ANPD investiga vazamento de dados de brasileiros: as principais notícias da semana
Violações de grandes empresas e outros milhões de dados de brasileiros vazados.
O que você vai ler hoje:
- Hacker viola sistemas de mais de 35 grandes empresas usando código aberto
- Uma compilação de bilhões de dados de usuários vaza na deep web
- Usuários do Discord são alvo de ataques direcionados e cada vez mais sofisticados
- ANPD investiga vazamento de dados de 102 milhões de brasileiros
Antes de continuar a leitura...
Mulheres na Ciberseguança: Womtech CG 2021
Preparamos uma semana de lives e convidamos diversas profissionais de cibersegurança para tratar alguns dos assuntos mais importantes dos últimos tempos. Você não vai querer ficar de fora de todas as novidades que o ano nos aguarda, não é mesmo? Clique na imagem a seguir para participar:
Continue agora com a leitura do artigo...
Hacker viola sistemas de mais de 35 grandes empresas usando código aberto
Um pesquisador conseguiu violar os sistemas internos de mais de 35 grandes empresas, incluindo Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla e Uber, em um novo ataque à cadeia de suprimentos de software.
O ataque – conduzido pelo white hat Alex Birsan – consistiu em enviar malware para repositórios de código aberto, que, em seguida, foram distribuídos automaticamente para os aplicativos internos da empresa.
Ao contrário dos ataques de typosquatting tradicionais, que dependem de táticas de engenharia social, ou de a vítima digitar o nome de um pacote incorretamente, este, em particular, é mais sofisticado, porque não precisou de ação da vítima.
Na verdade, o ataque só foi possível porque alavancou uma falha de design exclusiva dos ecossistemas de código aberto, chamada por Birsan de “confusão de dependências” (dependency confusion).
A grande sacada de Birsan foi se aproveitar do fato de que vários aplicativos e serviços online apenas modificam projetos de código aberto – em vez de criar códigos do zero -, o que faz com que muitos deles tenham repositórios em comum.
Após entrar em contato com um manifesto .json que alegava que o PayPal recorria a esse recurso, Birsan se perguntou o que aconteceria caso os sistemas da empresa encontrassem, no GitHub, um repositório homônimo, com uma data de atualização mais recente, de forma pública.
Com isso, falsificou uma edição e descobriu que o sistema ignora o pacote customizado armazenado em um servidor fechado e prioriza o que está publicamente disponível no GitHub, possibilitando a contração de um malware, caso a edição seja feita por um agente mal intencionado.
Com isso, Birsan provou que seria capaz de extrair dados de servidores afetados e lucrou cerca de R$ 699 mil em recompensas de bug bounty.
Descubra a Anatomia das Ameaças Cibernéticas
Quer levar seu conhecimento ainda mais longe? confira agora mesmo o nosso material com a anatomia das principais ameaças cibernéticas, um material muito completo, gratuito, em duas partes!
Uma compilação de bilhões de dados de usuários vaza na deep web
Uma “compilação de muitas violações” (COMB) vazou na deep web, de acordo com pesquisadores.
O compilado contém surpreendentes 3,27 bilhões de combinações exclusivas de endereços de e-mail e senhas, roubadas de violações anteriores e incluindo credenciais da Netflix, LinkedIn, dentre outros.
O banco de dados foi tornado público em 2 de fevereiro por um usuário chamado “Singularity0x01", que criou um tópico no popular fórum cibercriminoso RaidForums para postar as credenciais.
Singularity0x01 afirmou que a coleção foi construída em base de uma compilação anterior, que continha 1,4 bilhão de registros, e que a maior parte do conteúdo estava disponível publicamente. O usuário disse ainda que os dados foram apresentados em ordem alfabética e em árvore.
No entanto, alguns usuários tentaram acessar o COMB alegaram que os arquivos estavam corrompidos, que faltavam arquivos, que o número total de credenciais era menor do que o anunciado e que os dados eram de baixa qualidade.
Após investigação, pesquisadores disseram que, na verdade, este parece ser apenas um relançamento de outro vazamento massivo, que ocorreu em 2019, mas repaginado com algumas ferramentas para desduplicação, classificação e análise dos dados, a fim de torná-lo mais fácil de usar.
O que não tira seu valor. Hackers criminosos podem usar os dados para compor ataques de força bruta ou de preenchimento de credenciais, especialmente se os usuários cujos dados foram vazados não tiverem o hábito de utilizar autenticação de dois fatores (MFA) ou de mudar suas senhas periodicamente.
Quais foram as principais ameaças do ano passado?
Olhar para o passado é essencial para entendermos a origem, medir, ou até mesmo prever o crescimento das ameaças cibernéticas. Em nosso cybertalks do mês, conversamos com o nosso Gerente de Produtos, Adalberto Costa, sobre as principais ameaças cibernéticas que ocorreram no ano passado e como as empresas podem se prevenir neste ano novo.
Usuários do Discord são alvo de ataques direcionados e cada vez mais sofisticados
Arquivos maliciosos estão sendo plantados dentro do Discord – plataforma de interação online, majoritariamente utilizado por gamers – a fim de persuadir os usuários a baixarem arquivos com malware, alertam pesquisadores.
De acordo com eles, foram observadas várias campanhas ativas direcionadas ao serviço e com o objetivo de desencadear uma cadeia de infecção composta pelo ransomware Epsilon, por cavalos de Tróia ladrões de dados e pelo criptominer XMRrig.
Os invasores também estão usando o serviço para comunicação de comando e controle (C2), observaram os pesquisadores.
Esses novos ataques geralmente começam com e-mails de spam, nos quais os usuários são enganados pelos modelos de aparência legítima para fazer o download de cargas de infecção. O vetor de ataque usa os serviços Discord para formar uma URL para hospedar arquivos maliciosos e se passar por softwares piratas ou softwares de jogos, usando ícones de arquivos relacionados a jogos para enganar as vítimas, de acordo com as pesquisas.
O objetivo é roubar informações do usuário e/ou hackear servidores do Discord, obtendo acesso a redes relevantes para os cibercriminosos.
Os ataques fazem parte de uma onda crescente que enxerga na crescente adesão à plataforma – associada à pandemia – uma oportunidade promissora de fazer novas vítimas.
Fique por dentro de nossas novidades
Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!
ANPD investiga vazamento de dados de 102 milhões de brasileiros
A Autoridade Nacional de Proteção de Dados (ANPD) informou na última semana (11), que iniciou uma investigação sobre o segundo maior vazamento de dados do país no ano.
A investigação refere-se à exposição de dados relativos a mais de 102 milhões de linhas de telefonia móvel, incluindo a do presidente Jair Bolsonaro.
Os dados incluem nomes, números de CPF, minutos gastos em ligações e outros detalhes.
A ANPD afirmou que "está tomando todas as medidas adequadas" para investigar o caso e convocou a Polícia Federal, bem como "a empresa que denunciou o ocorrido e as empresas envolvidas no vazamento". A ideia é que as entidades ajudem a autoridade recém-formada a auxiliar na investigação e na mitigação dos riscos relacionados à violação de dados pessoais de consumidores potencialmente afetados.
A notícia deste vazamento segue um incidente anterior ainda muito comentado, no qual informações de 223 milhões de brasileiros foram expostos e vendidos na deep web. O responsável por este incidente ainda não foi revelado.
Mantenha os dados da sua empresa seguros. Consulte os serviços da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Transações de blockchain mostram conexões entre diferentes grupos de Ransomware
Gangues de criminosos costumam usar vários tipos de ransomware e pular de um RaaS (Ransomware-as-a-Service) para outro, em busca de melhores oportunidades.
Um relatório publicado este mês pela empresa de investigações de blockchain Chainalysis afirma que grupos de cibercrime envolvidos em ataques de ransomware não operam em bolhas isoladas; pelo contrário: frequentemente trocam de fornecedores (em um modelo RaaS – Ransomware-as-a-Service) em busca de lucros mais altos.
O relatório também analisou como fundos de Bitcoin foram transferidos das vítimas para grupos criminosos e como esse dinheiro foi dividido entre as diferentes partes envolvidas no ataque de e, eventualmente, lavado, para não levantar suspeitas.
Mas, para entender essa dinâmica, é necessária uma breve introdução ao cenário atual do ransomware, que muito se assemelha ao funcionamento da maioria das empresas modernas.
Antes de continuar a leitura...
Mulheres na Ciberseguança: Womtech CG 2021
Preparamos uma semana de lives e convidamos diversas profissionais de cibersegurança para tratar alguns dos assuntos mais importantes dos últimos tempos. Você não vai querer ficar de fora de todas as novidades que o ano nos aguarda, não é mesmo? Clique na imagem a seguir para participar:
Continue agora com a leitura do artigo...
A “cadeia de suprimentos” do ransomware
Existem programadores que criam e alugam ransomwares por meio de serviços chamados RaaS – ou Ransomware-as-a-Service – de forma semelhante a como a maioria dos softwares é fornecida hoje.
Isto é, alguns operadores RaaS alugam seu ransomware para qualquer pessoa que demonstre interesse em adquiri-lo, enquanto outros preferem trabalhar com pequenos grupos de clientes verificados, que geralmente são chamados de "afiliados".
