NOTÍCIAS
Ataques de negação de serviço batem nível histórico em 2019
Por: Redação da Abranet - 11/02/2020

O número de notificações sobre computadores que participaram de ataques de negação de serviço (em inglês, Denial of Service - DoS) alcançou o maior da série histórica, sendo 90% maior que em 2018. Em 2019, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), recebeu 301.308 notificações de DoS. Em 2019, recebeu 875.327 notificações de incidentes de segurança, número 29% maior que o total de 2018.  

A negação de serviço é uma técnica em que um atacante utiliza um equipamento conectado à rede para tirar de operação um serviço, um computador ou uma rede conectada à Internet. Quando um conjunto de equipamentos é utilizado no ataque, recebe o nome de Ataque Distribuído de Negação de Serviço (em inglês, Distributed Denial of Service - DDoS). 

Em 2019, o maior número de notificações de DDoS foi de ataques do tipo UDP flood gerados por botnets (redes formadas por centenas ou milhares de computadores infectados com bots) de IoT (do inglês, Internet of Things). Botnets como Mirai e Bashlite, que infectam tanto dispositivos como DVRs, quanto roteadores de banda larga, foram responsáveis pela maior parte dos ataques notificados.

Em nota, Cristine Hoepers, gerente do CERT.br, apontou que o número de DDoS tem crescido, em grande parte, pela facilidade que os atacantes têm de realizar esse tipo de ação. Vulnerabilidades no software embarcado e nas configurações padrão de modems e roteadores Wi-Fi permitem que esses equipamentos sejam alvo de uma variedade de abusos, até o completo comprometimento por malware, explicou a especialista.

 Requisitos Mínimos de Segurança para Aquisição de Equipamentos para Conexão de Assinante (CPE) são descritos em documento conjunto do LACNOG (Grupo de Operadores de Redes da América Latina e o Caribe) e M3AAWG (Messaging, Malware and Mobile Anti-Abuse Working Group), disponível no endereço: http://www.m3aawg.org/sites/default/files/lac-bcop-1-m3aawg-v1-portuguese-final.pdf. 

Amplificação

De acordo com os incidentes de segurança reportados ao CERT.br em 2019, 26% dos casos de ataque DoS envolveram protocolos de rede que podem ser utilizados como amplificadores, tais como: CHARGEN (19/UDP), DNS (53/UDP), NTP (123/UDP), SNMP (161/UDP), LDAP (389/TCP) e SSDP (1900/UDP). Em 2018, os casos notificados que envolviam estes protocolos eram maioria e correspondiam a mais de 70%.

Além da queda em incidentes reportados envolvendo estes protocolos, outras estatísticas mantida pelo CERT.br - de notificações enviadas aos sistemas autônomos cujas redes possuem sistemas mal configurados, que podem ser abusados por atacantes para amplificar tráfego - também apontam diminuição dos casos de IPs permitindo amplificação. 

Hoepers destacou que, de julho de 2018 até dezembro de 2019, o número de IPs permitindo amplificação alocados no Brasil reduziu cerca de 60%. Segundo ela, essa diminuição está ligada ao Programa por uma Internet mais Segura , mantido pelo CGI.br e NIC.br, que tem contribuído de forma significativa para conscientizar operadoras e provedores de Internet sobre boas práticas de infraestrutura de rede.

De forma complementar, as estatísticas também mantidas pelo CERT.br de ataques contra honeypots - sensores distribuídos no espaço de endereços IP da Internet no Brasil, que ampliam a capacidade de detecção de incidentes e correlação de eventos - apontam a continuidade das varreduras à procura de serviços passíveis de serem abusados para amplificação de tráfego. Os dados dos honeypots mostram que a busca por amplificadores continua igual, o que sugere que a redução deste tipo de abuso no Brasil esteja sim relacionada com a melhora do ecossistema. 

Varreduras e propagação de códigos maliciosos

As notificações de incidentes reportadas ao CERT.br sobre varreduras - técnica que tem o objetivo de identificar computadores ativos e coletar informações sobre eles -, aliadas aos dados obtidos por meio dos honeypots, apontam um aumento de varreduras contra serviços relacionados a e-mails. 

As notificações de varreduras somaram 409.748 em 2019, correspondendo a um aumento de 3% em relação a 2018. Os serviços que podem sofrer ataques de força bruta (tentativas de adivinhação de senhas) continuam sendo muito visados: SSH (22/TCP) com 37% das notificações de varreduras, RDP (3389/TCP) com 2% e TELNET (23/TCP) com 1% das notificações em 2019.

Os dados dos honeypots apontam, de forma complementar, um aumento de varreduras contra serviços de e-mail, mais notadamente às portas POP3 (110/TCP), SMTPS (465/TCP), IMAPS (993/TCP) e POPS (995/TCP). Para Hoepers, este aumento pode ser relacionado com o aumento de força bruta contra serviços de e-mail que temos visto nas notificações de incidentes de segurança reportadas ao CERT.br. É essencial, ressaltou, que, frente ao aumento desse tipo de ataque, as organizações invistam na adoção de múltiplos fatores de autenticação, e não mais apenas login e senha.

Ainda de acordo com os honeypots, de 2018 para 2019 houve um aumento de 546% no número de pacotes contra a porta RDP (Remote Desktop Protocol), sendo que este aumento coincidiu com a divulgação da vulnerabilidade chamada BlueKeep (CVE-2019-0708), que passou a ser explorada por diversos códigos maliciosos. O início do abuso poucas semanas após a disponibilização da atualização pela Microsoft reforça a importância de aplicar patches para a proteção da rede o quanto antes, disse Hoepers. O CERT.br também registrou, de 2018 para 2019, um aumento em 460% no número de pacotes contra a porta HTTPS.

Enviar por e-mail   ...   Versão para impressão:
 

LEIA TAMBÉM:
21/10/2020
19/10/2020
14/10/2020
23/09/2020
21/09/2020
09/09/2020
31/08/2020
25/08/2020
01/07/2020
09/06/2020


Copyright © 2014-2020         Abranet - Associação Brasileira de Internet         Produzido e gerenciado por Editora Convergência Digital