiation	8,150,148
6	Cisco.Adaptive.Security.Appliance.SIP.Handling...	7,576,689
7	VxWorks.WDB.Debug.Service.Version.Number.Scanner	5,931,841
8	Backdoor.DoublePulsar	4,544,085
9	SIPVicious.svcrack.Brute.Force.Login	345,906
10	WIFICAM.P2P.GoAhead.Multiple.Remote.Code.Execu...	170,553

Total top ten IPS TRENDS:

158,300,814

SIPVicious.SIP.Scanner

O SIPVicious é um scanner SIP. A assinatura detecta solicitações SIP do scanner a uma taxa de 200 por segundo. A taxa pode ser ajustada na CLI ou na GUI para atender às suas necessidades.

UPnP.SSDP.M.Search.Anomaly

Indica a detecção de uma tentativa de varredura usando pacotes UPnP SSDP M-Search. O Simple Service Discovery Protocol (SSDP) é um protocolo de rede para propaganda e descoberta de informações de serviços de rede. O SSDP é a base do protocolo de descoberta, Universal Plug and Play (UPnP). O SSDP usa HTTP sobre UDP para anunciar o estabelecimento ou retirada de informações de serviços para o grupo multicast. Um cliente que deseja descobrir os serviços disponíveis em uma rede usa o método M-SEARCH.

Memcached.UDP.Amplification.Detection

Indica uma tentativa de ataque contra uma falha de amplificação UDP no protocolo Memcached. A vulnerabilidade ocorre devido a um erro no aplicativo vulnerável ao lidar com uma série de solicitações criadas com códigos maliciosos. Um invasor pode explorar isso para causar uma condição de negação de serviço na máquina afetada por meio de solicitações criadas com códigos maliciosos.

FORTIGUARD BOTNET TRENDS

Costa Rica BOTNET TRENDS Q3-2019

Q3-2019 Top 10

Top	Nome	Contagem
1	Sora.Botnet	1,331,958
2	Zeroaccess.Botnet	259,736
3	Andromeda.Botnet	160,458
4	Pushdo.Botnet	116,577
5	Scarsi.Botnet	29,672
6	Emotet.Cridex.Botnet	29,485
7	Conficker.Botnet	19,569
8	Necurs.Botnet	15,237
9	Mirai.Botnet	13,813
10	Gozi.Botnet	12,127

Total top ten BOTNET TRENDS:

1,988,632

Sora.Botnet

Isso indica que um sistema pode estar infectado por um Sora Botnet. O Sora é um malware de IoT que visa sistemas embarcados.

Zeroaccess.Botnet

Indica que um sistema pode estar infectado pelo botnet ZeroAccess. Compromisso do sistema: invasores remotos podem obter controle de sistemas vulneráveis.

Andromeda.Botnet

Andromeda é um botnet usada para distribuir malware com diferentes recursos, dependendo do comando fornecido pelo seu servidor de comando e controle (C&C). O kit de ferramentas para esse botnet pode ser obtido no subsolo da Internet e está constantemente sendo atualizado.