Os afiliados são os que geralmente espalham ameaças por e-mail ou orquestram invasões em redes corporativas e governamentais, posteriormente infectando sistemas e criptografando dados com o ransomware alugado.
Em alguns casos, os afiliados também são grupos multifacetados. Alguns se especializam em violar o perímetro de rede de uma empresa e são chamados de fornecedores de acesso inicial, enquanto outros são especializados em expandir o acesso inicial dentro de redes hackeadas para maximizar os danos do ransomware.
Em suma, o panorama do ransomware evoluiu de uns anos para cá, virando um amálgama de grupos criminosos, cada qual fornecendo seu próprio serviço altamente especializado ao outro, geralmente em diferentes provedores de RaaS.
Quais foram as principais ameaças do ano passado?
Olhar para o passado é essencial para entendermos a origem, medir, ou até mesmo prever o crescimento das ameaças cibernéticas. Em nosso cybertalks do mês, conversamos com o nosso Gerente de Produtos, Adalberto Costa, sobre as principais ameaças cibernéticas que ocorreram no ano passado e como as empresas podem se prevenir neste ano novo.
Transações de Bitcoin revelam que grupos criminosos costumam colaborar entre si
O relatório da Chainalysis confirma essas teorias informais com provas criptográficas indiscutíveis, deixadas pelas transações de Bitcoin que ocorreram entre alguns desses grupos.
Por exemplo, com base no gráfico abaixo, a Chainalysis disse ter encontrado evidências que sugerem que um afiliado do agora extinto Maze RaaS também estava envolvido com o SunCrypt RaaS.
"Vemos que o afiliado do Maze também enviou fundos – cerca de 9,55 Bitcoin no valor de mais de US $ 90.000 – por meio de uma carteira intermediária para um endereço denominado 'SunCrypt admin suspeito', que identificamos como parte de uma carteira que consolidou fundos relacionados a alguns ataques SunCrypt ", dizem os pesquisadores Chainalysis.
"Isso sugere que o afiliado do Maze também é afiliado do SunCrypt, ou possivelmente envolvido com o SunCrypt de outra maneira."
Descobertas semelhantes também mostram uma conexão entre as operações Egregor e DoppelPaymer.
"Neste caso, vemos que uma carteira vinculada à Egregor enviou cerca de 78,9 BTC no valor de aproximadamente US $ 850.000 para uma carteira suspeita de um admin Doppelpaymer", disseram os pesquisadores.
"Embora não possamos saber com certeza, acreditamos que este é outro exemplo de sobreposição de afiliados. Nossa hipótese é que a carteira rotulada ‘Egregor’ é uma afiliada de ambas as cepas que enviam fundos para os administradores Doppelpaymer."
E por último, mas não menos importante, os pesquisadores da Chainalysis também encontraram evidências de que os operadores de Maze e Egregor usaram o mesmo serviço de lavagem de dinheiro e de corretagem de balcão para converter fundos roubados em moeda fiduciária.
Fique por dentro de nossas novidades
Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!
Intersecções podem ser um bom sinal
Embora possamos, com razão, presumir essas conexões e intersecções como um sinal de parcerias bem-sucedidas entre grupos de criminosos, ou seja, de ameaças crescentes e complexas, a Chainalysis, por outro lado, acredita que essa interconexão é, na verdade, um bom sinal, em termos de aplicação da lei.
"A evidência sugere que o mundo do ransomware na verdade é menor do que se imagina, dado o número de cepas em uma única operação", diz a Chainalysis.
Isso, em teoria, deve tornar a retaliação e interrupção de ataques de ransomware uma tarefa muito mais fácil, já que uma defesa cuidadosamente planejada pode afetar vários grupos e provedores de RaaS ao mesmo tempo.
E, de acordo com a Chainalysis, esses pontos fracos podem ser os serviços de lavagem de dinheiro que os operadores de RaaS e seus afiliados costumam usar para converter os fundos roubados em moeda legítima.
Ao recorrer a caminhos legítimos para converter fundos e alcançar lucratividade no mundo real, a Chainalysis acredita que as operações RaaS terão dificuldade de operar quando não puderem lucrar com seu trabalho. Como isso se desdobrará, porém, ainda é um mistério.
Mantenha seus dados seguros. Consulte os especialistas da Compugraf e conheça nossas soluções de segurança!
- Published in Noticias
220 milhões de brasileiros têm seu CPF e outros dados vazados: as principais notícias da semana
Ataques ao redor do mundo comprometem – e vazam – dados confidenciais. Milhares de brasileiros têm seu CPF e dezenas de outras informações violadas. Ataques DDoS tendem a acompanhar a alta do Bitcoin.
O que você vai ler hoje:
- Ataque a banco de dados compromete informações pessoais de 220 milhões de brasileiros
- Arquivos do governo da Escócia são vazados online em ataque de ransomware
- Com aumento do valor da Bitcoin, ataques DDoS tendem a aumentar
- Criminosos deixam – sem querer – mais de 1.000 credenciais roubadas disponíveis em pesquisas no Google
Antes de continuar a leitura...
Mulheres na Ciberseguança: Womtech CG 2021
Preparamos uma semana de lives e convidamos diversas profissionais de cibersegurança para tratar alguns dos assuntos mais importantes dos últimos tempos. Você não vai querer ficar de fora de todas as novidades que o ano nos aguarda, não é mesmo? Clique na imagem a seguir para participar:
Continue agora com a leitura do artigo...
Ataque a banco de dados compromete informações pessoais de 220 milhões de brasileiros
Na manhã do dia 19/março de 2021, um laboratório de pesquisas de cibersegurança daPSafe, relatou um vazamento significativo de um banco de dados que expôs o número de CPF e outras informações confidenciais de milhões de brasileiros.
De acordo com os especialistas, os dados vazados contêm informações detalhadas sobre 104 milhões de veículos e cerca de 40 milhões de empresas, potencialmente vulnerabilizando 220 milhões de pessoas.
A princípio, acreditava-se que as informações contidas no banco de dados comprometido incluíam nome, data de nascimento e CPF de quase todos os brasileiros, incluindo autoridades. Alguns dias depois, porém, descobriu-se que o incidente é ainda maior e inclui foto de rosto, telefone, endereço, e-mail, score de crédito, renda mensal, dados de escolaridade, classe social, número de PIS e muito mais.
Não sabe sabe ainda a fonte do ataque.
A Lei Geral de Proteção de Dados prevê uma multa de 2% do faturamento anual, que vai até R$ 50 milhões por incidente registrado. No entanto, essas sanções só devem entrar em vigor em Agosto de 2021.
Até o momento, não se sabe quem foi o responsável pelo vazamento.
Leia também
- Ransomware é a maior preocupação de cibersegurança para CISOs
- Novo comunicado da LGPD nos atualiza sobre as previsões de seu órgão regulador
- Quase 70% dos consumidores brasileiros não sabem se seus dados pessoais estão seguros
Arquivos do governo da Escócia são vazados online em ataque de ransomware
Até 4.000 arquivos governamentais foram violados e expostos por hackers, que lançaram um ataque de ransomware contra a Agência de Proteção Ambiental da Escócia (SEPA) na véspera de Natal.
O ataque afetou os sistemas de e-mail da SEPA, que permanecem off-line, segundo a agência. No entanto, a agência, que é a reguladora ambiental da Escócia, enfatizou que não vai "se envolver" com os cibercriminosos.
Os dados roubados incluíam várias informações relacionadas a negócios ambientais – incluindo licenças de sites regulamentados disponíveis publicamente, autorizações e avisos de execução, bem como dados relacionados com planos corporativos da SEPA.
Outros dados comprometidos estavam relacionados a prêmios de aquisições publicamente disponíveis e trabalho comercial com parceiros internacionais da SEPA. Também foram roubados os dados pessoais dos funcionários da SEPA.
Apesar dessas categorias amplas, a SEPA disse que ainda não sabe – e talvez nunca saiba – todos os detalhes de todos os arquivos roubados. Algumas das informações comprometidas já estavam disponíveis publicamente, enquanto outros dados não, confirmou.
O que ainda não está claro é como o ataque de ransomware começou e quanto os invasores estão exigindo em termos de pagamento de resgate.
Independentemente do valor, os invasores agora estão colocando mais pressão sobre a agência para que ela pague o montante. Por exemplo, os dados já foram lançados em fóruns clandestinos e, segundo relatos, os hackers anunciaram que quase 1.000 pessoas, até agora, viram os documentos comprometidos.
Em nossa edição mais recente do "Em Foco", separamos algumas das tendências esperadas para 2021. Confira:O que esperar do mercado de segurança e privacidade em 2021
Com aumento do valor da Bitcoin, ataques DDoS tendem a aumentar
Em um alerta de segurança enviado a clientes e compartilhado com a imprensa esta semana, uma empresa de serviços cloud norte-americana disse que, durante a última semana de 2020 e a primeira semana de 2021, seus clientes vinham sendo ameaçados por uma nova onda de e-mails de extorsão DDoS.
Os criminosos ameaçaram comprometer as empresas com ataques DDoS, a menos que recebessem entre 5 e 10 bitcoins (equivalente a US$150.000 e US$300.000).
