Pesquisa elenca as CVEs “favoritas” dos cibercriminosos na dark web

Uma análise de fóruns criminais da dark web revela em quais vulnerabilidades conhecidas cibercriminosos estão mais interessados

Excertos de mensagens trocadas entre cibercriminosos em fóruns clandestinos da dark web sugere em quais vulnerabilidades e exposições comuns (Common Vulnerabilities and Expositions, ou CVEs) grupos de ameaça mais podem estar interessados para mobilizar ataques.

Essas pistas, por sua vez, oferecem a especialistas de cibersegurança informações valiosas sobre as superfícies de ataque e possíveis brechas as organizações e usuários mais devem tomar cuidado.

Pesquisa realizada em fóruns na dark web revela as CVEs mais comentadas

Entre janeiro de 2020 e março de 2021, a Cognyte realizou uma análise de conversas trocadas entre distintos cibercriminosos em fóruns clandestinos. Os pesquisadores examinaram 15 fóruns de crimes cibernéticos nesse interim e compilaram seus achados em um relatório divulgado recentemente.

Nesse relatório, os pesquisadores destacam quais são as CVEs mencionados com mais frequência pelos criminosos e tentam determinar qual vulnerabilidades esses invasores podem explorar em seguida.

Porém, ressalvam:

“Nossas descobertas revelaram que não existe 100% de correlação entre os dois parâmetros, uma vez que as cinco principais CVEs que receberam o maior número de postagens não são exatamente aquelas que foram mencionados no maior número de fóruns da Dark Web examinados”, disse o relatório . “No entanto, ainda é o bastante entender quais CVEs eram populares entre os atores de ameaças na Dark Web durante o período examinado.”

De todo modo, os pesquisadores descobriram que ataques populares que exploraram vulnerabilidades comuns – como os casos ZeroLogon, SMBGhost e BlueKeep – atendem aos parâmetros estabelecidos, isto é: três das vulnerabilidades mais discutidas entre os criminosos no período de janeiro de 2020 e março de 2021 foram alvo de ataques.

As CVEs mais populares entre os cibercriminosos

Ao todos, seis CVEs se destacam entre os comentários de cibecriminosos nos fóruns investigados:

“A maioria dos CVEs nesta lista foi explorada por grupos patrocinados pelo Estado, por gangues de ransomware e por criminosos avulsos em campanhas mundiais contra diferentes setores”, disse o relatório.

Notavelmente, todos os CVEs focados por agentes de ameaça são antigos, o que significa que a correção e mitigação básicas poderiam ter interrompido muitos ataques antes mesmo de eles terem início.

O relatório acrescentou que a CVE-2012-0158, existente há 9 anos, foi explorado por agentes de ameaça durante a pandemia do COVID-19 em 2020, o que “indica que as organizações não estão corrigindo seus sistemas e não estão mantendo uma postura de segurança resiliente”.

Microsoft, uma das principais responsáveis por CVEs ativamente exploradas

A Microsoft se distingue negativamente no relatório como responsável por cinco das seis vulnerabilidades mais populares em fóruns da dark web, descobriram os pesquisadores. A empresa também teve dificuldade em fazer com que os usuários corrigissem essas vulnerabilidades.

A ZeroLogon é um excelente exemplo. Esta falha no software da Microsoft permite que os cibercriminosos acessem os controladores de domínio e violem todos os serviços de identidade do Active Directory – uma implementação de serviço de diretório que armazena informações sobre objetos em rede e disponibiliza essas informações a usuários e administradores de tal rede.

Contudo, a correção do ZeroLogon era tão lenta que a Microsoft anunciou, em janeiro de 2021, que começaria a bloquear o acesso ao domínio do Active Directory para sistemas sem patch com um “modo de aplicação”.

Em março de 2020, a Microsoft corrigiu a vulnerabilidade número dois da lista, CVE-2020-0796, mas, em outubro, 100.000 sistemas Windows ainda estavam vulneráveis.

Diferentes grupos de diferentes países têm suas preferências particulares

Por fim, os analistas alertaram o interesse pelas CVEs variavam a depender do idioma falado no fórum. A CVE preferida pelos fóruns em russo foi a CVE-2019-19781, por exemplo; já os fóruns chineses estavam falando muito sobre a CVE-2020-0796.

Houve um empate entre CVE-2020-0688 e CVE-2019-19781 nos círculos de agentes de ameaças que falam inglês, e os fóruns turcos se concentraram na CVE-2019-6340.

Por fim, os pesquisadores acrescentam, para fins de contexto, que cerca de metade dos fóruns monitorados falam russo.

Sua empresa está protegida contra ameaças que exploram vulnerabilidades comuns? Conheça as soluções da Compugraf e saiba como podemos te ajudar a identificar e mitigar essas ameaças!

Read more
No Comments

Os hackers do hiper-destrutivo ransomware REvil sumiram. Isso é bom?

O grupo REvil é conhecido por lançar algumas das campanhas de ransomware mais onerosas para diversas empresas. Recentemente, eles desapareceram da Internet – mas isso não parece ser boa notícia.

A equipe de hackers por trás dos destrutivos ciberataques à indústria de alimentos e aos clientes do fornecedor de tecnologia Kaseya, ao que tudo indica, desapareceu da Internet. O grupo também é responsável pelos ataques mais custosos ao redor do mundo, sendo conhecidos por pedir milhões de dólares às empresas em troca da chave da descriptografia.

Fora do ar no início da manhã do dia 13 de julho, o darksite do grupo REvil, apelidado de “Happy Blog”, parece ser um indício que o grupo fará uma pausa em suas atividades.

Autores da Forbes fizeram repetidas tentativas de acessar a página do grupo, e falharam, recebendo um aviso que dizia que “a causa mais provável é que o onionsite está off-line”.

As outras páginas do REvil, incluindo a página que o grupo usa para pagamento de resgate, também estão inacessíveis, e seus representantes não aparecem em fóruns de hackers – outro canal frequentado pelo grupo – desde o final da semana anterior, de acordo com vários pesquisadores de segurança cibernética.

O desaparecimento do grupo REvil não necessariamente é uma boa notícia

Não há informações sobre o motivo pelo qual o REvil – que se acredita ter origem russa, mas opera fora do país – possa ter desaparecido. Pode ser devido a uma ação de aplicação da lei, embora nenhuma agência ainda tenha reivindicado o sucesso em derrubar o grupo.

O FBI não quis comentar o caso. No mês passado, o presidente Biden e o líder russo Vladimir Putin discutiram questões de segurança cibernética, incluindo a possibilidade de o Kremlin apoiar mais os esforços para conter os cibercriminosos que lançam ataques devastadores contra empresas dos EUA.

A equipe do REvil também pode ter se escondido devido à atenção dada a seus ataques recentes. Ou seus sites podem simplesmente ter caído devido a um problema técnico.

Como observa Brett Callow, rastreador de ransomware de uma empresa privada de segurança cibernética , o Happy Blog já caiu antes e voltou a funcionar, de modo que é “muito cedo para deduzir qualquer coisa a respeito”.

Em um caso semelhante e recente , os hackers do grupo de ransomware DarkSide desapareceram da Internet não muito depois de seu malware ter sido usado no enorme hack ao oleoduto da Colonial Pipeline, que levou ao fechamento de linhas de gás na costa leste dos Estados Unidos. Nesse caso, alguns dos os fundos entregues no resgate de 4 milhões de dólares, pagos em Bitcoin, foram recuperados pelo Departamento de Justiça.

