02.png

Relatório Consolidado de Coleta e Análise de Ameaças Cibernéticas.

Fevereiro - 2021

22k

65k

120k

4MM

Neste mês o OpenCTI.BR apresenta seu segundo relatório mensal que traz um consolidado de coleta e análise de ameaças brasileiras identificadas em Fevereiro de 2021. O objetivo deste report, é contribuir com a comunidade através de uma visão focada no cenário nacional, das principais ameaças e indicadores relacionados a ataques identificados pela honeyNET do projeto, que constitui sensores instalados apenas no Brasil, para que deste modo possamos mapear o comportamento do cenário de ameaças local.

As informações apresentadas neste relatório, tem como base, dados de Hashes, IPs, URLs e Domínios processados durante o período de 01 a 28 de fevereiro de 2021. 

 

Volume de Dados Processados:

HASH

IP

URL

DOMAIN

Dentre os países identificados como principais origens de ataques, podemos destacar:

Principais Origens dos Ataques.png
Mapa Origens de Ataques.png
Principais Portas de Destino.png

Como de costume, na maioria dos ataques, a fase de reconhecimento é a responsável por mapear os vetores vulneráveis e para isso criamos mecanismos que detectaram um grande volume de atividades de Massive Scan tendo como principais alvos os seguintes serviços:


 

  1. SQL Server - 1433

  2. SSH Server - 22

  3. VNC - 5900

  4. SIP - 5060

  5. MYSQL - 3306

Ranking.png

Em nossa honeyNET, também utilizamos como parte do processo de detecção as assinaturas SNORT. Abaixo um comparativo das assinaturas mais acionadas entre janeiro e fevereiro.

Ranking Assinaturas .png

Destacamos os principais IP's de origem brasileira registrados na Blacklist Dshield que se comunicaram com nossos sensores. Observamos que o IP 200.133.39.84 que havia sido reportado no mês de Janeiro voltou a aparecer em nosso top 10 do mês de Fevereiro.

Top IPs de Origem_análise.png

Outra técnica frequentemente utilizada é a tentativa de acesso não autorizado através de credenciais comprometidas e/ou comumente utilizada por usuários ou padronizadas pelos fabricante.

Abaixo destacamos as principais credenciais detectadas por nossos sensores através de ataques de força bruta.

Usuários Comuns.png
Senhas comuns.png
Hash Global e Brasil.png

Também é característico da nossa honeyNET a coleta de amostras dos ataques ​ recebidos.

Essas amostras são primeiramente processadas em ambiente controlado e em seguida classificadas.

Um destaque observado durante a classificação deste mês de fevereiro, foi a aparição de um novo hash de Trojan Miner que foi identificado realizando ataques tanto em IPs do Brasil quanto em IPs de outros países.

Como já é de conhecimento da comunidade, os ataques ransomware se tornaram uma das principais ameaças no Brasil e no mundo.

Dos tipos de malware que atacaram a nossa honeyNET, mais de 62% foram provenientes de ransomware, seguido de Trojan, Worm, Exploit e Stealer.

Malwares.png

Conforme citado anteriormente, na honeyNET do projeto temos um tipo de sensor que tem como objetivo principal capturar credenciais através do serviço SSH, entretanto observamos que ataques originados da botnet Miraí, após autenticar no serviço, executam uma série de comandos subsequentes, incluindo comunicações secundárias.

Nas imagens abaixo listamos as principais URL's relacionadas a esse tipo de comportamento e destacamos uma URL de "payload download" identificada em uma campanha de ataques Brute Force através de BotNET IRC, que é apresentada no anexo ao final deste relatório.

URLs Análise.png

Por fim, ao analisarmos o volume de ataques provenientes de IPs registrados no Brasil, listamos os ISPs mais envolvidos.

As operadoras Telefônica, M. N. Redes de Comunicações, Claro, OI e Algar Telecom aparecem como destaque.

Ataques por Operadora_pizza.png
Ataques por Operadora.png

Também é possível observar que estas mesmas operadoras se destacam no comparativo mensal.

Anexo

Informações Relevantes

Milhares de Servidores Vmware Expostos

No dia 23/02 a Vmware divulgou que o vSphere Client (HTML5), um plugin do Vmware vCenter, contém uma vulnerabilidade crítica (CVSSv3 Score 9.8) que permite uma execução de código remota (RCE), de modo que um atacante é capaz de tomar o controle da console de gerenciamento.  

Na data de hoje (06/03), ainda é possível identificar através do Shodan que existem mais de 6.500 Vmware vCenter vulneráveis dos quais 123 estão hospedados no Brasil. 

Vmware Expostos.png

O grande problema por traz disso, é que uma única vCenter pode conter vários VMs, então estamos falando de um volume muito maior de ativos afetados, o que pode acarretar em um cenário ainda pior.

Novos Macs com Apple M1 já são alvo de malware

Malware em Mac sempre foi menos comum do que em Windows, mas nos últimos anos as ameças para os computadores da Apple tem aumentado.

Em novembro de 2020 a Apple lançou processadores M1 baseados na arquitetura ARM64 para o Mac Mini, MacBook Air e MacBook Pro, um sinal de despedida da arquitetura x86 que utilizava desde 2005. Isso chamou a atenção de atacantes, que desenvolveram um malware que explora uma API de JavaScript e que ficou conhecido como “Silver Sparrow”, tendo infectado mais de 30 mil dispositivos em mais de 150 países.

Embora pesquisadores tenham dito que este malware ainda não tenha entregue nenhum tipo de payload malicioso, ele representa um risco significativo visto que possui alcance global e uma taxa de infecção relativamente alta. Além disso, possui recursos de autodestruição, seu C2 é executado na infraestrutura da Amazon (ASW) e da Akamai (CDN), o que dificulta ainda mais o seu bloqueio.

Apple M1.png

Quando executado, exibe uma janela vermelha com os dizeres “You did it!”

Ataques Brute Force Através de BotNET IRC

Durante o mês de Fevereiro, percebemos a continuidade de uma campanha de BotNet IRC, através de técnica de BruteForcing SSH + Download de componente Perl para comunicação com C2 por meio de commandos IRC.

funcoes.PNG

Desenvolvemos um relatório com todos os detalhes desta campanha e pode ser acessado através do link: https://www.opencti.net.br/report-botnetirc

A equipe do OpenCTI.BR espera aperfeiçoar e evoluir gradativamente, trazendo novas análises e indicadores de ameaças através deste formato consolidado e demais iniciativas. Para colaborar com sugestões ou criticas, por favor envie um e-mail para [email protected]. Se tem interesse em contribuir com o projeto, saiba como em: https://www.opencti.net.br/contribuicao