Mais de 1.200 organizações foram vítimas de uma campanha que usa explorações de vulnerabilidades conhecidas para obter acesso remoto a contas VoIP

Uma campanha de hacking em larga escala comprometeu sistemas telefônicos VoIP (Voice over Internet Protocol) em mais de 1.200 empresas em todo o mundo ao longo deste ano, a fim de lucrar com a venda de contas comprometidas.

Embora o objetivo principal pareça ser a discagem de números com tarifa premium, ou a venda de números de telefone e planos de chamadas, para que outros cibercriminosos possam usar esses números, o acesso a sistemas VoIP pode oferecer aos invasores a oportunidade de conduzir outros ataques mais complexos, incluindo ouvir chamadas privadas, cryptocurrency mining (mineração de criptomoedas), ou, até mesmo, usar os sistemas comprometidos como uma catapulta para campanhas muito mais agressivas.

Os detalhes da campanha

Os ataque foi detalhado por pesquisadores de segurança cibernética da Check Point, em relatório exclusivo.

Um grupo de hackers comprometeu as redes VoIP de quase 1.200 organizações em mais de 20 países, explorando vulnerabilidades conhecidas, com mais da metade das vítimas no Reino Unido.

“Durante nossa pesquisa, descobrimos uma nova campanha direcionada ao Sangoma PBX, uma GUI da web de código aberto que gerencia o Asterisk, o sistema PBX VoIP mais popular do mundo, usado por muitas empresas para telecomunicações. O ataque explora uma vulnerabilidade crítica no Sangoma, concedendo ao invasor acesso de administrador ao sistema.”

Acredita-se que setores como governo, militar, seguros, finanças e manufatura tenham sido vítimas da campanha.

Os ataques exploram a CVE-2019-19006, uma vulnerabilidade crítica nos sistemas de telefone VoIP da Sangoma e Asterisk, que permite que estranhos obtenham acesso remotamente sem qualquer forma de autenticação.

Um patch de segurança para corrigir a vulnerabilidade foi lançado ainda no ano passado, mas muitas organizações não o aplicaram – e os criminosos estão se aproveitando justamente disso, procurando por sistemas sem patch.

"A vulnerabilidade é uma falha de desvio de autenticação, e o exploit está disponível publicamente, como parte do protocolo de notificação de falhas de segurança. Uma vez explorado, os hackers têm acesso de administrador ao sistema VoIP, o que lhes permite controlar totalmente suas funções. E o pior: a invasão não será detectada, a menos que uma equipe de TI esteja procurando especificamente por isso", disse Derek Middlemiss, evangelista de segurança da Check Point Research, à imprensa.

O problema talvez seja ainda mais sério: a cadeia de ataques a sistemas VoIP

Um dos meios mais comuns de exploração desses sistemas hackeados é fazer chamadas sem registrá-las no sistema VoIP, o que permitiria aos invasores discar secretamente números de tarifa premium que eles configuraram para ganhar dinheiro às custas da organização comprometida .

E como as empresas fazem tantas ligações legítimas nesses sistemas, seria difícil detectar se um servidor está sendo explorado maliciosamente ou não.

Os invasores também ganham dinheiro vendendo o acesso aos sistemas em leilões virtuais, algo que poderia ser usado para outros ataques cibernéticos, ainda mais perigosos para as vítimas.

E é bastante possível para os invasores usarem um sistema VoIP comprometido como um gateway para o resto da rede, abrindo a possibilidade de roubar credenciais ou implantar malware.

“Isso depende de como o servidor está configurado e conectado ao resto da rede corporativa. Se não for segmentado do resto da rede, os invasores podem se mover lateralmente”, acrescentou Middlemiss.

O relatório conclui:

“Encontramos vários players relevantes na área que publicaram postagens de vendas de informações, ferramentas e sites de exploração de sistemas VoIP em fóruns de cibercrime. […]

As descobertas iniciais foram tutoriais sobre como fazer a varredura, reunir informações em servidores relativos e usar scripts de exploração. As instruções simplificam o processo a um nível em que qualquer pessoa poderia hackear um sistema. Talvez, como resultado, pareça haver uma grande e crescente comunidade envolvida na invasão de serviços de VoIP.

Embora isso possa explicar a cadeia de infecção, ainda existem dúvidas sobre a motivação dos ataques. Uma análise mais aprofundada levou não apenas à descoberta de que os ataques aos servidores SIP ocorram em uma escala maior do que se pensava inicialmente, mas também que existe um modelo econômico profundo subjacente.”

Para se proteger, recomenda-se que as organizações alterem nomes de usuário e senhas padrão em dispositivos para que não possam ser explorados facilmente e, se possível, analise o faturamento de chamadas regularmente para destinos potencialmente suspeitos, volumes de tráfego ou padrões de chamada.

E o mais importante, as organizações devem aplicar os patches de segurança necessários para evitar que vulnerabilidades conhecidas sejam exploradas, assim que eles estiverem disponíveis.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e conheça nossas soluções

O Brasil é vítima de ataque ao STJ. Por outro lado, conduziu investigação contra fraudadores de investimentos e visa devolver 24 milhões de dólares aos prejudicados pelo golpe. Grupo Campari se vê combatendo ransomware e dezenas de milhares de dados pessoais estão nas mãos de criminosos.

O que você vai ler hoje:

• STJ é atingido por ciberataque e paralisa sua operações
• Grupo Campari é vítima de ransomware, mas se recusa a pagar por resgate dos dados
• Polícia Federal brasileira investiga fraude de investimentos em criptomoedas e apreende 24 milhões de dólares
• Mais de 23.000 bancos de dados hackeados estão disponíveis para download gratuito em fóruns de cibercrime

STJ é atingido por ciberataque e paralisa sua operações

O Superior Tribunal de Justiça (STJ) foi atingido por um ciberataque que paralisará suas operações por pelos menos uma semana.

O incidente foi detectado na terça-feira (3), durante várias sessões de julgamento que se desdobravam no Tribunal.

De acordo com o STJ, a causa foi um vírus encontrado na rede e, por precaução, os acessos à internet foram desconectados, o que levou ao cancelamento das sessões de julgamento. Todos os sistemas do Tribunal, incluindo e-mail e telefonia, ficaram indisponíveis.