Fora o hack à JBS, um dos maiores fornecedores de carne mundiais, que resultou em um pagamento de 11 milhões de dólares, o grupo causou grande impacto em um ataque que explorou uma vulnerabilidade zero-day que não havia sido corrigida em uma tecnologia feita pela Kaseya.

Visando a ferramenta, os hackers invadiram diversos clientes da Kaseya, bloqueando arquivos de até 1.500 empresas diferentes. Seu pedido de resgate e a liberação da chave para desbloquear as informações em todas as empresas afetadas chegou a 70 milhões de dólares, embora tenha caído para 50 milhões de dólares durante as negociações. Não está claro se algum pagamento foi feito.

Nos últimos meses, o REvil também hackeou: o fornecedor de energia renovável Invenergy, o fabricante de PCs, Acer, e o fornecedor da Apple, Quanta Computer.

Além disso, de acordo com dados da empresa de segurança cibernética Check Point, foram realizados, por semana, 15 ataques cibernéticos cuja autoria é associada à REvil ao longo dos últimos dois meses.

Se o grupo está apenas escondido para não chamar ainda mais a atenção, ou se está apenas fazendo uma pausa antes de seu próximo hiper-ataque, descobriremos em breve. O sumiço, contudo, dificilmente será motivo de celebração e de tranquilidade por parte das empresas, que devem continuar aderindo às medidas de segurança a fim de prevenir potenciais ataques.

Mantenha seu negócio protegido. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Empresas não são capazes de se proteger contra ransomware, mostra pesquisa

Não investir em soluções de segurança pode ser fatal para a maioria das empresas. Ainda assim, quase metade das organizações ao redor do mundo não conta com tecnologias para detectar, prevenir e mitigar ataques.

O que você vai ler hoje:

Quase metade das empresas não consegue se prevenir de ataques de ransomware por falta de tecnologias de segurança

Cerca de metade das empresas não têm tecnologia para prevenir ou detectar ataques de ransomware, de acordo com um novo relatório de pesquisadores de segurança cibernética.

Os resultados sugerem que muitas das organizações não contam com os recursos de segurança cibernética necessários para evitar ataques altamente prejudiciais aos negócios, como a capacidade de detectar, por exemplo, e-mails de phishing, comprometimento do protocolo de desktop remoto (RDP) ou outras técnicas comuns utilizadas por cibercriminosos em campanhas de ransomware.

O relatório também alerta que muitas organizações lutam para detectar atividades suspeitas associadas a ransomware e ataques que podem demonstrar evidências iniciais de que criminosos cibernéticos comprometeram a rede corporativa. Isso inclui não identificar movimentos laterais incomuns nas redes ou deixar de detectar usuários não-autorizados invadindo e obtendo acesso a documentos e dados corporativos.

Os cibercriminosos por trás dos ataques de ransomware estão acessando esses dados não apenas para criptografá-los e pedir milhões de dólares de resgate, mas também para roubá-los, efetivamente, usando a ameaça de divulgação dessas informações roubadas como uma forma de pressionar ainda mais as vítimas a pagar o valor abusivo a fim de obterem uma chave de descriptografia.

Além disso, a pesquisa sugere que menos da metade das organizações pode se recuperar rapidamente após um ataque de ransomware, e duas em cada cinco poderiam ter dificuldade para aprender com eficácia os processos de mitigação necessários para evitar ser vítima de um novo ataque de ransomware no futuro, mesmo depois de já ter sido vítima de criminosos cibernéticos.

Malware se aproveita de recursos do Office para infectar dispositivos de usuários

Documentos do Word e do Excel geralmente são programados para desativar avisos de macro do Office. Porém, esse recurso é justamente o que possibilita o malware bancário Zloader ser baixado nos sistemas de um usuário, sem que as ferramentas de segurança o sinalizem.

O ataque, de acordo com uma pesquisa publicada pela McAfee, combina as funções do Microsoft Office de ativação uma série de comandos que podem ser usados para automatizar uma tarefa repetida, e que podem ser executados durante a tarefa sem que seja emitido um aviso, para baixar uma carga útil de malware de modo que a ameaça não seja detectada.

O Zloader é um trojan bancário projetado para roubar credenciais e outras informações privadas de usuários de instituições financeiras específicas. O vetor de ataque inicial do malware são mensagens de phishing com anexos de documentos do Word que não contêm código malicioso. Assim, normalmente a ameaça não acionaria um gateway de e-mail ou antivírus para bloquear o ataque.

Mas, de forma ainda mais sofisticada, o malware se aproveita da técnica de ofuscação de macro, usando os campos de troca dinâmica de dados (DDE) do Microsoft Office Excel e o Visual Basic for Applications (VBA) baseado em Windows para lançar ataques contra sistemas que suportam esses formatos.

“Documentos maliciosos têm sido um ponto de entrada para a maioria das famílias de malware e esses ataques têm evoluído suas técnicas de infecção e ofuscação, não apenas se limitando a downloads diretos de carga útil, mas criando agentes dinâmicos para infectar dispositivos com essa carga útil”, escreveram os pesquisadores.

Em conclusão, eles sugerem que só é seguro ativar ações macros quando o documento recebido for de uma fonte confiável.

Empresas de petróleo e gás são vítimas de campanha direcionada, em andamento há mais de um ano

Está em andamento, há mais de um ano, uma campanha sofisticada que mira em grandes empresas do setor de petróleo e gás, descobriram pesquisadores. A campanha espalha cavalos de Troia de acesso remoto (RATs) comuns para fins de espionagem cibernética.

Embora a indústria de energia seja o alvo principal, a campanha também atingiu algumas organizações nos setores de TI, manufatura e mídia, disseram os responsáveis pela análise da campanha. Vítimas foram encontradas em todo o mundo, incluindo Alemanha, Emirados Árabes Unidos e EUA. Porém, empresas sul-coreanas parecem ser as principais vítimas.

“O ataque também tem como alvo fornecedores desse setor, o que pode indicar que este é apenas o primeiro estágio de uma campanha mais ampla”, observaram os pesquisadores em uma postagem. “No caso de uma violação bem-sucedida, por exemplo, o invasor pode usar uma conta de e-mail comprometida do destinatário para enviar e-mails de spear-phishing para empresas que trabalham com o fornecedor, usando a reputação do fornecedor para ir atrás de entidades mais lucrativas.”

Para iniciar o ataque, os criminosos enviam e-mails personalizados para os funcionários de cada empresa visada. Os endereços de e-mail do destinatário variam de endereços genéricos a pessoas específicas dentro das empresas, sugerindo que um trabalho estratégico de reconhecimento dos alvos está em andamento, em paralelo aos ataques mais generalizados.

Cada e-mail possui um anexo malicioso com um nome aparentemente complementar relacionado ao conteúdo do corpo do e-mail, de acordo com os pesquisadores. Esse anexo contém um malware .NET, que geralmente está dentro de um arquivo .IMG, .ISO ou .CAB.

Os arquivos são, no entanto, disfarçados como PDFs, usando extensões e ícones falsos a fim de parecerem menos suspeitos.

Pesquisador de segurança cria site que compila informações sobre ataques de Ransomware

Chamado de Ransomwhere, o site foi criado pelo pesquisador de segurança Jack Cable, que já trabalhou com a Agência de Segurança Cibernética e de Infraestrutura (CISA) como consultor de segurança para as eleições de 2020 nos EUA.

Ele também passou anos caçando bugs e trabalhando como um hacker whitehat para diversas empresas, a fim de ajudá-las a identificar e mitigar vulnerabilidades que poderiam servir de porta de entrada para ameaças.