A fornecedora disse que alguns dos e-mails observados foram enviados por um grupo ativo entre junho e julho de 2020, que mirava em organizações financeiras ao redor do mundo.
As empresas que receberam os e-mails desse grupo em 2020 receberam novas ameaças agora no começo de 2021, disseram os representantes da fornecedora.
Além disso, a empresa disse que viu algumas organizações sendo alvos de ataques DDoS após receberem os e-mails de extorsão. Os ataques duraram cerca de nove horas, em média, e variaram em torno de 200 Gbps, com um ataque chegando a 237 Gbps.
Ela acredita que o aumento no preço do Bitcoin fez com que alguns grupos voltassem a priorizar os esquemas de extorsão DDoS, mas também disse que a alta no preço do Bitcoin foi tão repentina e inesperada que pegou até mesmo alguns grupos cibercriminosos de surpresa.
Sendo assim, os próprios extorsionários tiveram que se adaptar e reduzir suas demandas ao longo do tempo, passando de solicitar 10 BTC para 5 BTC, já que, em alguns casos, a taxa de extorsão teria sido muito grande para algumas empresas pagarem, uma vez que o preço do Bitcoin triplicou desde agosto de 2020.
Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!Fique por dentro de nossas novidades
Criminosos deixam – sem querer – mais de 1.000 credenciais roubadas disponíveis em pesquisas no Google
Os criminosos por trás de uma campanha de phishing descoberta recentemente deixaram, sem querer, mais de 1.000 credenciais roubadas disponíveis online por meio de pesquisas simples no Google, descobriram pesquisadores da CheckPoint.
A campanha, que começou em agosto de 2020, usou e-mails que falsificam notificações de varreduras de Xerox para fazer as vítimas clicarem em anexos HTML maliciosos, de acordo com um relatório divulgado na quinta-feira (21).
Normalmente, essas credenciais são as jóias da coroa de um ataque, algo que os agentes de ameaça guardam para si a fim de que possam vendê-las na dark web para obter lucro ou usá-las para seus próprios fins.
No entanto, nesta campanha, “com uma simples pesquisa no Google, qualquer um poderia ter encontrado a senha de um dos endereços de e-mail roubados e comprometidos: um presente para todos os invasores oportunistas”, escreveram os pesquisadores.
Isso aconteceu porque os invasores armazenaram as credenciais roubadas em páginas da web hospedadas em servidores comprometidos, disse o chefe de inteligência de ameaças da Check Point.
No entanto, como o Google indexa constantemente dados disponíveis na internet, o mecanismo de busca também indexou essas páginas, disponibilizando-as para qualquer pessoa que consultasse o Google sobre um endereço de e-mail roubado.
Quer manter seus dispositivos e dados pessoais protegidos de qualquer tipo de ameaça? Consulte os serviços da Compugraf e saiba como podemos ajudar sua empresa!
- Published in Noticias
Ransomware é a maior preocupação de cibersegurança para CISOs
Ataques de phishing, violação de contas e violação de e-mails comerciais ainda preocupam as organizações – mas é o medo de ataques de ransomware que está tirando o sono dos CISOs
O ransomware é a maior ameaça de segurança cibernética que as empresas enfrentam, de acordo com os profissionais responsáveis por manter as organizações protegidas contra hackers e ciberataques, em geral.
É o que revela uma pesquisa realizada com diretores de segurança da informação (CISOs) e diretores de segurança (CSOs). De acordo com os entrevistados, o ransomware agora é visto como a principal ameaça à segurança cibernética para suas organizações ao longo deste ano.
Antes de continuar a leitura...
Mulheres na Ciberseguança: Womtech CG 2021
Preparamos uma semana de lives e convidamos diversas profissionais de cibersegurança para tratar alguns dos assuntos mais importantes dos últimos tempos. Você não vai querer ficar de fora de todas as novidades que o ano nos aguarda, não é mesmo? Clique na imagem a seguir para participar:
Continue agora com a leitura do artigo...
Ransomware é a ameaça que está tirando o sono de profissionais de segurança
Quase metade – 46% – dos CSOs e CISOs pesquisados disseram que o ransomware ou outras formas de extorsão por cibercriminosos representam, atualmente, a maior preocupação para estes profissionais e suas empresas.
Isso porque o ransomware continua a ser um dos ataques cibernéticos mais prejudiciais e dramáticos da atualidade, enquanto que, para os cibercriminosos, criptografar redes e exigir bitcoin em troca da chave de descriptografia se provou a maneira mais fácil de ganhar, rapidamente, uma grande quantidade de dinheiro por meio da violação de redes corporativas.
Uma porcentagem significativa de organizações pagará pelo resgate dos dados – que pode chegar a milhões de dólares -, porque elas consideram este o meio mais rápido de restaurar sua rede com o mínimo de interrupções para os negócios. E justamente é porque esses resgates são pagos que o ransomware continua sendo tão atraente – e lucrativo – para os cibercriminosos.
Alguns dos outros ataques cibernéticos que os CISOs apontam como as maiores ameaças para este ano incluem: violação de contas em nuvem, ameaças internas, phishing e comprometimento de e-mails comerciais.
Embora não sejam tão evidentes quanto os ataques de ransomware, todas essas ameaças cibernéticas podem causar problemas graves para as organizações – especialmente se os hackers forem capazes de combinar ataques como phishing e comprometimento das credenciais de login da conta em nuvem para obter mais acesso às redes corporativas.
Frequentemente, esses tipos de ataques são usados nos estágios iniciais dos esforços para violar redes por meio de ransomware. Sendo assim, a pesquisa alerta para a necessidade de proteger a rede contra outras formas mais específicas de ataques cibernéticos, uma vez que isso pode ajudar a impedir que um hack evolua para prejuízos significativamente maiores.
O que esperar do mercado de segurança e privacidade em 2021
Em nossa edição mais recente do "Em Foco", separamos algumas das tendências esperadas para 2021. Confira:
Melhorar a segurança de TI é o foco
Felizmente, melhorar a segurança de TI, de uma forma ou de outra, parece ser uma prioridade para a maioria das organizações.
Metade dos CISOs listou a melhoria da conscientização dos funcionários sobre a segurança cibernética como uma prioridade nos próximos 12 meses, enquanto quase o mesmo número disse que aprimorar as habilidades das organizações contratando novos talentos, ou desenvolvendo as habilidades dos colaboradores atuais, é algo que suas organizações estão procurando colocar em prática.
No entanto, os cibercriminosos também continuarão a se adaptar e evoluir – e é importante para as organizações não se tornarem complacentes no que diz respeito à segurança cibernética, buscando um entendimento sólido de suas próprias redes e como elas podem ser afetadas em diferentes circunstâncias.
Os cibercriminosos estão focados em explorar vulnerabilidades das organizações, e constantemente melhoram suas habilidades e estratégias. Isso torna difícil para os CISOs preverem o momento, o tamanho e a maneira como o próximo ataque pode ocorrer, embora reconheçam os crescentes riscos cibernéticos enfrentados por sua organização
É natural se sentir sobrecarregado por isso, então um conselho aos CISOs é se concentrar em obter um entendimento profundo de quem está sendo atacado em sua organização e qual é o vetor de ataque mais vulnerável.
Além do investimento em treinamentos e conscientização, as organizações podem ajudar na proteção contra ransomware e outros ataques aplicando patches de segurança sempre que forem lançados, evitando que os hackers explorem vulnerabilidades conhecidas.
O uso de proteção adicional, como autenticação de dois fatores em toda a organização, também pode ajudar a evitar ataques mais prejudiciais, tornando muito mais difícil para os hackers se moverem pela rede, mesmo que tenham as credenciais corretas.
- Published in Noticias
Ciberataque a fornecedora deixa pelo menos 100 postos sem gasolina
Ataque a postos de gasolina. Inteligência artificial pode ser usada contra ou a favor da cibersegurança.
Estas são as principais notícias da semana:
- Facebook processa desenvolvedores de extensões do Chrome por roubo de dados
- A inteligência artificial vai substituir profissionais de TI? De acordo com esta pesquisa, sim
- Ciberataque a fornecedora deixa pelo menos 100 postos sem gasolina
- Scam-as-a-service: como um grupo russo já roubou 65 milhões de dólares de consumidores ao redor do mundo
O que esperar do mercado de segurança e privacidade em 2021
Em nossa edição mais recente do "Em Foco", separamos algumas das tendências esperadas para 2021. Confira:
Facebook processa desenvolvedores de extensões do Chrome por roubo de dados
O Facebook entrou com uma ação legal contra dois desenvolvedores de extensões do Chrome que, segundo a empresa, estavam roubando dados de perfis de usuários – incluindo nomes e IDs de login, assim como outras informações relacionadas ao navegador do usuário.
As quatro extensões maliciosas investigadas pelo Facebook são: Blue Messenger, que se apresenta como um aplicativo de alerta de notificação para o recurso de comunicação Messenger, do Facebook; Green Messenger, que é um aplicativo de mensagens para WhatsApp; Emoji Keyboard, um aplicativo de teclado de atalho e Web para Instagram + DM, que oferece ferramentas para os usuários enviarem mensagens diretas a outras pessoas no aplicativo Instagram.