O ministro do STJ, Humberto Martins, divulgou no dia 5/11 uma nota sobre o ocorrido, informando que o atentado não afetou as informações relativas aos processos judiciais em andamento. Segundo nota do ministro, a invasão bloqueou o acesso aos dados por meio de criptografia, mas havia backups no local.

Posteriormente, descobriu-se que o ataque também afetou os backups do Tribunal no que está sendo descrito como o pior incidente de segurança cibernética já registrado no Brasil.

Ao lado do Centro de Defesa Cibernética do Exército Brasileiro e do pool de fornecedores de tecnologia do STJ, que inclui empresas como a Microsoft, a instituição trabalha agora na recuperação do ambiente de sistemas.

Todas as sessões do STJ, que aconteciam virtualmente, também foram suspensas. De acordo com o Tribunal, apenas casos urgentes estão sendo tratados enquanto o grupo de trabalho de recuperação avança e a expectativa é que os sistemas retomem seu funcionamento no dia 10 de novembro.

A pedido do STJ, um inquérito da Polícia Federal foi iniciado e o presidente Jair Bolsonaro declarou, em sessão ao vivo no dia 5, que um resgate havia sido exigido pelos autores do ataque e que os responsáveis ​​pelo incidente já haviam sido encontrados.

No entanto, essa informação não havia sido confirmada pela polícia até o momento da publicação deste texto.

Grupo Campari é vítima de ransomware, mas se recusa a pagar por resgate dos dados

O Campari Group, famoso fornecedor italiano de bebidas por trás de marcas como Campari, Cinzano e Appleton, sofreu um ataque de ransomware que derrubou grande parte de sua rede de TI.

O ataque ocorreu no domingo, 1º de novembro, e está vinculado à gangue de ransomware RagnarLocker, que agora está tentando extorquir a empresa atrás de um valor de resgate para descriptografar seus arquivos.

Não só isso: o grupo também está ameaçando liberar arquivos que roubou da rede da Campari se a empresa não pagar o resgate exigido em uma semana após a invasão inicial. O prazo venceu dia 8 de novembro, domingo.

Em uma janela de chat disponível para as vítimas do RagnarLocker, um representante da Campari não respondeu à gangue do ransomware. O pedido de resgate está definido atualmente em US$ 15 milhões.

A Campari também disse que detectou a intrusão assim que ocorreu e imediatamente agiu para isolar os sistemas afetados, e que o incidente não deve ter nenhum impacto significativo em seus resultados financeiros.

No entanto, cinco dias após o ataque, os sites, servidores de e-mail e linhas de telefone da Campari ainda estavam fora do ar.

Polícia Federal brasileira investiga fraude de investimentos em criptomoedas e apreende 24 milhões de dólares

Autoridades brasileiras e estadunidenses apreenderam 24 milhões de dólares em criptomoedas conectadas a um esquema online que supostamente fraudou “dezenas de milhares” de investidores.

A pedido do governo do Brasil, as forças de segurança dos EUA participaram da “Operação Egypto”, uma investigação federal brasileira sobre a suspeita de fraude, declarou o Departamento de Justiça dos EUA (DoJ) na quarta-feira (4).

O esforço colaborativo, realizado no âmbito do tratado de Assistência Jurídica Mútua em Matéria Criminal, localizou o suspeito Marcos Antonio Fagundes, que está sendo acusado de operação de instituição financeira sem autorização legal, gestão fraudulenta de instituição financeira, apropriação indébita, lavagem de dinheiro e a violação da lei de valores mobiliários.

Os promotores alegam que entre agosto de 2017 e maio de 2019, Fagundes e parceiros criminosos usaram a internet para encontrar e prospectar investidores, convencendo-os a investir em novas “oportunidades” financeiras.

As vítimas do suposto golpe abririam mão de fundos em moeda brasileira ou criptomoeda, acreditando que o investimento seria direcionado para empresas controladas por Fagundes e seus associados.

Essas empresas, dizem as autoridades, deveriam investir em ativos virtuais. No entanto, apenas uma “quantidade muito pequena” dos fundos foi usada para esse fim – enquanto o restante foi para os bolsos dos supostos fraudadores.

Depois que o tribunal brasileiro emitiu uma ordem de apreensão de qualquer criptomoeda detida por Fagundes nos Estados Unidos, US$ 24 milhões foram recuperados.

A investigação ainda está em andamento. No entanto, as autoridades brasileiras, o FBI e outras partes pretendem manter a criptomoeda como parte de futuros procedimentos de confisco para tentar compensar os investidores envolvidos, até certo nível.

Mais de 23.000 bancos de dados hackeados estão disponíveis para download gratuito em fóruns de cibercrime

Mais de 23.000 bancos de dados hackeados foram disponibilizados para download em vários fóruns de hackers e canais do Telegram, no que os analistas da inteligência de ameaças estão chamando de “o maior vazamento do tipo já visto na história”.

O acervo de dados teria se originado no Cit0Day.in, um serviço privado, que coletava bancos de dados hackeados e, em seguida, fornecia acesso a nomes de usuário, e-mails, endereços e até mesmo senhas em texto não-criptografado para outros hackers por uma taxa diária ou mensal.

No entanto, o Cit0day caiu em 14 de setembro, quando o domínio principal do site exibiu um aviso de apreensão do FBI e do DOJ.

Diante disso, rumores começaram a circular, em fóruns de hackers, de que um indivíduo conhecido como Xrenovi4, o criador do site Cit0day, pode ter sido preso.

Mas, embora não esteja claro se Xrenovi4 vazou os dados ou se os dados foram hackeados por uma gangue rival, os bancos de dados hackeados do Cit0day foram oferecidos, em sua totalidade, para download gratuito em um fórum conhecido para hackers que se comunicam em russo no mês passado.

No total, 23.618 bancos de dados hackeados estavam disponíveis para download por meio do portal de hospedagem de arquivos MEGA. O link ficou ativo por apenas algumas horas antes de ser removido após uma denúncia de abuso.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Bots maliciosos se tornaram mais complexos e mais custosos, afetando maioria das empresas ao redor do mundo

96% dos representantes de e-commerce ao redor do mundo dizem que bons bots são fundamentais para o sucesso de sua organização. Mas 80% dos comércios eletrônicos alegam terem perdido receita por conta de bots ruins.

