Resumen Ejecutivo

Intentos de ataque de fuerza bruta en aumento

Según el Fortinet Threat Intelligence Insider para América Latina, los ataques de fuerza bruta son muy
activos en la región y han estado entre los intentos de ataque de intrusión más frecuentes en el segundo
trimestre del año. Algunos ejemplos son SSH.Connection.Brute.Force, un intento de ataque de fuerza bruta
que consiste en múltiples solicitudes SSH destinadas a realizar un inicio de sesión SSH de fuerza bruta,
lanzado a una velocidad de aproximadamente 200 veces en 10 segundos. Otro ejemplo es
SMB.Login.Brute.Force, una detección de al menos 500 inicios de sesión SAMBA fallidos en un minuto, lo
que indica un posible ataque de fuerza bruta en los sistemas operativos Microsoft Windows.

Con la transición masiva a la oficina en casa, los ciberdelincuentes encuentran un número significativo de
servidores de Protocolo de Escritorio Remoto (RDP) mal configurados, lo que lleva a más ataques de este
tipo.

El crecimiento del trabajo remoto ha reavivado el interés de los ciberdelincuentes en los ataques de fuerza
bruta, que son intentos repetidos y sistemáticos de adivinar una credencial enviando diferentes nombres de
usuario y contraseñas para intentar acceder a un sistema.

Los ataques de fuerza bruta se usan comúnmente para descifrar algoritmos de cifrado u obtener
contraseñas débiles, contraseñas de correo electrónico, credenciales de redes sociales, acceso a Wi-Fi,
etc. El atacante intenta, a través de mecanismos automáticos, múltiples intentos repetidos hasta alcanzar el
resultado exitoso.

Campañas de phishing malicioso

Los resultados del Fortinet Threat Intelligence Insider Latin America para el primer semestre de 2020
revelan un aumento en los intentos de atraer a las víctimas desprevenidas a ir a sitios maliciosos, hacer clic
en enlaces maliciosos o proporcionar información personal por teléfono bajo los auspicios de la pandemia
de COVID-19.

FortiGuard Labs informó un aumento significativo de virus, muchos de los cuales están incluidos en estos
archivos adjuntos de phishing maliciosos.

En abril se registró el mayor volumen de campañas de phishing por correo electrónico relacionadas con
COVID-19 con más de 4.250. El pico más alto fue el 2 de abril, donde Fortinet informó 330 campañas de
phishing de correo electrónico sobre COVID-19 en todo el mundo. Los números han disminuido
constantemente desde abril, con 3.590 campañas de phishing por correo electrónico en mayo y 2.841 en
junio.

La mayoría de los correos electrónicos tenían archivos maliciosos adjuntos .DOCX y .PDF (siendo .DOCX el
más alto), siendo los intentos de ransomware el archivo adjunto más frecuente.
 Consejos

Es esencial que las organizaciones tomen medidas para proteger a sus trabajadores remotos y ayudarlos a asegurar sus
dispositivos y redes domésticas. Aquí hay algunos pasos críticos a considerar:

Capacite a sus trabajadores remotos, y a sus familias, sobre amenazas como phishing y sitios web maliciosos, y
cómo detenerlos. Fortinet ha dispuesto una serie de recursos de capacitación para usuarios de forma gratuita,
incluidos los dos primeros niveles de nuestro programa de capacitación NSE.
Realice una revisión de sus herramientas de seguridad.
Asegúrese de que los trabajadores remotos tengan una solución de conectividad VPN. Para una seguridad más
avanzada, considere agregar herramientas para detectar y desactivar las amenazas en vivo.
Asegúrese de que su sede corporativa también esté protegida, lo que permite la autenticación multifactor. Considere
también una solución NAC para garantizar que los dispositivos autenticados solo tengan acceso a los recursos de red
que requieren y para responder automáticamente a los dispositivos que se comportan de forma anómala.
Dado que tantos ataques están basados en phishing, es fundamental que su gateway de correo electrónico seguro
sea capaz de detectar y filtrar ataques de phishing y spam, y eliminar los archivos adjuntos maliciosos.
La mejor manera de mitigar los ataques de fuerza bruta es usar contraseñas robustas. Usar contraseñas largas y
complejas es solo el primer paso para prevenir este tipo de ataque. Es importante utilizar mecanismos de encriptación y
que la organización limite el número de intentos de inicio de sesión durante un cierto período, así como que habilite
otros mecanismos de autenticación robustos, como multifactor, tokens o validación de imágenes (CAPTCHA).