De acordo com o Facebook, quando seus usuários instalaram essas extensões em seus navegadores, eles estavam, na verdade, instalando um código oculto, projetado para extrair dados do Facebook. Se os usuários visitavam o site do Facebook, por exemplo, as extensões do navegador eram programadas para filtrar seu nome, ID de usuário, sexo, status de relacionamento, faixa etária, dentre outras informações relacionadas à conta.
As extensões também coletaram informações de navegadores de usuários desconhecidos, que não estavam relacionados ao Facebook. O Facebook não esclareceu quais eram esses dados. O Facebook também não informou quantos usuários foram afetados.
A Facebook Inc. e a Facebook Ireland entraram com a ação legal, em Portugal, dizendo que os dois desenvolvedores violaram os Termos de Serviço do gigante das mídias sociais e a Lei de Proteção de Banco de Dados de Portugal e aguardam o andamento do processo.
A inteligência artificial vai substituir profissionais de TI? De acordo com esta pesquisa, sim
Uma pesquisa realizada por uma empresa de segurança em nuvem revelou que mais de dois quintos (41%) dos líderes de TI ao redor do mundo acreditam que a inteligência artificial substituirá sua função até 2030.
Além disso, prevê que os sistemas remotos e baseados na nuvem serão os mais visados em 2021.
A pesquisa foi compilada a partir de entrevistas com 500 diretores e gerentes de TI, CIOs e CTOs.
Quase um terço (32%) dos entrevistados disse pensar que a tecnologia acabaria automatizando completamente toda a segurança cibernética, com pouca necessidade de intervenção humana.
Quase um em cada cinco (19%) acredita que invasores se valendo de IA para aumentar seu arsenal serão comuns em 2025.
No curto prazo, os entrevistados também previram que a maioria das organizações terá reduzido significativamente o investimento em propriedades, pois o trabalho remoto se tornará a norma (22%).
Boa parte acredita que o uso de 5G em território nacional terá a infraestrutura de rede e segurança totalmente transformada (21%), e que a segurança será autogerenciada e automatizada, usando IA (15%).
Quais as tendências de segurança e privacidade em 2021?
Preparamos um checklist com todas as previsões e tudo com o que a sua empresa precisa se preocupar para estar protegida em 2021. Confira:
Ciberataque a fornecedora deixa pelo menos 100 postos sem gasolina
Um ataque cibernético comprometeu a operação de vários postos de gasolina no país. O ataque ocorreu na segunda-feira (11) e, até o momento, não foram divulgados detalhes a respeito da ocorrência.
Em um comunicado divulgado na terça-feira (12), a empresa em questão informa que estava “operando em regime de contingência” e que “acionou seus protocolos de controle e segurança para bloquear o ataque e minimizar eventuais impactos”.
Nos dias subsequentes ao ataque (12 e 13), foi registrada falta de combustível em postos da região metropolitana de Florianópolis (SC) e em outros lugares do Brasil, de acordo com o jornal NSC Total.
Ainda segundo o jornal, Joel Fernandes, vice-presidente do Sindicato do Comércio Varejista de Combustíveis Minerais de Florianópolis (Sindópolis), anunciou que a situação afetou cerca de 100 postos somente na Grande Florianópolis.
O ataque foi descrito pela Federação Nacional do Comércio de Combustíveis e de Lubrificantes (Fecombustíveis) como um “grave problema”, em nota publicada na quarta-feira (13).
Scam-as-a-service: como um grupo russo já roubou 65 milhões de dólares de consumidores ao redor do mundo
Uma operação de cibercrime recentemente descoberta, baseada na Rússia, ajudou golpistas de anúncios e classificados a roubar mais de 6,5 milhões de dólares de consumidores nos Estados Unidos, Europa e antigos estados soviéticos.
Em um relatório publicado no dia 14/01, a empresa de segurança cibernética Group-IB investigou a operação descrita como como um Scam-as-a-Service, de codinome Classiscam.
De acordo com o relatório, o esquema da Classiscam começou no início de 2019 e, inicialmente, tinha como alvo apenas compradores ativos em mercados online russos e portais de classificados.
O grupo se expandiu para outros países apenas no ano passado, depois que começou a recrutar criminosos que podiam conversar com clientes de outros idiomas e nacionalidades.
Apesar do amplo direcionamento, o modus operandi do Classiscam segue um padrão semelhante – adaptado para cada site – e gira em torno da publicação de anúncios de produtos não-existentes em mercados online.
“Os anúncios geralmente oferecem câmeras, consoles de videogame, laptops, smartphones e itens semelhantes, a preços deliberadamente baixos”, disse o Grupo-IB.
Uma vez que os usuários interessados entram em contato com o fornecedor falso, um operador do Classiscam solicitará que o comprador forneça seus detalhes pessoais para providenciar a entrega do produto.
O scammer usaria, então, um bot do Telegram para gerar uma página de phishing que imita o marketplace original, mas hospedada em um domínio semelhante, falso. O golpista envia o link ao comprador, que o preenche com seus detalhes de pagamento. Assim que a vítima fornece os detalhes do pagamento, os golpistas copiam os dados para usá-los em outro lugar, para comprar outros produtos.
Com base no número de bots do Telegram descobertos, o Group-IB acredita que há mais de 40 grupos diferentes usando os serviços da Classiscam.
Metade dos grupos executa golpes em sites russos, enquanto a outra metade visa usuários na Bulgária, República Tcheca, França, Polônia, Romênia, Estados Unidos e países pós-soviéticos.
O Group-IB disse que mais de 5.000 usuários (trabalhando como golpistas) foram registrados nesses 40+ chats do Telegram no final de 2020.
Mantenha sua empresa segura. Consulte nossos serviços e especialistas, saiba como podemos te ajudar!
- Published in Noticias
Phishing: estas são as marcas com maior probabilidade de serem falsificadas por criminosos atualmente
Cibercriminosos exploram modelo de trabalho remoto para falsificar marcas como Microsoft e Amazon, visando roubo de dados corporativos e pessoais.
Boa parte do sucesso de um ataque de phishing se deve a quão capazes os cibercriminosos são de mimetizar marcas conhecidas, tão entranhadas no dia a dia de seus alvos que muitos sequer conferem a integridade dos e-mails ou páginas antes de conceder seus dados.
Uma pesquisa recente analisou algumas campanhas de phishing para descobrir quais são as marcas mais falsificadas por criminosos, e o que fazer para se proteger.
Quais as tendências de segurança e privacidade em 2021?
Preparamos um checklist com todas as previsões e tudo com o que a sua empresa precisa se preocupar para estar protegida em 2021. Confira:
43% dos e-mails de phishing se passam por recursos da Microsoft
Os pesquisadores de segurança cibernética da Check Point – empresa parceira da Compugraf– analisaram milhares de e-mails de phishing enviados nos últimos três meses e descobriramque 43%de todas as tentativas de phishing que imitam marcas tentavam se passar pela gigante da tecnologia, a Microsoft.
A Microsoft é uma isca popular devido à ampla distribuição do Office 365 entre empresas e dispositivos pessoais. Roubando essas credenciais, os criminosos esperam obter acesso às redes corporativas e a documentos com informações que lhes permitiriam, inclusive, evoluir para ataques de Engenharia Social.
E com muitas organizações fazendo a transição para o trabalho remoto, a fim de assegurar o distanciamento social ao longo da pandemia do COVID-19, e-mails e sistemas de mensagens online se tornaram ainda mais importantes para as empresas – algo que os invasores cibernéticos estão ativamente buscando explorar.
Nesses ataques, mesmo que as mensagens não pareçam vir diretamente da própria Microsoft – como muitas vezes é o caso -, elas vêm disfarçadas de mensagens de um colega, RH, fornecedor ou qualquer outra pessoa com quem o profissional possa entrar em contato. Ainda assim, é comum que incluam um link de phishing ou anexo redirecionando o usuário para uma solução da Microsoft e solicitando que ele insira seus dados de login para “verificar” sua identidade.
Se o endereço de e-mail e a senha forem inseridos nessas páginas projetadas para se parecer com um site da Microsoft, os invasores poderão roubá-los rapidamente.
Credenciais roubadas podem ser usadas para obter mais acesso à rede comprometida ou podem ser vendidas para outros criminosos cibernéticos em mercados da dark web.
Leia também
- Open Banking em 2021: O que podemos esperar?
- Quase 70% dos consumidores brasileiros não sabem se seus dados pessoais estão seguros
Outras marcas que são alvo dos criminosos
A segunda marca mais comumente imitada durante o período de análise foi a DHL, com ataques que imitam o provedor de logística respondendo por 18% de todas as tentativas de phishing investigadas pela pesquisa.
A DHL se tornou uma isca de phishing popular entre os criminosos porque, com muitas pessoas isoladas em casa devido às restrições da pandemia do coronavírus, mais compras online estão sendo feitase, com isso, mais entregas.
Logo, é altamente provável que as pessoas baixem a guarda ao ver mensagens que dizem ser provenientes de entregadoras, uma vez que estes e-mails, muitas vezes, contêm detalhes sobre as compras realizadas.