Além disso, 81% dos e-commerces frequentemente ou muito frequentemente enfrentam problemas relacionados a bots maliciosos, e 80% dizem que houve um aumento na perda financeira dentro de sua organização por conta de ataques mais complexos e sofisticados a bots de e-commerce.

Finalmente, uma em cada quatro organizações diz que um único ataque de bot lhes custou 500.000 dólares ou mais no ano passado, e duas em cada três dizem que um único ataque lhes custou 100.000 dólares ou mais, dentre prejuízos e gastos com correções de segurança.

Essas e muitas outras informações estão no relatório Bot Landscape & Impact Report 2020, publicado no início de novembro.

A metodologia do relatório é baseada em entrevistas com colaboradores de varejo online e comércio eletrônico, com funções em tempo integral relacionadas à prevenção de fraude, experiência do cliente, pagamentos e gerenciamento de e-commerce.

As descobertas, conduzidas pela Kount, empresa de segurança do comércio eletrônico, trazem à luz novos insights sobre a amplitude da ameaça que diferentes tipos de bots maliciosos representam, bem como sobre o estado de mitigação e gerenciamento de bots.

Bots maliciosos visam todos os pontos da jornada do cliente

De acordo com o relatório, bots maliciosos são programados visando todos os pontos da jornada do cliente, com a maior enfoque na tentativa de violação das sessões de criação de conta e login dos usuários.

A pesquisa também descobriu que a sofisticação desses bots maliciosos está crescendo rapidamente.

É comum, por exemplo, encontrar bots projetados para ataques de força bruta ou de empilhamento de credenciais, teste automatizado de cartão de crédito para identificar cartões de crédito roubados utilizáveis, análise de conteúdo para vantagem competitiva e bots sociais projetados para enganar usuários.

Além disso, os bots mal-intencionados estão sendo usados para lançar ataques distribuídos de negação de serviço (DDoS) a fim de interromper ou derrubar de vez um site ou serviço digital.

Ataques de bots podem levar horas para serem detectados

Ataques de bots maliciosos podem levar horas para serem detectados e interrompidos. Mas, sobretudo, custam caro.

Uma em cada quatro empresas relata que um único ataque de bot malicioso custou à sua organização mais de US$ 500.000, por exemplo, dentre prejuízos com o ataque e gastos com cibersegurança corretiva.

Outro dado preocupante é que a maioria das organizações pesquisadas (58%) relatou mais de 50 ataques de bot nos últimos doze meses, com cerca de um terço dos ataques levando mais de seis horas para serem detectados e interrompidos.

Das empresas que sofreram ataques, dois terços dizem que um único ataque custou US$ 100.000 ou mais em receita perdida.

Os prejuízos vão além da perda financeira

Isso porque ataques de bot não só impedem as organizações de gerar receita, mas também de cuidar dos clientes e enviar pedidos, criando um caos que pode sair muito mais caro do que o ataque, em si, para os e-commerces.

Além disso, bots maliciosos podem travar sites, roubar informações dos clientes e criar contas falsas. Em alguns casos, foi relatado, inclusive, o congelamento de estoques por conta de ataques direcionados.

No todo, os bots acabam custando milhões de dólares por ano a todas as organizações, tornando esta área de segurança cibernética uma alta prioridade para muitos CISOs e CIOs em indústrias orientadas para o digital, incluindo varejo online e e-commerce.

Os bots estão cada vez mais complexos

Quase 90% das organizações dizem que bots maliciosos estão se mostrando cada vez mais difíceis de identificar e destruir.

Isso porque as soluções de segurança cibernética atuais nem sempre são eficazes na criação da resposta adaptativa necessária para identificar e erradicar bots maliciosos de redes corporativas.

Firewalls de acesso à web, redes de distribuição de conteúdo e fornecedores de bot dedicados têm funcionalidade básica para controlar bots, mas podem faltar funcionalidades essenciais necessárias para empresas de comércio eletrônico, como uma abordagem baseada em eventos para identificar tentativas de ataques de bots maliciosos, bem como distinguir bots bons, bots ruins e bots questionáveis.

Além disso, as equipes de TI, infraestrutura e segurança cibernética são responsáveis pelo problema de resolução de bots maliciosos na maioria das organizações pesquisadas.

E, como os bots maliciosos afetam a receita se forem bem-sucedidos, a responsabilidade de erradicá-los geralmente é compartilhada entre os departamentos.

Por isso, soluções completas de segurança, que permitam uma visão 360º das superfícies de ataque de uma organização e sejam capazes de antever – e, naturalmente, prevenir – quaisquer tentativas de ataques fazem a diferença na hora de assegurar a proteção dos diferentes pontos de vulnerabilidade de um e-commerce.

Saiba como manter o seu varejo seguro.

Consulte a assessoria de especialistas da Compugraf e proteja sua empresa!

Novas vulnerabilidades da Microsoft estão sendo exploradas por cibercriminosos. Violação de dados ameaça vazar desde registros psicoterapêuticos, na Finlândia, a informações financeiras, na Cingapura.

O que você vai ler hoje:

• Falha de segurança do Windows está sendo ativamente explorada por cibercriminosos
• Cidadãos finlandeses são vítimas de ransomware, que ameaça vazar informações “altamente sensíveis e confidenciais”
• E-mails universitários funcionam como “atalho” para invasão de redes corporativas nos EUA
• 1,1 milhão de contas comprometidas por falha de segurança em e-commerce

Falha de segurança do Windows está sendo ativamente explorada por cibercriminosos

A Microsoft confirmou, na última semana de outubro, que uma vulnerabilidade zero day não-corrigida no sistema operacional do Windows está sendo ativamente explorada por agentes cibercriminosos. A vulnerabilidade afeta todas as versões do Windows 7 ao Windows 10.

A empresa foi informada sobre a vulnerabilidade pela Project Zero do Google, uma unidade dedicada, formada pelos principais “caçadores de vulnerabilidades” do mundo, que rastreia bugs de segurança associados a zero day exploits.

Como o Project Zero identificou que o problema de segurança estava sendo explorado ativamente por invasores, a equipe deu à Microsoft um prazo de apenas sete dias para corrigi-lo antes da divulgação. A Microsoft não conseguiu lançar um patch de segurança dentro do prazo extremamente restritivo, e o Google publicou detalhes da vulnerabilidade, que agora pode ser rastreada como CVE-2020-17087.

