02.png

Relatório Consolidado de Coleta e Análise de Ameaças Cibernéticas.

Julho - 2021

65K

 21k

289k

195K

Neste mês o OpenCTI.BR apresenta seu sétimo relatório mensal que traz um consolidado de coleta e análise de ameaças brasileiras identificadas em julho de 2021. O objetivo deste report, é contribuir com a comunidade através de uma visão focada no cenário nacional, das principais ameaças e indicadores relacionados a ataques identificados pela honeyNET do projeto, que constitui sensores instalados apenas no Brasil, para que deste modo possamos mapear o comportamento do cenário de ameaças local.

As informações apresentadas neste relatório, tem como base, dados de Hashes, IPs, URLs e Domínios processados durante o período de 01 a 31 de julho de 2021. 

 

Volume de Dados Processados:

HASH

IP

URL

DOMAIN

Dentre os países identificados como as 5 principais origens de ataques no mês de julho, podemos destacar:

Comparativo Origens dos ataques.png
Mapa.png

Como de costume, na maioria dos ataques, a fase de reconhecimento é a responsável por mapear os vetores vulneráveis e para isso criamos mecanismos que detectaram um grande volume de atividades de Massive Scan tendo como principais alvos os seguintes serviços:

Principais Portas de Destino.png
Tabela Principais Portas de Destino.png

  1. SSH - 22

  2. SQL Server - 1433

  3. VNC - 5900

  4. LM Social Server - 1111

  5. SIP - 5060

Em nossa honeyNET, também utilizamos como parte do processo de detecção as assinaturas SNORT. Abaixo um comparativo das assinaturas mais acionadas entre junho e julho.

Assinaturas Snort.png

Comparativo com base em assinaturas do tipo "exploit".

Assinaturas Exploit.png

Comparativo com base em assinaturas do tipo "web server".

Assinaturas WEB Server.png

Destacamos os principais IP's de origem brasileira registrados na Blacklist Dshield que se comunicaram com nossos sensores. Temos observado muitos IP's provenientes de operadoras de telecom com comportamento de brute force SSH e reporte 100% de "abuso".

TOP 10 IPs de Origem Br.png

Outra técnica frequentemente utilizada é a tentativa de acesso não autorizado através de credenciais comprometidas e/ou comumente utilizada por usuários ou padronizadas pelos fabricante.

Abaixo destacamos as principais credenciais detectadas por nossos sensores através de ataques de força bruta via SSH.

Usuários e senhas mais usadas.png

Também é característico da nossa honeyNET a coleta de amostras dos ataques ​ recebidos.

Essas amostras são primeiramente processadas em ambiente controlado e em seguida classificadas. 

Hash Global & Brasil.png

Neste mês de julho observamos um aumento de mais de 100% no volume de ataques de ransomware e um volume 4 vezes maior relacionado a malware banker, embora esta categoria de malware tenha um percentual menor que as demais.

Dos tipos de malware que atacaram a nossa honeyNET, mais de 33% foram provenientes de trojan, seguidos de ransomware, exploit, worm, detectVM, backdoor, stealer, azorult e banker além de outras famílias de malware (emotet e trikbot) em volume de menor relevância.

Malwares.png

Conforme citado anteriormente, na honeyNET do projeto temos um tipo de sensor que tem como objetivo principal capturar credenciais através do serviço SSH, entretanto observamos que ataques originados da botnet Miraí, após autenticar no serviço, executam uma série de comandos subsequentes, incluindo comunicações secundárias.

Na imagem abaixo listamos as principais URL's relacionadas a esse tipo de comportamento identificadas no mês de julho:

mitre.png
URL Analysis.png

Por fim, ao analisarmos o volume de ataques provenientes de IPs registrados no Brasil, listamos os ISPs mais envolvidos.

As operadoras Central Networks e Tecnologia, Telefônica, Claro e Algar Telecom aparecem como destaque.

comparativo operadoras.png
operadoras.png

Também é possível observar que estas mesmas operadoras se destacam no comparativo mensal

Anexo

Informações Relevantes

De "play" no "Contra" e rode Monero

O jogo Contra fez muito sucesso em seu lançamento no final dos anos 1980, e agora mais de 30 anos depois, Contra Returns chegou aos dispositivos móveis.

É importante ressaltar que o jogo foi lançado apenas para dispositivos móveis, porém os criminosos não perderam tempo, e lançaram uma versão para PC para jogadores que procuram uma oportunidade de jogar a partir de um computador.

 

O software malicioso esta sendo distribuído através de campanhas de publicidade no Facebook, como nos exemplos abaixo:

Contra Jogo.png

Vários perfis (possivelmente sequestrados) exibiam anúncios que levavam a um site com links para um aplicativo malicioso, mas observem que os perfis não possuem relação com o jogo.

Os links nos anúncios levam ao popular serviço de encurtamento de links bitly.com. 
Exemplos:

  • hxxps://bit.ly/Contra-Returns2021

  • hxxps://bit.ly/ContraReturns_2021

  • hxxps://bit.ly/Gamecontrareturns2021

Que apontam para domínios registrados com a página falsa.

Exemplos:

  • hxxps://contra-return.net

  • hxxps://contrareturn.net

  • hxxps://contra-returns-2021.net

Contra 3.png

Também existem alguns domínios que foram registrados para hospedar o malware.

Exemplos:

  • hxxps://s1.download-contra.com/1/Contra%20Returns%20Setup.zip

  • hxxps://s1.download-contra.com/popads/Contra%20Returns%20Setup.zip

monero.png

Ao tentar rodar o executável que vem dentro do arquivo zipado, será exibida uma mensagem de falha na instalação, e nesse momento o malware de mineração Monero começará a rodar em segundo plano.

A equipe do OpenCTI.BR espera aperfeiçoar e evoluir gradativamente, trazendo novas análises e indicadores de ameaças através deste formato consolidado e demais iniciativas. Para colaborar com sugestões ou criticas, por favor envie um e-mail para [email protected]. Se tem interesse em contribuir com o projeto, saiba como em: https://www.opencti.net.br/contribuicao

Pulsedive%2520with%2520Name_edited_edite

Apoiadores