Em uma entrevista ao site de tecnologia TechCrunch, Cable afirma que criou o Ransomwhere após ler um tweet da Diretora de Inteligência da Intel, Katie Nickels. Respondendo a uma pergunta sobre se a comunidade de segurança poderia estimar as perdas totais ligadas ao famoso malware TrickBot, Nickels observou que “ninguém conhece o impacto real” dessas ameaças. Ela ainda acrescentou que é difícil saber se ações específicas da vítima – como pagar, ou se recusar a pagar resgates – fazem diferença.

A ideia de Cable, portanto, foi criar um “banco de informações” que trouxesse justamente essa visibilidade.

Até o momento, a Ransomwhere rastreou mais de 56 milhões de dólares em pagamentos de resgate. Até o momento, a empresa Netwalker domina a tabela de empresas mais prejudicadas por ataques de ransomware, com mais de 520 pagamentos efetuados.

Por enquanto, os dados que alimentam Ransomwhere são crowdsourced, isto é, fornecidos pela comunidade. Para garantir a integridade dos dados, todos os relatórios devem incluir uma captura de tela do pedido de resgate para fins de verificação. Atualmente, Cable está verificando pessoalmente os envios, mas visa automatizar o processo em algum momento.

Quer manter sua empresa protegida contra as principais ameaças à segurança cibernética? Conheça nossas soluções e saiba como a Compugraf pode te ajudar!

Read more
No Comments

Vazamento de “segredos” de empresas causa prejuízo anual de 1,2 milhão de dólares

Pesquisa com colaboradores de TI e DevOps mostra que 60% dos entrevistados disseram que sua organização lidou com vazamento de dados importantes de infraestrutura pelo menos uma vez. Prejuízo médio anual é de 1,2 milhão de dólares.

A cada ano, empresas ao redor do mundo estão perdendo o equivalente a milhões de dólares em receita devido às vulnerabilidades em código de infraestrutura, credenciais e senhas de acesso, de acordo com pesquisadores de cibersegurança.

O relatório da 1Password, intitulado Hiding in Plain Sight, observa que, em média, as empresas perdem, anualmente, cerca de 1,2 milhão de dólares (equivalente a 6 milhões de reais, aproximadamente) devido a detalhes de sua infraestrutura que vazam ou são expostos online.

Esses detalhes são chamados de “segredos” pelos pesquisadores responsáveis pelo relatório, que descobriram que colaboradores de TI e Desenvolvedores de Operações (DevOps) deixam diversos desses segredos de infraestrutura, como tokens de API, chaves SSH e certificados privados, em arquivos de configuração ou junto ao código-fonte para facilitar o acesso e agilizar os processos – aumentando sua vulnerabilidade.

Segredos à mostra

O relatório combina análises dos pesquisadores da 1Password com uma pesquisa conduzida em abril de 2021 com 500 funcionários de TI e DevOps.

Para 10% dos entrevistados que já tiveram que lidar com vazamento de segredos, o ocorrido custou em torno de 5 milhões de dólares, em média, para suas empresas. Além disso, mais de 60% dos entrevistados disseram que suas organizações já lidaram com vazamento de segredos.

Mais do que o dinheiro perdido, 40% dos entrevistados disseram que suas organizações sofreram danos à reputação da marca e 29% disseram ter perdido clientes como consequência de alguns dos segredos que vazaram.

A pesquisa e a análise que a acompanha mostra que 65% dos colaboradores de TI e Desenvolvedores dizem que sua empresa tem mais de 500 segredos de infraestrutura. Outros 20% dizem que suas empresas têm mais segredos do que conseguem contar.

De modo geral, em média, os colaboradores precisam gastar cerca de 25 minutos todos os dias gerenciando esses segredos. Mais da metade afirma que esse número aumentou significativamente no último ano.

Gerenciamento

Mais de 61% dos colaboradores disseram que vários projetos tiveram que ser atrasados ​​porque a organização não conseguia gerenciar seus segredos com eficácia.

De forma ainda mais alarmante, 77% dos entrevistados disseram que ainda têm acesso parcial aos sistemas de um ex-empregador e 37% disseram que tinham acesso total aos sistemas, o que traz à tona uma das principais razões pelas quais segredos continuam a ser vazados.

Outro fator que contribui para o problema é o uso crescente de aplicativos em nuvem; 52% dos colaboradores de TI afirmam que o uso de apps em cloud dificulta o gerenciamento da infraestrutura e seus segredos.

Mas eles também reconhecem parte da culpa, com 80% dos entrevistados dizendo que não fazem um bom trabalho no gerenciamento de segredos. Cerca de 25% também disseram que os segredos de sua organização estão em 10 ou mais locais, o que torna mais difícil o monitoramento de vulnerabilidades.

Os colaboradores, além disso, admitiram compartilhar informações sobre segredos da empresa em canais menos seguros, como e-mails (59%), ferramentas de integração (40%), planilhas/documentos compartilhados (36%) e mensagens de texto (26%).

Quase todos os entrevistados disseram que sua organização tem uma política de segredos, mas menos de 40% disseram que ela é aplicada, e o problema é particularmente preocupante entre os líderes de organizações.

Mais de 62% dos entrevistados disseram que os líderes de equipe, gerentes, VPs e outros ignoraram as regras de segurança após as atualizações ocorridas em função do COVID-19, colocando dados de alto nível em risco.

“Nossa pesquisa revela que os segredos estão crescendo, mas as equipes de TI e DevOps não estão atendendo a padrões rigorosos para protegê-los – e, no processo, estão colocando as organizações em risco de incorrer em custos enormes”, conclui o relatório.

O vazamento de segredos pode ser o passo inicial para graves ataques por parte de cibercriminosos, elevando ainda mais o prejuízo para as organizações. Se proteger a infraestrutura é fundamental para evitar estar vulnerável ao vazamento de segredos, assegurar que os responsáveis por esses segredos estão na mesma página é tão importante quanto.

A Compugraf oferece soluções completas para proteger a infraestrutura de sua empresa. Consulte nossos especialistas e saiba como podemos ajudar!

Read more
No Comments

700 milhões de dados de usuários de LinkedIn estão vulneráveis

Conforme alguns países afrouxam as medidas de segurança para contenção da COVID-19, colaboradores retornam ao escritório abrindo brechas para ameaças. Em paralelo, usuários do LinkedIn tem 700 milhões de registros à venda – e vulneráveis – na dark web.

O que você vai ler hoje:

Desenvolvedora de soluções de TI sofre ataque de ransomware por vulnerabilidade em um de seus fornecedores

Kaseya, uma das principais desenvolvedoras de soluções de TI para MSPs (provedores de serviços gerenciados) e para o setor B2B, anunciou que foi vítima de um ataque cibernético no dia 2 de julho de 2021, durante o fim de semana do Dia da Independência dos Estados Unidos.

De acordo com as primeiras pesquisas, cibercriminosos realizaram um ataque de ransomware à cadeia de suprimentos, se aproveitando de uma vulnerabilidade no software VSA da Kaseya (que realiza análise vetorial de sinais para diagnosticar a qualidade de um sinal) com o objetivo de atingir diversos provedores de serviços gerenciados e seus clientes.

O ataque lembra o caso SolarWinds, no qual invasores foram capazes de comprometer o software de um fornecedor para enviar uma atualização maliciosa a milhares de clientes. No entanto, ainda não se sabe quão difundido será o incidente de ransomware da Kaseya – mas é provável que sua repercussão seja igualmente preocupante.

O responsável por anunciar o ataque foi o CEO da empresa, às 14h do dia 02 de julho, que declarou ter sido de vítima de “um ataque potencial contra o VSA, limitado a um pequeno número de clientes locais”. Contudo, por cautela, representantes da Kaseya pediram a seus clientes que desligassem imediatamente seus servidores VSA.

