Incidentes Notificados ao CERT.br
Período 1999–2020

Incidentes Reportados ao CERT.br -- janeiro a dezembro de 2013

Análise de alguns fatos de interesse observados neste período

---

O total de notificações recebidas em 2013 foi de 352.925, este número foi 24% menor que o total de 2012. O quarto trimestre de 2013 totalizou 88.345 notificações o que representa uma queda de 3% em relação ao trimestre anterior e a uma queda de 19% em relação ao quarto trimestre de 2012.

Segue uma breve análise de alguns fatos de interesse observados neste período, agrupados por categorias de incidentes:

Tentativas de Fraude

• As notificações de tentativas de fraude, em 2013, totalizaram 85.675, correspondendo a um aumento de 23% em relação a 2012. No quarto trimestre de 2013 foram contabilizadas 27.369 notificações, correspondendo a um aumento de 13% em relação ao terceiro trimestre de 2013 e a um crescimento de 70% em relação ao mesmo trimestre de 2012;
• As notificações de casos de páginas falsas de bancos e sites de comércio eletrônico (phishing clássico) em 2013 cresceram 44% em relação a 2012. No quarto trimestre de 2013 houve aumento de 6% em relação ao trimestre anterior e crescimento de 103% em relação ao quarto trimestre de 2012;
• As notificações sobre Cavalos de Troia, utilizados para furtar informações e credenciais, tiveram um crescimento de 4% em relação ao ano de 2012. Em relação ao trimestre anterior o número de notificações aumentou 8% e teve um aumento de 31% em relação ao mesmo trimestre de 2012;
• Notamos que em 2013 o número de notificações de casos de páginas falsas que não envolvem bancos e sites de comércio eletrônico teve uma queda de 49% em relação a 2012. No entanto, em relação ao trimestre anterior o aumento do número de notificações foi de 22% e em relação ao mesmo trimestre de 2012 o aumento foi de 130%;
• Em 2013 recebemos 5.068 notificações relacionadas a eventuais quebras de direitos autorais, este número foi 11% maior que o do ano de 2012. Com relação ao trimestre anterior houve um aumento de 111%, no entanto, o número de notificações foi apenas 26% maior em relação ao mesmo período de 2012.

Ataques a servidores Web

• No ano de 2013 houve uma diminuição de 27% nas notificações de ataques a servidores Web em relação a 2012, totalizando 18.721 notificações. Em relação ao trimestre anterior houve uma queda de 10% no número de notificações, e um aumento de 59% em relação ao quarto trimestre de 2012;
• Observamos, durante o ano de 2013, uma grande quantidade de notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System - CMS), tais como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação das senhas das contas de administração destes sistemas;
• Em geral os atacantes exploram vulnerabilidades em aplicações Web para, então, hospedar nesses sites páginas falsas de instituições financeiras, Cavalos de Troia, ferramentas utilizadas em ataques a outros servidores Web e scripts para envio de spam ou scam. Quando estes ataques tem sucesso, eles são enquadrados na categoria Invasão.

Varreduras e propagação de códigos maliciosos

• As notificações referentes a varreduras chegaram a 165.396 em 2013, representando uma diminuição de 29% se comparadas com 2012. No último trimestre de 2013 houve queda de 9% em relação ao trimestre anterior e uma queda de 43% em relação ao mesmo período de 2012;
• As notificações de varreduras de SMTP (25/TCP), que em 2012 eram 57% do total, continuam em destaque, mas agora correspondem a 35% de todas as varreduras. Vale observar, no entanto que o número absoluto das varreduras de SMTP caiu 76% nos últimos 12 meses, período em que foi implantada a gerência de porta 25. A queda entre 2012 e 2013 foi de quase 60%;
• Os serviços que podem sofrer ataques de força bruta continuam sendo visados. SSH (22/TCP) corresponde a 16% das notificações de varreduras de 2013 e a 22% das do último trimestre de 2013. Desde o terceiro trimestre de 2011 o serviço de RDP (3389/TCP) tem sido visado, correspondendo a 16% das notificações de varreduras de 2013 e a 10% das notificações do último trimestre de 2013. O serviço Telnet (23/TCP) ainda tem sido visado e corresponde a pouco menos de 4% das notificações de varreduras tanto do quarto trimestre quanto do ano de 2013;
• As varreduras de Telnet (23/TCP) parecem visar equipamentos de rede alocados às casas de usuários finais, tais como modems ADSL, cable modems, roteadores WiFi, etc.
• Observamos durante o ano de 2013 o crescimento em números absolutos de varreduras de SIP (5060/UDP). No ano de 2012 estas varreduras representavam menos que 0.7% do total, mas esse número saltou para 2.1% no ano de 2013, em valores absolutos a quantidade de incidentes de varreduras envolvendo a porta 5060/UDP mais que dobrou. No último trimestre de 2013 as notificações destas varreduras foram de 3.6% do total;
• O SIP é um protocolo de comunicação muito utilizado na transmissão de Voz sobre IP (VoIP). O protocolo SIP é amplamente utilizado por dispositivos multimídia e centrais telefônicas. Estudos apontam que boa parte das varreduras ao protocolo SIP procuram abusar a infraestrutura VoIP e utilizá-la de maneira indevida.
• As notificações de atividades relacionadas com propagação de worms e bots (categoria worm) totalizaram 27.979 em 2013, caindo 27% em comparação com 2012. No quarto trimestre de 2013 as notificações aumentaram 19% em relação ao trimestre anterior e 29% em relação ao quarto trimestre de 2012.

Computadores comprometidos

• Em 2013 recebemos 11.207 notificações de comprometimentos. Este total foi 43% maior do que o número de notificações recebidas em 2012. O número de notificações recebidas no quarto trimestre de 2013 foi 10% maior que o número de notificações recebidas no trimestre anterior, mas foi 21% menor que o mesmo trimestre de 2012;
• A grande maioria das notificações de computadores comprometidos foi referente a servidores Web que tiveram suas páginas desfiguradas (defacement).

Outros incidentes reportados

• Em 2013 recebemos 42.917 notificações que se enquadram na categoria "outros", correspondendo a um número 53% menor que o total de 2012 e 50% menor do que o último trimestre de 2012. O quarto trimestre apresentou uma queda de 34% em relação ao terceiro trimestre de 2013;
• A queda deve-se, principalmente, à diminuição no número de notificações de máquinas em redes brasileiras tentando acessar arquivos de configuração utilizados por códigos maliciosos. Foram cerca de 5.000 notificações com esta característica neste trimestre, o que corresponde a uma queda de 47% em relação às notificações recebidas no mesmo trimestre de 2012 e a uma queda de 15% em relação ao trimestre anterior;
• A maior parte dos códigos maliciosos conta com mecanismos de atualização de sua configuração ou seu próprio código. Desde o início de 2012 um grupo Europeu vem fazendo um esforço em notificar todas as redes que possuem máquinas acessando arquivos de configuração ou atualização, de forma a alertar quem esteja com sistemas infectados. Este tipo de notificação figura na categoria Outros por não se enquadrar em nenhuma outra categoria já pré-definida pelo CERT.br.

---

Descrição das categorias de incidentes reportados ao CERT.br:

• worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
• dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
• invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
• web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
• scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
• fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
• outros: notificações de incidentes que não se enquadram nas categorias anteriores.

Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.