Incidentes Reportados ao CERT.br -- janeiro a dezembro de 2019
Análise de alguns fatos de interesse observados neste período
O total de notificações recebidas pelo CERT.br em 2019 foi de 875.327,
número 29% maior que o total de 2018.
Segue uma breve análise de alguns fatos de interesse observados neste
período, agrupados por categorias de incidentes:
Ataques de Negação de Serviço
- No ano de 2019 recebemos 301.308 notificações sobre computadores que
participaram de ataques de negação de serviço (DoS). Este número foi
o maior da série histórica, sendo 90% maior que o número de
notificações recebidas em 2018;
- Em 2019, observou-se que 26% dos casos de notificações de DoS
envolveram protocolos de rede que podem ser utilizados como
amplificadores, tais como: CHARGEN (19/UDP), DNS (53/UDP), NTP
(123/UDP), SNMP (161/UDP), LDAP (389/TCP) e SSDP (1900/UDP). Em 2018
os casos que envolviam estes protocolos eram maioria e correspondiam
a mais de 70%.
- Esta queda em notificações envolvendo estes protocolos está
alinhada com a evolução
das estatísticas de notificações de
IPs permitindo amplificação. De julho de 2018 até dezembro de
2019 o número de IPs permitindo amplificação alocados ao Brasil
reduziu cerca de 60%.
- Em 2019 o maior número de notificações de DDoS foi de ataques do
tipo UDP flood, gerados por botnets IoT, como Mirai e Bashlite, que
infectam tanto dispositivos como DVRs quanto roteadores de banda
larga.
Tentativas de Fraude
- As notificações de tentativas de fraude totalizaram 39.419
incidentes em 2019, representando 87% de todas as notificações desta
categoria e correspondendo a um aumento de 5% em relação a 2018;
- Em 2019, as notificações de casos de páginas falsas de bancos e
sites de comércio eletrônico (phishing clássico) aumentaram 9% em
relação a 2018;
- As notificações sobre Cavalos de Troia, utilizados para furtar
informações e credenciais, tiveram uma queda de 31% em relação ao
ano de 2018;
- Em 2019, o número de notificações de casos de páginas falsas que não
envolvem bancos e sites de comércio eletrônico teve um aumento de 5%
em relação a 2018. Nesses casos estão incluídos os serviços de
webmail e redes sociais, por exemplo.
Varreduras e propagação de códigos maliciosos
- As notificações de varreduras somaram 409.748 em 2019,
correspondendo a um aumento de 3% em relação a 2018;
- Os serviços que podem sofrer ataques de força bruta continuam sendo
muito visados: SSH (22/TCP) com 37% das notificações de varreduras,
RDP (3389/TCP) com 2% e TELNET (23/TCP) com 1% das notificações em
2019;
- Destacamos desde 2018, com 9% das notificações de varredura em 2019,
o par de portas TELNET (23/TCP) e Winbox (8291/TCP) que parecem
visar elementos de rede do fabricante MikroTik;
- As varreduras de TELNET (23/TCP), bem como o par de varreduras
23/TCP e 2323/TCP, que continuam a ter destaque desde 2015,
correspondem a quase 2% das notificações e parecem visar
dispositivos IoT e equipamentos de rede alocados às residências de
usuários finais, tais como modems ADSL e cabo, roteadores Wi-Fi,
etc;
- As notificações de varreduras de SMTP (25/TCP), que em 2018
correspondiam a 24% de todas as varreduras, agora correspondem a
19%. A porta IMAP (143/TCP) corresponde a 2% das notificações;
- As varreduras de SMTP (25/TCP) são relativas a 3 tipos de abuso:
tentativas de envio de spam com uso de dicionários de nomes de
usuários; exploração de servidores de email como open-relays; e
ataques de força bruta para envio de mensagens utilizando
credenciais de usuários existentes nos sistemas atacados;
- As varreduras de IMAP (143/TCP) e Message Submission (587/TCP) são
relativas a ataques de força bruta para obtenção das credenciais de
usuários existentes nos sistemas atacados e posterior envio de email
utilizando as credenciais descobertas;
- As notificações de atividades relacionadas com a propagação de worms
(categoria worm) totalizaram 100.477 em 2019, número quase 3 vezes
maior em comparação com 2018.
Ataques a servidores Web
- No ano de 2019 houve uma queda de 46% nas notificações de ataques
a servidores Web em relação a 2018, totalizando 22.334
notificações;
- Os atacantes exploram vulnerabilidades em aplicações Web para
comprometer sistemas e então realizar as mais diversas ações, tais
como: hospedar páginas falsas de instituições financeiras; armazenar
ferramentas utilizadas em ataques; e propagar spam e/ou scam;
- Continuamos a observar, durante o ano de 2019, um grande número de
notificações de ataques de força bruta contra sistemas de
gerenciamento de conteúdo (Content Management System - CMS), tais
como WordPress e Joomla. Estes ataques foram, em sua maioria,
tentativas de adivinhação das senhas das contas de administração
destes sistemas.
Computadores comprometidos
- Em 2019, recebemos 527 notificações de máquinas comprometidas.
Este total foi 51% menor do que o número de notificações recebidas
em 2018;
- 96% das notificações de computadores comprometidos foram referentes
a servidores Web que tiveram suas páginas desfiguradas
(defacement).
Outros incidentes reportados
- Recebemos, em 2019, 1.514 notificações que se enquadram na
categoria "outros", número de casos somente um pouco maior do que o
total de 2018;
- Em 2019 recebemos 4 notificações de incidentes de segurança
envolvendo sequestro de rotas BGP (BGP hijacking) com objetivo de
perpetrar fraude financeira. Este número representou uma queda de
83% em relação a 2018.
Descrição das categorias de incidentes reportados ao CERT.br:
- worm: notificações de atividades maliciosas relacionadas
com o processo automatizado de propagação de códigos maliciosos
na rede.
- dos (DoS -- Denial of Service): notificações de
ataques de negação de serviço, onde o atacante utiliza um
computador ou um conjunto de computadores para tirar de
operação um serviço, computador ou rede.
- invasão: um ataque bem sucedido que resulte no acesso
não autorizado a um computador ou rede.
- web: um caso particular de ataque visando
especificamente o comprometimento de servidores Web ou
desfigurações de páginas na Internet.
- scan: notificações de varreduras em redes de
computadores, com o intuito de identificar quais computadores
estão ativos e quais serviços estão sendo disponibilizados por
eles. É amplamente utilizado por atacantes para identificar
potenciais alvos, pois permite associar possíveis
vulnerabilidades aos serviços habilitados em um computador.
- fraude: segundo Houaiss, é "qualquer ato ardiloso,
enganoso, de má-fé, com intuito de lesar ou ludibriar outrem,
ou de não cumprir determinado dever; logro". Esta categoria
engloba as notificações de tentativas de fraudes, ou seja, de
incidentes em que ocorre uma tentativa de obter vantagem.
- outros: notificações de incidentes que não se enquadram
nas categorias anteriores.
Obs.: Vale lembrar que não se deve confundir scan com scam.
Scams (com "m") são quaisquer esquemas para enganar um usuário,
geralmente, com finalidade de obter vantagens financeiras. Ataques
deste tipo são enquadrados na categoria fraude.
$Date: 2022/03/16 19:17:48 $