Incidentes Notificados ao CERT.br
Período 1999–2020

Incidentes Reportados ao CERT.br -- janeiro a junho de 2020

Análise de alguns fatos de interesse observados neste período

---

O total de notificações recebidas pelo CERT.br no primeiro semestre de 2020 foi de 318.697. Este número foi 2% menor que o total do segundo semestre do ano passado e 42% menor que o total recebido no mesmo período de 2019.

Segue uma breve análise de alguns fatos de interesse observados neste período, agrupados por categorias de incidentes:

Tentativas de Fraude

• As notificações de tentativas de fraude totalizaram 18.024 no primeiro semestre de 2020, correspondendo a uma queda de 35% em relação ao segundo semestre de 2019 e a um aumento de 54% em relação ao primeiro semestre;
• No primeiro semestre de 2020, as notificações de casos de páginas falsas de bancos e sites de comércio eletrônico (phishing clássico) diminuíram 38% em relação ao segundo semestre de 2019. Em relação ao mesmo período de 2019, tivemos um aumento de 59%;
• Já as notificações de páginas falsas que não envolvem bancos e sites de comércio eletrônico tiveram um aumento de 12% em relação ao segundo semestre de 2019 e de 140% em relação ao primeiro semestre. Nesses casos estão incluídos os serviços de documentos em nuvem, streaming de vídeo, webmail e redes sociais;
• No primeiro semestre de 2020 recebemos 165 notificações de casos de phishing com temas relacionados com a COVID-19 como, por exemplo, auxílio emergencial e doações. As primeiras notificações foram recebidas no final de março;
• As notificações sobre Cavalos de Troia, utilizados para furtar informações e credenciais, tiveram uma queda de 48% em relação ao segundo semestre e uma queda de 44% em relação ao primeiro semestre do último ano.

Ataques de Negação de Serviço

• No primeiro semestre de 2020 recebemos 46.164 notificações sobre dispositivos que participaram de ataques de negação de serviço (DoS). Este número foi 17% menor que no segundo semestre de 2019 e 81% menor do que no mesmo período de 2019;
• O maior número de notificações de DDoS foi de ataques do tipo UDP flood, gerados por botnets IoT, como Mirai e Bashlite, que infectam tanto dispositivos como DVRs quanto roteadores de banda larga;
• No primeiro semestre de 2020, observou-se que cerca de 1% dos casos de notificações de DoS envolveram protocolos de rede que podem ser utilizados como amplificadores, tais como: CHARGEN (19/UDP), DNS (53/UDP), NTP (123/UDP), SNMP (161/UDP), LDAP (389/TCP) e SSDP (1900/UDP). No ano de 2019 esses casos corresponderam a 26% no primeiro semestre e menos de 0,5% no segundo semestre;
• Esta queda em notificações envolvendo estes protocolos está alinhada com a evolução das estatísticas de notificações de IPs permitindo amplificação, cujos números diminuíram de 2018 para 2019, e que vem se mantendo no mesmo patamar desde então.

Varreduras e propagação de códigos maliciosos

• As notificações de varreduras somaram 187.440 no primeiro semestre de 2020, correspondendo a um aumento de 10% em relação ao segundo semestre de 2019 e a uma queda de 22% em relação ao primeiro semestre de 2019;
• Dentre as combinações de portas que mais sofreram varreduras, oito estão relacionadas com serviços que sofrem constantes ataques de força bruta de credenciais: SSH (22/TCP), SMTP (25/TCP), RDP (3389/TCP), TELNET (23/TCP), SMTPS (465/TCP), Mikrotik Winbox (8291/TCP), Mikrotik RouterOS API (8728/TCP) e IMAP (143/TCP);
• Os serviços SSH, TELNET, Mikrotik Winbox e Mikrotik RouterOS API são muito utilizados para acesso remoto a elementos de rede como switches e roteadores. SSH também é muito comum para acesso remoto a servidores Unix;
• As varreduras de SMTP são relativas a 3 tipos de abuso: tentativas de envio de spam com uso de dicionários de nomes de usuários, exploração de servidores de e-mail como open-relays e ataques de força bruta de credenciais de e-mail;
• As varreduras de IMAP e SMTPS também são relativas a ataques de força bruta para obtenção das credenciais e-mail de usuários existentes nos sistemas atacados;
• Dois conjuntos de portas parecem ser de varreduras direcionadas especificamente contra elementos de rede do fabricante Mikrotik. São eles as buscas por SSH (22/TCP), Mikrotik Winbox (8291/TCP) e Mikrotik RouterOS API (8728/TCP), e as buscas por TELNET (23/TCP) e Mikrotik Winbox (8291/TCP);
• As notificações de atividades relacionadas com a propagação de worms (categoria worm) totalizaram 55.645 no primeiro semestre de 2020, número 7% menor em comparação com o segundo semestre de 2019, e 37% maior se comparado ao primeiro semestre de 2019.

Ataques a servidores Web

• Ataques a servidores Web totalizaram 8.811 notificações no primeiro semestre de 2020, uma queda de 5% em relação ao segundo semestre e de 33% em relação ao mesmo período de 2019;
• Os atacantes exploram vulnerabilidades em aplicações Web para comprometer sistemas e então realizar as mais diversas ações, tais como: hospedar páginas falsas de instituições financeiras, armazenar ferramentas utilizadas em ataques e propagar spam e/ou scam;
• Continuamos a observar, durante o ano de 2020, um grande número de notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System - CMS), tais como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação de senhas das contas de administração destes sistemas.

Computadores comprometidos

• No primeiro semestre de 2020, recebemos 615 notificações de máquinas comprometidas. Este total foi 106% maior do que o número de notificações recebidas no segundo semestre de 2019 e 170% maior que em relacão ao primeiro semestre;
• 85% das notificações de computadores comprometidos foram referentes a servidores Web que tiveram suas páginas desfiguradas (defacement).

Outros incidentes reportados

• Recebemos, no primeiro semestre de 2020, 1.998 notificações que se enquadram na categoria "outros", número de casos 136% maior do que o total do segundo semestre de 2019 e 199% maior do que o total do primeiro semestre de 2019;
• Contabilizamos 254 notificações de servidores DNS maliciosos, utilizados como parte da infraestrutura para realização de fraudes financeiras. Este número é 5 vezes maior que o número observado no segundo semestre de 2019 e 43% maior do que o primeiro semestre de 2019;
• Recebemos, neste período, notificações relativas a 1.397 servidores e elementos de rede no espaço Internet brasileiro que apresentavam vulnerabilidades graves (zero days), que poderiam ser exploradas remotamente. Todos os responsáveis foram contatados e receberam informações sobre como corrigir ou mitigar as vulnerabilidades.

---

Descrição das categorias de incidentes reportados ao CERT.br:

• worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
• dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
• invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
• web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
• scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
• fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
• outros: notificações de incidentes que não se enquadram nas categorias anteriores.

Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.