Empresa europeia teve que pagar milhões de euros para restaurar sua rede. Duas semanas depois, sofreu o mesmo ataque, da mesma gangue de ransomware – e foi obrigada a pagar milhões de euros novamente, pelo segundo resgate

Uma empresa europeia foi vítima de um ataque de ransomware e pagou milhões de euros aos cibercriminosos para obter uma chave de descriptografia e restaurar sua rede. Duas semanas depois, foi vítima da mesma gangue de ransomware e se viu diante da necessidade de pagar outro montante de milhões de dólares para descriptografar seus dados de novo. O motivo de isso ter acontecido? A empresa não se preocupou em examinar a vulnerabilidade que possibilitou o ataque.

O caso é detalhado pelo National Cyber Security Center (NCSC) do Reino Unido em uma análise sobre a ascensão de ataques de ransomware na região.

Diagnóstico: A sua empresa está preparada para a chegada da ANPD?

A Compugraf tem trabalhado intensamente na produção de conteúdo sobre LPGD para garantir que nenhuma empresa sofra com a nova lei de proteção de dados por falta de informação. Pensando na proximidade para o início de cobrança das sanções da ANPD, nós queremos te ajudar a descobrir se os seus conhecimentos e a sua empresa já estão maduros o bastante para a nova etapa de privacidade no Brasil. Ficou curioso? basta realizar o nosso diagnóstico. É gratuito:

Duas semanas, dois ataques: milhões e milhões de euros

A empresa, que não foi identificada pela postagem, sofreu um ataque de ransomware e pagou milhões de euros em bitcoin para restaurar a rede e recuperar os arquivos comprometidos.

No entanto, acreditando que seus problemas tinham acabado aí, a organização não teve a preocupação de analisar como os criminosos cibernéticos se infiltraram na rede – algo que voltou para assombrá-los quando a mesma gangue de ransomware infectou a rede com o mesmo ransomware usando a mesma vulnerabilidade. A empresa acabou pagando outro resgate que lhe custou milhões.

O NCSC detalhou o incidente como uma lição para outras organizações: se você for vítima de um ataque de ransomware – ou de qualquer ataque -, o primeiro passo é descobrir como esse ataque foi possível para os criminosos, e como eles se infiltraram na rede sem serem detectados.

Esse alerta vai ao encontro das estratégias recomendadas quando falamos em proteção e correção de vulnerabilidades de cibersegurança: entender como um ataque ocorre é ainda mais importante do que combater o ataque, em si.

"Quando procuram o NCSC, a prioridade da maioria das vítimas é – compreensivelmente – obter seus dados de volta e garantir que seus negócios possam operar novamente. No entanto, o grande problema é que o ransomware muitas vezes é apenas um dos sintomas visíveis de uma invasão de rede mais séria, que pode estar ocorrendo há dias, ou até semanas", explica o NCSC.

Leia também

• Empresas não estão se protegendo como deveriam, e cenário agrava: as principais notícias da semana
• Acer sofre ataque de ransomware e deve pagar o maior resgate já conhecido até hoje
• Empresas se protegem de forma equivocada e pagam o preço: as principais notícias da semana
• Ataques zero-day ao Microsoft Exchange: 30.000 servidores já atingidos, diz relatório

Multas da LGPD começam em menos de 6 meses - Como estamos?

As sanções da ANPD estão cada vez mais próximas, a sua empresa está preparada para responder ao órgão regulador da Lei Geral de Proteção de Dados? Qual será o impacto disso? no Cybertalks do mês, conversamos com o Davi Alves, Presidente da ANPPD e a Erica Costa, DataPro Privacy Team da Onetrust em um papo bastante informativo, conduzido por Carla Manso, a DPO da Compugraf e Rafael Medeiros, nosso head de Business Development. Aproveite para tirar todas as suas dúvidas sobre o tema!

Como você pode ser vítima de ransomware – e o que fazer para não ser

Para instalar o ransomware, os cibercriminosos provavelmente conseguiram acesso à rede via backdoor – potencialmente por meio de uma implementação anterior de malware que lhes permitiu obter privilégios de administrador e outras credenciais de login relevantes.

Examinar a rede após um incidente de ransomware e determinar como o malware foi capaz de entrar na rede e não ser detectado por tanto tempo é, portanto, algo que todas as organizações que são vítimas de ransomware devem considerar junto com a restauração da rede – ou, de preferência, antes mesmo de ser necessário restaurá-la.

Alguns podem acreditar que pagar o resgate é o meio mais rápido e econômico de recuperar a rede e retomar os negócios – mas a verdade é que isso raramente acontece.

Afinal, o prejuízo não envolve só o resgate, que chega a custar milhões; mesmo com a rede descriptografada, as empresas incorrem em grandes quantias para realizar a análise pós-evento e reconstruir a rede danificada.

Fique por dentro de nossas novidades

Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!

E, como observa o NCSC, ser vítima de um ataque de ransomware geralmente leva a um longo período de interrupção dos negócios antes que as operações voltem minimamente ao normal.

"A recuperação de um incidente de ransomware raramente é um processo rápido e sem consequências que repercutam em todas as camadas operacionais. A investigação, reconstrução do sistema e a recuperação de dados geralmente demanda semanas de trabalho e podem comprometer a performance de todos os colaboradores", explica a NCSC.

A melhor maneira de evitar isso é garantir que sua rede esteja protegida contra ataques cibernéticos, certificando-se de que os sistemas operacionais e patches de segurança estejam atualizados e aplicando autenticação multifator em toda a rede.

Também é recomendado que as organizações façam backups regulares de suas redes – e armazenem esses backups offline – para que, no caso de um ataque de ransomware bem-sucedido, a rede possa ser restaurada com o mínimo de interrupção possível.

Além disso, mantenha seus colaboradores informados.

Aqui na Compugraf temos diversos conteúdos sobre prevenção e combate a ameaças cibernéticas, não deixe de conferir e compartilhar.

Quando, de fato, deixamos de correr riscos de segurança? Muitas vezes, corrigir as vulnerabilidades não basta – é o que mostram alguns dos recentes casos de vazamento de dados e de alocação de recursos em segurança.

O que você vai ler hoje:

• Dados de 553 milhões de usuários do Facebook podem ser explorados por criminosos
• Gamers são alvo de campanhas de malware
• Mais de 80% das empresas ao redor do mundo sofreram pelo menos um ataque de firmware

Diagnóstico: A sua empresa está preparada para a chegada da ANPD?

A Compugraf tem trabalhado intensamente na produção de conteúdo sobre LPGD para garantir que nenhuma empresa sofra com a nova lei de proteção de dados por falta de informação. Pensando na proximidade para o início de cobrança das sanções da ANPD, nós queremos te ajudar a descobrir se os seus conhecimentos e a sua empresa já estão maduros o bastante para a nova etapa de privacidade no Brasil. Ficou curioso? basta realizar o nosso diagnóstico. É gratuito:

Dados de 553 milhões de usuários do Facebook podem ser explorados por criminosos

Foram postados online dados de 553 milhões de usuários do Facebook, incluindo número de telefone, IDs de login, nome completo e data de nascimento.

Após confirmar a violação, o Facebook disse que os dados foram coletados em 2019 e que a empresa executou medidas de correção em agosto daquele ano. Porém, os dados continuam vulneráveis, visto que informações do tipo não são passíveis de alteração pelo usuário – logo, não têm “data de validade”, como seria o caso de senhas ou usernames, por exemplo.