Outras marcas comumente representadas em e-mails de phishing incluem LinkedIn, Amazon, Google, PayPal e Yahoo. O comprometimento de qualquer uma dessas contas pode fornecer aos cibercriminosos acesso a informações pessoais altamente confidenciais, que eles podem explorar de inúmeras formas.
Como se proteger?
"Os criminosos aumentaram suas tentativas de roubar dados pessoais no quarto trimestre de 2020 se passando por marcas líderes, e nossos dados mostram claramente como eles mudam suas estratégias de phishing a fim de terem maiores chances de sucesso", declarou Maya Horowitz, diretora de inteligência e pesquisa de ameaças da Check Point.
"Como sempre, encorajamos os usuários a serem cautelosos ao divulgar dados pessoais e credenciais para aplicativos de negócios e pensar duas vezes antes de abrir anexos ou links de e-mail, especialmente e-mails que afirmam ser de empresas, como Microsoft ou Google, com maior probabilidade de serem personificadas", acrescentou ela.
- Published in Noticias
De edifícios inteligentes a dispositivos de altos gestores: os principais alvos de ataque em 2021
Ameaças de ransomware continuam evoluindo. Empresas globais são o principal alvo de ataques.
O que você vai ler hoje:
- Ataques de ransomware ao setor de saúde aumentaram significativamente no final de 2020
- APT27, vinculada à China, é acusada como responsável por ataque à cadeia de suprimentos de gigantes do videogame
- Gangues de ransomware direcionam ataques a gestores e executivos, a fim de acelerar o pagamento por resgate
- Edifícios de empresas globais podem ser o principal alvo de ciberataques em 2021
Ataques de ransomware ao setor de saúde aumentaram significativamente no final de 2020
No auge do isolamento social no ano passado, vários grupos criminosos de hackers se comprometeram a deixar hospitais, asilos e outras entidades de saúde em paz até que a pandemia do COVID-19 passasse.
Porém, um relatório recente da Checkpoint Security observa que os ataques de ransomware contra organizações de saúde aumentaram cerca de 45% desde o início de novembro de 2020, seguindo um aumento alarmante de 71% em outubro. Mais do que isso, o relatório declara que as entidades de saúde foram, na verdade, o alvo número um dos ataques de ransomware nesse período.
A empresa relata que, em média, essas organizações enfrentaram cerca de 440 ataques por semana em outubro. Em novembro, esse número subiu para 626 – quase 90 ataques por dia.
Isso porque a combinação de contas bancárias abundantes com a preponderância de informações extremamente confidenciais é uma isca poderosa para agentes mal-intencionados.
E tem sido especialmente lucrativo para uma das equipes de hackers mais prolíficas, atualmente: os criminosos por trás do ransomware Ryuk.
O grupo apareceu pela primeira vez em 2018 e tem sido, de longe, a operação de ransomware mais bem-sucedida desde então. As táticas de negociação agressivas da gangue, e os ataques altamente direcionados, geraram cerca de US$ 150 milhões em pagamentos de resgate por parte de suas vítimas. A média dos pagamentos de resgate de Ryuk é estimada em algo em torno de US$ 110.000.
A Checkpoint estima que Ryuk é atualmente responsável por cerca de 75% de todos os ataques ao setor de saúde.
Leia também:
- Quase 70% dos consumidores brasileiros não sabem se seus dados pessoais estão seguros
- Ataque SolarWinds: o que é e por que foi tão difícil de detectar?
APT27, vinculada à China, é acusada como responsável por ataque à cadeia de suprimentos de gigantes do videogame
Uma série recente de ataques de ransomware direcionados a grandes empresas do setor de jogos eletrônicos foi associada ao notório grupo de ameaças APT27, vinculado à China, o que sugere que a ameaça persistente avançada (APT) está trocando suas táticas centralizadas de espionagem para adotar o ransomware como arma principal, afirma um novo relatório.
Os pesquisadores notaram os “fortes vínculos” com o APT27 quando foram trazidos como parte da resposta a incidentes de atividade de ransomware. No entanto, os detalhes a respeito desses incidentes (incluindo nomes de empresas específicas e o cronograma de ataques) são escassos.
O que se sabe é que o vetor de infecção inicial foi um provedor de serviços terceirizado, que já havia sido infectado por outro provedor de serviços terceirizado, disseram os pesquisadores.
Após uma investigação mais aprofundada sobre o incidente, eles descobriram amostras de malware vinculadas a uma campanha do início de 2020, chamada DRBControl, que tinha ligações com a APT27 e à gangue de especialistas em cadeia de suprimentos Winnti.
Os pesquisadores também descobriram que o DRBControl foi então carregado na memória dos dispositivos, por meio de um executável do Google Updater, que era vulnerável ao side-loading de DLL (side-loading é o processo caracterizado pela utilização de uma DLL maliciosa para falsificar uma legítima e, em seguida, pela utilização de executáveis legítimos do Windows para rodar o código malicioso).
Ambas as amostras usaram o Google Updater assinado pela DRBControl e ambas as DLLs foram rotuladas como goopdate.dll, disseram os pesquisadores.
Além do arsenal de ferramentas correspondentes às operações anteriores do APT27, os pesquisadores notaram semelhanças de código com as campanhas anteriores do APT27; além disso, os domínios usados nesta operação são combinações de outras operações vinculadas ao APT27 anteriormente.
Fique por dentro de nossas novidades
Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!
Gangues de ransomware direcionam ataques a gestores e executivos, a fim de acelerar o pagamento por resgate
Uma nova tendência está surgindo entre grupos de ransomware: priorizar o roubo de dados de altos executivos e gerentes a fim de obter informações “interessantes” que podem, mais tarde, ser usadas para pressionar e extorquir os altos escalões de uma empresa, a fim de acelerar grandes pagamentos de resgate.
A estratégia é um passo a mais no desenvolvimento das gangues de ransomware, que vêm se tornando mais complexas e agressivas com o tempo.
Nos últimos dois anos, as gangues evoluíram de ataques aleatórios a usuários para perseguir grandes corporações em ataques bem direcionados.
Esses grupos violam redes corporativas, roubam arquivos confidenciais, criptografam arquivos e deixam notas de resgate nos computadores destruídos. Em outros casos, algumas gangues de ransomware ameaçaram as empresas de publicar de seus dados, incorrendo em uma violação que poderia acarretar multa das autoridades, bem como danos à reputação.
No entanto, as gangues de ransomware nem sempre conseguem obter dados proprietários ou informações confidenciais em todas as invasões que realizam. Isso reduz sua capacidade de negociar e pressionar as vítimas.
É por isso que, em invasões recentes, um grupo – que costuma usar a variedade de ransomware Clop -, tem procurado especificamente por informações de gerentes e executivos, examinando arquivos e e-mails e extraindo os dados que eles acham que podem ser úteis para ameaçar, constranger ou pressionar a administração de uma empresa a pagar mais rapidamente o resgate.
De todo modo, pagando ou não, o prejuízo à organização é ainda maior.
O que esperar do mercado de segurança e privacidade em 2021
Em nossa edição mais recente do "Em Foco", separamos algumas das tendências esperadas para 2021. Confira:
Edifícios de empresas globais podem ser o principal alvo de ciberataques em 2021
Os riscos de segurança cibernética continuam sendo uma ameaça persistente para empresas globais – e as perspectivas para 2021 não vão melhorar.
Esse é o resultado de uma nova pesquisa, onde quase um quarto (23%) dos entrevistados revelou que suas empresas sofreram sete ou mais ataques em suas redes ou sistemas ao longo de 2020.
Além disso, a maioria dos entrevistados (83%) disse que as chances de um ataque cibernético ter sucesso nos próximos 12 meses são de “um pouco” a “muito” provável.
A pesquisa Trend Micro, que foi realizada em conjunto com o Ponemon Institute, apóia o Índice de Risco Cibernético, uma ferramenta de medição que visa avaliar a capacidade ou prontidão de uma empresa para responder a vários tipos de ataques cibernéticos. Os resultados da última pesquisa são baseados em respostas fornecidas por quase 2.800 gerentes e profissionais de TI dos EUA, Europa e Ásia-Pacífico.
Mas se por um lado a vulnerabilidade de grandes corporações pode não ser novidade, por outro, o grande alerta feito pelas novas análises é que edifícios automatizados são particularmente vulneráveis, especialmente por conta do avanço de dispositivos IoT.
Outro relatório identificou vulnerabilidades em softwares amplamente usados, encontrados em milhões de dispositivos IoT, chama a atenção para o fato de que essas falhas podem ser exploradas por hackers que buscam invadir e causar danos às redes comerciais e domésticas.
Os alertas ressoam com as previsões de tendências em cibersegurança para 2021, que devem explorar ainda mais soluções como redes 5G e dispositivos interconectados. Nunca é cedo demais para começar a se proteger, pelo contrário: a cada minuto, o risco é cada vez maior.
- Published in Noticias
Quase 70% dos consumidores brasileiros não sabem se seus dados pessoais estão seguros
As principais notícias da semana
Ataques ao redor do mundo exploram vulnerabilidades públicas. GitHub planeja abandonar o uso de senhas para parte de suas operações. Brasileiros desconhecem seus direitos.