Em uma atualização de 5 de julho, a Kaseya disse que uma correção está sendo desenvolvida e que seria implantada primeiro em ambientes SaaS.

“Estamos desenvolvendo o novo patch para clientes locais, em paralelo com a restauração do Data Center SaaS”, disse a empresa, em comunicado oficial. “Estamos implantando em SaaS primeiro, pois controlamos todos os aspectos desse ambiente. Uma vez que o trabalho se prove bem-sucedido, a empresa vai publicar o cronograma de distribuição do patch para clientes locais e possíveis afetados.

Colaboradores voltam ao escritório – e levam ameaças consigo

A volta aos escritórios em países com medidas mais maleáveis de contenção do coronavírus, bem como a desinformação dos usuários a respeito das medidas de segurança da informação, criou um risco sem precedentes de ataques corporativos.

É o que mostra uma nova pesquisa da Armis, empresa de segurança localizada em Palo Alto, na Califórnia. De acordo com os resultados da pesquisa, as equipes de segurança têm muito trabalho pela frente, não só bloqueando os sistemas de suas organizações, mas também evitando que usuários sejam enganados por esquemas de phishing e abram as portas para ameaças ainda mais severas.

A Armis entrevistou 2.000 usuários finais nos EUA e descobriu que os perigos para a infraestrutura crítica, serviços públicos e para indústria de alimentos – ou seja, serviços essenciais – têm início na falta de conhecimento. Mais de 20% dos entrevistados não tinham ouvido falar de ataques em grande escala a seu setor e também não achavam que haveria quaisquer consequências de longo prazo para a cadeia de suprimentos após ataques diretamente associados a seus serviços, como foi o caso do ataque à JBS Foods ou à Colonial Pipeline.

Além disso, a pesquisa descobriu que 71% dos trabalhadores que voltam ao escritório planejam trazer importas documentos de dispositivos domésticos de volta para dispositivos corporativos – ou devem seguir usando dispositivos domésticos em ambientes corporativos -, enquanto 54% não acham que haja qualquer risco associado a isso.

Mas, infelizmente, o risco é real.

A Armis encomendou um relatório de outra empresa de segurança, que descobriu que, nos últimos dois anos, 63% das empresas de prestação de serviços de saúde foram violadas devido a um dispositivo IoT não-gerenciado. No entanto, mais de 60% dos funcionários da área de saúde pesquisados ​​não achavam que seus dispositivos pessoais representavam qualquer risco, e mais de um quarto das organizações não têm políticas em vigor que descrevam o uso apropriado de dispositivos pessoais em ambientes de negócio.

O mais impressionante do estudo, porém, é que 82% dos entrevistados que planejam trazer seus dispositivos pessoais de volta ao trabalho são profissionais encarregados da segurança cibernética em suas corporações.

Existe uma grande defasagem na educação de colaboradores a respeito dos riscos de segurança e ela precisa ser corrigida o quanto antes, ou pode se tornar uma brecha de significativa e altamente custosa para as empresas.

Grupo de hackers se passa pelo presidente do Afeganistão para infectar dispositivos do alto escalão do país

Um grupo de hackers que se comunicam em chinês está realizando ataques cibernéticos contínuos contra o governo do Afeganistão, se passando pelo presidente do país.

Acredita-se que um grupo de ameaças persistentes avançadas (APT) denominado IndigoZebra seja o responsável. Os ciberataques já miraram em ex-repúblicas soviéticas, por exemplo, conforme observado pela equipe de pesquisa da Kaspersky.

Em e-mails forjados, os cibercriminosos fingem ser do gabinete do presidente afegão, Ashraf Ghani, e pedem uma revisão urgente das modificações em um documento relacionado a uma entrevista realizada durante suposta coletiva à imprensa. Os pesquisadores dizem que esses e-mails são enviados de caixas de entrada de e-mail comprometidas de vítimas de alto perfil que sofreram ataques anteriormente.

O arquivo que serve como isca é um arquivo protegido por senha denominado NSC Press conference.rar. Se a vítima abre o arquivo, ela recebe um executável do Windows (NSC Press conference.exe), que implanta um dropper de malware no dispositivo do usuário, bem como um backdoor que garante a continuidade do ataque.

O backdoor é capaz de fazer download e upload de arquivos, executar comandos emitidos por meio de um servidor de comando e controle (C2) e roubar dados.

Entidades de segurança dizem que, se confirmada a autoria do ataque, a APT em questão também é provavelmente a responsável por ataques que datam de 2014, nos quais entidades políticas no Quirguistão e no Uzbequistão foram alvo.

700 milhões de registros contendo dados de usuários do LinkedIn estão à venda na dark web

Uma postagem com 700 milhões de registros de usuários do LinkedIn apareceu em um popular fórum de hackers da dark web, revelam pesquisadores.

Analistas do Privacy Sharks encontraram os dados colocados à venda no RaidForums por um hacker que se autodenomina “GOD User TomLiner”. O anúncio, postado em 22 de junho de 2021, ainda inclui uma amostra de 1 milhão de registros como prova da “legitimidade” da oferta.

Os registros incluem nomes completos, gênero, endereços de e-mail, números de telefone e informações a respeito do setor em que os usuários atuam. Não está clara a origem dos dados – mas o scraping a partir de perfis públicos é uma fonte provável.

Essa foi a estratégia por trás da venda de 500 milhões de registros do LinkedIn em abril desse ano. Ele continha uma “agregação de dados de vários sites e empresas”, bem como “dados de perfil de membros visíveis ao público”, disse o LinkedIn na época.

Mas, de acordo com porta-vozes do LinkedIn, nenhuma violação de suas redes ocorreu desta vez.

“Embora ainda estejamos investigando esse problema, nossa análise inicial indica que o conjunto de dados inclui informações extraídas do LinkedIn, bem como informações obtidas de outras fontes”, diz o comunicado da empresa à imprensa. “Isso não foi uma violação de dados do LinkedIn e nossa investigação determinou que nenhum dado privado de membro do LinkedIn foi exposto. A coleta de dados do LinkedIn é uma violação de nossos Termos de Serviço e estamos constantemente trabalhando para garantir que a privacidade de nossos membros seja protegida.”

Existem mais 200 milhões de registros disponíveis desta vez, então é provável que novos dados tenham surgido e que seja mais do que uma “reaquecida” nos registros anteriores, concluem os pesquisadores. O que cibercriminosos farão em posse desses dados ainda não se sabe, mas já preocupa.

Quer manter seus dados seguros? Consulte as soluções de segurança da informação da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Estudo mostra que setor industrial é o “alvo perfeito” para ataques de ransomware

A segurança de endpoints de Sistemas de Controle Industrial se tornou ainda mais importante à medida que a intersecção sistemas de TI e de TO se expande. Com isso, pesquisadores de segurança compartilham os principais alertas a que empresas do setor industrial devem prestar atenção – como o aumento nos ataques de ransomware a esses sistemas, por exemplo.

O uso de Sistemas de Controle Industrial (Industrial Control Systems, ou ICS) torna as operações de distintos setores industriais mais eficientes. Esses sistemas são baseados na intersecção entre sistemas de Tecnologia da Informação (TI) e de Tecnologia Operacional (TO), o que, por um lado, favorece a agilidade e a eficácia desses sistemas, mas, por outro, torna soluções de ICS excepcionalmente suscetíveis a ameaças cibernéticas.

Proteger esses sistemas é vital para se prevenir de ataques de alta gravidade no setor industrial, e um dos componentes que melhor devem ser protegidos contra ameaças são os terminais de controle.