O bug, em si, fica dentro do driver de criptografia do kernel do Windows, conhecido como cng.sys, e pode permitir que um invasor escale seus privilégios ao acessar uma máquina que utilize o sistema operacional da Microsoft.

Mas, embora a empresa tenha confirmado que o ataque relatado é real, ela também sugere que seu escopo é limitado e altamente direcionado. Ou seja, não se trata, por enquanto, de um exploit generalizado.

A Microsoft afirma não ter nenhuma evidência de exploits generalizados ameaçando seu sistema.

Além disso, argumenta que o ataque exige que outras vulnerabilidades sejam encadeadas para que uma exploração bem-sucedida aconteça. Uma das principais já foi corrigida: era uma vulnerabilidade baseada em navegador, CVE-2020-15999, que incluía o Chrome e Microsoft Edge. O Microsoft Edge foi atualizado em 22 de outubro, enquanto o Google Chrome foi atualizado em 20 de outubro. Contanto que seu navegador esteja atualizado, você está protegido.

Fora isso, de acordo com um porta-voz da Microsoft, em comunicado à Forbes, não há outras cadeias de ataque conhecidas explorando essa vulnerabilidade do Windows atualmente.

Cidadãos finlandeses são vítimas de ransomware, que ameaça vazar informações “altamente sensíveis e confidenciais”

Cerca de 1% da população finlandesa recebeu a seguinte ameaça nas últimas duas semanas:

“Seus registros psicoterapêuticos serão divulgados, a menos que você me pague €500 em criptomoeda em 48 horas”.

Isso porque vários indivíduos – aparentemente, sem quaisquer relações entre si – obtiveram acesso aos centros de psicoterapia da Vastaamo, rede hospitalar que trata cerca de 40.000 pacientes principalmente em Oulu e Tampere, na Finlândia.

Os hackers exploraram uma violação de segurança que se estendeu por entre fins de 2018 e início de 2019 e que parece não ter sido amplamente relatada às autoridades ou ao público em geral.

Esses registros psicoterapêuticos, profundamente íntimos, se tornaram munição para cibercriminosos chantagearem e, se bem-sucedidos, extraírem fundos da administração dos hospitais e de seus pacientes.

É o maior pedido de resgate dirigido a uma instalação médica, até o momento.

O pagamento de € 500 deve ser feito a uma carteira de criptomoeda exclusiva e os pacientes devem enviar um e-mail de confirmação para um endereço específico, a fim de não terem suas informações vazadas. Os hackers usaram um "provedor de depósito em criptomoeda" que envia notificações aos invasores assim que os fundos são recebidos, para manter o controle dos milhares de pagamentos desejados.

Nesse ínterim, as empresas de cibersegurança uniram forças com os provedores de análise de blockchain para rastrear e identificar os suspeitos. Uma investigação interna da rede hospitalar, que ainda está em andamento, constatou deficiências na segurança da informação; isso levou o Conselho de Administração a demitir o CEO da Vastaamo, Ville Tapio.

Outras medidas estão sendo tomadas para evitar que o ataque continue repercutindo, com danos ainda maiores.

E-mails universitários funcionam como “atalho” para invasão de redes corporativas nos EUA

Endereços de e-mail vinculados a domínios universitários são úteis por vários motivos, mas um tema recorrente nos últimos tempos tem sido a forma como eles funcionam como um “atalho” para ataques de phishing por meio de gateways de e-mail corporativos.

Isso porque os servidores de e-mails corporativos realizam verificações de autoridade dos e-mails recebidos, rejeitando qualquer domínio suspeito ou desconhecido.

Para os hackers, isso significa, então, sequestrar domínios com boa reputação. Uma pesquisa da empresa de segurança de e-mail INKY lança luz sobre essa tática e os domínios sendo explorados ​​pelo cibercrime.

Ao longo de 2020, a empresa filtrou 714 emails de phishing oriundos de domínios da Universidade de Oxford, 287 da Universidade de Stanford e 2.068 da Universidade de Purdue em Indiana, só nos Estados Unidos.

Considerando o grande número de e-mails originados desses domínios, no total, parece pouco. No entanto, estamos falando de apenas um provedor que protege um número relativamente pequeno de clientes corporativos, o que implica que esses e-mails são só a ponta de um iceberg muito maior.

Em um exemplo destacado pela pesquisa, a isca de phishing era uma mensagem do Microsoft 365 convidando o destinatário a acessar seus arquivos via soluções cloud, devido à quarentena. Essa tentativa de phishing foi detectada – o tema era muito óbvio – mas, se tivesse passado pela segurança, poderia parecer perfeitamente plausível a um indivíduo desavisado.

Uma rápida análise dos cabeçalhos de e-mail confirmou que a ação era resultado de uma invasão de conta e, ao que tudo indica, os invasores ainda são auxiliados pela capacidade de usar os servidores da universidade como retransmissores, enviando e-mails de localizações pouco suspeitas.

“Para evitar esse tipo de abuso, os servidores SMTP devem ser configurados para não aceitar e encaminhar e-mails de endereços IP não-locais para caixas de correio por usuários não-autenticados e não-autorizados", alertam os pesquisadores.

Além disso, estendem o alerta aos usuários, para que fiquem atentos a quaisquer indícios de e-mails suspeitos, mesmo se originados por domínios confiáveis.

1,1 milhão de contas comprometidas por falha de segurança em e-commerce

A plataforma de e-commerce RedMart, com sede em Cingapura, sofreu uma violação de dados que comprometeu os dados pessoais de 1,1 milhão de contas.

Um indivíduo, ainda não-identificado, alegou estar de posse do banco de dados envolvido na violação, que contém várias informações pessoais, como endereços de correspondência, senhas criptografadas e números parciais de cartão de crédito.

Na sexta-feira (30/10), os clientes do RedMart foram desconectados de suas contas e solicitados a redefinir suas senhas antes de logar novamente. Eles também foram informados de um "incidente de segurança de dados do RedMart" descoberto no dia anterior (29), como parte do "monitoramento proativo regular "realizado pela equipe de segurança cibernética da empresa.