O que você vai ler hoje:
- Ataque à cadeia de suprimentos do Vietnam compromete empresas privadas e agências do governo
- 45 milhões de dados médicos de pacientes ao redor do mundo estão expostos online
- É o fim das senhas? Para o GitHub, sim
- Maioria dos consumidores brasileiros não sabe se seus dados pessoais estão seguros
Ataque à cadeia de suprimentos do Vietnam compromete empresas privadas e agências do governo
Recentemente, foi descoberto que um grupo desconhecido de hackers realizou um ataque à cadeia de suprimentos contra empresas privadas e agências governamentais vietnamitas, inserindo malware dentro de um software oficial do governo.
O ataque tinha como alvo a Autoridade de Certificação do Governo do Vietnã (VGCA), responsável por emitir certificados digitais que podem ser usados para assinar eletronicamente documentos oficiais.
Mas o VGCA não apenas emite esses certificados digitais; ele também fornece aplicativos específicos para o usuário, que os cidadãos, empresas privadas e funcionários do governo podem instalar em seus computadores a fim de automatizar o processo de assinatura de um documento.
Qualquer cidadão vietnamita, empresa privada e até mesmo outra agência governamental que queira enviar arquivos para o governo vietnamita deve assinar seus documentos com um certificado digital compatível com o VGCA. Logo, um ataque do tipo poderia fornecer aos criminosos controle sobre todo tipo de cidadão e setor.
Os hackers invadiram o site da agência e inseriram malware dentro de dois dos aplicativos oferecidos para download no site. Os dois arquivos eram aplicativos de 32 bits (gca01-client-v2-x32-8.3.msi) e 64 bits (gca01-client-v2-x64-8.3.msi) para usuários do Windows.
O malware não era muito complexo, apenas um wireframe para plugins mais potentes, disseram os pesquisadores. A ameaça não chegou a ser desenvolvida para além disso.
45 milhões de dados médicos de pacientes ao redor do mundo estão expostos online
Pesquisadores descobriram dois mil servidores contendo 45 milhões de imagens de raios-X e outros exames médicos expostos online pelos últimos doze meses, podendo ser acessados gratuitamente por qualquer pessoa, sem nenhuma forma de proteção.
A descoberta também revelou que não apenas informações pessoais confidenciais estavam desprotegidas, mas que agentes mal-intencionados também acessaram esses servidores e os infectaram com malware.
No processo a empresa responsável pela pesquisa não identificou nenhum provedor ou instituição médica que não tenha conseguido executar sistemas seguros.
Entre os dados – retirados de dispositivos de armazenamento online desprotegidos ligados a hospitais e centros médicos de todo o mundo – estavam 45 milhões de imagens de pacientes, expostas na Internet de forma pública em 90 servidores separados. Raios-X e tomografias computadorizadas eram passíveis de acesso graças a uma combinação de armazenamento NAS inseguro e um protocolo de transmissão de dados médicos da década de 1980.
As imagens expostas incluíram, em alguns casos, “até 200 linhas de metadados por registro”, que incluíam informações de identificação pessoal como nome, data de nascimento, endereço, etc., e informações pessoais de saúde, incluindo altura, peso, diagnóstico do paciente e assim por diante.
Além das preocupações óbvias com a proteção de dados, mais preocupante ainda foi a descoberta de que a empresa “não foi a primeira a dar uma olhada nesses servidores”. O relatório alega: “alguns dos [servidores] incluíam scripts maliciosos. A infecção de servidores desprotegidos é muito comum e geralmente é feita por meio de scripts de automação, utilizados, especialmente, para instalar mineradores de Bitcoin (ou similares).”
A empresa recomendou que as organizações médicas “garantissem a segmentação de rede adequada dos equipamentos de imagem médica conectados”, como um meio de evitar que pessoas mal-intencionadas acessem arquivos que não deveriam.
É o fim das senhas? Para o GitHub, sim
O GitHub, da Microsoft, planeja parar de aceitar senhas como forma de autenticar as operações do Git a partir de 13 de agosto de 2021, após um período de teste sem o uso de senha duas semanas antes.
A mudança planejada não afeta a capacidade do usuário de fazer login em uma conta do GitHub em um navegador da web usando nome de usuário, senha e talvez um segundo fator de autenticação, como uma senha enviada para um dispositivo móvel ou um código de uso único baseado em tempo (TOTP). Em vez disso, ele se aplica a operações Git – os comandos e APIs para interagir com repositórios de softwares Git hospedados no GitHub.
Em um comunicado compartilhado na quarta-feira (30), Matthew Langlois, engenheiro de segurança do GitHub, disse que a mudança segue um plano anunciado em julho e implementado no mês passado para exigir autenticação baseada em token para todas as operações de API no GitHub.com.
A partir de agosto de 2021, esse requisito se estenderá a todas as interações de linha de comando relacionadas ao Git, aplicativos de desktop que usam Git (exceto GitHub Desktop) e software ou serviços que acessam repositórios Git no GitHub por meio de senha.
No lugar de senhas, o GitHub exigirá autenticação baseada em token, o que significa um token de acesso pessoal para desenvolvedores ou um token de instalação de aplicativo para integradores. Aqueles que usam chaves SSH em vez de tokens poderão continuar a fazê-lo.
Maioria dos consumidores brasileiros não sabe se seus dados pessoais estão seguros
Os consumidores brasileiros, em sua maioria, desconhecem as regras de proteção de dados do país e não questionam as práticas de gerenciamento de dados pessoais das empresas, revelou um novo estudo realizado pela empresa de inteligência de crédito brasileira Boa Vista.
A pesquisa entrevistou mais de 500 consumidores entre agosto e setembro de 2020, e sugere que mais de 70% dos entrevistados não sabem o que é a Lei Geral de Proteção de Dados.
A grande maioria dos consumidores inquiridos (90%) considera que as suas informações pessoais não estão devidamente protegidas pelas empresas que as solicitam, enquanto 77% manifestaram preocupação com a potencial utilização indevida dos seus dados. Dos consumidores brasileiros pesquisados, 40% disseram ter sido vítimas de fraude.
Por outro lado, 53% dos consumidores brasileiros pesquisados disseram que nem sempre tomam medidas para proteger sua privacidade antes de informar seus dados pessoais às empresas. Enquanto 88% dos entrevistados disseram que não se sentem confortáveis em informar dados como número de RG ou CPF, 55% não questionam as empresas quando solicitadas por tais informações pessoais.
Por outro lado, uma pesquisa realizada pela Associação Brasileira das Empresas de Software (ABES) em parceria com a EY logo após a introdução da Lei Geral de Proteção de Dados no Brasil constatou que grande parte das empresas brasileiras ainda precisa se adequar às regras.
Já um estudo posterior da ABES e da EY constatou que o setor de tecnologia se saiu melhor, mas 56% das empresas do setor ainda precisavam se adequar às novas regulamentações.
Com cada vez mais ataques explorando vulnerabilidades e desinformação por parte de usuários, conhecer e assegurar seus direitos no que diz respeito à LGPD é essencial para se manter protegido.
Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Ataque SolarWinds: o que é e por que foi tão difícil de detectar?
Um grupo de cibercriminosos obteve acesso ao ambiente do governo e a outros sistemas por meio de uma atualização comprometida do software Orion da SolarWinds.
A maioria das organizações não está preparada para esse tipo de ataque à cadeia de suprimentos de software.
Recentemente, um grupo de hackers, possivelmente filiado ao governo russo, teve acesso aos sistemas operacionais de vários departamentos do governo dos EUA, incluindo o Tesouro e o Comércio dos EUA, em uma longa campanha que parece ter começado em março.
A notícia desencadeou uma reunião de emergência do Conselho de Segurança Nacional dos EUA no sábado (19) e foi o início de uma série de ataques cada vez mais graves, que ficaram conhecidos como “ataques SolarWinds”.
Isso porque o ataque envolveu o comprometimento da infraestrutura da SolarWinds, empresa que produz uma plataforma de monitoramento de rede e aplicativos chamada Orion.
Nesta notícia você vai ler sobre:
As atualizações maliciosas do Orion
E você também pode entrar em contato com nossos consultores para saber como proteger a sua empresa. Pronto para continuar?
Após a invasão, o hacker usou esse acesso para produzir e distribuir atualizações carregadas de trojan aos usuários do software, espalhando-se por redes altamente estratégicas, como a do governo americano.
Em uma página de seu site, que foi retirada do ar após o surgimento de notícias relacionadas ao ataque, a SolarWinds afirmou que seus clientes incluíam 425 empresas da Fortune 500 dos EUA, as dez maiores empresas de telecomunicações dos EUA, as cinco principais empresas de contabilidade dos EUA, todas as filiais do Exército dos EUA, o Pentágono, o Departamento de Estado, bem como centenas de universidades e faculdades em todo o mundo.
O ataque à cadeia de suprimentos de software da SolarWinds também permitiu que hackers acessassem a rede da empresa de segurança cibernética FireEye dos Estados Unidos, uma violação que foi anunciada na semana passada (20).
