Incidentes Reportados ao CERT.br -- Julho a Setembro de 2012
Análise de alguns fatos de interesse observados neste período
O número total de notificações de incidentes no terceiro trimestre de
2012 foi um pouco maior que 155 mil, o que corresponde a um aumento de
36% em relação ao trimestre anterior e de 54% em relação ao mesmo
trimestre de 2011.
Segue uma análise de alguns fatos de interesse observados neste
período, agrupados em categorias distintas.
Tentativas de Fraude
- As notificações relacionadas a tentativas de fraudes
apresentaram queda de 19% em relação ao trimestre anterior e
crescimento de 78% em relação ao mesmo período de 2011;
- Em relação ao segundo trimestre de 2012, houve uma queda de 24%
no número de notificações de páginas falsas de instituições
financeiras e sites de comércio eletrônico (phishing clássico). Já
em relação ao mesmo período de 2011, o crescimento foi de 86%. O
phishing clássico continua representando mais da metade das
notificações desta categoria;
- As notificações sobre cavalos de Troia, utilizados para furtar
informações e credenciais, que representam 32% das notificações de
tentativas de fraudes, diminuíram 18% em relação ao segundo
trimestre de 2012 mas aumentaram 34% em relação ao terceiro
trimestre de 2011;
- Neste terceiro trimestre, observamos uma queda de 51% no número
de notificações de páginas falsas não relacionadas a serviços
financeiros ou comércio eletrônico em relação ao segundo trimestre
de 2012, entretanto, o número de notificações recebidas foi quase 3
vezes maior que o número de notificações recebidas no terceiro
trimestre de 2011.
Ataques a servidores Web
- As notificações sobre ataques a servidores Web diminuíram 32% em
relação ao trimestre anterior e mantiveram-se no mesmo patamar das
notificações do terceiro trimestre de 2011;
- Os atacantes exploram vulnerabilidades em aplicações Web para,
então, hospedar nesses sites páginas falsas de instituições
financeiras, cavalos de Troia, ferramentas utilizadas em ataques a
outros servidores Web e scripts para envio de spam ou scam.
Computadores comprometidos
- No terceiro trimestre de 2012 recebemos mais de 3.000
notificações de máquinas comprometidas. Este total foi 167% maior do
que o número de notificações recebidas no segundo trimestre de 2012
e quase 100 vezes maior que o número de notificações recebidas no
terceiro trimestre de 2011;
- A grande maioria das notificações de computadores comprometidos
foi referente a servidores Web que tiveram suas páginas desfiguradas
(defacement).
Varreduras e propagação de códigos maliciosos
- As notificações referentes a varreduras cresceram 148% em
relação ao trimestre anterior e aumentaram 192% em relação ao
terceiro trimestre de 2011;
- As notificações de varreduras SMTP (25/TCP) se mantiveram em
destaque, atingindo quase 70% do total, no trimestre anterior elas
atingiram quase 40% do total. A maior parte das reclamações foram
referentes a computadores brasileiros, conectados via banda larga,
que tentaram identificar relays abertos fora do Brasil, com o
intuito de posteriormente enviar spam;
- O serviço de RDP (3389/TCP) tem sido visado desde o terceiro
trimestre de 2011. Neste trimestre ele corresponde a 10% das
notificações, ultrapassando o SSH (22/TCP) com 5% das notificações
de incidentes de varredura. O serviço TELNET (23/TCP) ainda tem sido
visado e corresponde a pouco mais de 1% das notificações de
varreduras do terceiro trimestre de 2012. O número de notificações
sobre o serviço FTP (21/TCP) não foi significativo neste trimestre
em relação aos 10 scans mais frequentes;
- As notificações de atividades relacionadas com propagação de
worms e bots (categoria worm) totalizaram 8.946 incidentes neste
trimestre, representando uma queda de quase 2% em relação ao segundo
trimestre de 2012. No terceiro trimestre de 2012 as notificações
cresceram 29% em relação ao terceiro trimestre de 2011.
Outros incidentes reportados
- No terceiro trimestre de 2012 recebemos quase 22 mil
notificações que se enquadraram na categoria "outros",
correspondendo a um decréscimo de 34% em relação ao trimestre
anterior e a uma queda de 50% em relação ao mesmo período de 2011;
- As notificações desta categoria são em sua maioria relacionadas
a 2 tipos de incidentes: máquinas brasileiras tentando acessar
arquivos de configuração de códigos maliciosos e servidores Web
hospedando páginas maliciosas que infectam máquinas dos usuários
através do método "drive-by-download".
Descrição das categorias de incidentes reportados ao CERT.br:
- worm: notificações de atividades maliciosas relacionadas
com o processo automatizado de propagação de códigos maliciosos
na rede.
- dos (DoS -- Denial of Service): notificações de
ataques de negação de serviço, onde o atacante utiliza um
computador ou um conjunto de computadores para tirar de
operação um serviço, computador ou rede.
- invasão: um ataque bem sucedido que resulte no acesso
não autorizado a um computador ou rede.
- web: um caso particular de ataque visando
especificamente o comprometimento de servidores Web ou
desfigurações de páginas na Internet.
- scan: notificações de varreduras em redes de
computadores, com o intuito de identificar quais computadores
estão ativos e quais serviços estão sendo disponibilizados por
eles. É amplamente utilizado por atacantes para identificar
potenciais alvos, pois permite associar possíveis
vulnerabilidades aos serviços habilitados em um computador.
- fraude: segundo Houaiss, é "qualquer ato ardiloso,
enganoso, de má-fé, com intuito de lesar ou ludibriar outrem,
ou de não cumprir determinado dever; logro". Esta categoria
engloba as notificações de tentativas de fraudes, ou seja, de
incidentes em que ocorre uma tentativa de obter vantagem.
- outros: notificações de incidentes que não se enquadram
nas categorias anteriores.
Obs.: Vale lembrar que não se deve confundir scan com scam.
Scams (com "m") são quaisquer esquemas para enganar um usuário,
geralmente, com finalidade de obter vantagens financeiras. Ataques
deste tipo são enquadrados na categoria fraude.
$Date: 2017/02/13 20:18:40 $