Esse é o alerta feito por um relatório de pesquisadores de segurança cibernética intitulado “ICS endpoints as starting points for threats”, publicado no fim de junho de 2021. Como mote, o estudo adverte que o ransomware é “uma ameaça preocupante e em rápida evolução para terminais de ICS ao redor do mundo”, sobretudo devido a um aumento significativo nas ocorrências desse tipo de ataque durante o ano de 2020.

Por que o setor industrial é o “alvo perfeito” para ataques de ransomware?

O grande motivador por trás de qualquer ataque de ransomware é relativamente simples: ganhar muito dinheiro, rápido.

Com isso em mente, cibercriminosos sabem que atacar sistemas de controle industrial, usados ​​para operar fábricas e ambientes de manufatura, que dependem de atividade ininterrupta, oferece boas chances de retorno – isto é, altas quantias e uma predisposição para realizar o pagamento pelo resgate muito maior. Afinal, quanto mais tempo sem poder operar, maior é a catástrofe para o setor industrial e seus favorecidos.

Imagine, por exemplo, se uma gangue sequestra a operação de fornecimento de água e energia para grandes cidades. Quanto tempo essas indústrias podem ficar inoperantes até que o abastecimento hidráulico e de luz seja comprometido em larga escala? E o que pode significar – econômica e socialmente – uma população inteira ficar sem água e sem energia? É a receita para o caos, certo?

Sendo assim, a vítima de um ataque desse tipo pode tomar a decisão de ceder às demandas absurdas de resgates cibernéticos, pagando valores exorbitantes para não correr o risco de causar um desastre.

Exemplos recentes de campanhas de ransomware bem-sucedidas – como o ataque contra a JBS, da indústria alimentícia – mostram o quão lucrativa essa estratégia pode ser: os cibercriminosos, que utilizaram o ransomware REvil, lucraram 11 milhões de dólares em bitcoin com o ataque.

Enquanto isso, o ataque contra o oleoduto da Colonial Pipeline, nos Estados Unidos, mostrou como um ataque de ransomware contra o setor industrial pode ter consequências em larga escala para a população, já que o fornecimento de gasolina para grande parte do nordeste do país foi interrompido por conta da ocorrência.

As campanhas miram em Sistemas de Controle Industrial de diferentes formas e se valendo de diferentes tipos de ransomware. Estas, porém, são as principais família creditadas em ataques:

Fonte: 2020 REPORT: ICS ENDPOINTS AS STARTING POINTS FOR THREATS

Famílias de ransomware responsáveis por ataques a Sistemas de Controle Industrial

  • Ryuk – 19.8%
  • Nefilim – 14.6%
  • Sodinokibi – 13.5%
  • Lockbit – 10.4%
  • Cryptesla – 7.3%
  • Bitpaymer – 5.2%
  • Egregor – 4.2%
  • Locky – 4.2%
  • Medusalocker – 3.1%
  • Blocker – 2.1%
  • Crypcrypmod – 2.1%
  • Cryptwall – 2.1%
  • Doppelpaymer – 2.1%
  • Ledif – 2.1%
  • Netwalker – 2.1%
  • Coldlock – 1%
  • Conti – 1%
  • Exx – 1%
  • Wannacrypt – 1%
  • Zeppelin – 1%

Apenas quatro famílias são responsáveis por mais da metade de todos os ataques de ransomware, segundo o relatório.

Como se proteger de ciberataques

Para ajudar a proteger os endpoints de ICS contra ataques de ransomware e outros ciberataques, o relatório oferece algumas recomendações.

Assegurar que os sistemas contam com todas as atualizações de segurança é prioridade – algo que os pesquisadores reconhecem como um processo “tedioso”, mas necessário. Investindo em que as redes sejam corrigidas com as atualizações de segurança mais recentes, os criminosos não poderão explorar vulnerabilidades conhecidas que poderiam ser a porta de entrada para ameaças mais graves, como sequestro de dados.

Se o patch não for uma opção, a rede deve ser segmentada para isolar os Sistemas de Controle Industrial vulneráveis dos sistemas conectados à internet.

Também é recomendado que as redes ICS sejam protegidas com combinações fortes de nome de usuário e senha. A aplicação de autenticação multifator em toda a rede também pode ajudar a protegê-la contra invasões.

Mantenha os sistemas da sua empresa protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Brasil sofre mais de 3 bilhões de tentativas de ciberataques só no primeiro trimestre de 2021

Ameaças de malware se espalham de diferentes formas por dispositivos ao redor do mundo e continuam representando um dos principais inimigos da segurança cibernética.

O que você vai ler hoje:

30 milhões de dispositivos Dell sofrem com vulnerabilidades de alta gravidade

Quatro vulnerabilidades de alta gravidade podem permitir que invasores realizem execução arbitrária de código em ambientes de pré-inicialização de alguns dispositivos Dell, descobriram, recentemente, pesquisadores de cibersegurança.

Tais ameaças afetam cerca de 30 milhões de endpoints da Dell em todo o mundo.

Ao todo, são 129 modelos de laptops, tablets e desktops vulneráveis aos bugs – incluindo dispositivos corporativos e de uso pessoal protegidos pelo padrão de segurança da Dell, que visa assegurar que um dispositivo seja inicializado apenas por softwares confiáveis. As ameaças permitem que cibercriminosos contornem essas proteções, controlem o processo de inicialização do dispositivo e subvertam o sistema operacional e os controles de segurança de camadas superiores.

Atualmente, a pontuação desses bugs no Common Vulnerability Scoring System (CVSS, que avalia a gravidade das vulnerabilidades de segurança) acumula 8,3 de um total de 10 pontos.

Trata-se de mais um indicativo de como cibercriminosos podem transformar soluções de segurança em armas, uma vez que as ameaças, na verdade, exploram processos de atualização remota que visam tornar o mais fácil possível para clientes Dell manterem seu firmware atualizado.

Porém, como pontuam os pesquisadores, em relatório, “a combinação da capacidade de exploração remota com altos privilégios provavelmente tornará a funcionalidade de atualização remota um alvo atraente para invasores no futuro”.

Ataques à indústria de games cresce mais de 300% em 2020

Os ataques à indústria de videogames dispararam durante a pandemia, com ataques a aplicativos da web crescendo impressionantes 340% ao longo de 2020.

De acordo com o relatório “Gaming in a Pandemic”, são mais de 240 milhões de ataques só no ano passado – e um aumento de 415% nos ataques a aplicativos da web na indústria de jogos desde 2018.

Além disso, ataques de preenchimento de credenciais cresceram 224% durante a pandemia.

Um dos principais motivos para esse “boom” no setor é o dinheiro. De acordo com uma análise citada no relatório, o mercado global de games deve atingir US$ 175 bilhões de faturamento em 2021 – uma fonte altamente rentável para diversos tipos de ameaças, seja contra empresas ou usuários de jogos online.

Outro motivo que favorece os ataques é a maior adesão a jogos online durante a pandemia, e a vulnerabilidade crescente de dispositivos pessoais ou corporativos em função do modelo de trabalho remoto.

Campanhas direcionadas que visam explorar essa combinação de fatores já fizeram vítimas entre usuários da Steam e do Discord, por exemplo. Mas os ataques a plataformas de gaming promete ser ainda mais rentável, uma vez que as transações financeiras para aquisição de skins ou recursos para melhorias dentro dos jogos, por exemplo, é muito incentivada e comum entre os jogadores.

Malware de mineração usa modo de segurança do Windows para infectar dispositivos

Pesquisadores descobriram uma variedade de malware de mineração de criptomoedas que explora o modo de segurança do Windows durante os ataques.

