CERT.br divulga dados estatísticos de incidentes cibernéticos de 2019

O CERT.br, Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, publicou em seu site alguns dados estatísticos sobre o número de incidentes em 2019. Estão disponíveis os seguintes dados:

Além disso, foi possível observar alguns fatos interessantes nesse período:

DDoS:

    • No ano de 2019 recebemos 301.308 notificações sobre computadores que participaram de ataques de negação de serviço (DoS). Este número foi o maior da série histórica, sendo 90% maior que o número de notificações recebidas em 2018;
    • Em 2019, observou-se que 26% dos casos de notificações de DoS envolveram protocolos de rede que podem ser utilizados como amplificadores, tais como: CHARGEN (19/UDP), DNS (53/UDP), NTP (123/UDP), SNMP (161/UDP), LDAP (389/TCP) e SSDP (1900/UDP). Em 2018 os casos que envolviam estes protocolos eram maioria e correspondiam a mais de 70%.
    • Esta queda em notificações envolvendo estes protocolos está alinhada com a evolução das estatísticas de notificações de IPs permitindo amplificação. De julho de 2018 até dezembro de 2019 o número de IPs permitindo amplificação alocados ao Brasil reduziu cerca de 60%.
    • Em 2019 o maior número de notificações de DDoS foi de ataques do tipo UDP flood, gerados por botnets IoT, como Mirai e Bashlite, que infectam tanto dispositivos como DVRs quanto roteadores de banda larga;
    • Apesar da redução de notificações de amplificadores, os dados dos honeypots distribuídos mostram que continua nos mesmos patamares a procura de serviços passíveis de serem abusados para amplificação de tráfego, são eles: SNMP (161/UDP), NTP (123/UDP), DNS (53/UDP), SSDP (1900/UDP), Netbios (137/UDP), Chargen (19/UDP), Portmap (111/UDP), mDNS (5353/UDP), TFTP (69/UDP) e qotd (17/UDP).

Varreduras:

    • Os serviços que podem sofrer ataques de força bruta continuam sendo muito visados: SSH (22/TCP) com 37% das notificações de varreduras recebidas pelo CERT.br, RDP (3389/TCP) com 2% e TELNET (23/TCP) com 1% das notificações em 2019;
    • Tanto os dados de notificações de incidentes, quanto os dados dos honeypots, apontam um crescimento considerável na força bruta de credenciais de e-mail. Estes são dados relacionados com as seguintes portas: SMTP (25/TCP), POP3 (110/TCP), SMTPS (465/TCP), IMAPS (993/TCP) e POPS (995/TCP);
    • Segundo o observado nos honeypots as varreduras pelas portas de RDP (3389/TCP) e HTTPS (443/TCP) eram relativamente baixas no primeiro semestre do ano, e ambas tiveram aumentos significativos no segundo semestre.
      • De 2018 para 2019 aumentou em 546% o número de pacotes contra a porta RDP, sendo que este aumento coincidiu com o período posterior à divulgação da vulnerabilidade chamada de BlueKeep (CVE-2019-0708). Esta vulnerabilidade passou a ser explorada por diversos códigos maliciosos.
      • De 2018 para 2019 aumentou em 460% o número de pacotes contra a porta HTTPS. Neste caso não há uma única causa que tenha sido identificada, o que observamos é que em 2019 cresceu o número de varreduras com objetivo de identificar servidores Web vulneráveis, bem como de capturar certificados SSL/TLS. Mas não foi possível associar este aumento com um CVE ou malware específico.

Também estão disponíveis as estatísticas de spams reportados ao CERT.br no ano de 2019, você pode conferir clicando aqui.