02.png

Relatório Consolidado de Coleta e Análise de Ameaças Cibernéticas.

Janeiro - 2021

26k

35k

700k

4MM

Neste mês o OpenCTI.BR apresenta seu primeiro relatório mensal que traz um consolidado de coleta e análise de ameaças brasileiras identificadas em Janeiro de 2021. O objetivo deste report, é contribuir com a comunidade através de uma visão focada no cenário nacional, das principais ameaças e indicadores relacionados a ataques identificados pela honeyNET do projeto, que constitui sensores instalados apenas no Brasil, para que deste modo possamos mapear o comportamento do cenário de ameaças local.

As informações apresentadas neste relatório, tem como base, dados de Hashes, IPs, URLs e Domínios processados durante o período de 01 a 31 de janeiro de 2021. 

 

Volume de Dados Processados:

HASH

IP

URL

DOMAIN

Dentre os países identificados como principais origens de ataques, podemos destacar:
 

  1. Rússia

  2. China

  3. Estados Unidos

  4. Brasil

  5. Bulgária

mapa.PNG
Port Dst.PNG

Como de costume, na maioria dos ataques, a fase de reconhecimento é a responsável por mapear os vetores vulneráveis e para isso criamos mecanismos que detectaram um grande volume de atividades de Massive Scan tendo como principais alvos os seguintes serviços:
 

  1. SQL Server - 1433

  2. SSH Server - 22 

  3. SIP - 5060

  4. VNC - 5900

  5. RDP - 3389

Em nossa honeyNET, também utilizamos como parte do processo de detecção as assinaturas SNORT e como destacado na imagem ao lado, os alertas emitidos pela assinatura ET DROP Dshield Block Listed Source Group 1 são provenientes de endereços IP's já conhecidos pela sua baixa reputação.

Sig.PNG

Diante desse cenário, recomendamos que ações preventivas sejam aplicadas com intuito de evitar a comunicação com essas origens. 
Uma lista contendo os IOC's atualizados regularmente pode ser obtida em: https://www.dshield.org/block.txt

Destacamos os principais IP's de origem brasileira registrados na Blacklist Dshield que se comunicaram com nossos sensores.

Src BL.PNG

Outra técnica frequentemente utilizada é a tentativa de acesso não autorizado através de credenciais comprometidas e/ou comumente utilizada por usuários ou padronizadas pelos fabricante.

Abaixo destacamos as principais credenciais detectadas por nossos sensores através de ataques de força bruta.

usuarios.PNG

Também é característico da nossa honeyNET a coleta de amostras dos ataques ​ recebidos.

Essas amostras são primeiramente processadas em ambiente controlado e em seguida classificadas.

Um detalhe observado durante a classificação deste mês de janeiro, foi o fato da grande maioria serem binários no formato PE32.

Hash2.PNG

Como já é de conhecimento da comunidade, os ataques ransomware se tornaram uma das principais ameaças no Brasil e no mundo.

Dos tipos de malware que atacaram a nossa honeyNET, mais de 50% foram provenientes de ransomware, seguido de RAT e Trojans, Bankers, Emotet e Agent Tesla.

senhas.PNG
Hash.PNG

Em uma análise aprofundada, foi possível identificar que mesmo 4 anos após sua aparição, o WannaCry permanece como o ransomware mais recorrente dentre os demais tipos de ransomware coletados.

malware.PNG

Conforme citado anteriormente, na honeyNET do projeto temos um tipo de sensor que tem como objetivo principal capturar credenciais através do serviço SSH, entretanto observamos que ataques originados da botnet Miraí, após autenticar no serviço, executam uma série de comandos subsequentes, incluindo comunicações secundárias.

Nas imagens abaixo destacamos as principais URL's relacionadas a esse tipo de comportamento.

url.jfif
vt.PNG

Por fim, ao analisarmos o volume de ataques provenientes de IPs registrados no Brasil, listamos os ISPs mais envolvidos.

As operadoras Telefônica, Claro, Algar Telecom e OI aparecem como destaque.

Operadoras.PNG

Anexo

Informações Relevantes

RansomEXX em evidência

Nos últimos meses acompanhamos uma série de ataques à grandes empresas e órgãos governamentais brasileiros relacionados ao ransomware "ransomExx", que teve sua primeira aparição em 2017, mas se tornou mais ativo a partir de Junho de 2020 e que aparenta ser uma versão rebatizada do Defray777. 

RansomEXX.PNG

Com um comportamento de ataque direcionado, o ransomware traz o nome da organização atacada no arquivo contendo as instruções do resgate, além disso, utiliza o nome da organização na extensão dos arquivos criptografados e na composição do endereço de e-mail disponibilizado para contato com os atores.

Emotet – O fim de uma saga?

Emotet.PNG

O Emotet tem figurado como um dos principais malwares em todo o mundo, foi identificado pela primeira vez como um Trojan bancário em 2014, evoluiu para uma das maiores botnet e se tornou porta de entrada para outras famílias de Malware como Trickbot, Ryuk e QakBot.

A infraestrutura desta botnet é formada por centenas de dispositivos localizados em todo mundo e após uma ação coordenada internacionalmente pela Europol e pela Eurojust com o esforço conjunto de autoridades policiais e judiciais da Holanda, Alemanha, Estados Unidos, Reino Unido, França, Lituânia, Canadá e Ucrânia, permitiu aos investigadores assumir o controle da botnet e planejar o fim da operação do malware.

emotet3.PNG

A equipe do OpenCTI.BR espera aperfeiçoar e evoluir gradativamente, trazendo novas análises e indicadores de ameaças através deste formato consolidado e demais iniciativas. Para colaborar com sugestões ou criticas, por favor envie um e-mail para [email protected]. Se tem interesse em contribuir com o projeto, saiba como em: https://www.opencti.net.br/contribuicao

Apoiadores

Pulsedive%2520with%2520Name_edited_edite