Isso significa que as informações pessoais continuam sendo uma mina de ouro para cibercriminosos, uma vez que podem ser usadas para ataques de engenharia social e combinadas a crimes cibernéticos relacionados à pandemia, como phishing.

Os dados foram acessados por meio de um bot do Telegram, o que mostra que, apesar das medidas corretivas do Facebook, as informações continuam passíveis de serem exploradas por agentes mal-intencionados.

Multas da LGPD começam em menos de 6 meses - Como estamos?

As sanções da ANPD estão cada vez mais próximas, a sua empresa está preparada para responder ao órgão regulador da Lei Geral de Proteção de Dados? Qual será o impacto disso? no Cybertalks do mês, conversamos com o Davi Alves, Presidente da ANPPD e a Erica Costa, DataPro Privacy Team da Onetrust em um papo bastante informativo, conduzido por Carla Manso, a DPO da Compugraf e Rafael Medeiros, nosso head de Business Development. Aproveite para tirar todas as suas dúvidas sobre o tema!

Gamers são alvo de campanhas de malware

Mods e cheats para jogos online estão sendo transformados em campanhas de malware, alertam pesquisadores.

A onda de ataque está focada em comprometer os sistemas de jogadores e modders. O vetor de ataque inicial começa com malvertising – anúncios que levam a sites maliciosos ou downloads – ou com vídeos de instruções do YouTube focados em modding de jogos, que, então, redirecionam a conteúdos maliciosos.

Isso porque existe um mercado vibrante para cheats e mods, especialmente agora que os jogos online são uma indústria que gera milhões de dólares ao redor do mundo – e que vem sendo impulsionada com o surgimento de campeonatos de e-Sports.

No afã de se tornar um profissional, ou de se destacar em determinados games, usuários podem se sujeitar a arquivos duvidosos, com o objetivo de instalar malware em seus dispositivos.

O ataque é relativamente simples: depois que um mod ou cheat malicioso é baixado e instalado, um código é injetado paulatinamente em um processo que visa contornar ferramentas básicas de antivírus e algoritmos de detecção.

Uma que vez que ultrapassa essas barreiras, o malware pode então ser executado e evoluir para ameaças ainda mais comprometedoras, como roubo de informações ou sequestro de dados.

Os pesquisadores recomendam estar especialmente atento a todo tipo de arquivo ou site que não pareça confiável, e só baixar arquivos de fontes conhecidas, validadas por outros usuários.

Fique por dentro de nossas novidades

Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!

Leia também

• Acer sofre ataque de ransomware e deve pagar o maior resgate já conhecido até hoje
• Empresas brasileiras não conseguem aumentar os investimentos em segurança durante a pandemia do coronavírus
• Ataques Cibernéticos: Como os colaboradores podem preveni-los?
• Quanto custa um vazamento de dados? Entenda as variáveis

Mais de 80% das empresas ao redor do mundo sofreram pelo menos um ataque de firmware

Ataques contra firmware crescem vertiginosamente, rompendo com as defesas cibernéticas de muitas organizações, revela uma pesquisa recente da Microsoft.

O relatório mostra que mais de 80% das empresas ao redor do mundo sofreram pelo menos um ataque de firmware nos últimos dois anos – mas apenas 29% dos orçamentos de segurança são voltados para a proteção de firmware.

O firmware se tornou foco de ciberataques porque é a área onde informações confidenciais, como credenciais de acesso e chaves de criptografia, são armazenadas na memória do dispositivo, explicou a Microsoft. E a visibilidade desse risco é um problema constante nas empresas: 21% dos tomadores de decisão admitiram que seus dados de firmware não são monitorados hoje.

“Muitos dispositivos no mercado hoje não oferecem visibilidade nessa camada para garantir que os invasores não tenham comprometido um dispositivo antes do processo de inicialização ou em um período de execução abaixo do kernel”, revela a análise. “E os cibercriminosos perceberam isso.”

Por outro lado, a pesquisa descobriu que apenas 36% das empresas investiram em criptografia de memória baseada em hardware – e menos da metade (46%) estão investindo em proteções de kernel baseadas em hardware.

A pesquisa também descobriu que as equipes de segurança estão mais focadas na detecção e resposta a incidentes do que na prevenção de ataques de firmware, com apenas 39% do tempo das equipes de segurança sendo gasto com firmware.

E, de modo geral, isso se deve à falta de automação. Os entrevistados pela pesquisa disseram que estão gastando 41% de seu tempo em patches de firmware que poderiam ser automatizados, e 71% disseram que a equipe gasta muito tempo no trabalho que deveria ser automatizado.

Além disso, 82% disseram não ter tempo suficiente para trabalho estratégico, como prevenção contra ameaças sofisticadas.

A boa notícia é que uma consciência cada vez maior do risco corrido está levando a maior disposição para se investir em proteções mais assertivas.

A pesquisa revela, por exemplo, que 89% das empresas do setor regulamentado se sentiam dispostas e capazes de investir em soluções de segurança avançadas diversas. No entanto, é preciso que essa disposição se traduza em maior alocação de recursos, de fato; só assim poderemos observar mudanças significativas nesse cenário.

Ataques contra grandes corporações continuam preocupando especialistas de segurança ao redor do mundo. Em contrapartida, são poucos os diretores e executivos que levam a sério a dimensão do problema.

O que você vai ler hoje:

• Acer deve pagar o maior resgate já pedido até hoje para descriptografar dados comprometidos por ataque de ransomware
• Shell é vítima de ataque que, por pouco, não compromete toda sua rede corporativa
• Apple lança atualizações de emergência para todos os seus sistemas operacionais
• Executivos não se preocupam como deveriam com a cibersegurança, diz o NCSC

Diagnóstico: A sua empresa está preparada para a chegada da ANPD?

A Compugraf tem trabalhado intensamente na produção de conteúdo sobre LPGD para garantir que nenhuma empresa sofra com a nova lei de proteção de dados por falta de informação. Pensando na proximidade para o início de cobrança das sanções da ANPD, nós queremos te ajudar a descobrir se os seus conhecimentos e a sua empresa já estão maduros o bastante para a nova etapa de privacidade no Brasil. Ficou curioso? basta realizar o nosso diagnóstico. É gratuito:

Acer deve pagar o maior resgate já pedido até hoje para descriptografar dados comprometidos por ataque de ransomware

Acer, a gigante dos computadores, sofreu recentemente um ataque de ransomware REvil, no qual os atores da ameaça exigem o maior resgate de que se tem conhecimento até hoje: 50 milhões de dólares.

A empresa emprega aproximadamente 7.000 funcionários e faturou 7,8 bilhões de dólares em 2019. Na semana passada (22), a gangue de ransomware responsável pelo REvil anunciou, em seu site de vazamento de dados, que havia violado a companhia e compartilhou algumas imagens de arquivos supostamente roubados como prova.

Essas imagens vazadas mostram documentos que incluem planilhas financeiras, saldos bancários e transações financeiras.

Quando questionada sobre o ataque, a empresa respondeu o seguinte:

"A Acer monitora rotineiramente seus sistemas de TI e se protege efetivamente da maioria dos ataques cibernéticos. Empresas como a nossa estão constantemente sob ataque e relatamos situações anormais recentes observadas às autoridades policiais e de proteção de dados relevantes em vários países.