Embora a FireEye não tenha mencionado o grupo de cibercriminosos responsáveis, o Washington Post relata que é a APT29, ou Cozy Bear, o braço de hackers do serviço de inteligência estrangeira da Rússia, o responsável pelos ataques.
Fique por dentro de nossas novidades
Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!
As atualizações maliciosas do Orion
As compilações de software para as versões do Orion 2019.4 HF 5 a 2020.2.1, lançadas entre março de 2020 e junho de 2020, podem conter um componente carregado de trojan.
No entanto, em uma análise oficial, a FireEye observou que cada um dos ataques realizados (supostamente) pelo grupo exigia um planejamento meticuloso e interação manual por parte dos invasores.
Eles conseguiram modificar um plugin da plataforma Orion denominado SolarWinds.Orion.Core.BusinessLayer.dll – distribuído como parte das atualizações da plataforma Orion.
O componente infectado é assinado digitalmente e contém um backdoor que se comunica com servidores de terceiros, controlados pelos atacantes.
A FireEye rastreia esse componente como SUNBURST e lançou regras de detecção de código aberto para ele no GitHub.
“Após um período inativo inicial de até duas semanas, ele recupera e executa comandos, chamados de 'Trabalhos', que incluem a capacidade de transferir arquivos, executar arquivos, criar perfil do sistema, reiniciar a máquina e desativar serviços do sistema”, dizem os analistas da FireEye.
"O malware mascara seu tráfego de rede com o protocolo Orion Improvement Program (OIP) e armazena resultados de reconhecimento em arquivos de configuração de plugin legítimos, permitindo que ele se misture à atividade legítima do SolarWinds.”
Além disso, os invasores escolheram manter rastros de malware muito sutis, preferindo roubar e usar credenciais para realizar movimento lateral pela rede e estabelecer acesso remoto legítimo.
O backdoor foi usado para fornecer um dropper de malware leve, nunca antes visto, que a FireEye apelidou de TEARDROP. Este dropper carrega diretamente na memória e não deixa rastros no disco.
Para evitar a detecção, os invasores ainda usaram técnicas de substituição de arquivo temporário para executar remotamente suas ferramentas. Isso significa que eles modificaram um utilitário legítimo no sistema visado pelo sistema malicioso, executaram-no e substituíram-no de volta pelo legítimo.
Uma técnica semelhante envolveu a modificação temporária de tarefas agendadas do sistema, atualizando uma tarefa legítima para executar uma maliciosa e, em seguida, revertendo a tarefa de volta à sua configuração original.
Essa é uma das melhores opções de segurança operacional exibida por um cibercriminoso que a FireEye já observou, de acordo com os pesquisadores; no entanto, os pesquisadores da empresa acreditam que esses ataques podem ser detectados por meio de defesa persistente e descreveram várias técnicas de detecção em sua análise.
Já a SolarWinds aconselhou os clientes a atualizarem para a versão 2020.2.1 HF 1 da plataforma Orion o mais rápido possível, a fim de garantir que estejam executando uma versão limpa do produto.
A empresa também lançou um novo hotfix 2020.2.1 HF 2 que substituirá o componente comprometido e fará melhorias adicionais de segurança.
Por fim, o Departamento de Segurança Interna dos Estados Unidos também emitiu uma diretiva de emergência para que organizações governamentais verifiquem em suas redes a presença do componente infectado e reportem às autoridades.
Não existe solução fácil
Ataques à cadeia de suprimentos de software não são novidade e especialistas em segurança vêm alertando há muitos anos que eles são uma das ameaças mais difíceis de prevenir, porque se aproveitam das relações de confiança entre fornecedores e clientes e de canais de comunicação máquina a máquina, como mecanismos de atualização de software nos quais os usuários confiam.
“Não conheço nenhuma organização que incorpore a aparência de um ataque à cadeia de suprimentos em seu ambiente de uma perspectiva de modelagem de ameaças”, disse David Kennedy, ex-hacker da NSA e fundador da consultoria de segurança TrustedSec, à imprensa.
"Quando você vê o que aconteceu com a SolarWinds, é um excelente exemplo de como um invasor pode selecionar literalmente qualquer alvo que tenha seu produto implantado, afetando um grande número de empresas ao redor do mundo, e a maioria das organizações não teria capacidade de incorporar isso em suas estratégias de detecção e prevenção. Esta não é uma discussão de hoje. "
Embora o software que é implantado em organizações possa passar por análises de segurança para entender se seus desenvolvedores seguem boas práticas de segurança – no sentido de corrigir vulnerabilidades de produtos que podem ser exploradas -, as organizações não pensam em como esse software pode impactar sua infraestrutura se seu mecanismo de atualização for comprometido, Kennedy diz.
“É algo em que ainda somos muito imaturos e não há solução fácil para isso, porque as empresas precisam de software para administrar suas organizações, precisam de tecnologia para expandir sua presença e se manterem competitivas, e as organizações que fornecem esse software não pensam nisso como um modelo de ameaça."
É provável que o número de ataques à cadeia de suprimentos de software aumente no futuro, especialmente à medida que outros invasores forem percebendo quão bem-sucedidos e abrangentes eles podem ser.
O número de ataques de ransomware contra organizações explodiu após os ataques WannaCry e NotPetya de 2017, porque eles mostraram aos invasores que as redes corporativas não são tão resistentes quanto pensavam.
Gangues de ransomware também entenderam o valor de explorar a cadeia de suprimentos e começaram a invadir provedores de serviços gerenciados para explorar o acesso às redes de seus clientes.
O próprio NotPetya tinha um componente de cadeia de suprimentos porque o worm do ransomware foi inicialmente lançado por meio de servidores de atualização de software backdoor de um software de contabilidade chamado M.E.Doc, popular na Europa Oriental.
“Tanto o crime organizado quanto outros grupos de estado-nação estão olhando para este ataque agora e pensando ‘uau, esta é uma campanha muito bem-sucedida’”, disse Kennedy.
Do ponto de vista do ransomware, se eles atingissem simultaneamente todas as organizações que tinham SolarWinds Orion instalado, eles poderiam ter criptografado uma grande porcentagem da infraestrutura mundial e saído da operação com dinheiro suficiente para nunca ter que trabalhar novamente.
De certa forma, as organizações afetadas deram sorte. Mas por quanto tempo?
Mantenha sua empresa protegida. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Microsoft organiza força-tarefa para combater ransomware: as principais notícias da semana
Uma força-tarefa liderada pela Microsoft pretende lançar o roteiro de prevenção e combate a ataques ransomware.
Campainhas e fechaduras inteligentes podem, na verdade, abrir as portas para agentes mal-intencionados.
E grupos financiados pelo Estado roubam informações sobre as vacinas contra o COVID-19.
O que você vai ler hoje:
- Microsoft e McAffee montam força-tarefa anti-ransomware
- Grupos financiados pelo Estado hackeiam empresas e ministério da saúde atrás de informações sobre a vacina contra o COVID-19
- Microsoft ainda não corrigiu vulnerabilidade explorada em um zero-day de alta gravidade do Windows
- Campainhas e fechaduras inteligentes não são tão seguras quanto parecem quando o assunto é hackers
Microsoft e McAffee montam força-tarefa anti-ransomware
Um grupo formado por 19 empresas de segurança, de tecnologia e organizações sem fins lucrativos, e liderado por nomes como Microsoft e McAfee, anunciou, na segunda-feira (21), planos de formar uma nova coalizão para lidar com a crescente ameaça do ransomware.
Chamado de Ransomware Task Force (RTF), o novo grupo se concentrará na avaliação das soluções técnicas existentes que fornecem proteção durante um ataque de ransomware.
Para isso, a RTF vai encomendar artigos exclusivos de especialistas sobre o assunto, envolverá as principais partes interessadas em todos os setores afetados pelos ataques, identificará lacunas nas soluções atuais e, em seguida, trabalhará em um roteiro comum para tratar os problemas de todos os membros.
O resultado final deve ser uma estrutura padronizada para lidar com ataques de ransomware em verticais, baseada em um consenso da indústria, em vez de conselhos individuais recebidos de contratantes isolados.
O site da força-tarefa, incluindo todos os detalhes a respeito de seus membros e funções de liderança, será lançado no próximo mês, em janeiro de 2021, seguido por um sprint de dois a três meses para tirar a força-tarefa do papel.
Grupos financiados pelo Estado hackeiam empresas e ministério da saúde atrás de informações sobre a vacina contra o COVID-19
A ameaça persistente avançada (APT) conhecida como “Lazarus Group”, junto a outros sofisticados agentes de ameaça estatais, estão, ativamente, tentando roubar pesquisas feitas com o fim de acelerar os esforços de desenvolvimento de vacinas contra o COVID-19 em seus respectivos países.
Esse é o alerta dos pesquisadores da Kaspersky, que descobriram que o Lazarus Group – ligado à Coreia do Norte – atacou recentemente uma empresa farmacêutica, bem como um ministério da saúde (não-divulgado). O objetivo era o roubo de propriedade intelectual, disseram os pesquisadores.