Em sua nota aos clientes, a controladora da RedMart, Lazada, disse que a violação levou ao acesso não-autorizado de um "banco de dados exclusivo do RedMart" hospedado em um provedor de serviços terceirizado. Os dados desse sistema foram atualizados pela última vez em março de 2019 e continham informações pessoais que coincidem com os dados violados.

Em um FAQ publicado em seu site sobre o incidente de segurança, a Lazada disse que as informações do cartão de crédito dos clientes eram "totalmente seguras", pois a empresa não armazena nem o número completo do cartão, nem o CVV em seus sistemas.

"No entanto, recomendamos que você fique atento e monitore qualquer atividade incomum ou transações suspeitas em seus cartões de crédito", alertou, no comunicado oficial.

Além disso, a Lazada disse que havia relatado "voluntariamente" o incidente de segurança à Comissão de Proteção de Dados Pessoais (PDPC) de Cingapura e que estava em contato com outras autoridades relevantes, incluindo a Força Policial de Cingapura.

De acordo com a Lei de Proteção de Dados Pessoais (PDPA) de Cingapura, espera-se que as organizações notifiquem as autoridades sobre uma suspeita de violação de segurança de dados se ela afetar mais de 500 pessoas ou quando "dano ou impacto significativo" para os indivíduos provavelmente ocorrerá devido à violação.

Eles também devem fazer isso no máximo 72 horas após a conclusão da avaliação da violação e não levar mais de 30 dias para concluir uma investigação sobre uma suspeita de violação de segurança de dados.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf!

Esses e muitos outros insights são de uma pesquisa recente com líderes de TI, realizada pela CensusWide.

• 73% das empresas com mais de 500 funcionários aceleraram seus planos de migração para a nuvem a fim de se adequar ao trabalho remoto por conta da pandemia do novo coronavírus
• 81% das empresas aceleraram seus processos de modernização de TI devido à pandemia
• 48% de todas as empresas pesquisadas aceleraram seus planos de migração para a nuvem e 49% aceleraram seus planos de modernização de TI por causa do COVID-19
• 32% das empresas de grande porte, com mais de 500 funcionários, estão implementando mais automação usando ferramentas baseadas em inteligência artificial este ano

O objetivo das análises realizados pelos pesquisadores é entender como a dinâmica de investimentos, operações e gastos em TI mudou nos últimos seis meses.

E, nesse aspecto, eles descobriram que quanto maior a empresa, mais importante é proteger o acesso remoto à infraestrutura crítica para as equipes de administração de TI, colocando o acesso remoto e a atualização das políticas e avisos de privacidade como as duas das maiores prioridades para as empresas hoje.

Os resultados da pesquisa

Os principais insights da pesquisa incluem:

83% das empresas de grande porte fizeram mudanças significativas em sua estrutura de cibersegurança

A grande maioria das empresas transformou a forma como aborda a segurança cibernética nos últimos seis meses, com 83% das empresas de grande porte investindo em soluções de segurança e liderando todas as organizações.

Mas isso não tira a relevância dos movimentos que pequenas e médias empresas também têm feito. Refletindo como muitas dessas empresas são orientadas digitalmente, os ajustes de segurança cibernética começam em organizações com 10 a 49 funcionários.

Além disso, 60% de todas as organizações ajustaram suas abordagens à segurança na nuvem como resultado de forças de trabalho distribuídas.

48% de todas as organizações tiveram que acelerar a migração para a nuvem devido à pandemia, com empresas maiores liderando o caminho

De acordo com o relatório, 73,5% das empresas com mais de 500 funcionários aceleraram os planos de migração para a nuvem para dar suporte aos novos arranjos de trabalho remoto de seus colaboradores, liderando as demais organizações e, de certa forma, estabelecendo o exemplo.

Essa descoberta reflete como grandes empresas se comprometeram com uma diretriz cloud-first este ano.

Também é consistente com outras pesquisas realizadas em 2020, que mostram o quanto soluções em nuvem conquistaram de vez o mundo corporativo, especialmente se tratando de grandes empreendimentos.

49% de todas as organizações e 81% das empresas de grande porte tiveram que acelerar seu processo de modernização de TI devido à pandemia

Para as maiores empresas, a modernização de TI equivale à digitalização de mais processos usando serviços nativos na nuvem (59%), mantendo a flexibilidade e investindo em segurança para uma força de trabalho parcialmente remota (57%) e revisitando e ajustando suas demandas de segurança cibernética (40%) que, até então, tendiam a perder espaço para “demandas mais urgentes”.

51% das empresas com 500 funcionários ou mais estão tornando o acesso remoto seguro sua maior prioridade interna

Em contrapartida, 27% dos líderes de TI de todas as organizações afirmam que fornecer acesso seguro e granular a equipes de administração de TI, a prestadores de serviços de TI terceirizados e a fornecedores do setor é a prioridade número dentro das empresas.

A pesquisa também descobriu que organizações com 250 a 500 funcionários têm maior probabilidade de adquirir ferramentas e aplicativos de segurança cibernética específicos para atender aos requisitos de conformidade.

O investimento em equipes de TI cresceu em pelo menos 34% das empresas

Os líderes de TI estão rapidamente usando as lições aprendidas com a pandemia como catapulta para fortalecer a transformação da nuvem e as estratégias de modernização de TI.

Um em cada três líderes de TI entrevistados (34%) disse que seus orçamentos aumentaram durante a pandemia, correspondendo a empresas de todos os portes.

Já em empresas de maior escala, com mais de 500 funcionários, 59% dos líderes de TI viram seus orçamentos aumentarem.

Outra boa notícia é que as organizações também estão preservando sua equipe de TI.

63% dos entrevistados viram pouco ou nenhum impacto em suas equipes, indicando que a maioria das organizações terá o orçamento e os recursos para manter ou, até, aumentar seus planos de investimento em segurança cibernética.

Já 25% dos líderes de TI indicaram que sua empresa planeja manter toda a sua força de trabalho completamente remota.

Diante desses dados, é encorajador ver os líderes de TI recebendo o suporte de que precisam para realizar suas iniciativas de segurança em nuvem e modernização de TI no próximo ano.

Afinal, com empresas de todos os tamanhos ao redor do mundo precisando se adaptar às novas condições de trabalho impostas pela pandemia, a proteção das infraestruturas em nuvem precisa ser uma prioridade.