"Temos aprimorado continuamente nossa infraestrutura de segurança cibernética para proteger a continuidade dos negócios e a integridade de nossas informações. Instamos todas as empresas e organizações a aderirem às disciplinas e práticas recomendadas de segurança cibernética e estar atentos a qualquer anormalidade na atividade da rede.”

Em pedidos de mais detalhes, a Acer apenas comentou que "há uma investigação em andamento e, por questões de segurança, não podemos dar mais detalhes".

Multas da LGPD começam em menos de 6 meses - Como estamos?

As sanções da ANPD estão cada vez mais próximas, a sua empresa está preparada para responder ao órgão regulador da Lei Geral de Proteção de Dados? Qual será o impacto disso? no Cybertalks do mês, conversamos com o Davi Alves, Presidente da ANPPD e a Erica Costa, DataPro Privacy Team da Onetrust em um papo bastante informativo, conduzido por Carla Manso, a DPO da Compugraf e Rafael Medeiros, nosso head de Business Development. Aproveite para tirar todas as suas dúvidas sobre o tema!

Shell é vítima de ataque que, por pouco, não compromete toda sua rede corporativa

A gigante de energia Shell, que abastece postos de gasolina ao redor do mundo, é a vítima mais recente de uma série de ataques a usuários do produto File Transfer Appliance (FTA) da Accellion.

O ataque foi atribuído ao ransomware FIN11 e à gangue de ransomware conhecida como Clop.

Em comunicado oficial emitido pela organização, a companhia admite: “a Shell foi afetada por um incidente de segurança de dados envolvendo o File Transfer Appliance da Accellion. Usamos este software para transferir com segurança grandes arquivos de dados.”

Os invasores tiveram acesso a vários arquivos contendo dados pessoais e corporativos da Shell, bem como de alguns de seus acionistas, reconheceu a empresa. No entanto, graças à implementação do Accellion e medidas de segurança do software, seus principais sistemas de TI não foram afetados pela violação, já que o serviço de transferência de arquivos está isolado do resto da infraestrutura digital da empresa.

Assim que soube do incidente, a Shell abordou imediatamente as vulnerabilidades e iniciou uma investigação para entender melhor a natureza e a extensão da invasão.

Ao todo, quatro vulnerabilidades de segurança (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104) foram exploradas nos ataques, descobriu a empresa. A Accellion tentou corrigir cada vulnerabilidade assim que notificada; no entanto, até o momento, os itens não-corrigidos provavelmente permanecerão vulneráveis e é provável que ocorram outros ataques a outras empresas.

Leia também

• Empresas se protegem de forma equivocada e pagam o preço: as principais notícias da semana
• Ataques DDoS diminuem no quarto trimestre de 2020, graças à alta da criptomoeda
• Ataques DDoS e os limites de um servidor corporativo

Apple lança atualizações de emergência para todos os seus sistemas operacionais

A Apple lançou uma atualização de emergência para corrigir uma vulnerabilidade grave encontrada nos sistemas iOS, iPadOS e watchOS.

Descoberta pelo Grupo de Análise de Ameaças do Google, a vulnerabilidade afeta o motor do navegador WebKit da Apple. O que torna esta atualização urgente é o fato de a Apple afirmar que a vulnerabilidade está sendo explorada ativamente.

Os detalhes divulgados são poucos , mas tais vulnerabilidades podem ser usadas para realizar ações maliciosas, como direcionar usuários a sites de phishing.

Para instalar os patches, basta abrir o iPhone e o iPad, abrir Ajustes > Geral > Atualização de Software. Para o Apple Watch, é só acessar o aplicativo Apple Watch e instalar as atualizações mais recentes.

Fique por dentro de nossas novidades

Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!

Executivos não se preocupam como deveriam com a cibersegurança, diz o NCSC

A segurança cibernética ainda não é levada a sério como deveria, sobretudo pelos executivos da Diretoria da maioria das empresas – e isso está deixando as organizações expostas a ataques cibernéticos, violações de dados e ransomware, adverte o novo chefe do National Cyber Security Center (NCSC).

Incidentes cibernéticos recentes, incluindo a campanha de espionagem cibernética contra o SolarWinds e ataques cibernéticos contra vulnerabilidades de dia zero do Microsoft Exchange Server, são apenas alguns dos exemplos de como as organizações podem se ver diante de ciberataques em grande escala.

O NCSC diz que ajudou a detectar e remover malware relacionado ao ataque do Exchange Server em pelo menos 2.300 dispositivos corporativos no Reino Unido. Depois que os ataques foram divulgados, os cibercriminosos correram para explorar as vulnerabilidades antes que as organizações tivessem a chance de aplicar as atualizações necessárias para se proteger.

De forma geral, o NCSC admite que, embora a tecnologia, hoje, traga muitos benefícios às empresas, ela também traz enormes riscos, à medida que criminosos cibernéticos e grupos de hackers financiados pelo Estados tentam tirar proveito das vulnerabilidades para seus fins escusos: seja roubando quantidades massivas de informação ou tentando comprometer a infraestrutura crítica das corporações.

Autoridades alertam sobre "ampla exploração doméstica e internacional das vulnerabilidades do Microsoft Exchange Server"

Quatro vulnerabilidades antes desconhecidas, ou de “dia zero”, recém-encontradas no Microsoft Exchange Server, estão sendo usadas, agora, em ataques generalizados contra milhares de organizações, com potencialmente dezenas de milhares de organizações afetadas, de acordo com pesquisadores de segurança.

Os bugs estão sendo rastreados como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065.

A Microsoft, que lançou patches de emergência na semana passada, atribuiu os ataques a uma equipe de hackers descoberta há pouco tempo, chamada Hafnium e que, provavelmente, se trata de um grupo apoiado pela China. A empresa também disse que os "ataques direcionados são limitados", mas alertou que podem ser explorados de forma mais ampla em um futuro próximo.

Desde então, o Departamento de Segurança Cibernética e Agência de Segurança de Infraestrutura (CISA) do Departamento de Segurança Interna dos Estados Unidos emitiu uma ordem para que as agências aplicassem os patches para sistemas Exchange locais ou simplesmente desconectassem servidores vulneráveis após testemunharem a "exploração ativa" das vulnerabilidades.

Em outras palavras, corrija o problema agora ou corra um risco vital.

O que você vai ler neste artigo

• Exploração afeta países de todo o mundo
• Apesar das ameaças, organizações não se protegem
• Como as vulnerabilidades podem ser exploradas contra as empresas

Diagnóstico: A sua empresa está preparada para a chegada da ANPD?

A Compugraf tem trabalhado intensamente na produção de conteúdo sobre LPGD para garantir que nenhuma empresa sofra com a nova lei de proteção de dados por falta de informação. Pensando na proximidade para o início de cobrança das sanções da ANPD, nós queremos te ajudar a descobrir se os seus conhecimentos e a sua empresa já estão maduros o bastante para a nova etapa de privacidade no Brasil. Ficou curioso? basta realizar o nosso diagnóstico. É gratuito:

Exploração afeta países de todo o mundo

A Microsoft pediu aos clientes do Exchange, que variam de grandes a pequenas empresas, que apliquem os patches imediatamente, porque "agentes do Estado e grupos criminosos estão se movendo rapidamente para tirar vantagem de qualquer sistema sem patch".

A CISA ainda alertou, recentemente, que estava "ciente da ampla exploração doméstica e internacional" das vulnerabilidades do Microsoft Exchange Server e solicitou a verificação dos logs do Exchange Server com a ferramenta de detecção IOC da Microsoft para ajudar a determinar o nível de comprometimento gerado pelas vulnerabilidades.

