Alerta de seguridad
Nivel de peligrosidad: Alto
Descripción
Un actor de amenaza está realizando ataques de Denegación de Servicio Distribuido (DDoS) a sitios web gubernamentales. En el análisis realizado por el Centro de Gestión de Incidentes Informáticos se evidencia que el ataque se origina de más de dos mil direcciones IPs usando dispositivos infectados. Los ataques afectaron la disponibilidad del servicio en lapsos no mayores a 5 minutos. Sin embargo estos podrían repetirse y prolongarse.
Recursos afectados
Sitios web de instituciones gubernamentales
Indicadores de compromiso
Revise la lista de direcciones IPs involucradas en el ataque.
Entre las actividades maliciosas relacionadas con las IPs, se identificaron:
IP | Actividad maliciosa relacionada |
98.8.35.1 | Exploración de Servicios e Intentos de Accesos No Autorizados |
208.87.243.199 | DDoS |
177.69.237.60 | SSH Fuerza Bruta |
114.31.8.202 | Enumeración de usuarios de correo electrónico |
119.92.245.219 | IoT Malware |
160.20.38.10 | DDoS |
80.48.183.166 | IoT Malware |
101.255.209.242 | DDoS |
66.29.138.31 | IoT Malware |
103.73.164.190 | IoT Malware |
139.159.102.236 | IoT Malware |
103.208.102.58 | DDoS |
202.148.15.90 | DDoS |
Recomendaciones
- Monitorear el tráfico de red para detectar actividad inusual, asimismo el monitoreo de servicios, aplicaciones y sistemas críticos
- Bloquear las direcciones IPs involucradas en el ataque
- Correlacionar la lista de direcciones IP involucradas en el ataque con el tráfico de red del firewall y logs de aplicaciones. Si se evidencia actividad, bloquear las IPs
- En caso de detectar el ataque, evaluar la posibilidad de restringir el tráfico de red sólo a Bolivia.
- Limitar la cantidad de conexiones permitidas por segundo desde una misma IP, en base a datos de cantidad normal o esperada y bloquear si se supera este límite.
Referencias
La información será actualizada a medida que se cuente con más datos sobre el actor de amenaza e indicadores de compromiso.
Centro de Gestión de Incidentes Informáticos