Mantenha seus ambientes em nuvem protegidos. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Estratégias clássicas, novas ameaças: grupos de cibercriminosos continuam investindo em ataques conhecidos e fazendo vítimas. Governo dos EUA é um dos alvos principais, especialmente em tempos de eleição.

O que você vai ler hoje:

• Malware da Emotet cria alertas falsos de atualização do Microsoft Office para infectar dispositivos
• Ataques de phishing exploram a eleição dos EUA para tentar roubar dados bancários
• Governo dos Estados Unidos divulga que foi hackeado em outubro
• Novo trojan de acesso remoto pode ser controlado pelo Telegram para executar funções complexas de extração de dados pessoais

Malware da Emotet cria alertas falsos de atualização do Microsoft Office para infectar dispositivos

Os cibercriminosos que controlam uma das ramificações de malware mais conhecidas do mundo estão adotando uma nova abordagem para atrair potenciais vítimas.

A nova campanha de e-mail do grupo explora um alerta falso do Windows Update para iniciar o processo de infecção. Os e-mails maliciosos não mencionam nada sobre atualização no assunto ou no corpo da mensagem; eles seguem estratégias consolidadas em 2020 e se restringem a tópicos de tendência como o COVID-19 ou baits comprovados, como avisos de remessa, faturas e currículos falsos.

Só depois de abrir os documentos anexos é que as vítimas são confrontadas com a falsa notificação de atualização.

A essa altura, porém, o PC do usuário ainda não foi infectado. A funcionalidade avançada exigida pelo Emotet e outros tipos de malware não é ativada até que o botão de “habilitar edição” seja clicado manualmente.

Para persuadir os usuários a ignorar o aviso da Microsoft e desativar o modo de exibição protegido, os cibercriminosos contam com truques de engenharia social. A maioria dos usuários tende a ignorar avisos dependendo de quem seja o remetente do e-mail, ou muitas vezes nem se atenta aos alertas.

E é assim que os invasores acessam os dispositivos sem grandes dificuldades.

Por isso, vale lembrar que a Microsoft não notifica sobre atualizações do Office dessa forma. Geralmente, o aplicativo exibe uma barra amarela no topo da página, com os dizeres “atualizações disponíveis”.

Ataques de phishing exploram a eleição dos EUA para tentar roubar dados bancários

Com a proximidade da eleição presidencial dos EUA, grupos de spam têm se mobilizado de forma massiva para não perder o timing e explorar assuntos relacionados ao registro de eleitores para induzir as vítimas a acessarem sites falsos, que se passam por sites oficiais do governo, e forneçam dados pessoais diversos.

Essas campanhas começaram em setembro e seguem em atividade até hoje, enquanto as iscas (o assunto do e-mail) ainda são relevantes.

Nesse sentido, as iscas dessas campanhas são relativamente simples e exploram o medo dos cidadãos dos EUA de que seu pedido de registro de eleitor possa ter falhado.

Usando linhas como "os detalhes do formulário de registro eleitoral não puderam ser confirmados" e "a secretaria do condado não conseguiu confirmar seu registro eleitoral", os usuários são atraídos para páginas falsas que solicita “um novo preenchimento do formulário de registro eleitoral”.

Se os usuários não perceberem a URL incorreta, eles acabarão fornecendo seus dados pessoais a um grupo de criminosos. Os dados geralmente coletados por meio desses formulários são:

• Nome
• Data de nascimento
• Endereço de correio
• Endereço de e-mail
• Número da Segurança Social (SSN)
• Informações da carteira de habilitação

Mas em um relatório de acompanhamento publicado na quinta-feira (22), a empresa de cibersegurança Proofpoint mostra que o grupo mudou suas táticas nos últimos dias.

Com o período pré-eleitoral chegando ao fim, os cibercriminosos se tornaram mais ousados. Além de solicitar informações de identificação pessoal específicas para formulários de registro de eleitores, o grupo agora expandiu seu escopo para incluir novos campos que também solicitam:

• Banco onde o usuário tenha conta-corrente
• Número da conta do banco
• Número de roteamento da conta bancária
• ID / nome de usuário do banco
• Senha da conta bancária
• Senhas de contas de e-mail
• Número de identificação do veículo (VIN)

Para acalmar os temores, os spammers afirmam que essas informações extras são necessárias para que os usuários possam reivindicar um "estímulo do governo".

Não se sabe ao certo quantos eleitores já caíram no golpe, mas, se os cibercriminosos estão insistindo neste tipo de ataque, é porque têm obtido algum retorno.

Governo dos Estados Unidos divulga que foi hackeado em outubro

Funcionários do governo estadunidense divulgaram os hacks sofridos pelos sistemas oficiais dos EUA em um comunicado conjunto de segurança, que foi publicado pela Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA) e o Federal Bureau of Investigation (FBI).

As autoridades americanas identificaram o grupo de hackers russo responsável pelos ataques como Energetic Bear, um codinome usado pela indústria de segurança cibernética. Outros nomes para o mesmo grupo também incluem TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti e Koala.

Também disseram que o grupo tem tido como alvo dezenas de redes governamentais estaduais, locais, territoriais e tribais (SLTT) desde fevereiro de 2020, no mínimo.

Além disso, as duas agências disseram que o Energetic Bear "comprometeu com sucesso a infraestrutura de rede e, em 1º de outubro de 2020, exfiltrou dados de pelo menos dois servidores do governo".

De acordo com o comunicado técnico, os hackers russos usaram vulnerabilidades publicamente conhecidas para violar o equipamento de rede, migrar para redes internas, elevar privilégios e roubar dados confidenciais.

Os dispositivos direcionados incluíram gateways de acesso Citrix (CVE-2019-19781), servidores de e-mail Microsoft Exchange (CVE-2020-0688), agentes de e-mail Exim (CVE 2019-10149) e Fortinet SSL VPNs (CVE-2018-13379).

Em situações em que os ataques foram bem-sucedidos, a CISA e o FBI disseram que os hackers tentaram extrair arquivos como:

• Configurações e senhas de rede confidenciais.
• Procedimentos operacionais padrão (SOP), como a inscrição na autenticação multifator (MFA).
• Instruções de TI, como solicitar redefinições de senha.
• Fornecedores e informações de compra.
• Impressão de crachás de acesso.