Multas da LGPD começam em menos de 6 meses - Como estamos?

As sanções da ANPD estão cada vez mais próximas, a sua empresa está preparada para responder ao órgão regulador da Lei Geral de Proteção de Dados? Qual será o impacto disso? no Cybertalks do mês, conversamos com o Davi Alves, Presidente da ANPPD e a Erica Costa, DataPro Privacy Team da Onetrust em um papo bastante informativo, conduzido por Carla Manso, a DPO da Compugraf e Rafael Medeiros, nosso head de Business Development. Aproveite para tirar todas as suas dúvidas sobre o tema!

Apesar das ameaças, organizações não se protegem

Historicamente, é sabido que muitas organizações não atualizam seus softwares quando são encontradas vulnerabilidades. No ano passado, por exemplo, a Microsoft alertou seus clientes do servidor Exchange para corrigir uma falha crítica, CVE-2020-0688, mas descobriu, meses depois, que dezenas de milhares de servidores permanecem sem correção, apesar de invasores e cibercriminosos explorarem o bug desde o início.

Chris Krebs, ex-diretor da CISA, avalia que agências governamentais e pequenas empresas serão mais afetadas por esses ataques do que grandes empresas.

Ele acredita que os bugs do Exchange afetarão desproporcionalmente pequenas empresas e organizações no setor de educação, bem como governos estaduais e locais.

"As equipes de resposta a incidentes estão saturadas; este é um momento muito ruim", escreveu ele.

Fique por dentro de nossas novidades

Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!

Como as vulnerabilidades podem ser exploradas contra as empresas

Os cibercriminosos do Hafnium implantaram "web shells" em servidores Exchange comprometidos, com o objetivo de roubar dados e instalar mais malware. Esses “web shells” são pequenos scripts que fornecem uma interface básica para acesso remoto a um sistema comprometido.

De acordo com Brian Krebs, pesquisador de cibersegurança, os hackers do Hafnium aceleraram os ataques a servidores Exchange vulneráveis desde que a Microsoft anunciou o lançamento dos patches. Suas fontes disseram que 30.000 organizações nos Estados Unidos foram hackeadas como parte dessa campanha.

"Os invasores deixaram para trás um ‘web shell’, uma ferramenta de hacking fácil de usar e protegida por senha que pode ser acessada pela Internet a partir de qualquer navegador. O web shell dá aos invasores acesso administrativo aos servidores de computador da vítima", observa Krebs.

Os ataques do Hafnium começaram em 6 de janeiro de 2021, de acordo com registros, e devem se espalhar para o restante do mundo com alguma velocidade.

A exploração por falhas não-corrigidas continua sendo um dos principais ataques mobilizados por cibercriminosos em todo o mundo.

• Leia também: Explorações de vulnerabilidades

Conte com a Compugraf para manter sua empresa segura. Consulte nossos serviços e saiba como podemos te ajudar!

Pesquisadores do Google dizem que a campanha, que armou sites com iscas para atrair vítimas, foi realizada por um "agente altamente sofisticado"

Pesquisadores do Google detalharam uma operação sofisticada de hacking que explorou vulnerabilidades no Chrome e no Windows para instalar malwares em dispositivos Android e Windows.

Alguns dos exploits eram zero-day, o que significa que tinham como alvo vulnerabilidades que, na época, eram desconhecidas pelo Google, pela Microsoft e pela maioria dos pesquisadores de cibersegurança. Porém, ambas as empresas já consertaram as falhas de segurança.

Multas da LGPD começam em menos de 6 meses - Como estamos?

As sanções da ANPD estão cada vez mais próximas, a sua empresa está preparada para responder ao órgão regulador da Lei Geral de Proteção de Dados? Qual será o impacto disso? no Cybertalks do mês, conversamos com o Davi Alves, Presidente da ANPPD e a Erica Costa, DataPro Privacy Team da Onetrust em um papo bastante informativo, conduzido por Carla Manso, a DPO da Compugraf e Rafael Medeiros, nosso head de Business Development. Aproveite para tirar todas as suas dúvidas sobre o tema!

Os hackers faziam as explorações por meio de ataques conhecidos como watering hole, que comprometem sites frequentados por alvos de interesse e “prendem” esses sites com um código que instala malware nos dispositivos de quem os visita.

Os sites armadilhados usavam dois servidores exploit –  um para usuários do Windows e outro para usuários do Android.

O uso zero-day exploits e a infraestrutura complexa do ataque não são, em si, um sinal de sofisticação, mas mostram habilidade acima da média de uma equipe profissional de hackers. Combina-se isso à robustez do código de ataque – que encadeia vários exploits de maneira eficiente -, a campanha deixa claro que foi realizada por um "agente altamente sofisticado".

“Essas cadeias de exploração são projetadas para alcançar o máximo possível de eficiência e flexibilidade por meio de sua modularidade”, escreveu um pesquisador da equipe de pesquisa Project Zero, do Google, que investiga vulnerabilidades zero-day. “Eles são códigos bem projetados e complexos com uma variedade de novos métodos de exploração, perfilagem madura, técnicas de pós-exploração sofisticadas e calculadas e altos volumes de anti-análise e verificações de direcionamento. Acreditamos que equipes de especialistas projetaram e desenvolveram essas cadeias de exploração.”

O que você vai ler neste artigo

As vulnerabilidades exploradas

Diagnóstico: A sua empresa está preparada para a chegada da ANPD?

A Compugraf tem trabalhado intensamente na produção de conteúdo sobre LPGD para garantir que nenhuma empresa sofra com a nova lei de proteção de dados por falta de informação. Pensando na proximidade para o início de cobrança das sanções da ANPD, nós queremos te ajudar a descobrir se os seus conhecimentos e a sua empresa já estão maduros o bastante para a nova etapa de privacidade no Brasil. Ficou curioso? basta realizar o nosso diagnóstico. É gratuito:

As vulnerabilidades exploradas

A modularidade das cargas de dados, as cadeias de registro e de exploração intercambiáveis, bem como o alto nível de direcionamento e maturidade da operação também diferenciam a campanha das demais explorações zero-day, disse o pesquisador.

Sobre as vulnerabilidades, os quatro exploits de zero-day eram:

• CVE-2020-6418 – Vulnerabilidade do Chrome no sistema TurboFan (corrigida em fevereiro de 2020)
• CVE-2020-0938 – Vulnerabilidade na fonte no Windows (corrigida em abril de 2020)
• CVE-2020-1020 – Vulnerabilidade na fonte no Windows (corrigida em abril de 2020)
• CVE-2020-1027 – Vulnerabilidade CSRSS no Windows (corrigida em abril de 2020)

Leia também:

• Os crimes cibernéticos mais perigosos de 2021
• Novo comunicado da LGPD nos atualiza sobre as previsões de seu órgão regulador
• Quase 70% dos consumidores brasileiros não sabem se seus dados pessoais estão seguros

Os invasores obtiveram a execução remota de código explorando o zero-day do Chrome, além de várias outras vulnerabilidades do navegador, corrigidas recentemente. Todos os zero-day foram usados contra usuários do Windows.

Nenhuma das cadeias de ataque direcionadas a dispositivos Android foram exploradas por zero-day, mas os pesquisadores do Project Zero disseram que é provável que os agentes tenham vulnerabilidades zero-day de Android à sua disposição.

