Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • sebastianquintero54

PANORAMA DE CIBERAMENAZAS EN COLOMBIA Q4 2020

VULNERABILIDADES Y EXPLOITS

Se ha observado una gran ola de intentos de explotar una vulnerabilidad de ejecución remota de código contra ThinkPHP y PHPUnit, un marco web utilizado por una gran cantidad de desarrolladores web. La vulnerabilidad ThinkPHP se reveló en 2018 y, según MITRE, esta falla permite a los atacantes remotos ejecutar código PHP arbitrario mediante el uso de un error de ejecución de código remoto del parámetro de filtro que podría permitir a un atacante obtener acceso a un servidor vulnerable e instalar software malicioso, y se definió como CVE-2018-20062. Es importante mencionar que mantener actualizados sus servicios le ayuda a reducir el riesgo antes los exploits. Por lo tanto, si usa ThinkPHP versión 5 o versiones anteriores, debe aplicar la actualización o el parche más reciente del proveedor.

Además, detectamos solicitudes HTTP maliciosas para aprovechar una vulnerabilidad en varios productos de enrutadores D-Link que podrían permitir a atacantes remotos ejecutar comandos arbitrarios a través de una acción GetDeviceSettings en la interfaz HNAP y ejecutar comandos de shell arbitrarios con un encabezado HTTP especial. Esto podría ser una tendencia, ya que más personas trabajan desde sus hogares con menor protección y mayor acceso a datos corporativos. Tenga en cuenta cualquier dispositivo con los siguientes CVEs: CVE-2019-10891, CVE-2015-2051.

DETECCIONES DE MALWARE

Amenazas bien conocidas, como los correos electrónicos de phishing, se están extendiendo por América Latina con archivos HTML adjuntos que incluyen todas las variantes de señuelos de phishing basados en la web e intentan redirigir el navegador web a un sitio web de phishing que podría ser el vector inicial de una intrusión. Según Interpol, los ciberdelincuentes utilizan tácticas de ingeniería social para obtener información sobre los sistemas de pago corporativos y luego engañan a los empleados de la empresa para que transfieran dinero a sus cuentas bancarias. El malware basado en la web se convirtió en el vehículo más común para distribuir archivos maliciosos.

Se detectaron numerosas campañas de troyanos durante este período, que realizan actividades sin el conocimiento del usuario y, por lo general, incluyen el establecimiento de conexiones de acceso remoto, la captura de entrada de teclado, la recopilación de información del sistema, la descarga/carga de archivos y la colocación de otro malware en el sistema. Los activos infectados pueden realizar ataques de Denegación de Servicio (DoS) y ejecutar/eliminar procesos. Siendo JS/ScrInject.B! el más activo en la región durante este período.


ACTIVIDAD DE BOTNET

Como de costumbre, la botnet Mirai y la botnet Gh0st son las campañas más frecuentes, impulsadas por un interés creciente aparente por parte de los atacantes que apuntan a vulnerabilidades más antiguas en productos de IoT de consumo. Otro aspecto para destacar, es la botnet Andromeda, también conocida como Gamaru y Wauchos, las imágenes fijas aparecen como una de las botnets más detectadas en LATAM, a pesar de una importante operación de eliminación por parte de las fuerzas de seguridad en diciembre de 2017.

Hay algunas recomendaciones para detectar la actividad de las botnets en su red. Algunos síntomas posibles incluyen, pero no se limitan a:

  • Incapacidad para reiniciar la computadora en modo seguro

  • Incapacidad para abrir el editor de registro de Windows

  • Incapacidad para abrir el administrador de tareas de Windows

  • Modificación o eliminación de determinadas entradas de registro

  • Aumento significativo de la actividad del disco

  • Aumento significativo del tráfico de la red

  • Intentos de conexión a direcciones IP maliciosas conocidas

  • Creación de nuevos archivos y directorios con nombres confusos o aleatorios



CONCLUSIÓN

Los adversarios se están adaptando a esta nueva era de trabajo remoto con amenazas más sofisticadas y nuevas formas de ejecutar actividades maliciosas en los sistemas para aumentar sus tasas de éxito. Es por eso que debemos estar al tanto de cualquier correo electrónico y actividad sospechosa, e implementar y seguir todos los controles necesarios para mitigar el riesgo de intrusión o incumplimiento de las políticas de seguridad de nuestra organización.

Fuente:

https://www.fortiguardthreatinsider.com/es/bulletin/Q4-2020

7 vistas0 comentarios

Un Servidor en Quien Confiar

CONTACTO

contactodirecto@datayservice.com

PBX + 57 6 8812277

Calle 54 # 26-60

ZIP 170004

Manizales, Colombia

REDES

logo-facebook.png
linkedin_circle-512.webp
logo-instagram-1.png
D&S colores.png

 © Data&Service, todos los derechos reservados.