Incidentes Reportados ao CERT.br -- Abril a Junho de 2011
Análise de alguns fatos de interesse observados neste período
O número total de notificações de incidentes no segundo trimestre de 2011 foi um pouco superior a 127 mil, o que corresponde a um aumento de 40% em relação ao trimestre anterior e de 287% em relação ao mesmo trimestre de 2010. Mantendo a tendência observada no primeiro trimestre de 2011, a alta das notificações está relacionada ao crescimento das notificações da categoria Outros.
A seguir, uma breve análise de alguns fatos de interesse observados neste período, agrupados em categorias distintas.
Tentativas de Fraude
- As notificações relacionadas a tentativas de fraude apresentaram uma queda de 6% em relação ao primeiro trimestre, mas um aumento de 21% em relação ao mesmo período de 2010.
- Houve uma queda de 12% no número de notificações de páginas falsas de bancos e de sites de comércio eletrônico (phishing clássico) em relação ao trimestre anterior, mas a categoria sofreu um aumento de 41% em relação ao segundo trimestre de 2010. Observamos que o número de notificações de phishing clássico, que representa 47% das notificações de tentativas de fraude, está semelhante ao número de notificações sobre cavalos de Tróia (48% das notificações).
- As notificações sobre cavalos de Tróia, utilizados para furtar informações e credenciais, representam 48% das notificações de tentativas de fraude. Esta categoria teve um crescimento de pouco mais de 3% em relação ao segundo trimestre de 2010 e um número de notificações praticamente igual ao do primeiro trimestre de 2011.
Ataques a servidores Web
- As notificações sobre ataques a servidores Web cresceram 14% em relação ao trimestre anterior e 69% em relação ao mesmo período de 2010.
- Os atacantes exploram vulnerabilidades em aplicações Web para, então, hospedar nesses sites páginas falsas de instituições financeiras, cavalos de Tróia, ferramentas utilizadas em ataques a outros servidores Web e scripts para envio de spam ou scam.
Varreduras e propagação de códigos maliciosos
- As notificações de varreduras reduziram 14% em relação ao primeiro trimestre de 2011, mas apresentaram um aumento de 28% em relação ao mesmo período de 2010.
- As notificações de varreduras SMTP (25/TCP) continuam em destaque, atingindo 33% do total, mantendo patamares semelhantes ao do trimestre anterior (38%). As reclamações em sua maior parte continuam sendo referentes a computadores brasileiros, conectados via banda larga, que tentaram identificar relays abertos fora do Brasil, com intuito de posteriormente enviar spam.
- Os serviços que podem sofrer ataques de força bruta, como SSH (22/TCP) e TELNET (23/TCP), ainda estão sendo muito visados, correspondendo a, respectivamente, 20% e 5% das notificações.
- Notificações de varreduras envolvendo o serviço de DNS (53/UDP e 53/TCP) chegaram quase a 23% das notificações de incidentes, se somados os valores relacionados a estas portas entre os 10 scans mais frequentes. Sozinha, a varredura de 53/UDP corresponde a 20% do total; em conjunto chegam a ultrapassar as varreduras por SSH (22/TCP).
- As notificações de atividades relacionadas com a propagação de worms totalizaram pouco mais de 3 mil, mesmo patamar das notificações do primeiro trimestre de 2011, mas apresentaram um decréscimo de 34% em relação ao mesmo período de 2010.
Outros incidentes reportados
- No segundo trimestre de 2011 recebemos mais de 89 mil notificações que se enquadram na categoria "outros", correspondendo a um acréscimo de 82% em relação ao primeiro trimestre de 2011 e de mais de 80 vezes em relação ao mesmo período de 2010.
- O crescimento desta categoria se deve ao acréscimo no número de notificações de máquinas brasileiras tentando acessar arquivos de configuração de códigos maliciosos. Recebemos mais de 88 mil notificações com esta característica neste trimestre, frente a mais de 48 mil no trimestre anterior, um aumento de 83% entre estes dois períodos.
- A maior parte dos códigos maliciosos conta com mecanismos para atualizar sua configuração e seu próprio código. Desde o início do ano um grupo Europeu está fazendo um esforço em notificar todas as redes que possuem máquinas acessando arquivos de configuração/atualização, de forma a alertar quem esteja com sistemas infectados. Por enquanto este tipo de notificação continuará a figurar na categoria Outros, por não se enquadrar em nenhuma outra categoria já pré-definida pelo CERT.br.
Descrição das categorias de incidentes reportados ao CERT.br:
- worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
- dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
- invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
- web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
- scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
- fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
- outros: notificações de incidentes que não se enquadram nas categorias anteriores.
Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.