02.png

Relatório Consolidado de Coleta e Análise de Ameaças Cibernéticas.

Abril - 2021

127k

125k

342k

346K

Neste mês o OpenCTI.BR apresenta seu quarto relatório mensal que traz um consolidado de coleta e análise de ameaças brasileiras identificadas em Abril de 2021. O objetivo deste report, é contribuir com a comunidade através de uma visão focada no cenário nacional, das principais ameaças e indicadores relacionados a ataques identificados pela honeyNET do projeto, que constitui sensores instalados apenas no Brasil, para que deste modo possamos mapear o comportamento do cenário de ameaças local.

As informações apresentadas neste relatório, tem como base, dados de Hashes, IPs, URLs e Domínios processados durante o período de 01 a 30 de abril de 2021. 

 

Volume de Dados Processados:

HASH

IP

URL

DOMAIN

Dentre os países identificados como principais origens de ataques, podemos destacar:

Principais Origens.png
Mapa.png
Prinicpais Portas de Destino2.png
Prinicpais Portas tabela.png

Como de costume, na maioria dos ataques, a fase de reconhecimento é a responsável por mapear os vetores vulneráveis e para isso criamos mecanismos que detectaram um grande volume de atividades de Massive Scan tendo como principais alvos os seguintes serviços

  1. VNC - 5900

  2. SSH - 22

  3. SQL Server - 1433

  4. Socks - 1080

  5. SIP - 5060

Em nossa honeyNET, também utilizamos como parte do processo de detecção as assinaturas SNORT. Abaixo um comparativo das assinaturas mais acionadas entre março e abril.

Assinaturas Snort.png

No mês de abril, inserimos dois novos pacotes de assinaturas (exploit e web server) e passamos a detectar um volume ainda maior de ataques à nossa honeyNET.

Assinaturas de Exploit.png
Assinaturas de Web Server.png

Destacamos os principais IP's de origem brasileira registrados na Blacklist Dshield que se comunicaram com nossos sensores. Temos observado muitos IP's provenientes de operadoras de telecom com comportamento de brute force SSH e reporte 100% de "abuso".

IPs de Origem e Black List2.png

Outra técnica frequentemente utilizada é a tentativa de acesso não autorizado através de credenciais comprometidas e/ou comumente utilizada por usuários ou padronizadas pelos fabricante.

Abaixo destacamos as principais credenciais detectadas por nossos sensores através de ataques de força bruta.

Usuários mais comuns.png
senhas mais comuns.png

Também é característico da nossa honeyNET a coleta de amostras dos ataques ​ recebidos.

Essas amostras são primeiramente processadas em ambiente controlado e em seguida classificadas. 

Análise de Hash.png

Um destaque observado durante a classificação deste mês de abril, foi a detecção em alto volume de ataques relacionados ao hash "9c09418c738e265a27e6c599f43d86ab" que também está relacionado ao Conficker.

Observamos também que houve um aumento considerável no volume de trojan e ramsomware detectados.

Dos tipos de malware que atacaram a nossa honeyNET, mais de 33% foram provenientes de Trojan e Ransomware, seguidos de DetectVM, Worm, Backdoor além de outras famílias de malware (exploit, stealer, azorult, emotet e banker) em volume de menor relevância.

Malwares.png

Conforme citado anteriormente, na honeyNET do projeto temos um tipo de sensor que tem como objetivo principal capturar credenciais através do serviço SSH, entretanto observamos que ataques originados da botnet Miraí, após autenticar no serviço, executam uma série de comandos subsequentes, incluindo comunicações secundárias.

Na imagem abaixo listamos as principais URL's relacionadas a esse tipo de comportamento identificadas no mês de abril:

Análise de URLs.png

Por fim, ao analisarmos o volume de ataques provenientes de IPs registrados no Brasil, listamos os ISPs mais envolvidos.

As operadoras Telefônica, M. N. Redes de Comunicações, Algar Telecom, Claro e Oi  aparecem como destaque.

Operadoras.png
Top 5 ISPs.png

Também é possível observar que estas mesmas operadoras se destacam no comparativo mensal.

Anexo

Informações Relevantes

Novas Fraudes por WhatsApp

Neste mês observamos algumas campanhas de ataque nas quais os fraudadores tentam se passar por uma empresa em que determinado usuário reportou uma reclamação.

Estes fraudadores criam um perfil fake em nome da empresa em uma rede social e através deste perfil fazem contato com o usuário demonstrando interesse em solucionar o problema reportado. Em seguida solicitam o telefone celular e fazem um contato via WhatsApp informando que foi gerado um código de 6 dígitos via SMS, que no caso se trata do segundo fator de autenticação do WhatsApp da vítima. De posse deste código o fraudador clona o WhatsApp da vítima e se passa por ela solicitando dinheiro aos contatos da mesma.

Imagem Golpe.png

Pulsedive - Promo Code

Com o objetivo de engajar novos pesquisadores que tenham o interesse de contribuir com a comunidade, neste mês de maio, em parceria com a Pulsedive estamos disponibilizando um código promocional que garante 50% de desconto na assinatura do pacote anual do Pulsedive Pro que fornece algumas funcionalidades adicionais à versão gratuita.

Pulsedive.png
Pro Pulse.png
funcionalidades.png

Para garantir este desconto, acesse https://pulsedive.com/about/pro, clique em "upgrade now" e insira o código OPENCTIBR2021. Código válido somente para os primeiros 50 usuários.

A equipe do OpenCTI.BR espera aperfeiçoar e evoluir gradativamente, trazendo novas análises e indicadores de ameaças através deste formato consolidado e demais iniciativas. Para colaborar com sugestões ou criticas, por favor envie um e-mail para [email protected]. Se tem interesse em contribuir com o projeto, saiba como em: https://www.opencti.net.br/contribuicao

Pulsedive%2520with%2520Name_edited_edite

Apoiadores