4IIA21-00044-01 CSIRT alerta de ataques de fuerza bruta contra SMTP

Resumen

 El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una serie de intentos de acceso a servidores de correos del sector público y privado. Estos ataques de fuerza bruta intentan vulnerar la autenticación del protocolo para transferencia simple de correos (SMTP) para suplantar a los remitentes originales para depositar correos con contenido o enlaces maliciosos en las bandejas de entrada de sus potenciales víctimas.

Indicadores de compromiso

IP Etiqueta de sistema autónomo
1 142.11.199.235 HOSTWINDS
2 31.130.184.68 Blue Diamond Network Co., Ltd.
3 31.130.184.95 Blue Diamond Network Co., Ltd.
4 31.130.184.62 Blue Diamond Network Co., Ltd.
5 31130184194 Blue Diamond Network Co., Ltd.
6 31.130.184.93 Blue Diamond Network Co., Ltd.
7 103.167.84.88 VIETSERVER SERVICES TECHNOLOGY COMPANY LIMITED
8 194.61.24.153 ERA LLC
9 194.61.24.154 ERA LLC
10 194.61.24.151 ERA LLC
11 194.61.24.155 ERA LLC
12 194.61.24.152 ERA LLC
13 45.144.225.200 ERA LLC

IP reportadas en informes anteriores y que aún se encuentran activas hasta la fecha de este reporte:

IP
1 5.188.206.155
2 5.188.206.158
3 5.188.206.98
4 5.188.206.100
5 5.188.206.102
6 5.188.206.154
7 5.188.206.101
8 5.188.206.156
9 5.188.206.157
10 5.188.206.99

Recomendaciones

  • Evaluar el bloqueo preventivo de los indicadores de compromisos.
  • Utilizar los registros SPF, DKIM y DMARC.
  • Revisar o configurar correctamente los filtros de antispam
  • Revisar los controles de seguridad de los antispam y sandboxing.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • No abrir correos ni mensajes de dudosa procedencia.
  • Desconfiar de los enlaces y archivos en los mensajes o correo.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas.

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 4IIA21-00044-01.

4IIA21-00044-01 CSIRT alerta de ataques de fuerza bruta contra SMTP