02.png

Relatório Consolidado de Coleta e Análise de Ameaças Cibernéticas.

Maio - 2021

257k

 88k

389k

158K

Neste mês o OpenCTI.BR apresenta seu quinto relatório mensal que traz um consolidado de coleta e análise de ameaças brasileiras identificadas em maio de 2021. O objetivo deste report, é contribuir com a comunidade através de uma visão focada no cenário nacional, das principais ameaças e indicadores relacionados a ataques identificados pela honeyNET do projeto, que constitui sensores instalados apenas no Brasil, para que deste modo possamos mapear o comportamento do cenário de ameaças local.

As informações apresentadas neste relatório, tem como base, dados de Hashes, IPs, URLs e Domínios processados durante o período de 01 a 31 de maio de 2021. 

 

Volume de Dados Processados:

HASH

IP

URL

DOMAIN

Dentre os países identificados como as 5 principais origens de ataques no mês de maio, podemos destacar:

Comparativos das Principais Origens dos
mapa.png

Como de costume, na maioria dos ataques, a fase de reconhecimento é a responsável por mapear os vetores vulneráveis e para isso criamos mecanismos que detectaram um grande volume de atividades de Massive Scan tendo como principais alvos os seguintes serviços

  1. VNC - 5900

  2. SSH - 22

  3. SQL Server - 1433

  4. RDP - 3389

  5. SIP - 5060

Principais Portas de Destino.png
Principais Portas de Destino Tabela.png

Em nossa honeyNET, também utilizamos como parte do processo de detecção as assinaturas SNORT. Abaixo um comparativo das assinaturas mais acionadas entre abril e maio.

Primeira Tabela de Assinaturas Snort.png

Comparativo com base em assinaturas do tipo "exploit".

Tabela de Assinaturas Exploit.png

Comparativo com base em assinaturas do tipo "web server".

Tabela de Assinaturas WEB Server.png

Destacamos os principais IP's de origem brasileira registrados na Blacklist Dshield que se comunicaram com nossos sensores. Temos observado muitos IP's provenientes de operadoras de telecom com comportamento de brute force SSH e reporte 100% de "abuso".

TOP 10 IPs de Origem.png

Outra técnica frequentemente utilizada é a tentativa de acesso não autorizado através de credenciais comprometidas e/ou comumente utilizada por usuários ou padronizadas pelos fabricante.

Abaixo destacamos as principais credenciais detectadas por nossos sensores através de ataques de força bruta via SSH.

Usuários Comuns Usados Por Atacantes.png
Senhas Comuns Usados Por Atacantes.png

Também é característico da nossa honeyNET a coleta de amostras dos ataques ​ recebidos.

Essas amostras são primeiramente processadas em ambiente controlado e em seguida classificadas. 

Hash Analisado.png

Um destaque observado durante a classificação deste mês de maio, foi a detecção em alto volume de ataques vinculados ao hash "0ab2aeda90221832167e5127332dd702" que está relacionado ao WannaCry.

Observamos também que houve um aumento considerável no volume de worms  e backdoors detectados.

Dos tipos de malware que atacaram a nossa honeyNET, mais de 34% foram provenientes de trojan, seguidos de worm, backdoor, ransomware, exploit e detectVM além de outras famílias de malware (stealer, azorult, banker, emotet e trikbot) em volume de menor relevância.

Malware.png

Conforme citado anteriormente, na honeyNET do projeto temos um tipo de sensor que tem como objetivo principal capturar credenciais através do serviço SSH, entretanto observamos que ataques originados da botnet Miraí, após autenticar no serviço, executam uma série de comandos subsequentes, incluindo comunicações secundárias.

Na imagem abaixo listamos as principais URL's relacionadas a esse tipo de comportamento identificadas no mês de maio:

URL analise.png

Por fim, ao analisarmos o volume de ataques provenientes de IPs registrados no Brasil, listamos os ISPs mais envolvidos.

As operadoras Telefônica, Oi, Claro, Algar Telecom e Central Networks e Tecnologia  aparecem como destaque.

Comparativo Operadoras.png
Operadoras.png

Também é possível observar que estas mesmas operadoras se destacam no comparativo mensal.

Anexo

Informações Relevantes

Novas Campanhas de Smishing

Neste mês de maio observamos algumas campanhas de ataque realizadas por meio de smishing. 

Fraude cel.png

Neste exemplo, é possível observar que o SMS tenta induzir a vítima a acessar um link para inserir seus dados. Uma vez que a  vítima preenche os campos com seus dados de cartão de crédito, a fraude está concluída, porém para disfarçar, o usuário é redirecionado ao aplicativo do banco, e caso o app não esteja instalado, o acesso é encaminhado ao Google Play na página do Aplicativo oficial.

Fraude.png

Registro de Domínios br.com

Domínios "br.com" estão sendo disponibilizados para registro, e os fraudadores já estão se aproveitando disto para realizar o cadastro em nome de empresas para possíveis campanhas.

Br.png
registro 2.png

No momento em que este report estava sendo produzido, ainda haviam disponíveis diversos nomes de domínios conhecidos de bancos, empresas de varejo, operadoras e outras.

A equipe do OpenCTI.BR espera aperfeiçoar e evoluir gradativamente, trazendo novas análises e indicadores de ameaças através deste formato consolidado e demais iniciativas. Para colaborar com sugestões ou criticas, por favor envie um e-mail para [email protected]. Se tem interesse em contribuir com o projeto, saiba como em: https://www.opencti.net.br/contribuicao

Pulsedive%2520with%2520Name_edited_edite

Apoiadores