Incidentes Reportados ao CERT.br -- janeiro a dezembro de 2014
Análise de alguns fatos de interesse observados neste período
O total de notificações recebidas em 2014 foi de 1.047.031, este número foi 197% maior que o total de 2013.
Segue uma breve análise de alguns fatos de interesse observados neste período, agrupados por categorias de incidentes:
Ataques de Negação de Serviço
- Recebemos, no ano de 2014, 223.935 notificações sobre computadores que participaram de ataques de negação de serviço (DoS). Este número foi 217 vezes maior que o número de notificações recebidas em 2013;
- Notamos que grande parte das notificações dos ataques de DoS envolvem protocolos de rede que podem ser utilizados como amplificadores, tais como: CHARGEN (19/UDP), DNS (53/UDP), NTP (123/UDP), SNMP (161/UDP) e SSDP (1900/UDP). Juntos, estes cinco protocolos correspondem a mais de 90% das notificações de DoS.
Tentativas de Fraude
- As notificações de tentativas de fraude, em 2014, totalizaram 467.621, número cinco vezes maior que o de 2013;
- As notificações de casos de páginas falsas de bancos e sites de comércio eletrônico (phishing clássico) em 2014 cresceram 80% em relação a 2013;
- As notificações sobre Cavalos de Troia, utilizados para furtar informações e credenciais, tiveram um crescimento de 4% em relação ao ano de 2013;
- Notamos que em 2014 o número de notificações de casos de páginas falsas que não envolvem bancos e sites de comércio eletrônico teve um aumento de 73% em relação a 2013. Nesses casos estão incluídos os serviços de webmail e redes sociais por exemplo;
- Em 2014 recebemos 340.374 notificações relacionadas a eventuais quebras de direitos autorais, este número foi sessenta e sete vezes maior que o do ano de 2013. A maior parte das notificações foram recebidas entre junho e novembro de 2014.
Ataques a servidores Web
- No ano de 2014 houve um aumento de 54% nas notificações de ataques a servidores Web em relação a 2013, totalizando 28.808 notificações;
- Os atacantes exploram vulnerabilidades em aplicações Web para, então, hospedar nesses sites páginas falsas de instituições financeiras, Cavalos de Troia, ferramentas utilizadas em ataques a outros servidores Web e scripts para envio de spam ou scam;
- Continuamos a observar durante o ano de 2014, uma grande quantidade de notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System - CMS), tais como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação das senhas das contas de administração destes sistemas.
Varreduras e propagação de códigos maliciosos
- As notificações referentes a varreduras chegaram a 263.659 em 2014, representando um aumento de 59% em comparação ao ano de 2013;
- As notificações de varreduras de SMTP (25/TCP), que em 2013 eram 35% do total, continuam em destaque e agora correspondem a 24% de todas as varreduras;
- Os serviços que podem sofrer ataques de força bruta continuam sendo visados. SSH (22/TCP) corresponde a 21% das notificações de varreduras de 2014, FTP (21/TCP) a 12% e TELNET (23/TCP) a 10%. Desde o terceiro trimestre de 2011 o serviço de RDP (3389/TCP) tem sido visado, correspondendo agora a 4% das notificações de varreduras de 2014;
- As varreduras de TELNET (23/TCP) parecem visar equipamentos de rede alocados às casas de clientes, tais como modems ADSL, cable modems, roteadores Wi-Fi, etc.
- Observamos durante o ano de 2014 o crescimento de varreduras de SIP (5060/UDP). No ano de 2012 representava menos que 0,7% do total de varreduras mas saltou para 2,1% no ano de 2013 e agora representa 2,3% das notificações recebidas;
- O SIP é um protocolo de comunicação muito utilizado na transmissão de Voz sobre IP (VoIP). O protocolo SIP é amplamente utilizado por dispositivos multimídias e centrais telefônicas. Estudos apontam que boa parte das varreduras ao protocolo SIP destinam-se a centrais telefônicas onde busca-se abusar a infraestrutura VoIP e utilizá-la de maneira indevida;
- As notificações de atividades relacionadas com a propagação de worms e bots (categoria worm) totalizaram 42.191 em 2014, aumentando 51% em comparação com 2013.
Computadores comprometidos
- Em 2014 recebemos 6.509 notificações de máquinas comprometidas. Este total foi 42% menor do que o número de notificações recebidas em 2013;
- A grande maioria das notificações de computadores comprometidos foi referente a servidores Web que tiveram suas páginas desfiguradas (defacement).
Outros incidentes reportados
- Em 2014 recebemos 14.308 notificações que se enquadram na categoria "outros", correspondendo a um número 67% menor que o total de 2013.
Descrição das categorias de incidentes reportados ao CERT.br:
- worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
- dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
- invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
- web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
- scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
- fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
- outros: notificações de incidentes que não se enquadram nas categorias anteriores.
Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.