top of page
Este site foi desenvolvido com o criador de sites
.com
. Crie seu site hoje.Começar
1110332.png

Relatório Consolidado de Coleta e Análise de Ameaças Cibernéticas.

Março - 2023

 

38K

HASH

 58k

IP

173k

URL

5k

Domain

Destacamos os 5 países principais das origens de ataques do mês de Março.

top 5 paises.png
mapa.png

Como de costume, na maioria dos ataques, a fase de reconhecimento é a responsável por mapear os vetores vulneráveis e para isso criamos mecanismos que detectaram um grande volume de atividades de Massive Scan tendo como principais alvos os seguintes serviços:

Para visualizar os ataques em tempo Real acesse. 

top 5 portas.png

22 - Secure Shell (SSH)

5900 - Virtual Network Computing (VNC)

3389 - Remote Desktop Protocol (RDP)

445 - Server Message Block - (SMB)

1900 - Simple Service Discovery Protocol

 

Em nossa honeyNET, também utilizamos como parte do processo de detecção as assinaturas SNORT. Abaixo um comparativo das assinaturas mais acionadas no mês de Março.

assinatura honeunet.png

Assinaturas do tipo exploit.

assinatura exploit.png

Acesso a lista completa

Assinaturas do tipo "web".

top ass attck web 02-23.png
ipC2.png

Para a realização de um ataque, os Crackers utilizam de uma rede de Central de Comando para orquestração das Táticas e técnicas do ataque. 

 

Listamos aqui os principais endereços do último mês.

Listamos algumas ferramentas utilizadas pelos Atacantes para a C2

toolC2.png
paisesC2.png

Podemos observar também que os servidores de C2 que tem o Brasil como alvo, estão localizados, em sua maior parte, nos EUA, Russia, e Alemanha.

Como uma das diversas formas de acesso Inicial, os atacantes utilizaram o Stealer como software malicioso para roubo de credenciais e dados.

Caso queira saber mais recomendo a leitura do time de Inteligencia da empresa de Tempest.

Mesmo Não aparecendo na lista, Observamos que o malware "AgentTesla" obteve um aumento significativo no fim do mês de março e começo de abril.

paisesC2.png
Stealer Tesla.png
BOT.png

Observamos que nos últimos 6 meses, a proliferação do malware Mirai, se mantêm com uma campanha ativa de proliferação para controle dos seus BOTs, seguido do malware Emotet.

No mês de março os malwares do tipo RAT (Remote Access Trojans), comumente utilizado de algumas das táticas TA0042TA0001, TA0002, identificamos o RAT Kryptik, como o mais prolifero, com 87% a mais que os outros RATs.

RAT.png

Com a nossa rede de honeyNet obtemos um banco de informações que entregamos inteligência contra as ameaças externas,

Acesse nossa pagina do github com os IOCs do Censys, shodan LeakIX

TM.png

A equipe do OpenCTI.BR espera aperfeiçoar e evoluir gradativamente, trazendo novas análises e indicadores de ameaças através deste formato consolidado e demais iniciativas. Para colaborar com sugestões ou criticas, por favor envie um e-mail para [email protected]. Se tem interesse em contribuir com o projeto, saiba como em: https://www.opencti.net.br/contribuicao

Apoiadores

images-removebg-preview.png
datasec.png

Faça sua contribuição:

cofre.png

© OpenCTI.BR 

Siga nas redes sociais:

github.png
twitter-social-logotype.png
linkedin.png

Maiores informações:

 

[email protected]

bottom of page