Ao todo, o Project Zero publicou seis capítulos detalhando as explorações e os payloads de pós-exploração que os pesquisadores encontraram. Outras postagens descrevem um bug do infinity no Chrome, os exploits do Chrome, os exploits do Android, os payloads de exploração pós-Android e os exploits do Windows.

A intenção da série é ajudar a comunidade de segurança em geral no combate mais eficaz a operações complexas de malware: “esperamos que esta série de postagens de blog forneça a outros pesquisadores uma visão aprofundada da exploração de um grupo cibercriminoso maduro e presumivelmente com bons recursos”, escreveram os pesquisadores do Projeto Zero.

Fique por dentro de nossas novidades

Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!

Mantenha seus dispositivos seguros. Consulte os serviços da Compugraf e saiba como podemos te ajudar!

A maioria das empresas investe 10% ou menos de seu orçamento de TI nessa área, de acordo com nova pesquisa

A maioria das empresas brasileiras não aumentou seus investimentos em segurança da informação e segurança cibernética desde o início da pandemia do novo coronavírus, apesar do aumento das ameaças.

É o que diz um novo estudo sobre percepções de risco de cibersegurança na América Latina desde o início da crise, disponibilizado este mês.

Você vai ler neste artigo:

• 84% das organizações não investiram mais em segurança cibernética
• O home office ainda é um dos aspectos mais vulneráveis para as organizações
• A cultura da segurança no Brasil

Multas da LGPD começam em menos de 6 meses - Como estamos?

As sanções da ANPD estão cada vez mais próximas, a sua empresa está preparada para responder ao órgão regulador da Lei Geral de Proteção de Dados? Qual será o impacto disso? no Cybertalks do mês, conversamos com o Davi Alves, Presidente da ANPPD e a Erica Costa, DataPro Privacy Team da Onetrust em um papo bastante informativo, conduzido por Carla Manso, a DPO da Compugraf e Rafael Medeiros, nosso head de Business Development. Aproveite para tirar todas as suas dúvidas sobre o tema!

84% das organizações não investiram mais em segurança cibernética

Conforme a pesquisa, realizada por uma consultoria em nome da Microsoft, 84% das organizações não aumentaram seus gastos com segurança desde março de 2020, embora 30% dos entrevistados tenham observado um aumento nos ataques maliciosos como consequência da crise do COVID-19, sendo o phishing e os malwares os tipos de ocorrência mais frequentes.

Leia também:

• Os crimes cibernéticos mais perigosos de 2021: conheça cada um deles
• As campanhas de phishing duram em média 21 horas
• Empresas se protegem de forma equivocada e pagam o preço: as principais notícias da semana

Mas, apesar do aumento nas ameaças à segurança, 56% das empresas brasileiras pesquisadas atualmente investem 10% ou menos de seu orçamento de TI em segurança cibernética.

Além disso, o estudo afirma que 52% das organizações brasileiras disseram que o investimento em segurança não mudou desde o início da pandemia.

Diagnóstico: A sua empresa está preparada para a chegada da ANPD?

A Compugraf tem trabalhado intensamente na produção de conteúdo sobre LPGD para garantir que nenhuma empresa sofra com a nova lei de proteção de dados por falta de informação. Pensando na proximidade para o início de cobrança das sanções da ANPD, nós queremos te ajudar a descobrir se os seus conhecimentos e a sua empresa já estão maduros o bastante para a nova etapa de privacidade no Brasil. Ficou curioso? basta realizar o nosso diagnóstico. É gratuito:

O home office ainda é um dos aspectos mais vulneráveis para as organizações

Em termos de comportamento dos funcionários em relação à segurança, apenas 23% das organizações brasileiras que participaram do estudo disseram que sua força de trabalho está usando equipamentos fornecidos pela empresa para trabalhar.

• Leia também: Dispositivos de colaboradores em home office são a superfície de ataque mais vulnerável das empresas, atualmente

Em nível regional, 70% das organizações da América Latina permitiram que seus funcionários usassem seus dispositivos pessoais após a transição para o modelo de trabalho remoto.

De acordo com o estudo, isso aumentou significativamente a exposição a algum tipo de incidente cibernético, mas a segurança do acesso remoto é uma prioridade para apenas 12% dos entrevistados e apenas a segunda preocupação mais relevante para 7% dos entrevistados.

Somente um quarto das empresas latinas pesquisadas aumentou seus orçamentos de segurança cibernética após a pandemia, enquanto o aumento no orçamento de proteção de dados foi de 26%.

Além disso, apenas 17% das organizações na América Latina têm seguro contra ameaças cibernéticas.

Fique por dentro de nossas novidades

Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!

A cultura da segurança no Brasil

“Muitos dos resultados encontrados nesta análise são bastante preocupantes, como a baixa quantidade de empresas com seguro contra riscos cibernéticos e investimentos em segurança”, disse Marta Schuh, brasileira superintendente de riscos cibernéticos da consultoria responsável pelo estudo, à imprensa.

“Agora que as empresas estão mais vulneráveis por conta do trabalho remoto e do uso de dispositivos pessoais, é preocupante que poucas organizações tenham aumentado seu orçamento de cibersegurança após a pandemia – e mais ainda que algumas tenham até reduzido esse investimento, apesar do aumento notável de ataques cibernéticos”, comentou.

O estudo acompanha as notícias sobre vazamentos de dados massivos no Brasil que surgiram nas últimas semanas.

Também vai ao encontro do aumento no número de casos de ransomware em território brasileiro, que cresceu 250% durante a pandemia.

• Leia também: Ataques de ransomware no Brasil aumentaram 350% em tempos de home office

Mais do que necessário, é urgente desenvolver uma cultura de cibersegurança no Brasil.

Conte com os especialistas da Compugraf para manter sua empresa segura! Consulte nossa assessoria e saiba como podemos te ajudar!

O volume de ataques caiu 31% no último trimestre de 2020, à medida que os valores do Bitcoin disparavam. Todavia, novas tendências disparam, e o DDoS não desaparece por completo

Os ataques de negação de serviço distribuído (DDoS) caíram significativamente no final de 2020, queda de 31 por cento no quarto trimestre, de acordo com pesquisadores.

O motivo? Cibercriminosos transferindo seus esforços (e seus botnets) para o cryptomining.

O que você vai ler neste artigo:

• Oferta e demanda?
• Previsões DDoS para 2021
• Como se proteger contra ataques DDoS

Multas da LGPD começam em menos de 6 meses - Como estamos?

As sanções da ANPD estão cada vez mais próximas, a sua empresa está preparada para responder ao órgão regulador da Lei Geral de Proteção de Dados? Qual será o impacto disso? no Cybertalks do mês, conversamos com o Davi Alves, Presidente da ANPPD e a Erica Costa, DataPro Privacy Team da Onetrust em um papo bastante informativo, conduzido por Carla Manso, a DPO da Compugraf e Rafael Medeiros, nosso head de Business Development. Aproveite para tirar todas as suas dúvidas sobre o tema!

Oferta e demanda?

De acordo com uma análise publicada em fevereiro de 2021, os cibercriminosos começaram a redirecionar dispositivos infectados para ataques visando lucros de criptomoedas, em resposta à valorização do Bitcoin, por exemplo, a fins do ano passado.

“Um aumento nos custos de criptomoeda pode ter levado os cibercriminosos a reformular alguns botnets para que os servidores de comando e controle (C2) normalmente usados ​​em ataques DDoS pudessem redirecionar os dispositivos infectados e usar seu poder de computação para minerar criptomoedas”, disseram os pesquisadores, no relatório divulgado.

