Incidentes Reportados ao CERT.br -- janeiro a dezembro de 2017
Análise de alguns fatos de interesse observados neste período
O total de notificações recebidas em 2017 foi de 833.775, número 29% maior que o total de 2016.
Segue uma breve análise de alguns fatos de interesse observados neste período, agrupados por categorias de incidentes:
Ataques de Negação de Serviço
- No ano de 2017 recebemos 220.188 notificações sobre computadores que participaram de ataques de negação de serviço (DoS). Este número foi quase 4 vezes maior que o número de notificações recebidas em 2016;
- A maioria das notificações de ataques de DoS foi recebida em julho de 2017, referente a um ataque originado por equipamentos de IoT (Internet das Coisas) infectados e fazendo parte de botnets.
Tentativas de Fraude
- As notificações de tentativas de fraude totalizaram 59.319 incidentes em 2017, correspondendo a uma queda de 42% em relação a 2016;
- Em 2017, as notificações de casos de páginas falsas de bancos e sites de comércio eletrônico (phishing clássico) caíram 46% em relação a 2016;
- As notificações sobre Cavalos de Troia, utilizados para furtar informações e credenciais, tiveram uma queda de 7% em relação ao ano de 2016;
- Em 2017, o número de notificações de casos de páginas falsas que não envolvem bancos e sites de comércio eletrônico teve um aumento de 6% em relação a 2016. Nesses casos estão incluídos os serviços de webmail e redes sociais, por exemplo.
Varreduras e propagação de códigos maliciosos
- As notificações de varreduras somaram 443.258 em 2017, correspondendo a um aumento de 15% com relação a 2016;
- Os serviços que podem sofrer ataques de força bruta continuam sendo muito visados: SSH (22/TCP) com 47% das notificações de varreduras, TELNET (23/TCP) com 9%, RDP (3389/TCP) com 2% e FTP (21/TCP) com 1% das notificações em 2017;
- As varreduras de TELNET (23/TCP), bem como o par de varreduras 23/TCP e 2323/TCP, que continuam a ter destaque desde 2015, correspondem a 14% das notificações e parecem visar dispositivos IoT e equipamentos de rede alocados às residências de usuários finais, tais como modems (ADSL, cabo e fibra), roteadores Wi-Fi, etc;
- As notificações de varreduras de SMTP (25/TCP), que em 2016 correspondiam a 30% de todas as varreduras, agora correspondem a 21%. As portas IMAP (143/TCP) e Message Submission (587/TCP) correspondem respectivamente a 3% e 1% das notificações;
- As varreduras de SMTP (25/TCP) são relativas a 3 tipos de abuso: tentativas de envio de e-mails com uso de dicionários de nomes de usuários; exploração de servidores de e-mail como open-relays; e ataques de força bruta para envio de mensagens utilizando credenciais de usuários existentes nos sistemas atacados;
- As varreduras de IMAP (143/TCP) e Message Submission (587/TCP) são relativas a ataques de força bruta para obtenção das credenciais de usuários existentes nos sistemas atacados e posterior envio de e-mail utilizando as credenciais descobertas;
- As notificações de atividades relacionadas com a propagação de worms e bots (categoria worm) totalizaram 45.101 em 2017, aumento de 60% em comparação com 2016.
Ataques a servidores Web
- No ano de 2017 houve um aumento de 10% nas notificações de ataques a servidores Web em relação a 2016, totalizando 60.766 notificações;
- Os atacantes exploram vulnerabilidades em aplicações Web para comprometer sistemas e então realizar as mais diversas ações, tais como: hospedar páginas falsas de instituições financeiras; armazenar ferramentas utilizadas em ataques; e propagar spam e/ou scam;
- Continuamos a observar, durante o ano de 2017, notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System - CMS), tais como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação das senhas das contas de administração destes sistemas.
Computadores comprometidos
- Em 2017 recebemos 401 notificações de máquinas comprometidas. Este total foi 76% menor do que o número de notificações recebidas em 2016;
- A maioria das notificações de computadores comprometidos foi referente a servidores Web que tiveram suas páginas desfiguradas (defacement).
Outros incidentes reportados
- Recebemos, em 2017, 4.742 notificações que se enquadram na categoria "outros", correspondendo a um número 68% menor que o total de 2016.
Descrição das categorias de incidentes reportados ao CERT.br:
- worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
- dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
- invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
- web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
- scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
- fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
- outros: notificações de incidentes que não se enquadram nas categorias anteriores.
Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.