Incidentes Reportados ao CERT.br -- janeiro a dezembro de 2016
Análise de alguns fatos de interesse observados neste período
O total de notificações recebidas em 2016 foi de 647.112, número 10% menor que o total de 2015.
Segue uma breve análise de alguns fatos de interesse observados neste período, agrupados por categorias de incidentes:
Ataques de Negação de Serviço
- Recebemos, no ano de 2016, 60.432 notificações sobre computadores que participaram de ataques de negação de serviço (DoS). Este número foi 138% maior que o número de notificações recebidas em 2015;
- A maior parte das notificações de ataques de DoS recebidas em 2016 correspondem a ataques originados por equipamentos de IoT (Internet das Coisas) infectados e fazendo parte de botnets.
- Observou-se, também, uma sensível queda no número de notificações de DoS que envolvem protocolos de rede que podem ser utilizados como amplificadores, tais como: CHARGEN (19/UDP), DNS (53/UDP), NTP (123/UDP), SNMP (161/UDP) e SSDP (1900/UDP).
Tentativas de Fraude
- As notificações de tentativas de fraude, em 2016, totalizaram 102.718, correspondendo a uma queda de 39% em relação à 2015;
- Já as notificações de casos de páginas falsas de bancos e sites de comércio eletrônico (phishing clássico) em 2016 aumentaram 37% em relação a 2015;
- As notificações sobre Cavalos de Troia, utilizados para furtar informações e credenciais, tiveram uma queda de 46% em relação ao ano de 2015;
- Em 2016 o número de notificações de casos de páginas falsas que não envolvem bancos e sites de comércio eletrônico teve uma diminuição de 18% em relação a 2015. Nesses casos estão incluídos os serviços de webmail e redes sociais, por exemplo;
- Em 2016 recebemos 521 notificações relacionadas a eventuais quebras de direitos autorais, este número foi 99% menor que o do ano de 2015.
Varreduras e propagação de códigos maliciosos
- As notificações de varreduras somaram 383.903 em 2016, mantendo-se nos patamares de 2015, com uma pequena diminuição de 2%;
- Os serviços que podem sofrer ataques de força bruta continuam sendo muito visados: TELNET (23/TCP) com 28% das notificações de varreduras em 2016, SSH (22/TCP) 20%, FTP (21/TCP) 3% e RDP (3389/TCP) 2% das notificações;
- As varreduras de TELNET (23/TCP), que voltaram a ter destaque a partir de 2015, parecem visar dispositivos IoT e equipamentos de rede alocados às residências de usuários finais, tais como modems ADSL e cabo, roteadores Wi-Fi, etc;
- As notificações de varreduras de SMTP (25/TCP), que em 2015 eram menos de 7% do total agora correspondem a 30% de todas as varreduras;
- As varreduras de SMTP (25/TCP) são relativas a 3 tipos de abuso: tentativas de envio de emails com uso de dicionarios de nomes de usuarios; exploração de servidores de email como open-relays; e ataques de força bruta para envio de mensagens utilizando credenciais de usuários existentes nos sistemas atacados;
Ataques a servidores Web
- No ano de 2016 houve uma diminuição de 16% nas notificações de ataques a servidores Web em relação a 2015, totalizando 55.441 notificações;
- Os atacantes exploram vulnerabilidades em aplicações Web para comprometer sistemas e então realizar as mais diversas ações, tais como: hospedar páginas falsas de instituições financeiras; armazenar ferramentas utilizadas em ataques; e propagar spam e/ou scam;
- Continuamos a observar durante o ano de 2016, notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System - CMS), tais como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação das senhas das contas de administração destes sistemas.
Computadores comprometidos
- Em 2016 recebemos 1.695 notificações de máquinas comprometidas. Este total foi 31% menor do que o número de notificações recebidas em 2015;
- A grande maioria das notificações de computadores comprometidos foi referente a servidores Web que tiveram suas páginas desfiguradas (defacement).
Outros incidentes reportados
- Em 2016 recebemos 14.675 notificações que se enquadram na categoria "outros", correspondendo a um número 30% menor que o total de 2015.
Descrição das categorias de incidentes reportados ao CERT.br:
- worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
- dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
- invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
- web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
- scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
- fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
- outros: notificações de incidentes que não se enquadram nas categorias anteriores.
Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.