Mas é claro que os riscos de um ataque DDoS não desapareceram. Conforme as pessoas passavam cada vez mais tempo online em 2020, os pesquisadores observaram um aumento correspondente nos ataques DDoS ao longo da maior parte do ano.

O setor educacional foi um dos que mais sofreu com ataques DDoS, sobretudo nos Estados Unidos. Serviços de jogos online também continuaram a sofrer ataques DDoS durante o período analisado.

“O número de ataques DDoS ainda era 10% maior do que no mesmo período do ano anterior, mas no geral refletia uma tendência de declínio, depois que os ataques aumentaram drasticamente em resposta às medidas de bloqueio global no início do ano”, explicou a análise.

Eles acrescentaram: “Os cibercriminosos usaram os nomes de conhecidos grupos APT para intimidar as vítimas, exigiram resgates em criptomoedas e realizaram ataques de demonstração para respaldar suas ameaças”.

O ataque mais notável, visando criptomoedas, aconteceu em dezembro e teve como alvo o site Bitcoin.org, que hospeda o Bitcoin Core, uma das versões de software mais usadas para transações de Bitcoin.

“Enquanto o recurso estava inativo, os novatos nesse mundo das criptomoedas foram convidados a baixar uma cópia do Bitcoin Core por meio de um serviço de torrenting, que disponibilizava um arquivo malicioso”, diz o relatório. “Provavelmente, o ataque está relacionado ao preço do Bitcoin, que aumentou de forma gradativa no último trimestre. De acordo com um dos desenvolvedores por trás do Bitcoin.org, o site é acessado sempre que o Bitcoin está em alta. ”

Leia também

• Ataques Cibernéticos: Como os colaboradores podem preveni-los?
• Ataques DDoS e os limites de um servidor corporativo
• Transações de blockchain mostram conexões entre diferentes grupos de Ransomware

Diagnóstico: A sua empresa está preparada para a chegada da ANPD?

A Compugraf tem trabalhado intensamente na produção de conteúdo sobre LPGD para garantir que nenhuma empresa sofra com a nova lei de proteção de dados por falta de informação. Pensando na proximidade para o início de cobrança das sanções da ANPD, nós queremos te ajudar a descobrir se os seus conhecimentos e a sua empresa já estão maduros o bastante para a nova etapa de privacidade no Brasil. Ficou curioso? basta realizar o nosso diagnóstico. É gratuito:

Previsões DDoS para 2021

As macrotendências que moldam 2021, como as consequências da pandemia e a oscilação das criptomoedas, permanecem imprevisíveis. Assim, quando se trata de prever a tendência do trimestre atual, os pesquisadores ofereceram apenas uma avaliação provisória: um período de estabilidade, sem grande crescimento ou declínio, tanto no primeiro trimestre quanto ao longo de 2021.

Fique por dentro de nossas novidades

Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!

Como se proteger contra ataques DDoS

Para se manter protegido contra ataques DDoS, pesquisadores observaram que, além de colocar recursos e tecnologia preventiva em funcionamento, as empresas também devem validar contratos de terceiros e informações de contato, incluindo aqueles feitos com provedores de serviços de Internet.

Aqui na Compugraf, temos um texto completo sobre o tema. Aproveite para conferir.

Quer manter seus dispositivos seguros? Converse com nosso time de especialistas e saiba como podemos te ajudar!

Violações de grandes empresas e outros milhões de dados de brasileiros vazados.

O que você vai ler hoje:

• Hacker viola sistemas de mais de 35 grandes empresas usando código aberto
• Uma compilação de bilhões de dados de usuários vaza na deep web
• Usuários do Discord são alvo de ataques direcionados e cada vez mais sofisticados
• ANPD investiga vazamento de dados de 102 milhões de brasileiros

Hacker viola sistemas de mais de 35 grandes empresas usando código aberto

Um pesquisador conseguiu violar os sistemas internos de mais de 35 grandes empresas, incluindo Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla e Uber, em um novo ataque à cadeia de suprimentos de software.

O ataque – conduzido pelo white hat Alex Birsan – consistiu em enviar malware para repositórios de código aberto, que, em seguida, foram distribuídos automaticamente para os aplicativos internos da empresa.

Ao contrário dos ataques de typosquatting tradicionais, que dependem de táticas de engenharia social, ou de a vítima digitar o nome de um pacote incorretamente, este, em particular, é mais sofisticado, porque não precisou de ação da vítima.

Na verdade, o ataque só foi possível porque alavancou uma falha de design exclusiva dos ecossistemas de código aberto, chamada por Birsan de “confusão de dependências” (dependency confusion).

A grande sacada de Birsan foi se aproveitar do fato de que vários aplicativos e serviços online apenas modificam projetos de código aberto – em vez de criar códigos do zero -, o que faz com que muitos deles tenham repositórios em comum.

Após entrar em contato com um manifesto .json que alegava que o PayPal recorria a esse recurso, Birsan se perguntou o que aconteceria caso os sistemas da empresa encontrassem, no GitHub, um repositório homônimo, com uma data de atualização mais recente, de forma pública.

Com isso, falsificou uma edição e descobriu que o sistema ignora o pacote customizado armazenado em um servidor fechado e prioriza o que está publicamente disponível no GitHub, possibilitando a contração de um malware, caso a edição seja feita por um agente mal intencionado.

Com isso, Birsan provou que seria capaz de extrair dados de servidores afetados e lucrou cerca de R$ 699 mil em recompensas de bug bounty.

Descubra a Anatomia das Ameaças Cibernéticas

Quer levar seu conhecimento ainda mais longe? confira agora mesmo o nosso material com a anatomia das principais ameaças cibernéticas, um material muito completo, gratuito, em duas partes!

Uma compilação de bilhões de dados de usuários vaza na deep web

Uma “compilação de muitas violações” (COMB) vazou na deep web, de acordo com pesquisadores.

O compilado contém surpreendentes 3,27 bilhões de combinações exclusivas de endereços de e-mail e senhas, roubadas de violações anteriores e incluindo credenciais da Netflix, LinkedIn, dentre outros.

O banco de dados foi tornado público em 2 de fevereiro por um usuário chamado “Singularity0x01", que criou um tópico no popular fórum cibercriminoso RaidForums para postar as credenciais.

Singularity0x01 afirmou que a coleção foi construída em base de uma compilação anterior, que continha 1,4 bilhão de registros, e que a maior parte do conteúdo estava disponível publicamente. O usuário disse ainda que os dados foram apresentados em ordem alfabética e em árvore.

No entanto, alguns usuários tentaram acessar o COMB alegaram que os arquivos estavam corrompidos, que faltavam arquivos, que o número total de credenciais era menor do que o anunciado e que os dados eram de baixa qualidade.

Após investigação, pesquisadores disseram que, na verdade, este parece ser apenas um relançamento de outro vazamento massivo, que ocorreu em 2019, mas repaginado com algumas ferramentas para desduplicação, classificação e análise dos dados, a fim de torná-lo mais fácil de usar.

O que não tira seu valor. Hackers criminosos podem usar os dados para compor ataques de força bruta ou de preenchimento de credenciais, especialmente se os usuários cujos dados foram vazados não tiverem o hábito de utilizar autenticação de dois fatores (MFA) ou de mudar suas senhas periodicamente.

