Incidentes Notificados ao CERT.br
Período 1999–2020

Incidentes Reportados ao CERT.br -- janeiro a dezembro de 2020

Análise de alguns fatos de interesse observados neste período

---

O total de notificações recebidas pelo CERT.br em 2020 foi de 665.079. Este número foi 24% menor que o total do ano de 2019.

Segue uma breve análise de alguns fatos de interesse observados neste período, agrupados por categorias de incidentes:

Tentativas de Fraude

• As notificações de tentativas de fraude totalizaram 30.580 em 2020, correspondendo a uma queda de 22% em relação a 2019;
• Em 2020, as notificações de casos de páginas falsas de bancos e sites de comércio eletrônico (phishing clássico) diminuíram 24% em relação ao ano de 2019;
• Já as notificações de páginas falsas que não envolvem bancos e sites de comércio eletrônico tiveram um aumento de 35% em relação a 2019;
• No ano de 2020 recebemos 182 notificações de casos de phishing com temas relacionados com a COVID-19 como, por exemplo, auxílio emergencial e doações. As primeiras notificações foram recebidas no final de março e 90% delas ocorreram no primeiro semestre do ano;
• As notificações sobre Cavalos de Troia, utilizados para furtar informações e credenciais, tiveram uma queda de 60% em relação a 2019.

Ataques de Negação de Serviço

• Em 2020 recebemos 68.200 notificações sobre dispositivos que participaram de ataques de negação de serviço (DoS). Este número foi 77% menor que no ano de 2019;
• O maior número de notificações de DDoS foi de ataques do tipo UDP flood, gerados por botnets IoT, como Mirai e Bashlite, que infectam tanto dispositivos como DVRs quanto roteadores de banda larga;
• No ano de 2020, observou-se que menos de 1% dos casos de notificações de DoS envolveram protocolos de rede que podem ser utilizados como amplificadores, tais como: CHARGEN (19/UDP), DNS (53/UDP), NTP (123/UDP), SNMP (161/UDP), LDAP (389/TCP) e SSDP (1900/UDP). No ano de 2019 esses casos corresponderam a 21%;
• O baixo número de notificações envolvendo estes protocolos está alinhado com a evolução das estatísticas de notificações de IPs permitindo amplificação, cujos números diminuíram de 2018 para 2019, e que vem se mantendo no mesmo patamar desde então.

Varreduras e propagação de códigos maliciosos

• As notificações de varreduras somaram 398.057 no ano de 2020, correspondendo a uma queda de 3% em relação a 2019;
• Dentre as combinações de portas que mais sofreram varreduras, oito estão relacionadas com serviços que sofrem constantes ataques de força bruta de credenciais: SSH (22/TCP), SMTP (25/TCP), RDP (3389/TCP), TELNET (23/TCP), SMTPS (465/TCP), Mikrotik Winbox (8291/TCP), Mikrotik RouterOS API (8728/TCP) e IMAP (143/TCP);
• Os serviços SSH, TELNET, Mikrotik Winbox e Mikrotik RouterOS API são muito utilizados para acesso remoto a elementos de rede como switches e roteadores. SSH também é muito comum para acesso remoto a servidores Unix;
• As varreduras de SMTP são relativas a 3 tipos de abuso: tentativas de envio de spam com uso de dicionários de nomes de usuários, exploração de servidores de e-mail como open-relays e ataques de força bruta de credenciais de e-mail;
• As varreduras de IMAP e SMTPS também são relativas a ataques de força bruta para obtenção das credenciais de e-mail de usuários existentes nos sistemas atacados;
• Um conjunto de portas parece ser de varreduras direcionadas especificamente contra elementos de rede do fabricante Mikrotik. São as buscas por SSH (22/TCP), Mikrotik Winbox (8291/TCP) e Mikrotik RouterOS API (8728/TCP);
• As notificações de atividades relacionadas com a propagação de worms (categoria worm) totalizaram 134.040 em 2020, número 33% maior em comparação com 2019.

Ataques a servidores Web

• Ataques a servidores Web totalizaram 26.567 em 2020, um aumento de 19% em relação ao ano de 2019;
• Continuamos a observar, durante o ano de 2020, um grande número de notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System - CMS), tais como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação de senhas das contas de administração destes sistemas;
• Os ataques incluídos nesta categoria são as buscas por vulnerabilidades em aplicações Web para tentar comprometer estes sistemas e então realizar as mais diversas ações, tais como: hospedar páginas falsas de instituições financeiras, armazenar ferramentas utilizadas em ataques, realizar desfigurações e propagar spam e/ou scam.

Computadores comprometidos

• No ano de 2020, recebemos 1.212 notificações de máquinas comprometidas. Este total foi 130% maior do que o número de notificações recebidas em 2019;
• 60% das notificações de computadores comprometidos foram referentes a servidores Web que tiveram suas páginas desfiguradas (defacement);
• 28% das notificações foram referentes a contas de usuários ou de e-mail comprometidas e utilizadas para envio de mensagens de spam ou scam.

Outros incidentes reportados

• Recebemos, no primeiro semestre de 2020, 6.423 notificações que se enquadram na categoria "outros", número de casos quatro vezes maior do que o total do ano de 2019;
• Contabilizamos 378 notificações de servidores DNS maliciosos, utilizados como parte da infraestrutura para realização de fraudes financeiras. Este número é 66% maior que o número observado em 2019;
• Recebemos, neste período, notificações relativas a 3.488 servidores e elementos de rede no espaço Internet brasileiro que apresentavam vulnerabilidades graves (zero days), que poderiam ser exploradas remotamente. Todos os responsáveis foram contatados e receberam informações sobre como corrigir ou mitigar as vulnerabilidades.

---

Descrição das categorias de incidentes reportados ao CERT.br:

• worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
• dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
• invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
• web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
• scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
• fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
• outros: notificações de incidentes que não se enquadram nas categorias anteriores.

Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.