Incidentes Reportados ao CERT.br -- janeiro a dezembro de 2018
Análise de alguns fatos de interesse observados neste período
O total de notificações recebidas em 2018 foi de 676.514, número 19% menor que o total de 2017.
Segue uma breve análise de alguns fatos de interesse observados neste período, agrupados por categorias de incidentes:
Ataques de Negação de Serviço
- No ano de 2018 recebemos 158.407 notificações sobre computadores que participaram de ataques de negação de serviço (DoS). Este número foi 28% menor que o número de notificações recebidas em 2017;
- Observou-se que mais de 70% dos casos de notificações de DoS envolvem protocolos de rede que podem ser utilizados como amplificadores, tais como: CHARGEN (19/UDP), DNS (53/UDP), NTP (123/UDP), SNMP (161/UDP), LDAP (389/TCP) e SSDP (1900/UDP).
Tentativas de Fraude
- As notificações de tentativas de fraude totalizaram 37.684 incidentes em 2018, correspondendo a uma queda de 36% em relação a 2017;
- Em 2018, as notificações de casos de páginas falsas de bancos e sites de comércio eletrônico (phishing clássico) caíram 38% em relação a 2017;
- As notificações sobre Cavalos de Troia, utilizados para furtar informações e credenciais, tiveram uma queda de 28% em relação ao ano de 2017;
- Em 2018, o número de notificações de casos de páginas falsas que não envolvem bancos e sites de comércio eletrônico teve uma queda de 32% em relação a 2017. Nesses casos estão incluídos os serviços de webmail e redes sociais, por exemplo.
Varreduras e propagação de códigos maliciosos
- As notificações de varreduras somaram 397.590 em 2018, correspondendo a uma queda de 10% com relação a 2017;
- Os serviços que podem sofrer ataques de força bruta continuam sendo muito visados: SSH (22/TCP) com 29% das notificações de varreduras, TELNET (23/TCP) com 6% e RDP (3389/TCP) com 2% das notificações em 2018;
- Destacamos em 2018, com 9% das notificações de varredura, o par de portas TELNET (23/TCP) e Winbox (8291/TCP) que parecem visar elementos de rede do fabricante MikroTik;
- As varreduras de TELNET (23/TCP), bem como o par de varreduras 23/TCP e 2323/TCP, que continuam a ter destaque desde 2015, correspondem a 7% das notificações e parecem visar dispositivos IoT e equipamentos de rede alocados às residências de usuários finais, tais como modems ADSL e cabo, roteadores Wi-Fi, etc;
- As notificações de varreduras de SMTP (25/TCP), que em 2017 correspondiam a 21% de todas as varreduras, agora correspondem a 24%. As portas Message Submission (587/TCP) e IMAP (143/TCP) correspondem respectivamente a 7% e 4% das notificações;
- As varreduras de SMTP (25/TCP) são relativas a 3 tipos de abuso: tentativas de envio de emails com uso de dicionários de nomes de usuários; exploração de servidores de email como open-relays; e ataques de força bruta para envio de mensagens utilizando credenciais de usuários existentes nos sistemas atacados;
- As varreduras de IMAP (143/TCP) e Message Submission (587/TCP) são relativas a ataques de força bruta para obtenção das credenciais de usuários existentes nos sistemas atacados e posterior envio de email utilizando as credenciais descobertas;
- As notificações de atividades relacionadas com a propagação de worms e bots (categoria worm) totalizaram 39.071 em 2018, queda de 13% em comparação com 2017.
Ataques a servidores Web
- No ano de 2018 houve uma queda de 32% nas notificações de ataques a servidores Web em relação a 2017, totalizando 41.193 notificações;
- Os atacantes exploram vulnerabilidades em aplicações Web para comprometer sistemas e então realizar as mais diversas ações, tais como: hospedar páginas falsas de instituições financeiras; armazenar ferramentas utilizadas em ataques; e propagar spam e/ou scam;
- Continuamos a observar, durante o ano de 2018, um grande número de notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System - CMS), tais como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação das senhas das contas de administração destes sistemas.
Computadores comprometidos
- Em 2018, recebemos 1.075 notificações de máquinas comprometidas. Este total foi 168% maior do que o número de notificações recebidas em 2017;
- Mais de 98% das notificações de computadores comprometidos foram referentes a servidores Web que tiveram suas páginas desfiguradas (defacement).
Outros incidentes reportados
- Recebemos, em 2018, 1.494 notificações que se enquadram na categoria "outros", correspondendo a um número 68% menor que o total de 2017;
- Em 2018 recebemos 23 notificações de incidentes de segurança envolvendo sequestro de rotas BGP (BGP hijacking) com objetivo de perpetrar fraude financeira. Este número representou um aumento de 28% em relação a 2017.
Descrição das categorias de incidentes reportados ao CERT.br:
- worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
- dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
- invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
- web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
- scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
- fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
- outros: notificações de incidentes que não se enquadram nas categorias anteriores.
Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.