Na mira dos cibercriminosos no Brasil: SSH, RDP, VoIP...
Material enviada por Silvio Santana (Qualify)O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), um dos serviços disponibilizados pelo Núcleo de Informação e Coordenação do Ponto BR (NIC.br), divulgou nesta quinta-feira, 20/10, os dados referentes ao terceiro trimestre de 2011 sobre notificações de incidentes de segurança na Internet.
O número total de notificações de incidentes no terceiro trimestre de 2011 foi um pouco superior a 100 mil, o que corresponde a uma queda de 21% em relação ao trimestre anterior, mas a um aumento de 152% em relação ao mesmo trimestre de 2010.
A queda das notificações está relacionada a uma diminuição das notificações da categoria Outros. As notificações relacionadas a tentativas de fraudes apresentaram um aumento de 3% em relação ao segundo trimestre e um aumento de 35% em relação ao mesmo período de 2010.
Ocorreu um aumento de 16% no número de notificações de páginas falsas de bancos e de sítios de comércio eletrônico (phishing clássico) em relação ao trimestre anterior. No entanto, essa categoria sofreu um aumento de 45% em relação ao terceiro trimestre de 2010.
O número de notificações de phishing clássico representam 53% das notificações de tentativas de fraude referentes ao terceiro trimestre e ultrapassaram, em números absolutos, as notificações sobre Cavalos de Tróia, que representaram 43% das notificações.
As notificações sobre Cavalos de Tróia, que são expedientes utilizados para furtar informações e credenciais, representam 43% das notificações de tentativas de fraude. Essa categoria teve uma queda de 9% em relação ao trimestre anterior, mas sofreu um aumento de 18% em relação ao terceiro trimestre de 2010.
Ataques a servidores Web
As notificações sobre ataques a servidores Web cresceram 85% em relação ao trimestre anterior e mais que dobraram em relação ao mesmo período de 2010. Apesar dessa tendência de crescimento existir desde 2007, está havendo aceleração desde o primeiro trimestre de 2011.
“Na maioria das vezes, as vulnerabilidades em aplicações Web são exploradas por atacantes que usam os sítios para hospedar páginas falsas de instituições financeiras, ferramentas utilizadas em ataques a outros servidores Web, Cavalos de Tróia e scripts maliciosos”, relata Cristine Hoepers, analista de segurança do CERT.br.
“Os scripts maliciosos são inseridos para infectar o computador de quem acessa o sítio, caso o navegador não esteja atualizado e na sua última versão, são os chamados ‘downloads involuntários’ ou ‘drive-by downloads’", completa.
Varreduras e propagação de códigos maliciosos
As notificações de varreduras aumentaram 53% em relação ao segundo trimestre de 2011 e 30% em relação ao mesmo período de 2010. Varreduras SMTP (25/TCP) continuam em destaque, atingindo 57% do total das notificações.
A maior parte das reclamações continua se referindo a computadores em redes brasileiras, conectados via banda larga, que tentaram identificar relays abertos fora do Brasil, com intuito de enviar spams abusando desses relays.
Os serviços que podem sofrer ataques de força bruta continuam entre os mais visados.Nos últimos três meses, além do SSH (22/TCP), que correspondeu a pouco mais de 12% das notificações, o outro serviço mais visado foi o RDP (3389/TCP), com quase 12%.
Esse crescimento de varreduras por RDP coincidiu com a descoberta, nesse trimestre, de algumas vulnerabilidades nesse serviço e com o aparecimento de ferramentas que automatizaram ataques de força bruta.
Também é importante destacar que as varreduras pelo serviço SIP (5060/UDP), apesar de ainda representarem cerca de 1%, passaram a figurar dentre as 10 mais reportadas. Esse serviço é utilizado para estabelecer chamadas telefônicas via protocolo IP (VoIP).
Varreduras por SIP, apesar de ainda pouco reportadas ao CERT.br, tem figurado desde 2009 dentre os serviços mais atacados, conforme registrado pelo Projeto Honeypots Distribuídos, mantido pelo CERT.br (http://honeytarg.cert.br/honeypots). O objetivo das varreduras pelo serviço SIP é encontrar sistemas VoIP ativos, tais como IP PBXs e gateways VoIP.
“Após essa fase inicial, o ataque em geral consiste em utilizar força bruta na descoberta de senhas nos ramais desses sistemas e, finalmente, usar o sistema abusado para originar ligações”, completa Cristine. As notificações de atividades relacionadas à propagação de worms totalizaram quase sete mil, cerca do dobro de notificações do segundo trimestre de 2011 e do terceiro trimestre de 2010.
Outros incidentes reportados
No terceiro trimestre de 2011, o CERT recebeu pouco mais de 44 mil notificações que se enquadraram na categoria Outros, correspondendo a um decréscimo de 50% em relação ao trimestre anterior.
A queda nesta categoria deve-se, principalmente, à diminuição no número de notificações de máquinas em redes brasileiras tentando acessar arquivos de configuração utilizados por códigos maliciosos. Foram mais de 40 mil notificações com essa característica neste trimestre, o que corresponde a menos da metade das notificações recebidas no trimestre anterior (88 mil), um decréscimo de 51% entre estes dois períodos.
A maior parte dos códigos maliciosos conta com mecanismos de atualização de sua configuração ou de seu próprio código. Desde o início do ano, um grupo europeu vem fazendo um esforço em notificar todas as redes que possuem máquinas acessando arquivos de configuração ou atualização, de forma a alertar quem esteja com sistemas infectados. Esse tipo de notificação figura na categoria Outros por não se enquadrar em nenhuma outra categoria pré-definida pelo CERT.br.