Incidentes Notificados ao CERT.br
Período 1999–2020

Incidentes Reportados ao CERT.br -- Julho a Setembro de 2011

Análise de alguns fatos de interesse observados neste período

---

O número total de notificações de incidentes no terceiro trimestre de 2011 foi um pouco superior a 100 mil, o que corresponde a uma queda de 21% em relação ao trimestre anterior, mas a um aumento de 152% em relação ao mesmo trimestre de 2010. A queda das notificações está relacionada a uma diminuição das notificações da categoria Outros.

A seguir, uma breve análise de alguns fatos de interesse observados neste período, agrupados em categorias distintas:

Tentativas de Fraude

• As notificações relacionadas a tentativas de fraude apresentaram um aumento de 3% em relação ao segundo trimestre e um aumento de 35% em relação ao mesmo período de 2010.
• Ocorreu um aumento de 16% no número de notificações de páginas falsas de bancos e de sites de comércio eletrônico (phishing clássico) em relação ao trimestre anterior, mas esta categoria sofreu um aumento de 45% em relação ao terceiro trimestre de 2010. O número de notificações de phishing clássico representam 53% das notificações de tentativas de fraude e passaram, em números absolutos, as notificações sobre Cavalos de Tróia, que agora representam 43% das notificações.
• As notificações sobre Cavalos de Tróia, que são utilizados para furtar informações e credenciais, representam 43% das notificações de tentativas de fraude. Esta categoria teve uma queda de 9% em relação ao trimestre anterior, mas sofreu um aumento de 18% em relação ao terceiro trimestre de 2010.

Ataques a servidores Web

• As notificações sobre ataques a servidores Web cresceram 85% em relação ao trimestre anterior e mais que dobraram em relação ao mesmo período de 2010. Esta tendência de crescimento, apesar de ocorrer desde 2007, tem se acelerado desde o primeiro trimestre de 2011.
• Na maioria das vezes as vulnerabilidades em aplicações Web são exploradas por atacantes para, então, nestes sites serem hospedados páginas falsas de instituições financeiras, Cavalos de Tróia, ferramentas utilizadas em ataques a outros servidores Web e scripts que podem infectar o computador de quem acessa o site, caso o navegador não esteja atualizado e na sua última versão (os chamados "drive-by downloads" ou "downloads involuntários").

Varreduras e propagação de códigos maliciosos

• As notificações de varreduras aumentaram 53% em relação ao segundo trimestre de 2011 e 30% em relação ao mesmo período de 2010.
• As notificações de varreduras SMTP (25/TCP) continuam em destaque, atingindo 57% do total das notificações. A maior parte das reclamações continuam sendo referentes a computadores em redes brasileiras, conectados via banda larga, que tentaram identificar relays abertos fora do Brasil, com intuito de enviar spam abusando destes relays.
• Os serviços que podem sofrer ataques de força bruta continuam entre os mais visados. Neste trimestre, além do SSH (22/TCP), que correspondeu a pouco mais de 12% das notificações, o outro serviço mais visado foi o RDP (3389/TCP), com quase 12%. Esse crescimento de varreduras por RDP coincidiu com a descoberta, nestre trimestre, de algumas vulnerabilidades neste serviço e com o aparecimento de ferramentas que automatizaram ataques de força bruta.
• Também é importante destacar que as varreduras pelo serviço SIP (5060/UDP), apesar de ainda contarem com cerca de 1%, passaram a figurar dentre as 10 mais reportadas. Este serviço é utilizado para estabelecer chamadas telefônicas via protocolo IP (VoIP).
• Varreduras por SIP, apesar de ainda pouco reportadas ao CERT.br, tem figurado desde 2009 dentre os serviços mais atacados, conforme registrado pelo Projeto Honeypots Distribuídos, mantido pelo CERT.br (https://honeytarg.cert.br/honeypots). O objetivo das varreduras pelo serviço SIP é encontrar sistemas VoIP ativos, tais como IP PBXs e gateways VoIP. Após essa fase inicial, o ataque em geral consiste em realizar força bruta de senhas nos ramais desses sistemas e, finalmente, usar o sistema abusado para originar ligações.

Outros incidentes reportados

• No terceiro trimestre de 2011 recebemos pouco mais de 44 mil notificações que se enquadraram na categoria Outros, correspondendo a um decréscimo de 50% em relação ao trimestre anterior.
• A queda nesta categoria deve-se, principalmente, à diminuição no número de notificações de máquinas em redes brasileiras tentando acessar arquivos de configuração utilizados por códigos maliciosos. Foram cerca de 43 mil notificações com esta característica neste trimestre o que corresponde a menos da metade das notificações recebidas no trimestre anterior (88 mil), um decréscimo de 51% entre estes dois períodos.
• A maior parte dos códigos maliciosos conta com mecanismos de atualização de sua configuração ou seu próprio código. Desde o início do ano um grupo Europeu vem fazendo um esforço em notificar todas as redes que possuem máquinas acessando arquivos de configuração ou atualização, de forma a alertar quem esteja com sistemas infectados. Este tipo de notificação figura na categoria Outros por não se enquadrar em nenhuma outra categoria já pré-definida pelo CERT.br.

---

Descrição das categorias de incidentes reportados ao CERT.br:

• worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
• dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
• invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
• web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
• scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
• fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
• outros: notificações de incidentes que não se enquadram nas categorias anteriores.

Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.