02.png

Relatório Consolidado de Coleta e Análise de Ameaças Cibernéticas.

Setembro - 2021

 52K

 22k

226k

 191K

Neste mês o OpenCTI.BR apresenta seu nono relatório mensal que traz um consolidado de coleta e análise de ameaças brasileiras identificadas em setembro de 2021. O objetivo deste report, é contribuir com a comunidade através de uma visão focada no cenário nacional, das principais ameaças e indicadores relacionados a ataques identificados pela honeyNET do projeto, que constitui sensores instalados apenas no Brasil, para que deste modo possamos mapear o comportamento do cenário de ameaças local.

As informações apresentadas neste relatório, tem como base, dados de Hashes, IPs, URLs e Domínios processados durante o período de 01 a 30 de setembro de 2021. 

 

Volume de Dados Processados:

HASH

IP

URL

DOMAIN

Dentre os países identificados como as 5 principais origens de ataques no mês de setembro, podemos destacar:

Principais países de origem.png
Mapa Mundi.png

Como de costume, na maioria dos ataques, a fase de reconhecimento é a responsável por mapear os vetores vulneráveis e para isso criamos mecanismos que detectaram um grande volume de atividades de Massive Scan tendo como principais alvos os seguintes serviços:

  1. VNC - 5900

  2. SSH - 22

  3. SQL Server - 1433

  4. SIP - 5060

  5. MYSQL - 3306

Principais Portas de Destino.png
Principais Portas de Destino_2.png

Em nossa honeyNET, também utilizamos como parte do processo de detecção as assinaturas SNORT. Abaixo um comparativo das assinaturas mais acionadas entre agosto e setembro.

Assinaturas.png

Comparativo com base em assinaturas do tipo "exploit".

assinaturas exploit.png

Comparativo com base em assinaturas do tipo "web server".

assinaturas web server.png

Destacamos os principais IP's de origem brasileira registrados na Blacklist Dshield que se comunicaram com nossos sensores. Temos observado muitos IP's provenientes de operadoras de telecom com comportamento de brute force SSH e reporte 100% de "abuso".

TOP IPs black List.png

Outra técnica frequentemente utilizada é a tentativa de acesso não autorizado através de credenciais comprometidas e/ou comumente utilizada por usuários ou padronizadas pelos fabricante.

Abaixo destacamos as principais credenciais detectadas por nossos sensores através de ataques de força bruta via SSH.

Usuários e senhas.png

Também é característico da nossa honeyNET a coleta de amostras dos ataques ​ recebidos.

Essas amostras são primeiramente processadas em ambiente controlado e em seguida classificadas. 

Análise de Hash.png

Neste mês de setembro observamos um aumento expressivo de eventos de malware das categorias worm e exploit, comparado ao percentual obtido no mês anterior.

Dos tipos de malware que atacaram a nossa honeyNET, cerca de 28% foram provenientes de trojan, seguidos de ransomware, worm, exploit, backdoor, detectVM, stealer, e azorult além de outras famílias de malware (emotet, banker e trikbot) em volume de menor relevância.

malwares.png

Conforme citado anteriormente, na honeyNET do projeto temos um tipo de sensor que tem como objetivo principal capturar credenciais através do serviço SSH, entretanto observamos que ataques originados da botnet Miraí, após autenticar no serviço, executam uma série de comandos subsequentes, incluindo comunicações secundárias.

Na imagem abaixo listamos as principais URL's relacionadas a esse tipo de comportamento identificadas no mês de setembro:

URL analise.png

Por fim, ao analisarmos o volume de ataques provenientes de IPs registrados no Brasil, listamos os ISPs mais envolvidos.

As operadoras Telefônica, Algar Telecom, Claro, G8 e Unifique Telecomunicações aparecem como destaque.

Operadoras.png
Comparativo operadoras.png

Observamos que neste mês tivemos ocorrências em operadoras que nos meses anteriores não apresentaram relevância.

Anexo

Informações Relevantes

Dispositivos Hospitalares Vulneráveis

Falha grave em dezenas de dispositivos hospitalares expõe imagens de diagnósticos pelo país. Diversos pesquisadores já divulgaram anteriormente e novamente o OpenCTI.BR trás para discussão um tema extremamente crítico envolvendo empresas brasileiras. Em meio à grande discussão da nova lei de Privacidade de Dados ( #lgpd ) , nossos sensores identificaram recentemente uma série de dispositivos #PACS (Picture Archiving and Communication System), utilizados na realização e armazenamento de exames de diagnósticos por imagem. Os dispositivos foram encontrados conectados diretamente à internet sem qualquer camada de autenticação ou autorização, com seus acessos irrestritos.

imagem 2.png

Entre as empresas envolvidas estão hospitais, clínicas e centros de diagnósticos de diferentes portes, permitindo que qualquer pessoa conectada à internet tenha acesso ao conteúdo sem a necessidade de credenciais ou software adicional. Não aprofundamos os acessos e tão pouco realizamos o download do conteúdo, mas podemos observar através da console que somente um dos dispositivos armazena dezenas de milhares de imagens incluindo Raio-X, Ultrassom, Tomografias Computadorizadas, entre outros.

A equipe do OpenCTI.BR espera aperfeiçoar e evoluir gradativamente, trazendo novas análises e indicadores de ameaças através deste formato consolidado e demais iniciativas. Para colaborar com sugestões ou criticas, por favor envie um e-mail para [email protected]. Se tem interesse em contribuir com o projeto, saiba como em: https://www.opencti.net.br/contribuicao

Pulsedive%2520with%2520Name_edited_edite

Apoiadores