Incidentes Notificados ao CERT.br
Período 1999–2020

Incidentes Reportados ao CERT.br -- janeiro a dezembro de 2019

Análise de alguns fatos de interesse observados neste período

---

O total de notificações recebidas pelo CERT.br em 2019 foi de 875.327, número 29% maior que o total de 2018.

Segue uma breve análise de alguns fatos de interesse observados neste período, agrupados por categorias de incidentes:

Ataques de Negação de Serviço

• No ano de 2019 recebemos 301.308 notificações sobre computadores que participaram de ataques de negação de serviço (DoS). Este número foi o maior da série histórica, sendo 90% maior que o número de notificações recebidas em 2018;
• Em 2019, observou-se que 26% dos casos de notificações de DoS envolveram protocolos de rede que podem ser utilizados como amplificadores, tais como: CHARGEN (19/UDP), DNS (53/UDP), NTP (123/UDP), SNMP (161/UDP), LDAP (389/TCP) e SSDP (1900/UDP). Em 2018 os casos que envolviam estes protocolos eram maioria e correspondiam a mais de 70%.
• Esta queda em notificações envolvendo estes protocolos está alinhada com a evolução das estatísticas de notificações de IPs permitindo amplificação. De julho de 2018 até dezembro de 2019 o número de IPs permitindo amplificação alocados ao Brasil reduziu cerca de 60%.
• Em 2019 o maior número de notificações de DDoS foi de ataques do tipo UDP flood, gerados por botnets IoT, como Mirai e Bashlite, que infectam tanto dispositivos como DVRs quanto roteadores de banda larga.

Tentativas de Fraude

• As notificações de tentativas de fraude totalizaram 39.419 incidentes em 2019, representando 87% de todas as notificações desta categoria e correspondendo a um aumento de 5% em relação a 2018;
• Em 2019, as notificações de casos de páginas falsas de bancos e sites de comércio eletrônico (phishing clássico) aumentaram 9% em relação a 2018;
• As notificações sobre Cavalos de Troia, utilizados para furtar informações e credenciais, tiveram uma queda de 31% em relação ao ano de 2018;
• Em 2019, o número de notificações de casos de páginas falsas que não envolvem bancos e sites de comércio eletrônico teve um aumento de 5% em relação a 2018. Nesses casos estão incluídos os serviços de webmail e redes sociais, por exemplo.

Varreduras e propagação de códigos maliciosos

• As notificações de varreduras somaram 409.748 em 2019, correspondendo a um aumento de 3% em relação a 2018;
• Os serviços que podem sofrer ataques de força bruta continuam sendo muito visados: SSH (22/TCP) com 37% das notificações de varreduras, RDP (3389/TCP) com 2% e TELNET (23/TCP) com 1% das notificações em 2019;
• Destacamos desde 2018, com 9% das notificações de varredura em 2019, o par de portas TELNET (23/TCP) e Winbox (8291/TCP) que parecem visar elementos de rede do fabricante MikroTik;
• As varreduras de TELNET (23/TCP), bem como o par de varreduras 23/TCP e 2323/TCP, que continuam a ter destaque desde 2015, correspondem a quase 2% das notificações e parecem visar dispositivos IoT e equipamentos de rede alocados às residências de usuários finais, tais como modems ADSL e cabo, roteadores Wi-Fi, etc;
• As notificações de varreduras de SMTP (25/TCP), que em 2018 correspondiam a 24% de todas as varreduras, agora correspondem a 19%. A porta IMAP (143/TCP) corresponde a 2% das notificações;
• As varreduras de SMTP (25/TCP) são relativas a 3 tipos de abuso: tentativas de envio de spam com uso de dicionários de nomes de usuários; exploração de servidores de email como open-relays; e ataques de força bruta para envio de mensagens utilizando credenciais de usuários existentes nos sistemas atacados;
• As varreduras de IMAP (143/TCP) e Message Submission (587/TCP) são relativas a ataques de força bruta para obtenção das credenciais de usuários existentes nos sistemas atacados e posterior envio de email utilizando as credenciais descobertas;
• As notificações de atividades relacionadas com a propagação de worms (categoria worm) totalizaram 100.477 em 2019, número quase 3 vezes maior em comparação com 2018.

Ataques a servidores Web

• No ano de 2019 houve uma queda de 46% nas notificações de ataques a servidores Web em relação a 2018, totalizando 22.334 notificações;
• Os atacantes exploram vulnerabilidades em aplicações Web para comprometer sistemas e então realizar as mais diversas ações, tais como: hospedar páginas falsas de instituições financeiras; armazenar ferramentas utilizadas em ataques; e propagar spam e/ou scam;
• Continuamos a observar, durante o ano de 2019, um grande número de notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System - CMS), tais como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação das senhas das contas de administração destes sistemas.

Computadores comprometidos

• Em 2019, recebemos 527 notificações de máquinas comprometidas. Este total foi 51% menor do que o número de notificações recebidas em 2018;
• 96% das notificações de computadores comprometidos foram referentes a servidores Web que tiveram suas páginas desfiguradas (defacement).

Outros incidentes reportados

• Recebemos, em 2019, 1.514 notificações que se enquadram na categoria "outros", número de casos somente um pouco maior do que o total de 2018;
• Em 2019 recebemos 4 notificações de incidentes de segurança envolvendo sequestro de rotas BGP (BGP hijacking) com objetivo de perpetrar fraude financeira. Este número representou uma queda de 83% em relação a 2018.

---

Descrição das categorias de incidentes reportados ao CERT.br:

• worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
• dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
• invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
• web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
• scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
• fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
• outros: notificações de incidentes que não se enquadram nas categorias anteriores.

Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.