Quais foram as principais ameaças do ano passado?

Olhar para o passado é essencial para entendermos a origem, medir, ou até mesmo prever o crescimento das ameaças cibernéticas. Em nosso cybertalks do mês, conversamos com o nosso Gerente de Produtos, Adalberto Costa, sobre as principais ameaças cibernéticas que ocorreram no ano passado e como as empresas podem se prevenir neste ano novo. 

Usuários do Discord são alvo de ataques direcionados e cada vez mais sofisticados

Arquivos maliciosos estão sendo plantados dentro do Discord – plataforma de interação online, majoritariamente utilizado por gamers – a fim de persuadir os usuários a baixarem arquivos com malware, alertam pesquisadores.

De acordo com eles, foram observadas várias campanhas ativas direcionadas ao serviço e com o objetivo de desencadear uma cadeia de infecção composta pelo ransomware Epsilon, por cavalos de Tróia ladrões de dados e pelo criptominer XMRrig.

Os invasores também estão usando o serviço para comunicação de comando e controle (C2), observaram os pesquisadores.

Esses novos ataques geralmente começam com e-mails de spam, nos quais os usuários são enganados pelos modelos de aparência legítima para fazer o download de cargas de infecção. O vetor de ataque usa os serviços Discord para formar uma URL para hospedar arquivos maliciosos e se passar por softwares piratas ou softwares de jogos, usando ícones de arquivos relacionados a jogos para enganar as vítimas, de acordo com as pesquisas.

O objetivo é roubar informações do usuário e/ou hackear servidores do Discord, obtendo acesso a redes relevantes para os cibercriminosos.

Os ataques fazem parte de uma onda crescente que enxerga na crescente adesão à plataforma – associada à pandemia – uma oportunidade promissora de fazer novas vítimas.

Fique por dentro de nossas novidades

Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!

ANPD investiga vazamento de dados de 102 milhões de brasileiros

A Autoridade Nacional de Proteção de Dados (ANPD) informou na última semana (11), que iniciou uma investigação sobre o segundo maior vazamento de dados do país no ano.

A investigação refere-se à exposição de dados relativos a mais de 102 milhões de linhas de telefonia móvel, incluindo a do presidente Jair Bolsonaro.

Os dados incluem nomes, números de CPF, minutos gastos em ligações e outros detalhes.

A ANPD afirmou que "está tomando todas as medidas adequadas" para investigar o caso e convocou a Polícia Federal, bem como "a empresa que denunciou o ocorrido e as empresas envolvidas no vazamento". A ideia é que as entidades ajudem a autoridade recém-formada a auxiliar na investigação e na mitigação dos riscos relacionados à violação de dados pessoais de consumidores potencialmente afetados.

A notícia deste vazamento segue um incidente anterior ainda muito comentado, no qual informações de 223 milhões de brasileiros foram expostos e vendidos na deep web. O responsável por este incidente ainda não foi revelado.

Mantenha os dados da sua empresa seguros. Consulte os serviços da Compugraf e saiba como podemos te ajudar!

Gangues de criminosos costumam usar vários tipos de ransomware e pular de um RaaS (Ransomware-as-a-Service) para outro, em busca de melhores oportunidades.

Um relatório publicado este mês pela empresa de investigações de blockchain Chainalysis afirma que grupos de cibercrime envolvidos em ataques de ransomware não operam em bolhas isoladas; pelo contrário: frequentemente trocam de fornecedores (em um modelo RaaS – Ransomware-as-a-Service) em busca de lucros mais altos.

O relatório também analisou como fundos de Bitcoin foram transferidos das vítimas para grupos criminosos e como esse dinheiro foi dividido entre as diferentes partes envolvidas no ataque de e, eventualmente, lavado, para não levantar suspeitas.

Mas, para entender essa dinâmica, é necessária uma breve introdução ao cenário atual do ransomware, que muito se assemelha ao funcionamento da maioria das empresas modernas.

A “cadeia de suprimentos” do ransomware

Existem programadores que criam e alugam ransomwares por meio de serviços chamados RaaS – ou Ransomware-as-a-Service – de forma semelhante a como a maioria dos softwares é fornecida hoje.

Isto é, alguns operadores RaaS alugam seu ransomware para qualquer pessoa que demonstre interesse em adquiri-lo, enquanto outros preferem trabalhar com pequenos grupos de clientes verificados, que geralmente são chamados de "afiliados".

Os afiliados são os que geralmente espalham ameaças por e-mail ou orquestram invasões em redes corporativas e governamentais, posteriormente infectando sistemas e criptografando dados com o ransomware alugado.

Em alguns casos, os afiliados também são grupos multifacetados. Alguns se especializam em violar o perímetro de rede de uma empresa e são chamados de fornecedores de acesso inicial, enquanto outros são especializados em expandir o acesso inicial dentro de redes hackeadas para maximizar os danos do ransomware.

Em suma, o panorama do ransomware evoluiu de uns anos para cá, virando um amálgama de grupos criminosos, cada qual fornecendo seu próprio serviço altamente especializado ao outro, geralmente em diferentes provedores de RaaS.

Quais foram as principais ameaças do ano passado?

Olhar para o passado é essencial para entendermos a origem, medir, ou até mesmo prever o crescimento das ameaças cibernéticas. Em nosso cybertalks do mês, conversamos com o nosso Gerente de Produtos, Adalberto Costa, sobre as principais ameaças cibernéticas que ocorreram no ano passado e como as empresas podem se prevenir neste ano novo. 

Transações de Bitcoin revelam que grupos criminosos costumam colaborar entre si

O relatório da Chainalysis confirma essas teorias informais com provas criptográficas indiscutíveis, deixadas pelas transações de Bitcoin que ocorreram entre alguns desses grupos.

Por exemplo, com base no gráfico abaixo, a Chainalysis disse ter encontrado evidências que sugerem que um afiliado do agora extinto Maze RaaS também estava envolvido com o SunCrypt RaaS.

"Vemos que o afiliado do Maze também enviou fundos – cerca de 9,55 Bitcoin no valor de mais de US $ 90.000 – por meio de uma carteira intermediária para um endereço denominado 'SunCrypt admin suspeito', que identificamos como parte de uma carteira que consolidou fundos relacionados a alguns ataques SunCrypt ", dizem os pesquisadores Chainalysis.

"Isso sugere que o afiliado do Maze também é afiliado do SunCrypt, ou possivelmente envolvido com o SunCrypt de outra maneira."

Descobertas semelhantes também mostram uma conexão entre as operações Egregor e DoppelPaymer.

"Neste caso, vemos que uma carteira vinculada à Egregor enviou cerca de 78,9 BTC no valor de aproximadamente US $ 850.000 para uma carteira suspeita de um admin Doppelpaymer", disseram os pesquisadores.

"Embora não possamos saber com certeza, acreditamos que este é outro exemplo de sobreposição de afiliados. Nossa hipótese é que a carteira rotulada ‘Egregor’ é uma afiliada de ambas as cepas que enviam fundos para os administradores Doppelpaymer."

E por último, mas não menos importante, os pesquisadores da Chainalysis também encontraram evidências de que os operadores de Maze e Egregor usaram o mesmo serviço de lavagem de dinheiro e de corretagem de balcão para converter fundos roubados em moeda fiduciária.

Fique por dentro de nossas novidades

Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!

