Incidentes Notificados ao CERT.br
Período 1999–2020

Incidentes Reportados ao CERT.br -- Julho a Setembro de 2013

Análise de alguns fatos de interesse observados neste período

---

O número total de notificações de incidentes no terceiro trimestre de 2013 foi um pouco maior que 90 mil, o que corresponde a um aumento de 9% em relação ao trimestre anterior e a uma queda de quase 42% em relação ao mesmo trimestre de 2012.

Abaixo segue uma análise de alguns fatos de interesse observados neste período, agrupados em categorias distintas:

Tentativas de Fraude

• As notificações relacionadas a tentativas de fraudes totalizaram 24.213, correspondendo a um aumento de 42% em relação ao número de notificações do trimestre anterior de 17.014. Com relação ao terceiro trimestre de 2012, o número de notificações apresentou um aumento de 35%;
• Em relação ao segundo trimestre de 2013, houve um aumento de 41% no número de notificações de páginas falsas de bancos e sites de comércio eletrônico (phishing clássico). Já em relação ao mesmo período de 2012, o aumento foi de quase 63%. O phishing clássico continua representando mais da metade das notificações desta categoria;
• As notificações sobre Cavalos de Troia, utilizados para furtar informações e credenciais, que representam quase 25% das notificações de tentativas de fraudes, aumentaram 19% em relação ao segundo trimestre de 2013 e 5% em relação ao terceiro trimestre de 2012;
• No segundo trimestre, observamos um crescimento de 46% no número de notificações de páginas falsas que não envolvem bancos ou comércio eletrônico, em relação ao segundo trimestre de 2013. Já em comparação com o terceiro trimestre de 2012 o número de notificações recebidas foi 22% menor.

Ataques a servidores Web

• As notificações sobre ataques a servidores Web cresceram 4% em relação ao trimestre anterior e foram quase 13% menores em relação ao mesmo período de 2012;
• Os atacantes exploram vulnerabilidades em aplicações Web para, então, hospedar nesses sites páginas falsas de instituições financeiras, Cavalos de Troia, ferramentas utilizadas em ataques a outros servidores Web e scripts para envio de spam ou scam;
• Continuamos a observar neste trimestre, uma grande quantidade de notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System - CMS), tais como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação das senhas das contas de administração destes sistemas.

Varreduras e propagação de códigos maliciosos

• As notificações referentes a varreduras aumentaram 6% em relação ao trimestre anterior, mas o número de notificações sofreu uma queda de 57% em relação ao terceiro trimestre de 2012;
• As notificações de varreduras SMTP (25/TCP) continuam em destaque, atingindo 28,8% do total, contra 34,5% do trimestre anterior. Cabe ressaltar que as notificações deste tipo de varredura reduziram 82% nos últimos 12 meses, período em que foi implantada a gerência de porta 25 no país. A maior parte das reclamações foram referentes a computadores de pequenas e médias empresas brasileiras, possivelmente infectados, que tentaram identificar relays abertos fora do Brasil, com o intuito de posteriormente enviar spam;
• Os serviços que podem sofrer ataques de força bruta continuam sendo visados. RDP (3389/TCP) correspondeu a 16,77% das notificações de varreduras do terceiro trimestre de 2013. O serviço SSH (22/TCP) ainda tem sido visado e correspondeu a 14,59% das notificações de varreduras. As varreduras visando os serviços TELNET (23/TCP) e FTP (21/TCP) corresponderam, respectivamente, a 3,72% e a de 1,39% das notificações de varreduras do terceiro trimestre de 2013;
• As varreduras de TELNET (23/TCP) parecem visar equipamentos de rede alocados às casas de clientes, tais como modems ADSL, cable modems, roteadores Wi-Fi, etc.
• As notificações de atividades relacionadas com propagação de worms e bots (categoria worm) totalizaram 7.387 incidentes neste trimestre, um número de notificações 17% maior que o do trimestre anterior, que foi de 6.302. No terceiro trimestre de 2013 as notificações foram 17% menores em relação ao terceiro trimestre de 2012.

Computadores comprometidos

• No terceiro trimestre de 2013 recebemos mais de 1.400 notificações de máquinas comprometidas. Este total foi 52% menor que o número de notificações recebidas no segundo trimestre de 2013, e 51% menor que o número de notificações recebidas no terceiro trimestre de 2012;
• A grande maioria das notificações de computadores comprometidos foi referente a servidores Web que tiveram suas páginas desfiguradas (defacement).

Outros incidentes reportados

• No terceiro trimestre de 2013 recebemos um pouco mais de 10 mil notificações que se enquadraram na categoria "outros". O número de notificações deste trimestre apresentou uma queda de quase 15% em relação ao segundo trimestre de 2013 e de quase 53% em relação ao mesmo período de 2012;
• Esta queda deve-se, principalmente, à diminuição no número de notificações de máquinas em redes brasileiras tentando acessar arquivos de configuração utilizados por códigos maliciosos. Foram cerca de 5.900 notificações com esta característica neste trimestre, o que corresponde a um decréscimo de quase 33% em relação às notificações recebidas no trimestre anterior e a uma queda de 66% em relação ao terceiro trimestre de 2012;
• A maior parte dos códigos maliciosos conta com mecanismos de atualização de sua configuração ou de seu próprio código. Desde o início de 2012 um grupo Europeu vem fazendo um esforço em notificar todas as redes que possuem máquinas acessando arquivos de configuração ou atualização, de forma a alertar quem esteja com sistemas infectados. Este tipo de notificação figura na categoria Outros por não se enquadrar em nenhuma outra categoria já pré-definida pelo CERT.br.

---

Descrição das categorias de incidentes reportados ao CERT.br:

• worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
• dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
• invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
• web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
• scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
• fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
• outros: notificações de incidentes que não se enquadram nas categorias anteriores.

Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.