Apelidado de Crackonosh, a ameaça se espalha por meio de softwares pirateados e crackeados, frequentemente encontrados em torrents, fóruns e sites na dark web.

O Crackonosh está em circulação pelo menos desde junho de 2018, de acordo com especialistas em segurança: a vítima executa um arquivo que acredita ser uma versão crackeada de um software legítimo e o malware é implantado no dispositivo.

A cadeia de infecção começa com a queda de um instalador e um script que modifica o registro do Windows para permitir que o principal executável do malware seja executado no modo de segurança. Em seguida, o sistema infectado é configurado para inicializar no modo de segurança na próxima inicialização do sistema.

“Enquanto o sistema Windows está em modo de segurança, o software antivírus não funciona”, dizem os pesquisadores. O Crackonosh, então, uma vez instalado, verificará a existência de antivírus e tentará desativá-los ou excluí-los. Depois, os arquivos do sistema de log são apagados para cobrir os rastros da ameaça.

Aproximadamente 1.000 dispositivos estão sendo atingidos a cada dia e mais de 222.000 máquinas foram infectadas em todo o mundo. No geral, pesquisadores acreditam que o Crackonosh tenha gerado pelo menos 2 milhões de dólares para seus operadores, com mais de 9.000 moedas XMR sendo mineradas até o momento.

Brasil sofreu mais de 3 bilhões de tentativas de ciberataques só no começo de 2021

O Brasil sofreu mais de 3,2 bilhões de tentativas de ataques cibernéticos só no primeiro trimestre de 2021, de acordo com uma pesquisa realizada por uma desenvolvedora de soluções de segurança da informação.

Além disso, o país lidera o ranking de ameaças sofridas na América Latina, segundo o relatório “Threat Intelligence Insider”.

No começo de 2021, mostram os pesquisadores, houve um aumento significativo na distribuição de malwares via web, muito provavelmente por conta do aumento do uso de redes sociais como plataformas de campanhas de malware e de phishing. O WhatsApp e o Facebook também foram dois aplicativos altamente afetados pelo aumento de ameaças, que geralmente têm início na distribuição de phishing, antes de evoluir para disseminação de malware.

Outro dado identificado pelo estudo é que, durante o primeiro trimestre, foram feitas diversas tentativas de execução de código remoto a roteadores e redes domésticas.

Essas ameaças são reflexo direto da adoção de um modelo de trabalho remoto, por conta da pandemia, que deixa dispositivos pessoais e corporativos excepcionalmente vulneráveis.

Quer manter sua empresa e seus colaboradores seguros? Conheça as soluções da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Malware personalizado e desconhecido rouba bilhões dados

Um ameaça de malware personalizada e sem nome resultou no roubo massivo de dados de arquivos, credenciais, cookies e muito mais. Pesquisadores encontraram os dados coletados em um banco na nuvem e tentam rastrear os responsáveis prováveis.

Pesquisadores de cibersegurança descobriram um banco de dados contendo 1,2 TB de dados roubados. Os dados foram retirados de cerca de 3,2 milhões de computadores que utilizam o sistema operacional Windows e a extração se deu ao longo de dois anos, por um malware personalizado desconhecido, dizem os especialistas.

As informações roubadas incluem 6,6 milhões de arquivos, 26 milhões de credenciais e 2 bilhões de cookies – com 400 milhões dos últimos cookies ainda válidos no momento da descoberta do banco de dados.

O malware

De acordo com pesquisadores de cibersegurança, a ameaça é um malware furtivo e ainda sem nome, que se espalhou entre 2018 e 2020 por meio de versões crackeadas e infectadas com trojan do Adobe Photoshop, além de jogos pirateados e ferramentas de cracking do Windows. Porém, é improvável que os operadores fossem muito experientes na hora de extrair esses dados e realizar campanhas de colheita, pontuam.

“A verdade é que qualquer pessoa pode colocar as mãos em um malware personalizado. É barato, customizável e pode ser encontrado em toda a web ”, disseram os especialistas, ao divulgar a análise. Eles também comentam que existem anúncios rolando na Dark Web para esses vírus, revelando um mercado muito mais profundo e complexo. “Por exemplo, qualquer pessoa pode obter seu próprio malware personalizado e até aulas sobre como usar os dados roubados por apenas US $ 100. E quando se fala em customização, significa, literalmente, customização: os anunciantes prometem ter capacidade de criar um vírus para atacar praticamente qualquer aplicativo que o comprador precisar.”

A localização do banco de dados foi revelada acidentalmente por um grupo de hackers, ainda de acordo com os pesquisadores. O provedor de nuvem que hospeda os dados foi notificado para que o banco possa ser removido, e um consultor de segurança da web subiu os endereços de e-mail comprometidos ao seu famoso repositório HaveIBeenPwned, para que as pessoas possam verificar se foram afetadas pelo malware.

“Este incidente foi sinalizado como ‘sensível’, por isso não pode ser pesquisado publicamente”, explicou o consultor.

Milhões de arquivos roubados

Foram milhões de credenciais de login roubadas, incluindo acessos para redes sociais, marketplaces, e-mails pessoais e sites de jogos, alertam os pesquisadores. E, se os usuários não tem o hábito de atualizar suas credenciais periodicamente, muitas delas podem continuar ativas – e vulneráveis.

Os pesquisadores também descobriram que o malware armazenou 6 milhões de arquivos no front-end. Dentre eles, havia 3 milhões de arquivos de texto, mais de 1 milhão de arquivos de imagem e mais de 600.000 arquivos Word e .PDF, junto a outros tipos de arquivos menos comumente utilizados.

“Mais de 50% dos arquivos roubados eram arquivos de texto”, de acordo com a análise. “É provável que grande parte desse dossiê contenha logs de software”.

Outro ponto preocupante tem a ver com hábitos pouco seguros de usuários. “Também é alarmante que algumas pessoas usam até o Bloco de Notas para guardar suas senhas, notas pessoais e outras informações confidenciais”, comentam os especialistas.

Além disso, o malware roubou 696 mil .PNG e 224 mil arquivos de imagem .JPG, fez uma captura de tela depois de infectar o computador e também tirou uma foto usando a webcam do dispositivo.

Porta para ataques mais complexos e mais graves

“O acesso a cookies ajuda os hackers a construírem uma imagem mais precisa dos hábitos e interesses dos usuários-alvo”, contam os pesquisadores. “Em alguns casos, os cookies podem até dar acesso às contas da pessoa, caso ela tenha o hábito de se manter logada em sites frequentes”.

Mas, dependendo de quão experiente for o invasor, os cookies podem abrir portas para ataques ainda mais graves. “[Por exemplo], os cookies de compras online são usados ​​para armazenar dados do carrinho de compras enquanto o usuário navega em uma loja. No entanto, eles podem ser usados ​​para sequestrar a sessão de um comprador, possibilitando a um hacker invadir sua conta e ter acesso a seu endereço residencial e detalhes de cartão de crédito, que podem estar armazenados na loja online”.

A equipe de pesquisa descobriu que foram roubados cookies de e-commerces, sites de jogos, plataformas de compartilhamento de arquivos, plataformas de streaming de vídeo e redes sociais.

Além disso, os ciberataques que se beneficiaram desse malware parecem ter feito bom uso do vírus para atingir soluções específicas, em campanhas direcionadas. O banco de dados contém uma série de credenciais, dados de preenchimento automático e informações de pagamento roubadas de 48 aplicativos e “a pesquisa mostra que o malware visava principalmente navegadores da web, para roubar a grande maioria dos dados”, de acordo com a análise.