O Energetic Bear é o mesmo grupo de hackers que orquestrou o ataque ao aeroporto de San Francisco anteriormente este ano.

Novo trojan de acesso remoto pode ser controlado pelo Telegram para executar funções complexas de extração de dados pessoais

Um grupo de pesquisadores de cibersegurança descobriu um novo trojan de acesso remoto (RAT), que vem sendo divulgado em fóruns de hackers clandestinos, que se comunicam em russo.

Chamado de T-RAT, o malware está disponível por apenas 45 dólares e seu principal argumento de venda é a capacidade de controlar os sistemas infectados por meio de um canal do Telegram, em vez de um painel de administração hospedado na web.

Seu autor afirma que isso dá aos compradores acesso mais rápido e fácil aos computadores infectados de qualquer local, permitindo que os agentes de ameaças ativem recursos de roubo de dados assim que a vítima for infectada e antes de que a presença do RAT seja identificada.

Para isso, o canal no Telegram suporta 98 ​​comandos que, quando digitados na janela principal de chat, permitem ao proprietário da RAT recuperar senhas e cookies do navegador, navegar no sistema de arquivos da vítima e pesquisar dados confidenciais, implantar um keylogger, gravar áudio pelo microfone, fazer capturas de tela da área de trabalho da vítima, tirar fotos via webcam e recuperar o conteúdo da área de transferência.

Além disso, o RAT também pode executar comandos de terminal (CMD e PowerShell), bloquear o acesso a certos sites (como antivírus e sites de suporte técnico), eliminar processos (software de segurança e depuração) e até mesmo desabilitar a barra de tarefas e o gerenciador de tarefas.

Mas o uso do Telegram como sistema de comando e controle não é tanta novidade; o aplicativo tem sido uma tendência nos últimos anos, e o T-RAT não é o primeiro RAT a implementar tal modelo.

Ameaças anterior incluem RATAttack (removido do GitHub em 2017, direcionado ao Windows), HeroRAT (direcionado a usuários de Android), TeleRAT (usado contra iranianos, mirando em usuários de Android), IRRAT (direcionado a usuários de Android), RAT-via-Telegram (disponível no GitHub, direcionado ao Windows) e Telegram-RAT (disponível no GitHub, direcionado ao Windows).

Mantenha sua rede e seus dispositivos seguros. Entre em contato com a assessoria de especialistas da Compugraf e veja como podemos te ajudar!

Os invasores se voltaram a setores que ganharam caráter de urgência diante da pandemia do COVID-19 – como saúde, e-commerces e serviços educacionais online – e se aproveitam da transição massiva para ambientes digitais arquitetando ataques complexos, de alto rendimento, projetados para subjugar empresas e derrubá-las rapidamente.

“A primeira metade de 2020 testemunhou uma mudança radical na metodologia de ataque DDoS para ataques complexos de múltiplos vetores mais curtos, mais rápidos e mais difíceis de atingir”, afirma Richard Hummel, líder de inteligência de ameaças da Netscout, fornecedora de produtos de gerenciamento de desempenho de aplicativos e redes, que conduziu uma análise sobre a evolução de ataques DDoS ao longo da pandemia.

E, da mesma forma que ocorreu com outros ataques este ano, é esperado que os ataque DDoS se tornem ainda mais frequentes e complexos.

“Os cibercriminosos aumentaram o escopo dos ataques, mirando contra plataformas e serviços online cruciais em um mundo cada vez mais digital, como comércio eletrônico, educação, serviços financeiros e saúde.

Não importa o alvo, adversário ou tática usada, é fundamental que os defensores e profissionais de segurança permaneçam vigilantes nesses dias desafiadores para proteger a infraestrutura crítica que conecta e caracteriza o mundo moderno”, prossegue Hummel.

Ataques recorde de DDoS em plataformas e serviços online

Mais de 929.000 ataques DDoS ocorreram em maio, representando o maior número de ataques já visto em um mês até hoje.

No primeiro semestre de 2020, ocorreram 4,83 milhões de ataques DDoS, um aumento de 15% em relação ao ano passado.

No entanto, a frequência de ataques DDoS aumentou 25% ao redor do mundo durante os meses de lockdown da pandemia, que ocorreu entre março e junho na maioria dos países.

Malfeitores focados em ataques mais curtos e complexos

Ataques superdimensionados, com mais de 15 vetores, aumentaram 2.851% desde 2017, enquanto a duração média do ataque caiu 51% em relação ao mesmo período do ano passado.

Além disso, os ataques de vetor único diminuíram em 43%, enquanto a taxa de transferência do ataque aumentou 31%, chegando a 407 Mpps.

O aumento na complexidade e velocidade do ataque, juntamente com a diminuição na sua duração, dá às equipes de segurança menos tempo para defender suas organizações desses ataques cada vez mais sofisticados.

Como esses ataques costumam ocorrer

Mais cedo este mês, o provedor de serviços Cloudfare, que oferece registro de domínios e proteção para websites, enviou um e-mail para toda a sua base de clientes alertando a respeito de um aumento na quantidade de ataques de ransom associados a ataques de DDoS.

De acordo com o e-mail, entidades autodenominadas Fancy Bear, Cozy Bear e Lazarus estão ameaçando lançar ataques DDoS contra sites corporativos e infraestrutura de rede, a menos que um resgate seja pago antes de um determinado prazo.

Antes da nota de resgate, porém, um pequeno ataque DDoS é lançado como forma de demonstração. Trata-se, tipicamente, de um ataque de reflexão UDP usando uma variedade de protocolos e durando cerca de 30 minutos (ou menos).

A nota de resgate costuma ser enviada para e-mail genéricos corporativos, como “suporte@…”, “comercial@…”, “financeiro@…” e por aí vai, e segue este modelo:

"Nós somos a Fancy Bear e escolhemos a [nome da empresa] como alvo para nosso próximo ataque DDoS.

Toda a sua rede estará sujeita a um ataque DDoS a partir de segunda-feira (em 6 dias). (Não estamos blefando, e, para provar, iniciaremos um pequeno ataque imediato a alguns de seus IPs, que durará 30 minutos.”