Intersecções podem ser um bom sinal

Embora possamos, com razão, presumir essas conexões e intersecções como um sinal de parcerias bem-sucedidas entre grupos de criminosos, ou seja, de ameaças crescentes e complexas, a Chainalysis, por outro lado, acredita que essa interconexão é, na verdade, um bom sinal, em termos de aplicação da lei.

"A evidência sugere que o mundo do ransomware na verdade é menor do que se imagina, dado o número de cepas em uma única operação", diz a Chainalysis.

Isso, em teoria, deve tornar a retaliação e interrupção de ataques de ransomware uma tarefa muito mais fácil, já que uma defesa cuidadosamente planejada pode afetar vários grupos e provedores de RaaS ao mesmo tempo.

E, de acordo com a Chainalysis, esses pontos fracos podem ser os serviços de lavagem de dinheiro que os operadores de RaaS e seus afiliados costumam usar para converter os fundos roubados em moeda legítima.

Ao recorrer a caminhos legítimos para converter fundos e alcançar lucratividade no mundo real, a Chainalysis acredita que as operações RaaS terão dificuldade de  operar quando não puderem lucrar com seu trabalho. Como isso se desdobrará, porém, ainda é um mistério.

Mantenha seus dados seguros. Consulte os especialistas da Compugraf e conheça nossas soluções de segurança!

Fortalecendo o iMessage no iOS 14, a empresa eliminou efetivamente o que era um vetor ataque cada vez mais popular.

O sistema IOS OPERATING, da Apple, é considerado um dos mais seguros atualmente – ou, pelo menos, seguro o suficiente para a maioria dos usuários na maioria das vezes.

Nos últimos anos, porém, os hackers encontraram uma série de falhas que fornecem pontos de entrada valiosos para iPhones e iPads, possibilitando diversos ataques ao longo do tempo e questionando o quão seguros, de fato, os aparelhos da gigante da tecnologia são.

Muitos desses ataques foram chamados de ataques “zero-click” ou “interactionless”, caracterizados por infectar um dispositivo sem que a vítima precise clicar em um link ou baixar um arquivo com malware. Repetidas vezes, essas vulnerabilidades –  transformadas em armas para os cibercriminosos – estavam presentes no aplicativo de bate-papo da Apple, o iMessage.

Mas agora parece que a Apple se cansou de vez. Uma nova pesquisa mostra que a empresa levou as defesas do iMessage a um outro nível com o lançamento do iOS 14, em setembro de 2020.

O que você vai ler neste artigo:

• Mudanças importantes para a segurança
• Por que o iMessage?
• As novas soluções de segurança

Mudanças importantes para a segurança

No final de dezembro, pesquisadores do Citizen Lab, da Universidade de Toronto, publicaram suas descobertas sobre uma campanha de hacking ocorrida em meados de junho, em que os invasores atacaram dezenas de jornalistas da Al Jazeera pelo iMessages, utilizando um ataques zero-click para instalar o notório spyware Pegasus do NSO Group.

O Citizen Lab disse, então, que não acreditava que o iOS 14 fosse vulnerável ao hacking usado na campanha; todas as vítimas estavam executando o iOS 13, que era o atual da época.

Samuel Groß, do Google, investiga há muito tempo os ataques zero-click no iPhone junto com vários de seus colegas da equipe Project Zero, um projeto de “caça a bugs” financiado pela empresa.

Em janeiro de 2021, ele detalhou três melhorias que a Apple adicionou ao iMessage para fortalecer seus sistemas e tornar muito mais difícil para os invasores enviarem mensagens maliciosas com fins de causar estragos estratégicos.

“Essas mudanças estão provavelmente muito próximas do melhor que poderia ter sido feito, dada a necessidade de compatibilidade com versões anteriores, e devem ter um impacto significativo na segurança do iMessage e da plataforma como um todo”, escreveu Groß na quinta-feira (28). “É ótimo ver a Apple coletando recursos para essas grandes refatorações, a fim de melhorar a segurança dos usuários finais.”

Em resposta à pesquisa do Citizen Lab, a Apple disse, em dezembro, que “o iOS 14 é um grande salto em segurança e oferece novas proteções contra esses tipos de ataques”.

Leia também

• Ransomware é a maior preocupação de cibersegurança para CISOs
• Novo comunicado da LGPD nos atualiza sobre as previsões de seu órgão regulador
• Quase 70% dos consumidores brasileiros não sabem se seus dados pessoais estão seguros

Por que o iMessage?

O iMessage é um alvo óbvio para ataques zero-click por dois motivos. Primeiro, é um sistema de comunicação, o que significa que parte de sua função é a troca de dados com outros dispositivos.

Segundo, o iMessage é, literalmente, construído para atividades sem interação; você não precisa tocar em nada para receber um texto ou foto de um contato. E o conjunto completo de recursos do iMessage – integrações com outros aplicativos, funcionalidade de pagamento e até pequenas coisas, como adesivos e memoji, – o tornam um terreno fértil para hackers também.

Todas essas interconexões e opções são convenientes para os usuários, mas adicionam superfícies de ataque para os usuários.

“O iMessage é um serviço integrado a todos os iPhones, por isso é um grande alvo para hackers sofisticados”, diz o criptógrafo da Johns Hopkins, Matthew Green. “Ele também conta com muitos recursos especiais, e cada um desses recursos é uma nova oportunidade para os hackers encontrarem bugs que os permitam assumir o controle do seu dispositivo. Portanto, o que esta pesquisa mostra é que a Apple sabe disso e tem, silenciosamente, fortalecido o sistema.”

O que esperar do mercado de segurança e privacidade em 2021

Em nossa edição mais recente do "Em Foco", separamos algumas das tendências esperadas para 2021. Confira:

As novas soluções de segurança

Groß descreve três novas proteções que a Apple desenvolveu para lidar com seus problemas de segurança do iMessage em um nível estrutural, ao invés de patches paliativos. A primeira melhoria, apelidada de BlastDoor, é um “sandbox” – essencialmente, uma espécie de quarentena, onde o iMessage pode inspecionar as comunicações de entrada em busca de atributos potencialmente maliciosos antes de liberá-las no ambiente iOS principal.

O segundo novo mecanismo monitora ataques que manipulam um cache compartilhado de bibliotecas do sistema. O cache altera endereços dentro do sistema aleatoriamente para dificultar o acesso de forma maliciosa. No entanto, o iOS só altera o endereço do cache compartilhado após uma reinicialização, o que dá aos invasores a oportunidade de descobrir sua localização. A nova proteção é configurada para detectar atividades maliciosas e acionar uma atualização sem que o usuário precise reiniciar o iPhone.

A adição final torna mais difícil para os hackers usarem a “força bruta” ou repetir ataques várias vezes – uma técnica comum em hacks zero-click se um ataque não funcionar bem na primeira vez. Essa proteção é relevante para reduzir tiros no escuro que buscam encontrar o cache compartilhado, mas também para ataques mais amplos, como tentativas de enviar vários textos maliciosos (que são normalmente invisíveis para o usuário) para tentar novamente um ataque até que ele funcione.

E, agora que estão aqui, as melhorias devem fazer uma grande diferença para conter a onda crescente de ataques zero-click contra o iMessage. Mas os pesquisadores alertam que é apenas uma questão de tempo até que os invasores encontrem uma nova saída para suas estratégias robustas e em constante desenvolvimento.

Fique por dentro de nossas novidades

Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!

Mantenha os seus dispositivos protegidos. Consulte os especialistas da Compugraf e saiba como podemos te ajudar!