Os 10 principais aplicativos-alvo foram os seguintes:

  • Google Chrome (19,4 milhões de registros)
  • Mozilla FireFox (3,3 milhões de registros)
  • Opera (2 milhões de registros)
  • Internet Explorer / Microsoft Edge (1,3 milhões de registros)
  • Chromium (1 milhão de registros)
  • CocCoc (451.962 registros)
  • Outlook (111.732 registros)
  • Navegador Yandex (79.530 registros)
  • Tocha (57.427 registros)
  • Thunderbird (42.057 registros)

Como se proteger contra malwares personalizados

Infelizmente, o malware personalizado é difícil de combater quando um dispositivo é infectado, disseram os pesquisadores, porque, como se trata de uma nova ameaça, o antivírus não consegue reconhecê-lo de imediato. Portanto, a prevenção é a melhor abordagem.

Estas são as práticas recomendadas para manter seus usuários e dispositivos seguros:

  • Não confie 100% nos navegadores da Web, pois eles, sozinhos, não asseguram a proteção dados confidenciais. Use gerenciadores de senha para proteger suas credenciais e informações de preenchimento automático;
  • Malwares não podem acessar arquivos criptografados, então esta pode ser uma boa prática para proteger dados sensíveis;
  • Alguns cookies são válidos por dias, enquanto outros não expiram antes de um ano. Por isso, faça da limpeza de cookies um hábito mensal;
  • Baixe apenas softwares diretamente do site do desenvolvedor ou de fontes conhecidas e confiáveis;
  • Todo malware é reconhecido eventualmente. Certifique-se de que seu antivírus esteja sempre atualizado para não ser vítima de uma ameaça antiga!

A Compugraf oferece diferentes soluções de segurança para sua empresa, protegendo seu negócio de ponta a ponta. Converse com nossos especialistas e saiba como podemos te ajudar!

Read more
No Comments

Instituto nuclear da Coreia do Sul é atacado: as principais notícias da semana

Ameaças crescentes preocupam equipe de segurança do Google, que responde com uma solução original. Instituto nuclear da Coreia do Sul sofre ataque de hackers. Campanhas cada vez mais sofisticadas ultrapassam medidas de proteção consolidadas.

O que você vai ler hoje:

Campanha de vishing contorna medidas de segurança da Microsoft
Instituto de pesquisa nuclear da Coreia do Sul é hackeado por grupo supostamente vinculado à Coreia do Norte
Mais da metade das organizações mundiais prefere pagar por resgate de ransomware
Google lança solução de combate a ataques à cadeia de suprimentos

Campanha de vishing contorna medidas de segurança da Microsoft

Uma campanha de vishing ultrapassou as medidas de segurança de e-mail da Microsoft, preocupando usuários de serviços empresa.

O ataque começava em um e-mail que, ironicamente, fingir denunciar fraudes realizadas no nome do destinatário e solicitava que o usuário entrasse em contato com um número específico, via telefone, para recuperar o controle sobre seus dados.

O vishing é uma contração de “voice phishing”, ou “phishing de voz” e geralmente envolve o roubo de informações pessoais das vítimas por telefone, ou a criação de mensagens de voz falsas para roubo de dados. No caso dessa campanha, os pesquisadores disseram que o esquema consistia em enviar recibos de pedidos falsos por e-mail e, em seguida, incluir números de telefone na mensagem, para que o usuário pudesse ligar “para iniciar o processo de ressarcimento”.

Os ataques usaram soluções da Geek Squad e do Norton Antivirus como cobertura e conseguiram atingir 25.000 caixas de entrada recentemente. O objetivo era conseguir informações do cartão de crédito das vítimas.

Esse ataque sofisticado provavelmente contornou suspeitas porque as mensagens não incluíam links aleatórios e evidentemente falsos – a marca registrada do phishing. Em vez disso, o único CTA (call to acion) no e-mail era um número de telefone, que supostamente conectaria o destinatário ao “departamento de cobrança” das soluções, para, teoricamente, o usuário solicitar a compensação financeira.

O método permitiu que os e-mails atravessassem as medidas-padrão de detecção de ameaças e contornassem até mesmo as barreiras de segurança da Microsoft, alertando para a necessidade de empresas e usuários não se apoiarem exclusivamente em uma única medida preventiva, e estarem duplamente atentos para possíveis golpes.

Instituto de pesquisa nuclear da Coreia do Sul é hackeado por grupo supostamente vinculado à Coreia do Norte

Um grupo de hackers norte-coreanos, com histórico de ataques de alto nível contra a Coreia do Sul, supostamente violou a rede do instituto estatal de pesquisa nuclear sul-coreano em maio de 2021.

O representante Ha Tae-keung do People Power Party, o principal partido da oposição da Coreia do Sul, afirmou que 13 endereços de IP não-autorizados acessaram a rede interna do Instituto de Pesquisa de Energia Atômica da Coreia (KAERI) no dia 14 de maio.

Após estudos, alguns dos endereços supostamente redirecionam ao Kimsuky, um grupo de espionagem cibernética norte-coreano, afirmou Ha.

“Se as principais tecnologias em energia nuclear do Estado vazaram para a Coreia do Norte, pode ser a maior violação de segurança do país”, afirma o legislador, à imprensa.

De acordo com a Agência de Segurança Cibernética e de Infraestrutura dos EUA, Kimsuky é um grupo avançado de ameaça persistente (APT), provavelmente encarregado pelo regime norte-coreano de uma missão de coleta de inteligência global, com foco em política externa e questões de segurança nacional relacionadas à península coreana, política nuclear e sanções nacionais.

Acredita-se que o grupo também esteja por trás de uma série de ataques de phishing contra a polícia sul-coreana e o Ministério da Unificação, ambos ocorridos em 2019. Mas o ataque cibernético mais notório de Kimsuky foi feito em 2014 contra a Korea Hydro & Nuclear Power, a concessionária nuclear e hidrelétrica da Coreia do Sul.

Em resposta às alegações de Ha, a KAERI emitiu um comunicado, dizendo que um estranho não-identificado acessou partes de seu sistema usando pontos vulneráveis de seu VPN. O instituto, então, bloqueou seu IP e atualizou a segurança de sua rede, disse.

Desde então, a KAERI vem trabalhando com as autoridades para investigar a extensão dos danos e quem está por trás do ataque.

Mais da metade das organizações mundiais prefere pagar por resgate de ransomware

Uma pesquisa do Conselho de Segurança Internacional Neustar (NISC) descobriu que 60% organizações pagariam o valor de resgate aos cibercriminosos no caso de um ataque de ransomware. O estudo foi conduzido com com 300 trabalhadores em cargos de senioridade ao redor do mundo.

Vítimas de alto escalão que pagaram resgates recentemente incluem a Colonial Pipeline, que pagou mais de US $ 4 milhões em Bitcoin para ter acesso à chave de descriptografia, e a JBS, do setor alimentício, que pagou US $ 11 milhões em Bitcoin para criminosos que comprometeram sua rede com o ransomware REvil.

Se por um lado esses incidentes tornaram as organizações mais predispostas a pagar pelo resgate, por outra, também acentuou os investimentos em medidas de prevenção, com 80% dos profissionais de segurança cibernética entrevistados afirmando que mais ênfase está sendo dada à proteção contra ameaças de ransomware.

No entanto, um quarto dos entrevistados temem que seus procedimentos de segurança atuais possam não oferecer proteção total contra esses ataques, classificando suas soluções como “um pouco” ou “muito” insuficientes.