“Em 27 de outubro de 2020, dois servidores Windows foram comprometidos no ministério”, diz uma postagem de blog publicada na quarta-feira (23). “De acordo com nossa telemetria, a empresa [farmacêutica] foi violada em 25 de setembro de 2020 … [ela] está desenvolvendo uma vacina contra o COVID-19 e está autorizada a produzir e distribuir vacinas contra o COVID-19”.
De acordo com a Kaspersky, em primeira instância, os ciberataques instalaram nos servidores do ministério um sofisticado malware chamado “wAgent”, que não tem arquivo (funciona apenas na memória) e busca cargas úteis adicionais de um servidor remoto. Para a empresa farmacêutica, o Lazarus Group implantou o malware Bookcode em um provável ataque à cadeia de suprimentos por meio de uma empresa de software sul-coreana.
“Ambos os ataques alavancaram diferentes clusters de malware que não têm muita relação entre si”, disseram os pesquisadores. “No entanto, podemos confirmar que ambos estão ligados ao grupo Lazarus, e também encontramos intersecções após a exploração.”
Os pesquisadores explicaram que ambos os pacotes de malware foram atribuídos anteriormente ao APT, sendo o Bookcode exclusivo do Lazarus Group. Além disso, as intersecções na fase de pós-exploração são notáveis.
Isso inclui "o uso de ADFind no ataque contra o ministério da saúde para coletar mais informações sobre o ambiente da vítima", explicaram os pesquisadores. “A mesma ferramenta foi implantada durante o caso da farmacêutica para extrair a lista de funcionários e computadores do Active Directory. Embora ADfind seja uma ferramenta comum para o processo de pós-exploração, é um ponto de dados adicional que indica que os invasores usam ferramentas e metodologias compartilhadas.”
Daqui para frente, os ataques aos desenvolvedores de vacinas e medicamentos contra o COVID-19, bem como as tentativas de roubar dados confidenciais deles, continuarão, previu a Kaspersky. À medida que a corrida de desenvolvimento entre as empresas farmacêuticas continua, esses ataques cibernéticos terão ramificações para a geopolítica, com a "atribuição de ataques com consequências graves ou voltados para os últimos desenvolvimentos médicos certamente sendo utilizados como um argumento em disputas diplomáticas".
Microsoft ainda não corrigiu vulnerabilidade explorada em um zero-day de alta gravidade do Windows
Um ataque zero-day de alta gravidade contra o Windows, que poderia levar à apropriação total do desktop, continua sendo uma ameaça perigosa, já que a solução lançada pela Microsoft falhou em corrigir adequadamente a vulnerabilidade.
O bug de escalonamento de privilégio local no Windows 8.1 e Windows 10 (CVE-2020-0986) existe na API do Spooler de Impressão. Isso pode permitir que um invasor local eleve privilégios e execute código no contexto do usuário atual, de acordo com o comunicado da Microsoft emitido em junho. Um invasor precisa primeiro fazer logon no sistema, mas pode executar um aplicativo especialmente criado para assumir o controle do sistema afetado.
A taxa de bug é de 8,3 em 10 na escala de gravidade de vulnerabilidade CVSS.
De uma perspectiva mais técnica, "a falha específica existe no processo de host do driver de impressora do modo de usuário splwow64.exe", de acordo com um comunicado da Zero Day Initiative (ZDI) da Trend Micro, que relatou o bug à Microsoft em dezembro do ano passado. “O problema resulta da falta de validação adequada de um valor fornecido pelo usuário antes de deixar de referenciá-lo como um indicador.”
O problema permaneceu sem correção por seis meses. Nesse ínterim, a Kaspersky observou que ele estava sendo explorado em maio para atacar uma empresa sul-coreana, como parte de uma cadeia de exploit que também usava um bug de execução remota de código zero no Internet Explorer. Essa campanha, apelidada de Operação Powerfall, foi considerada iniciada pela ameaça persistente avançada (APT) conhecida como Darkhotel.
A atualização de junho da Microsoft incluiu um patch que “aborda a vulnerabilidade corrigindo como o kernel do Windows lida com objetos na memória”. No entanto, Maddie Stone, pesquisadora do Google Project Zero, agora revelou que a correção estava com defeito, depois que a Microsoft falhou em remendá-la no prazo de 90 dias após ser alertada sobre o problema.
A Microsoft lançou um novo CVE, CVE-2020-17008, e os pesquisadores esperam um patch em janeiro. Enquanto isso, o Project Zero emitiu um código de prova de conceito público para o problema.
Campainhas e fechaduras inteligentes não são tão seguras quanto parecem quando o assunto é hackers
Campainhas inteligentes, projetadas para permitir que os proprietários fiquem de olho em seus visitantes, muitas vezes podem causar mais danos à segurança do que benefícios, uma vez que as campainhas digitais voltadas para o consumidor estão repletas de vulnerabilidades de segurança cibernética em potencial, que vão desde credenciais codificadas, problemas de autenticação e envio de dispositivos com bugs críticos antigos e ainda não-corrigidos.
Essa nova avaliação vem do NCC Group, que publicou um relatório este mês descrevendo os "pesadelos domésticos da IoT". Em parceria com a publicação Which?, o grupo avaliou modelos de campainhas inteligentes feitos por três fornecedores – Victure, Qihoo e Accfly – juntamente com testes de caixa-branca de três fabricantes adicionais.
O escopo dos problemas descobertos inclui recursos não-documentados que, se conhecidos, podem ser explorados por hackers. Outros problemas encontrados foram relacionados aos aplicativos móveis usados para acessar as campainhas, juntamente com vulnerabilidades no próprio hardware.
Os modelos específicos examinados foram Victure’s VD300, Accfly’s Smart Video Doorbell V5 e Qihoo’s 360 D819 Smart Video Doorbell. Outro dispositivo de campainha, identificado apenas como “Smart WiFi Doorbell” e que usava hardware do fabricante YinXx, também foi examinado. Além disso, um modelo não especificado “HD Wi-Fi Video Doorbell V5” foi testado.
Por último, foi testada uma campainha inteligente identificada apenas como XF-IP007H. Várias marcas usam “XF-IP007H” em seus nomes de produtos, incluindo Extaum, Docooler e Tickas. Essas campainhas, como todas as testadas pelo NCC Group, são vendidas a preços competitivos e estão disponíveis no site de comércio eletrônico da Amazon, Walmart e outros varejistas online populares.
Os pesquisadores disseram que a maioria dos dispositivos analisados eram clones da campainha Victure, que tinha uma série de problemas de segurança pré-existentes associados a ela.
O principal problema foi um serviço HTTP não-documentado, encontrado em execução na porta 80. Os pesquisadores observaram que a porta exigia as credenciais, no entanto, essas credenciais poderiam ser facilmente extraídas de "um clone sem marca deste dispositivo para venda online."
Sendo assim, forçar as fechaduras digitais por meio do aplicativo móvel usado para controlar as campainhas foi muito fácil, graças às comunicações não-criptografadas.
“Em vários dispositivos, o HTTPS não era aplicado ou nem existia como meio de comunicação em uma variedade de aplicativos móveis, como o app da Victure, que solicitou um certificado raiz por meio de uma solicitação HTTP”, escreveram os pesquisadores .
A falta de criptografia pode permitir que informações confidenciais, como nome de usuário e senhas, sejam "vistas" nas comunicações de dados entre o dispositivo móvel e os serviços de back-end da fechadura digital.
Outro vetor de ataque discutido foi o abuso de códigos QR, um tipo de código de barras baseado em imagem para obter informações adicionais rapidamente. Muitas das campainhas digitais, na tentativa de simplificar o acesso, permitiram que os clientes usassem a câmera do telefone para tirar uma foto de um código QR, que configura o aplicativo do usuário com as credenciais corretas.
Com a campainha do Victure, um serviço HTTP não documentado foi encontrado em execução na porta 80. Os pesquisadores observaram que a porta exigia as credenciais, no entanto, essas credenciais poderiam ser facilmente extraídas de "um clone sem marca deste dispositivo para venda online."
Abrir fechaduras digitais por meio do aplicativo móvel usado para controlar as campainhas digitais foi muito fácil, graças às comunicações não criptografadas.
“Em vários dispositivos, HTTPS não era aplicado ou nem existia como método de comunicação em uma variedade de aplicativos móveis, como o aplicativo móvel Victure, que solicitou um certificado raiz por meio de uma solicitação HTTP”, escreveram os pesquisadores .
A falta de criptografia pode permitir que informações confidenciais, como nome de usuário e senhas, sejam "vistas" nas comunicações de dados entre o dispositivo móvel e os serviços de back-end da fechadura digital.
Outro vetor de ataque discutido foi o abuso de códigos QR, um tipo de código de barras baseado em imagem para obter informações adicionais rapidamente. Muitas das campainhas digitais, na tentativa de simplificar o acesso, permitiram que os clientes usassem a câmera do telefone para tirar uma foto de um código QR, que configura o aplicativo do usuário com as credenciais corretas.
“O invasor pode então decodificar rapidamente o código QR e extrair o BSSID de texto simples e a senha para a rede Wi-Fi”, alertaram os pesquisadores.
Mantenha seus dispositivos protegidos. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!
- Published in Noticias