02.png

Relatório Consolidado de Coleta e Análise de Ameaças Cibernéticas.

Março - 2021

27k

22k

130k

311K

Neste mês o OpenCTI.BR apresenta seu terceiro relatório mensal que traz um consolidado de coleta e análise de ameaças brasileiras identificadas em Março de 2021. O objetivo deste report, é contribuir com a comunidade através de uma visão focada no cenário nacional, das principais ameaças e indicadores relacionados a ataques identificados pela honeyNET do projeto, que constitui sensores instalados apenas no Brasil, para que deste modo possamos mapear o comportamento do cenário de ameaças local.

As informações apresentadas neste relatório, tem como base, dados de Hashes, IPs, URLs e Domínios processados durante o período de 01 a 31 de março de 2021. 

 

Volume de Dados Processados:

HASH

IP

URL

DOMAIN

Dentre os países identificados como principais origens de ataques, podemos destacar:

Origens de Ataques.png
Mapa Origens de Ataques.png
Principais Portas de Destino.png
Comparativo Mensal Portas de Destino.png

Como de costume, na maioria dos ataques, a fase de reconhecimento é a responsável por mapear os vetores vulneráveis e para isso criamos mecanismos que detectaram um grande volume de atividades de Massive Scan tendo como principais alvos os seguintes serviços:


 

  1. VNC - 5900

  2. SQL Server - 1433

  3. SSH - 22

  4. SIP - 5060

  5. HTTP - 80

Em nossa honeyNET, também utilizamos como parte do processo de detecção as assinaturas SNORT. Abaixo um comparativo das assinaturas mais acionadas entre  fevereiro e março.

Ranking de Assinaturas.png

Destacamos os principais IP's de origem brasileira registrados na Blacklist Dshield que se comunicaram com nossos sensores. Neste mês de março identificamos muitos IP's com reporte 100% de "abuso" provenientes de operadoras de telecom.

TOP 10 IPs de Origem.png

Outra técnica frequentemente utilizada é a tentativa de acesso não autorizado através de credenciais comprometidas e/ou comumente utilizada por usuários ou padronizadas pelos fabricante.

Abaixo destacamos as principais credenciais detectadas por nossos sensores através de ataques de força bruta.

Usuários Mais Comuns.png
Senhas mais comuns.png

Também é característico da nossa honeyNET a coleta de amostras dos ataques ​ recebidos.

Essas amostras são primeiramente processadas em ambiente controlado e em seguida classificadas. Nos últimos 3 meses temos coletado um volume bastante relevante de amostras de ataques relacionados ao WannaCry.

Análise de Hash_V2.png

Um destaque observado durante a classificação deste mês de março, foi a detecção do malware Azorult que é usado para roubar dados de usuários ou como downloader de outros malwares. Ele é propagado pela distribuição de documentos quem contêm macros maliciosas ou exploits de vulnerabilidade CVE-2017-11882, CVE-2017-8759 ou CVE-2017-0199. 

Observamos também que houve um aumento considerável no volume de exploits e worms detectados.

Dos tipos de malware que atacaram a nossa honeyNET, mais de 27% foram provenientes de Trojan, seguido de Ransomware, Exploit, Worm e DetectVM.

Malwares.png

Conforme citado anteriormente, na honeyNET do projeto temos um tipo de sensor que tem como objetivo principal capturar credenciais através do serviço SSH, entretanto observamos que ataques originados da botnet Miraí, após autenticar no serviço, executam uma série de comandos subsequentes, incluindo comunicações secundárias.

Na imagem abaixo listamos as principais URL's relacionadas a esse tipo de comportamento identificadas no mês de março:

URLs Análise2.png

Por fim, ao analisarmos o volume de ataques provenientes de IPs registrados no Brasil, listamos os ISPs mais envolvidos.

As operadoras Telefônica, Oi, Algar Telecom, Claro e M. N. Redes de Comunicações aparecem como destaque.

Operadoras - comparativo mensal.png
Operadoras.png

Também é possível observar que estas mesmas operadoras se destacam no comparativo mensal.

Anexo

Informações Relevantes

Sites Brasileiros Hospedando Dridex

Ao longo dos últimos 3 meses temos identificado  uma grande quantidade de sites brasileiros que provavelmente foram comprometidos e passaram a hospedar amostras da DLL do malware Dridex.

Este trojan bancário que apareceu pela primeira vez em 2011, tem sido atualizado ao longo dos últimos anos, aprimorou seus recursos de ofuscação e também tem sido utilizado para baixar alguns tipo de ransomware. 

Dridex.png

Sua propagação normalmente se dá através de campanhas de spam, com o objetivo de capturar credencias bancárias e informações pessoais que facilitem a execução de fraudes. 

Em breve iremos divulgar no twitter (@openctibr) a lista de sites brasileiros identificados pelo OpenCTI.BR que estão hospedando samples da DLL do malware Dridex. 

Campanhas do Malware Astaroth

Durante o mês de Março também observamos algumas campanhas do malware Astaroth, outro trojan que tem várias camadas de ofuscação e evasão de sistemas de segurança e que durante os últimos anos parece ter tido o Brasil como alvo, pois os e-mails das campanhas em geral são escritos em português.

Para maiores detalhes sobre estas campanhas acesse: tweet 1 e tweet 2
 

Malware.png

A equipe do OpenCTI.BR espera aperfeiçoar e evoluir gradativamente, trazendo novas análises e indicadores de ameaças através deste formato consolidado e demais iniciativas. Para colaborar com sugestões ou criticas, por favor envie um e-mail para [email protected]. Se tem interesse em contribuir com o projeto, saiba como em: https://www.opencti.net.br/contribuicao

Pulsedive%2520with%2520Name_edited_edite

Apoiadores