O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) anunciou que, em 2019, recebeu 875.327 notificações de incidentes de segurança, número 29% maior que o total de 2018. Na apuração dos fatos observados de janeiro a dezembro do ano passado, o CERT.br recebeu 301.308 notificações sobre computadores que participaram de ataques de negação de serviços (DDoS), o que representa o maior número da série histórica, avançando 90% sobre o ano anterior.
De acordo com o levantamento, o maior número de notificações de DDoS foi de ataques do tipo UDP flood, gerados por botnets IoT, como Mirai e Bashlite, que infectam tanto dispositivos como DVRs quanto roteadores de banda larga.
No campo das fraudes, as notificações totalizaram 39.419 incidentes em 2019, representando 87% de todas as notificações desta categoria e correspondendo a um aumento de 5% em relação a 2018.
As notificações de casos de páginas falsas de bancos e sites de comércio eletrônico (phishing clássico) aumentaram 9% em relação a 2018, enquanto os Cavalos de Troia, utilizados para furtar informações e credenciais, tiveram uma queda de 31% em relação ao ano anterior.
Em 2019, o número de notificações de casos de páginas falsas que não envolvem bancos e sites de comércio eletrônico teve um aumento de 5% em relação a 2018. Nesses casos estão incluídos os serviços de webmail e redes sociais, por exemplo.
Códigos maliciosos
· As notificações de varreduras somaram 409.748 em 2019, correspondendo a um aumento de 3% em relação a 2018;
· Os serviços que podem sofrer ataques de força bruta continuam sendo muito visados: SSH (22/TCP) com 37% das notificações de varreduras, RDP (3389/TCP) com 2% e TELNET (23/TCP) com 1% das notificações em 2019;
· Destacamos desde 2018, com 9% das notificações de varredura em 2019, o par de portas TELNET (23/TCP) e Winbox (8291/TCP) que parecem visar elementos de rede do fabricante MikroTik;
· As varreduras de TELNET (23/TCP), bem como o par de varreduras 23/TCP e 2323/TCP, que continuam a ter destaque desde 2015, correspondem a quase 2% das notificações e parecem visar dispositivos IoT e equipamentos de rede alocados às residências de usuários finais, tais como modems ADSL e cabo, roteadores Wi-Fi, etc;
· As notificações de varreduras de SMTP (25/TCP), que em 2018 correspondiam a 24% de todas as varreduras, agora correspondem a 19%. A porta IMAP (143/TCP) corresponde a 2% das notificações;
· As varreduras de SMTP (25/TCP) são relativas a 3 tipos de abuso: tentativas de envio de spam com uso de dicionários de nomes de usuários; exploração de servidores de email como open-relays; e ataques de força bruta para envio de mensagens utilizando credenciais de usuários existentes nos sistemas atacados;
· As varreduras de IMAP (143/TCP) e Message Submission (587/TCP) são relativas a ataques de força bruta para obtenção das credenciais de usuários existentes nos sistemas atacados e posterior envio de email utilizando as credenciais descobertas;
· As notificações de atividades relacionadas com a propagação de worms (categoria worm) totalizaram 100.477 em 2019, número quase 3 vezes maior em comparação com 2018.
Ataques a servidores Web
· No ano de 2019 houve uma queda de 46% nas notificações de ataques a servidores Web em relação a 2018, totalizando 22.334 notificações;
· Os atacantes exploram vulnerabilidades em aplicações Web para comprometer sistemas e então realizar as mais diversas ações, tais como: hospedar páginas falsas de instituições financeiras; armazenar ferramentas utilizadas em ataques; e propagar spam e/ou scam;
· Continuamos a observar, durante o ano de 2019, um grande número de notificações de ataques de força bruta contra sistemas de gerenciamento de conteúdo (Content Management System – CMS), tais como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação das senhas das contas de administração destes sistemas.
Computadores comprometidos
· Em 2019, recebemos 527 notificações de máquinas comprometidas. Este total foi 51% menor do que o número de notificações recebidas em 2018;
· 96% das notificações de computadores comprometidos foram referentes a servidores Web que tiveram suas páginas desfiguradas (defacement).
