top of page
Este site foi desenvolvido com o criador de sites
.com
. Crie seu site hoje.Começar
02.png

Relatório Consolidado de Coleta e Análise de Ameaças Cibernéticas.

Janeiro - 2023

29K

HASH

 39k

IP

107k

URL

5k

Domain

Dentre os países identificados como as 5 principais origens de ataques no mês de Janeiro, podemos destacar

top 5 paises.png
mapa.png

Como de costume, na maioria dos ataques, a fase de reconhecimento é a responsável por mapear os vetores vulneráveis e para isso criamos mecanismos que detectaram um grande volume de atividades de Massive Scan tendo como principais alvos os seguintes serviços:

Para visualizar os ataques em tempo Real acesse 

top 5 portas.png

3389 - Remote Desktop Protocol (RDP)

5900 - Virtual Network Computing (VNC)

22 - Secure Shell (SSH)

445 - Server Message Block - (SMB)

23 - Telnet

Em nossa honeyNET, também utilizamos como parte do processo de detecção as assinaturas SNORT. Abaixo um comparativo das assinaturas mais acionadas no mês de Janeiro.

assinatura honeunet.png

Assinaturas do tipo "exploit".

assinatura exploit.png

Assinaturas do tipo "web".

top ass attck web.png

Destacamos os principais IP's de origem brasileira registrados na Blacklist Dshield que se comunicaram com nossos sensores. Temos observado muitos IP's provenientes da provedora de Digital Ocean, onde na analise abaixo identificamos uma capanha de phishing rodando em todo o mês de janeiro.

analise de IP.png

Acesso a lista completa

Outra técnica frequentemente utilizada é a T1110 (Brute Force) a tentativa de acesso com lista de credenciais para realizar o comprometimento  do ambiente 

 

normalmente os atacantes se utilizam de usuarios e senhas comprometidas e/ou comumente utilizada por usuários ou padronizadas pelos fabricantes

Abaixo destacamos as principais credenciais detectadas por nossos sensores.

User e Senhas.png

Também é característico da nossa honeyNET a coleta de amostras dos ataques ​ recebidos.

Essas amostras são primeiramente processadas em ambiente controlado e em seguida classificadas. como podemos observar os comportamentos maliciosos e classificados por diversos Vendors do mercado.

hashs.png
hash malicioso.png

Neste mês de Janeiro continuamos obtendo um numero significativo de ataques de diversas variações do ransomware Wannacry e um crescimento acentuado nos ransomware "stop"

 

ransomware.png

Como Tática de acesso inicial diversos atacantes utilizaram a técnica T1190 para obter acesso ao ambiente

exploits.png

Acesso a lista completa

no mes de janeiro obtivemos diversas técnicas utilizadas em nossa HoneyNet, para auxiliar nas proteções proativas e detecções das ameaças presentes trouxemos o mapa do mitre com as táticas, técnicas e procedimentos execultados pelos atacantes.

Como a imagem não tem uma boa visibilidade das técnicas, deixamos nesse o link para download do Json

 

Onde vc pode ver todos os TTPs no navigator do Mitre 

OpenCtiBR Mitre.png

Com a nossa rede de honeypot obtemos um banco de informações que  trazem inteligência contra as ameaças externas que obtiveram um ganho financeiro significativo principalmente no último ano. 

Acesse nossa pagina do github com com os IOCs do Censys, shodan LeakIX

OpenCtiBRtm.png

A equipe do OpenCTI.BR espera aperfeiçoar e evoluir gradativamente, trazendo novas análises e indicadores de ameaças através deste formato consolidado e demais iniciativas. Para colaborar com sugestões ou criticas, por favor envie um e-mail para [email protected]. Se tem interesse em contribuir com o projeto, saiba como em: https://www.opencti.net.br/contribuicao

Apoiadores

Pulsedive%2520with%2520Name_edited_edite
datasec.png
bottom of page