Google lança SLSA – solução de combate a ataques à cadeia de suprimentos

Google lança solução de combate a ataques à cadeia de suprimentos

Para enfrentar a crescente ameaça de ataques à cadeia de suprimentos de software, a equipe de segurança do Google propôs uma nova estrutura de proteção intitulada “Supply chain Levels of Software Artifacts” (níveis de artefatos de sofware da cadeia de suprimentos), ou SLSA, pronunciado “salsa”.

Embora os ataques à cadeia de suprimentos não sejam novidade, exatamente, o Google observa que eles cresceram de forma notória no ano passado e mudaram o foco de suas explorações para vulnerabilidades de software conhecidas ou de dia zero.

O Google descreve o SLSA como “uma estrutura completa para garantir a integridade dos artefatos de software em toda a cadeia de suprimentos de software”. Ele segue o exemplo da “Autorização Binária para Borg” (BAB) interna do Google – um processo que a gigante tech vem usando há mais de oito anos para verificar a proveniência do código de um software.

O objetivo do BAB é reduzir o risco de vulnerabilidades internas, garantindo que o software de produção implantado no Google seja devidamente revisado, especialmente se o código tiver acesso aos dados do usuário.

Já o SLSA busca proteger toda cadeia de construção de software, do desenvolvedor ao código-fonte à plataforma de construção de códigos e repositórios de sistemas.

E, embora a estrutura SLSA seja apenas um conjunto de diretrizes por enquanto, o Google prevê que sua aplicação pode inspirar uma série de medidas preventivas que ajudarão a tornar as cadeias de fornecimento mais seguras e as empresas, por consequência, menos vulneráveis.

A Compugraf te ajuda a proteger a estrutura da sua empresa, nas distintas frentes do sue negócio. Conheça nossas soluções!

Read more
No Comments

O resgate não compensa: por que pagar para recuperar dados não é uma saída viável para vítimas de ransomware

Existem muitos motivos pelos quais especialistas em segurança aconselham empresas a não pagar pelo resgate para recuperar dados criptografados após um ataque de ransomware. Por exemplo: desembolsar milhões de dólares para voltar a ter controle sobre os dados violados pode parecer a atitude mais indicada, mas, ao mesmo tempo, é justamente essa disposição para o pagamento de valores exorbitantes que estimula os ataques por parte de gangues de ransomware e outros cibercriminosos.

E, recentemente, pesquisadores descobriram mais um motivo – particularmente atraente para os criminosos – com o qual as vítimas de alto escalão tiveram de lidar recentemente: o processo de descriptografar os dados pode ser tão difícil e lento que acaba não oferecendo um caminho prático para a recuperação efetiva desses dados.

Conforme relatado em um post da Bleeping Computer, vítimas recentes de dois grandes ataques de ransomware aprenderam essa lição da forma mais difícil.

Um deles foi o hack que interrompeu as atividades da Colonial Pipeline – oleoduto dos Estados Unidos – no início de maio. A Colonial recebeu um descriptografador depois de concordar – e pagar – um resgate estimado em 4,4 milhões de dólares, na esperança de que o pagamento proporcionasse um atalho para a retomada de suas operações e o retorno à normalidade.

Mas, quando a empresa acionou o descriptografador para restaurar os dados comprometidos, chegou a uma conclusão nada feliz: o aplicativo de descriptografia fornecido pelos invasores da Colonial era tão lento que a empresa conluiu que a restauração manual dos backups seria necessária e mais efetiva.

No segundo incidente mapeado pela Bleeping Computer, o ransomware Conti, que infectou o Health Service Executive, um órgão irlandês que “oferece saúde pública e serviços sociais a todos que vivem na Irlanda”, gerou repercussão semelhante.

Percebendo que havia atingido um provedor de serviços de saúde, e seguindo uma espécie de “código de ética” entre cibercriminosos, onde acordou-se que, durante a pandemia, instituições de saúde seriam poupadas de ciberataques diversos, a gangue ofereceu um descriptografador sem nenhum custo.

Quando o HSE testou o descriptografador, no entanto, descobriu que era lento demais para ser usado. Para auxiliar a instituição a retomar suas atividades, a Emsisoft, fornecedora de soluções de segurança com sede na Nova Zelândia, desenvolveu seu próprio descriptografador personalizado, que supostamente funcionava duas vezes mais rápido – e lançou uma arma de combate a essa ameaça crescente.

Como as gangues de ransomware devem responder

Um dos principais motivos pelos quais o ransomware se transformou em um empreendimento criminoso de valor estimado em um bilhão de dólares é que as gangues de ransomware administram suas operações como empresas – isto é, com logística de negócios multinacionais.

Por exemplo, os criminosos entenderam que era fundamental que o software de descriptografia funcionasse conforme prometido – caso contrário, suas vítimas teriam muito pouca motivação para pagar os valores gritantes.

Eles frequentemente se ofereciam para descriptografar uma seleção de arquivos essenciais sem nenhum custo, para provar que podiam entregar o que prometiam e ganhar a confiança das vítimas.

Analisando o histórico dessa transações, no entanto, os descriptografadores estão longe de serem perfeitos. Alguns não davam conta de arquivos muito grandes, outros do grande número de arquivos criptografados. E teve ainda os que causaram tal estrago que tornaram os dados das vítimas irrecuperáveis.

Mas, com as vítimas começando a perceber que a solução de se apoiar nos descriptografadores das gangues de ransomware não aceleram, necessariamente, a recuperação dos dados comprometidos e a normalização de suas atividades, as gangues de ransomware podem muito bem resolver que melhorias são necessárias, a fim de se assegurar que continuarão operando.

A ascensão dos ataques de extorsão

Porém, o ransomware ascendeu ao status de negócio. E, portanto, no fim das contas, cabe a eles decidir como manterão seus empreendimentos lucrativos.

Os cibercriminosos podem, por um lado, não se sentir compelidos a gastar tempo ou energia em seus decodificadores. Afinal, o poder de barganha de uma ameaça de vazamento de dados sensíveis é inegável.

Além disso, a maioria das gangues de ransomware já consolidadas, hoje, contrata uma apólice de seguro quando violam a rede de uma vítima, para não correr o risco de perderem esse poder de barganha.

Outro ponto que vai contra a ideia de que pagar pelo resgate é o melhor caminho é que, em vez de simplesmente criptografar os dados, eles também podem subi-los furtivamente em seus próprios servidores. Uma vez nas mãos dos criminosos, esses dados podem ser vazados seletivamente para extorquir a vítima. Alguns extorsionários estão inclusive usando dados roubados para extorquir clientes ou fornecedores da vítima – como ocorreu com a Apple, após invasores sequestrarem os dados de um de seus principais fabricantes.

Sim, os criminosos prometem destruir os dados se as demandas forem atendidas, mas que garantia real as vítimas têm de que nenhuma cópia foi feita ou de que os arquivos sensíveis foram realmente excluídos com segurança – e que ninguém, nunca mais, terá acesso a eles?

A conta não fecha. No fim, faz muito mais sentido investir proativamente para se preparar para esses ataques e evitar surpresas e danos graves. Invista em um sistema de backup confiável e seguro. Não economize nas defesas de perímetro e endpoint. Tenha um plano completo de resposta a incidentes. Supervisione todas as superfícies de ataque. E, sobretudo, não subestime o poder que cibercriminosos têm de ultrapassar mesmo as camadas de segurança mais robustas. Todo o cuidado é pouco.

Quer saber como a Compugraf pode ajudar sua empresa e seus colaboradores a não serem vítimas de ataques como ransomware, phishing e outros? Consulte nossas soluções de segurança ou entre em contato! Nossos especialistas certamente poderão te ajudar!

Read more
No Comments