Incidentes Reportados ao CERT.br -- Abril a Junho de 2012
Análise de alguns fatos de interesse observados neste período
O número total de notificações de incidentes no segundo trimestre de 2012 foi um pouco maior que 114 mil, o que corresponde a um aumento de 30% em relação ao trimestre anterior e a uma queda de 10% em relação ao mesmo trimestre de 2011.
Abaixo segue uma análise de alguns fatos de interesse observados neste período, agrupados em categorias distintas.
Tentativas de Fraude
- As notificações relacionadas a tentativas de fraudes apresentaram crescimento de 65% em relação ao trimestre anterior e de 127% em relação ao mesmo período de 2011;
- Em relação ao primeiro trimestre de 2012, houve um aumento de 89% no número de notificações de páginas falsas de instituições financeiras e sites de comércio eletrônico (phishing clássico). Já em relação ao mesmo período de 2011, o crescimento foi de 184%. O phishing clássico continua representando mais da metade das notificações desta categoria;
- As notificações sobre cavalos de Troia, utilizados para furtar informações e credenciais, que representam 31% das notificações de tentativas de fraudes, cresceram 43% em relação ao primeiro trimestre de 2012 e 49% em relação ao segundo trimestre de 2011;
- Neste segundo trimestre, observamos um crescimento de quase 4% no número de notificações de páginas falsas não relacionadas a serviços financeiros ou comércio eletrônico em relação ao primeiro trimestre de 2012, entretanto, o número de notificações recebidas foi pouco mais de 5 vezes maior que o número de notificações recebidas no segundo trimestre de 2011.
Ataques a servidores Web
- As notificações sobre ataques a servidores Web cresceram 11% em relação ao trimestre anterior e 176% em relação ao mesmo período de 2011;
- Os atacantes exploram vulnerabilidades em aplicações Web para, então, hospedar nesses sites páginas falsas de instituições financeiras, cavalos de Troia, ferramentas utilizadas em ataques a outros servidores Web e scripts para envio de spam ou scam.
Computadores comprometidos
- No segundo trimestre de 2012 recebemos mais de 1.000 notificações de máquinas comprometidas. Este total foi quase 30% menor do que o número de notificações recebidas no primeiro trimestre de 2012 e quase 60 vezes maior que o número de notificações recebidas no segundo trimestre de 2011.
- A grande maioria das notificações de computadores comprometidos foi referente a servidores Web que tiveram suas páginas desfiguradas (defacement).
Varreduras e propagação de códigos maliciosos
- As notificações referentes a varreduras cresceram 43% em relação ao trimestre anterior e aumentaram 81% em relação ao segundo trimestre de 2011;
- As notificações de varreduras SMTP (25/TCP) continuam em destaque, atingindo quase 40% do total, no trimestre anterior elas atingiram quase 26% do total. A maior parte das reclamações foram referentes a computadores brasileiros, conectados via banda larga, que tentaram identificar relays abertos fora do Brasil, com o intuito de posteriormente enviar spam;
- Notificações relacionadas a servidores proxy, 8080/TCP e 1080/TCP também estão sendo visadas, correspondendo a cerca de 2% das notificações cada uma. Estes serviços também podem ser explorados para o envio de spam;
- O serviço de RDP (3389/TCP) tem sido visado desde o terceiro trimestre de 2011. Neste trimestre ele corresponde a 15% das notificações, ultrapassando o SSH (22/TCP) com 12% das notificações de incidentes de varredura. Os serviços TELNET (23/TCP) e FTP (21/TCP) ainda têm sido visados e correspondem a, respectivamente, quase 3% e menos de 1% das notificações de varreduras do segundo trimestre de 2012;
- As notificações de atividades relacionadas com propagação de worms e bots (categoria worm) totalizaram 9.115 incidentes neste trimestre, representando uma queda de 33% em relação ao primeiro trimestre de 2012. No segundo trimestre de 2012 as notificações quase triplicaram em relação ao segundo trimestre de 2011.
Outros incidentes reportados
- No segundo trimestre de 2012 recebemos um pouco mais de 33 mil notificações que se enquadraram na categoria "outros", correspondendo a um acréscimo de 44% em relação ao trimestre anterior e a uma queda de 62% em relação ao mesmo período de 2011;
- As notificações desta categoria são em sua maioria relacionadas a 2 tipos de incidentes: máquinas brasileiras tentando acessar arquivos de configuração de códigos maliciosos e servidores Web hospedando páginas maliciosas que infectam máquinas dos usuários através do método "drive-by-download".
Descrição das categorias de incidentes reportados ao CERT.br:
- worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
- dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
- invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
- web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
- scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
- fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
- outros: notificações de incidentes que não se enquadram nas categorias anteriores.
Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.