Además, es importante invertir en soluciones de monitoreo y detección capaces de identificar intrusiones de red y
comportamientos anómalos. La capacidad de responder automáticamente es crucial para evitar violaciones de datos.
 Colombia

FORTIGUARD AV TRENDS
Colombia AV TRENDS Q2-2020

Q2-2020 Top 10

Top Nombre Cuenta

1 Android/Clicker.MR!tr 89,278

2 W32/BitCoinMiner.BXPOTENTIALLYUNSAFE!tr 55,625

3 W32/Glupteba.B!tr 20,697

4 JS/Coinhive.A!tr 16,738

5 MSOffice/CVE_2017_11882.C!exploit 15,894

6 Android/Hiddad.XF!tr 15,726

7 W32/Bancos.CFR!tr 12,468

8 HTML/ScrInject.OCKK!tr 14,110

9 W32/Kryptik.GVSM!tr 12,468

10 HTML/Phishing.LT!tr 8,660

TOTAL TOP TEN AV TRENDS:

264,327
Android/Clicker.MR!tr
está clasificado como un troyano. Un troyano es un tipo de malware que realiza actividades sin el conocimiento del usuario. Estas actividades
comúnmente incluyen el establecimiento de conexiones de acceso remoto, capturar la entrada del teclado, recopilar información del sistema,
descargar / cargar archivos, colocar otro malware en el sistema infectado, realizar ataques de denegación de servicio (DoS) y ejecutar /
finalizar procesos.

W32/BitCoinMiner.BXPOTENTIALLYUNSAFE!tr
está clasificado como un troyano que realiza actividades sin el conocimiento del usuario. Estas actividades comúnmente incluyen el
establecimiento de conexiones de acceso remoto, capturar la entrada del teclado, recopilar información del sistema, descargar / cargar
archivos, colocar otro malware en el sistema infectado, realizar ataques de denegación de servicio (DoS) y ejecutar / finalizar procesos.

W32/Glupteba.B!tr
está clasificado como un troyano que realiza actividades sin el conocimiento del usuario. Estas actividades comúnmente incluyen el
establecimiento de conexiones de acceso remoto, capturar la entrada del teclado, recopilar información del sistema, descargar / cargar
archivos, colocar otro malware en el sistema infectado, realizar ataques de denegación de servicio (DoS) y ejecutar / finalizar procesos.
 FORTIGUARD IPS TRENDS
Colombia IPS TRENDS Q2-2020

Q2-2020 Top 10

Top Nombre Cuenta

1 SMB.Login.Brute.Force 818,269,247

2 Backdoor.DoublePulsar 129,655,273

3 MS.SMB.Server.Trans.Peeking.Data.Information.Disclosure 40,721,353

4 SSLv3.POODLE.Information.Disclosure 37,706,433

5 DirBuster.Web.Server.Scanner 25,831,090

6 Cisco.Adaptive.Security.Appliance.SIP.Handling.DoS 16,299,102

7 SIPVicious.svcrack.Brute.Force.Login 5,113,666

8 WordPress.xmlrpc.Pingback.DoS 1,476,200

9 Zivif.PR115-204-P-RS.Web.Cameras.Hardcoded.Password 1,367,699

10 MS.RDP.Connection.Brute.Force 502,641

TOTAL TOP TEN IPS TRENDS:

1,076,942,704
SMB.Login.Brute.Force
Esto indica una detección de al menos 500 inicios de sesión SAMBA fallidos en un minuto, lo que indica un posible ataque de fuerza bruta de
inicios de sesión SAMBA. Sistemas operativos Microsoft Windows afectados.

Backdoor.DoublePulsar
Esto indica la detección de DoublePulsar Backdoor. Los troyanos de puerta trasera tienen la capacidad de conectar hosts remotos y realizar
acciones contra el sistema comprometido. La puerta trasera DoublePulsar fue revelada por las filtraciones de Shadow Brokers en marzo de
2017 y se usó en el ataque del ransomware WannaCry en mayo de 2017.

MS.SMB.Server.Trans.Peeking.Data.Information.Disclosure
Esto indica un intento de ataque contra una vulnerabilidad de divulgación de información en el servidor SMB de Microsoft Windows. Un
atacante remoto puede explotar esto para obtener acceso no autorizado a información confidencial a través de la solicitud SMB diseñada.
Esta vulnerabilidad se ha incorporado a varias herramientas y se utiliza para escanear objetivos vulnerables que podrían verse afectados por
las vulnerabilidades relacionadas con la fuga de Shadow Brokers.
 FORTIGUARD BOTNET TRENDS
Colombia BOTNET TRENDS Q2-2020

Q2-2020 Top 10

Top Nombre Cuenta

1 Andromeda.Botnet 1,732,581

2 XorDDOS.Botnet 459,999

3 Mirai.Botnet 307,942

4 WSHRAT.Botnet 219,989

5 Remcos.Botnet 215,571

6 Emotet.Cridex.Botnet 212,249

7 Nitol.Botnet 195,494

8 Sality.Botnet 179,061

9 Xtreme.RAT.Botnet 150,273

10 Torpig.Mebroot.Botnet 123,720

TOTAL TOP TEN BOTNET TRENDS:

3,796,879
Andromeda.Botnet
Andromeda es una botnet que se usa para distribuir malware con diferentes capacidades, dependiendo del comando dado por su servidor
de comando y control (C&C). El kit de herramientas para esta botnet se puede obtener en Internet oscuro y se actualiza constantemente.

XorDDOS.Botnet
Esto indica que un sistema podría estar infectado por XorDDOS Botnet. XorDDOS es un troyano que realiza ataques DDOS en una IP y
puerto especificados.

Mirai.Botnet
Esto indica que un sistema podría estar infectado por Mirai Botnet. Compromiso del sistema: los atacantes remotos pueden obtener el
control de los sistemas de IoT vulnerables.