Vulnerabilidades que outrora eram “luxo” de espiões cibernéticos agora podem ser compradas ou alugadas na dark web – desde que o cibercriminoso consiga desembolsar milhões de dólares. Brasil monta comissão para combater fraude online. Empresa sofre retaliação por não informar vulnerabilidade.
O que você vai ler:
- Vulnerabilidades zero-day são vendidas na dark web por milhões de dólares
- 90% dos líderes de TI buscam terceirizar projetos em 2022
- Empresa demora 1 ano para revelar descoberta de vulnerabilidade da Palo Alto Networks
- Brasil monta comissão de combate à fraude online
Vulnerabilidades zero-day são vendidas na dark web por milhões de dólares
Vulnerabilidades zero-day geralmente são exploradas por operações de hackers que contam com mais recursos financeiros, comumente financiados pelo Estado. Porém, análises feitas por pesquisadores de segurança cibernética mostram como há cada vez mais conversas em fóruns da dark web sobre o mercado dessas vulnerabilidades.
“Certos grupos cibercriminosos de alto perfil (leia-se: gangues de ransomware) acumularam fortunas incríveis nos últimos anos e agora podem competir com os compradores tradicionais de exploits zero-day”, disseram os pesquisadores.
Vulnerabilidades como essa podem custar até milhões de dólares, mas esse é um preço acessível para um grupo de ransomware que ganha milhões com cada ataque de ransomware bem-sucedido. Além disso, eles podem facilmente recuperar o investimento se a vulnerabilidade funcionar como pretendido, fornecendo um meio confiável de infiltração de redes.
Mas há outra forma de ganhar dinheiro com vulnerabilidades sendo explorada: colocando a vulnerabilidade nas mãos de criminosos cibernéticos menos sofisticados – algo conhecido como “exploit-as-a-service“.
Em vez de vendê-la, o criminoso que a descobriu pode alugá-la para outras pessoas. Essa alternativa possibilita fazer dinheiro mais rápido do que se eles passassem pelo complexo processo para vender o acesso, além de que continuariam a ganhar dinheiro com isso por mais tempo. De todo modo, a alternativa não exclui a possibilidade de, eventualmente, também venderem a vulnerabilidade.
90% dos líderes de TI buscam terceirizar projetos em 2022
Uma nova pesquisa com 400 tomadores de decisão do setor de TI descobriu que 95% afirmam que o impacto da pandemia acelerou as prioridades de transformação nos negócios. O 2022 Insight Intelligent Technology Report apresentou as respostas de líderes de TI baseados na América do Norte a uma pesquisa conduzida em setembro.
Mais da metade dos entrevistados citaram a segurança como o principal investimento que planejam priorizar ao modernizar sua base de TI. Quase 40% disseram que a infraestrutura em nuvem e os serviços gerenciados de plataforma compartilhada seriam priorizados, enquanto outros 37% disseram que a análise de dados seria o foco. Outros mencionaram software como serviço e monitoramento de nuvem como prioridades.
Mas, surpreendentemente, 61% dos líderes de TI disseram que os desafios internos seriam o maior obstáculo para a modernização de sua infraestrutura, seguidos por questões de segurança e privacidade de dados, prioridades concorrentes e custos iniciais.
Muitos também citaram a escassez de talentos na área de TI e 52% disseram que sua equipe sofre desgaste. Mais de 44% disseram que havia uma lacuna em habilidades e talentos devido às demandas do mercado.
Para cobrir essa defasagem, quase todos os entrevistados disseram que planejam contar com fornecedores, com 90% dizendo que esperam transferir mais projetos para terceiros no próximo ano.
Empresa demora 1 ano para revelar descoberta de vulnerabilidade da Palo Alto Networks
A Randori, uma empresa de segurança localizada nos Estados Unidos, gerou polêmica na comunidade de cibersegurança por ter esperado um ano antes de divulgar a descoberta de um bug crítico de transbordamento de dados por meio do GlobalProtect VPN, da Palo Alto Networks.
O zero-day – que tem uma classificação de gravidade de 9,8 e foi relatado pela primeira vez pela mídia norte-americana – permite a execução remota de código não-autenticado em instalações de produtos vulneráveis.
O problema afeta várias versões do PAN-OS – software da Palo Alto – e a empresa disse que encontrou várias instâncias vulneráveis expostas em mais de 70.000 ativos. O software é usado por várias empresas da Fortune 500, bem como por outras empresas globais.
Aaron Portnoy, cientista da Randori, explicou que, em outubro de 2020, sua equipe foi encarregada de pesquisar vulnerabilidades com o GlobalProtect Portal VPN. Em novembro de 2020, a equipe descobriu o CVE-2021-3064, começou a exploração autorizada de clientes e entregou a vulnerabilidade com sucesso a um de seus clientes, como forma de teste.
Mas, de acordo com o cronograma fornecido, eles não notificaram a Palo Alto Networks até meados de outubro de 2021.
Randori não respondeu aos questionamentos sobre o porquê de ter esperado 12 meses para revelar a vulnerabilidade. Alguns questionaram a decisão de Randori de conduzir o exercício e outros questionaram, ainda, se eles seguraram a notificação do problema para divulgar seu trabalho e seus negócios.
Porém, alguns vieram em defesa de Randori, argumentando que suas ações são comuns e que, como não houve vítimas associadas ao caso, não há motivo para retalização.
Brasil monta comissão de combate à fraude online
O governo brasileiro criou uma comissão especial para combater a fraude eletrônica. Criada pelo Ministério da Justiça no âmbito do Conselho Nacional de Defesa do Consumidor, a comissão terá representantes do órgão regulador antitruste Cade, além da Confederação Nacional do Comércio, órgãos de defesa do consumidor dos estados de São Paulo, Tocantins e Porto Alegre, da Defensoria Pública Federal e do Banco Central.
Essa comissão segue a recente criação de um grupo de trabalho, que está fornecendo uma avaliação do atual cenário de fraude online. O grupo conta com a participação de órgãos como a Federação Brasileira de Bancos (Febraban) e o Banco Central.
De acordo com o Ministério da Justiça, a comissão publicará um relatório final listando propostas para o combate à fraude online. O grupo também deve se reunir com a Autoridade Nacional de Proteção de Dados para traçar o melhor caminho para o combate à fraude.
As ações devem se desdobrar ao longo de 2022.
Confira as soluções de segurança da Compugraf e saiba como podemos manter sua empresa protegida!