Incidentes Reportados ao CERT.br -- janeiro a dezembro de 2015
Análise de alguns fatos de interesse observados neste período
O total de notificações recebidas em 2015 foi de 722.205, este número foi 31% menor que o total de 2014.
Segue uma breve análise de alguns fatos de interesse observados neste período, agrupados por categorias de incidentes:
Ataques a servidores Web
- No ano de 2015 houve um aumento de 128% nas notificações de ataques a servidores Web em relação a 2014, totalizando 65.647 notificações;
- Os atacantes exploram vulnerabilidades em aplicações Web para, então, hospedar nesses sites páginas falsas de instituições financeiras, Cavalos de Troia, ferramentas utilizadas em ataques a outros servidores Web e scripts para envio de spam ou scam;
- Continuamos a observar durante o ano de 2015, uma grande quantidade de notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System - CMS), tais como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação das senhas das contas de administração destes sistemas.
Ataques de Negação de Serviço
- Recebemos, no ano de 2015, 25.360 notificações sobre computadores que participaram de ataques de negação de serviço (DoS). Este número foi 89% menor que o número de notificações recebidas em 2014;
- As notificações dos ataques de DoS recebidas em 2015 continuam a envolver protocolos de rede que podem ser utilizados como amplificadores, tais como: CHARGEN (19/UDP), DNS (53/UDP), NTP (123/UDP), SNMP (161/UDP) e SSDP (1900/UDP).
Tentativas de Fraude
- As notificações de tentativas de fraude, em 2015, totalizaram 168.775, correspondendo à uma queda de 64% em relação à 2014;
- As notificações de casos de páginas falsas de bancos e sites de comércio eletrônico (phishing clássico) em 2015 diminuíram 32% em relação a 2014;
- As notificações sobre Cavalos de Troia, utilizados para furtar informações e credenciais, tiveram uma queda de 59% em relação ao ano de 2014;
- Notamos que em 2015 o número de notificações de casos de páginas falsas que não envolvem bancos e sites de comércio eletrônico teve um aumento de 19% em relação a 2014. Nesses casos estão incluídos os serviços de webmail e redes sociais, por exemplo;
- Em 2015 recebemos 86.619 notificações relacionadas a eventuais quebras de direitos autorais, este número foi 75% menor que o do ano de 2014.
Varreduras e propagação de códigos maliciosos
- As notificações referentes a varreduras chegaram a 391.223 em 2015, representando um aumento de 48% em comparação ao ano de 2014;
- As notificações de varreduras de TELNET (23/TCP) ganharam destaque em 2015, correspondendo a 22% do total de notificações de varreduras. Em 2014 eram 10% do total;
- As varreduras de TELNET (23/TCP) parecem visar equipamentos de rede alocados às residências de usuários finais, tais como modems ADSL e cabo, roteadores Wi-Fi, etc;
- As notificações de varreduras de SMTP (25/TCP), que em 2014 eram 24% do total, perderam o destaque e agora correspondem a menos de 7% de todas as varreduras;
- Os serviços que podem sofrer ataques de força bruta continuam sendo visados. SSH (22/TCP) corresponde a 28% das notificações de varreduras de 2015, FTP (21/TCP) a 7% e RDP (3389/TCP) a 3%;
- Varreduras de SIP (5060/UDP) continuam sendo visadas e no ano de 2015 corresponderam a 2% das notificações recebidas;
- O SIP é um protocolo de comunicação muito utilizado na transmissão de Voz sobre IP (VoIP). O protocolo SIP é amplamente utilizado por dispositivos multimídias e centrais telefônicas. Estudos apontam que boa parte das varreduras ao protocolo SIP destinam-se a centrais telefônicas onde busca-se abusar a infraestrutura VoIP e utilizá-la de maneira indevida;
- As notificações de atividades relacionadas com a propagação de worms e bots (categoria worm) totalizaram 47.722 em 2015, aumentando 13% em comparação com 2014.
Computadores comprometidos
- Em 2015 recebemos 2.457 notificações de máquinas comprometidas. Este total foi 62% menor do que o número de notificações recebidas em 2014;
- A grande maioria das notificações de computadores comprometidos foi referente a servidores Web que tiveram suas páginas desfiguradas (defacement).
Outros incidentes reportados
- Em 2015 recebemos 21.021 notificações que se enquadram na categoria "outros", correspondendo a um número 47% maior que o total de 2014.
Descrição das categorias de incidentes reportados ao CERT.br:
- worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
- dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
- invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
- web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
- scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
- fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
- outros: notificações de incidentes que não se enquadram nas categorias anteriores.
Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.