Incidentes Reportados ao CERT.br -- Abril a Junho de 2013
Análise de alguns fatos de interesse observados neste período
O número total de notificações de incidentes no segundo trimestre de 2013 foi um pouco maior que 83 mil, o que corresponde a uma queda de 8% em relação ao trimestre anterior e a uma queda de 27% em relação ao mesmo trimestre de 2012.
Abaixo segue uma análise de alguns fatos de interesse observados neste período, agrupados em categorias distintas:
Tentativas de Fraude
- As notificações relacionadas a tentativas de fraudes totalizaram 17.014, praticamente o mesmo número de notificações do trimestre anterior 17.079. Com relação ao segundo trimestre de 2012, o número de notificações apresentou uma queda de 23%.
- Em relação ao primeiro trimestre de 2013, houve um aumento de quase 10% no número de notificações de páginas falsas de bancos e sites de comércio eletrônico (phishing clássico). Já em relação ao mesmo período de 2012, a queda foi de quase 13%. O phishing clássico continua representando mais da metade das notificações desta categoria;
- As notificações sobre Cavalos de Troia, utilizados para furtar informações e credenciais, que representam quase 30% das notificações de tentativas de fraudes, diminuíram 15% em relação ao primeiro trimestre de 2013 e 28% em relação ao segundo trimestre de 2012;
- No segundo trimestre, observamos um crescimento de 3% no número de notificações de páginas falsas que não envolvem bancos ou comércio eletrônico, em relação ao primeiro trimestre de 2013. Já em comparação com o segundo trimestre de 2012 o número de notificações recebidas foi 74% menor.
Ataques a servidores Web
- As notificações sobre ataques a servidores Web cresceram 32% em relação ao trimestre anterior, mas foram 43% menores em relação ao mesmo período de 2012;
- Os atacantes exploram vulnerabilidades em aplicações Web para, então, hospedar nesses sites páginas falsas de instituições financeiras, Cavalos de Troia, ferramentas utilizadas em ataques a outros servidores Web e scripts para envio de spam ou scam.
- Neste trimestre também foi observado o aumento nas notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System - CMS), tais como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação das senhas das contas de administração destes sistemas.
Varreduras e propagação de códigos maliciosos
- As notificações referentes a varreduras reduziram 13% em relação ao trimestre anterior, mas o número de notificações foi praticamente idêntico ao do segundo trimestre de 2012;
- As notificações de varreduras SMTP (25/TCP) continuam em destaque, atingindo 34,5% do total, no trimestre anterior elas atingiram 46,8% do total. A maior parte das reclamações foram referentes a computadores de pequenas e médias empresas brasileiras, possivelmente infectados, que tentaram identificar relays abertos fora do Brasil, com o intuito de posteriormente enviar spam;
- Os serviços que podem sofrer ataques de força bruta continuam sendo visados. RDP (3389/tcp) correspondeu a 19% das notificações de varreduras do segundo trimestre de 2013. O serviço SSH (22/tcp) ainda tem sido visado e correspondeu a 16% das notificações de varreduras. As varreduras visando os serviços TELNET (23/TCP) e FTP (21/TCP) apresentaram queda e corresponderam, respectivamente, a 1,75% e a menos de 1% das notificações de varreduras do segundo trimestre de 2013;
- As varreduras de TELNET (23/TCP) parecem visar equipamentos de rede alocados às casas de clientes, tais como modems ADSL, cable modems, roteadores WiFi, etc.
- As notificações de atividades relacionadas com propagação de worms e bots (categoria worm) totalizaram 6.302 incidentes neste trimestre, um número de notificações 14% maior que o do trimestre anterior, que foi de 5.511. No segundo trimestre de 2013 as notificações foram quase 31% menores em relação ao segundo trimestre de 2012.
Computadores comprometidos
- No segundo trimestre de 2013 recebemos mais de 3.000 notificações de máquinas comprometidas. Este total foi 39% menor do que o número de notificações recebidas no primeiro trimestre de 2013, mas 172% maior que o número de notificações recebidas no segundo trimestre de 2012.
- A grande maioria das notificações de computadores comprometidos foi referente a servidores Web que tiveram suas páginas desfiguradas (defacement).
Outros incidentes reportados
- No segundo trimestre de 2013 recebemos um pouco mais de 12 mil notificações que se enquadraram na categoria "outros". O número de notificações deste trimestre apresentou uma queda de 11% com relação ao primeiro trimestre de 2013 e de 64% em relação ao mesmo período de 2012.
- Esta queda deve-se, principalmente, à diminuição no número de notificações de máquinas em redes brasileiras tentando acessar arquivos de configuração utilizados por códigos maliciosos. Foram cerca de 8.800 notificações com esta característica neste trimestre, o que corresponde a um decréscimo de 18% em relação às notificações recebidas no trimestre anterior e a uma queda de 72% em relação ao segundo trimestre de 2012;
- A maior parte dos códigos maliciosos conta com mecanismos de atualização de sua configuração ou de seu próprio código. Desde o início de 2012 um grupo Europeu vem fazendo um esforço em notificar todas as redes que possuem máquinas acessando arquivos de configuração ou atualização, de forma a alertar quem esteja com sistemas infectados. Este tipo de notificação figura na categoria Outros por não se enquadrar em nenhuma outra categoria já pré-definida pelo CERT.br.
Descrição das categorias de incidentes reportados ao CERT.br:
- worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
- dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
- invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
- web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
- scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
- fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
- outros: notificações de incidentes que não se enquadram nas categorias anteriores.
Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.