Organizações e indivíduos arcam com o custo dos ataques cibernéticos

Para determinar o impacto que os ataques DDoS têm no tráfego global da Internet, a Equipe de Engenharia de Segurança e Resposta (ASERT) da Netscout ATLAS desenvolveu o Coeficiente de Ataque DDoS (DAC).

Ele representa a quantidade de tráfego de ataque DDoS que atravessa a Internet em uma determinada região ou país, durante o período de um minuto.

Se nenhum tráfego puder ser atribuído a DDoS, a quantidade computada seria zero.

Porém, o DAC identificou a taxa de transferência regional superior de 877 Mpps na região Ásia-Pacífico e uma largura de banda superior a 2,8 Tbps na Europa, Oriente Médio e África.

O DAC é importante, pois os cibercriminosos não pagam pela largura de banda.

Isso significa que, de certa forma, todas as organizações e indivíduos conectados à Internet ao redor do mundo pagam uma “taxa de DDoS” que alimenta esses cibercriminosos.

Mantenha sua rede protegida

As melhores formas de se defender mudam de acordo os tipos de ataque.

Por isso, é importante contar com uma política de segurança da informação que possua protocolos e controles pré-definidos para lidar com cada tipo de invasão.

O ideal é o direcionamento de uma ação de defesa para cada camada de um ataque DDoS.

Confira como funciona um ataque DDoS aqui.

E saiba mais sobre como manter sua empresa segura entrando em contato com a assessoria de especialistas da Compugraf.

Hackers se organizam para ataques altamente direcionados. Por outro lado, empresas se unem em coalizões de cibersegurança e derrubam algumas das maiores ameaças do mundo.

O que você vai ler hoje:

• Google remove 240 games maliciosos da Play Store
• Sites falsos da Amazon exploram Prime Day na tentativa de roubar credenciais de pagamento
• Coalizão formada pela Microsoft e parceiros derruba uma das maiores botnets de malware do mundo
• Grupo mercenário de hackers desenvolve ataques extremamente personalizados a alvos ao redor do mundo

Google remove 240 games maliciosos da Play Store

Pesquisadores de segurança revelaram que 240 aplicativos maliciosos têm bombardeado os usuários do Android com anúncios irrelevantes e suspeitos.

Apelidados de RAINBOWMIX, em homenagem aos jogos retros disponíveis uns anos atrás, os aplicativos mapeados pela campanha parecem, a princípio, legítimos, visto que funcionam como deveriam, apesar da qualidade seja ruim.

Muitos deles são emuladores Nintendo (NES), extraídos de fontes legítimas, ou jogos de baixa qualidade, disse a equipe da White Ops responsável pela pesquisa. Os próprios anúncios também parecem ser legítimos – parecem vir de aplicativos e serviços confiáveis, como o Chrome ou YouTube.

Isso permitiu que os fraudadores contornassem certos protocolos de segurança e se mantivessem sob o radar, levando a milhões de downloads e impressões de anúncios por dia no pico da campanha.

E para evitar serem detectados pelo sistema de segurança da Play Store, os fraudadores usaram um software chamado “empacotador” (packer) – que comprime os arquivos utilizados, de modo que a carga final parece menor, e, em seguida, “desempacota” seu código malicioso em momentos oportunos.

Para isso, o RAINBOWMIX rastreava quando os usuários ligavam e desligavam a tela, para determinar o melhor momento para exibir um anúncio, garantindo que a impressão contasse e também que um anúncio não fosse renderizado quando a tela estivesse desligada.

Desde a descoberta, o Google excluiu todos os aplicativos de sua loja.

“Tínhamos detectado anteriormente a maioria dos aplicativos em questão e elogiamos a White Ops por compartilhar suas descobertas, que pudemos confirmar de forma independente”, declarou um porta-voz da empresa à Forbes.

“Quando encontramos violações da política, tomamos medidas, e o Google continua a fazer investimentos significativos para proteger nossos usuários e suas experiências.”

Sites falsos da Amazon exploram Prime Day na tentativa de roubar credenciais de pagamento

De acordo com um grupo de pesquisadores da Check Point, a Amazon removeu um número excepcionalmente alto de domínios maliciosos projetados para imitar o marketplace dias antes de seu “saldão online” que deve movimentar milhões mundialmente, o Prime Day.

Esses domínios maliciosos tentam imitar a gigante do comércio eletrônico incluindo as palavras “Amazon” e “Prime” em seus sites e URLs, na tentativa de enganar os consumidores para que forneçam seus dados pessoais.

Para se ter uma ideia da rápida movimentação dos cibercriminosos, nos últimos 30 dias, por exemplo, houve um aumento de 21% no número de registros de domínios que contêm a palavra “Amazon”, afirmam os pesquisadores, sendo 28% deles maliciosos e 10%, suspeitos.

Além disso, o número de domínios registrados contendo as palavras “Amazon” e “Prime” dobrou no último mês, e 20% desses domínios são maliciosos.

“Este ano, vimos um aumento significativo no interesse de hackers na Amazon. No primeiro trimestre, a Amazon representou apenas 1% de todos os ataques de phishing associados a marcas. No segundo trimestre, porém, a Amazon chegou ao topo das marcas mais copiadas por hackers, ao lado do Google”, disse Maya Levine, engenheira de segurança da Check Point.

“Espera-se que essa tendência continue, durante e após o Amazon Prime Day. Os compradores devem ser especialmente cautelosos ao navegar em sites fraudulentos. Nossa pesquisa indica que os navegadores da web foram visados ​​em 61% de todos os ataques de phishing no segundo trimestre.”

Coalizão formada pela Microsoft e parceiros derruba uma das maiores botnets de malware do mundo

Uma coalizão de empresas de tecnologia anunciou hoje um esforço coordenado para derrubar a infraestrutura de back-end do botnet de malware TrickBot.

As empresas e organizações que participaram da derrubada incluíram a equipe Defender da Microsoft, FS-ISAC, ESET, Black Lotus Labs da Lumen, NTT e a divisão de segurança cibernética da Broadcom, Symantec.

Em uma estratégia conjunta que durou meses, todos os participantes realizaram investigações aprofundadas sobre a infraestrutura de back-end de servidores e módulos de malware do TrickBot.

Foram mais de 125.000 amostras de malware coletadas. Em seguida, os membros da coalizão se demoraram analisando seu conteúdo e extraindo e mapeando informações sobre o funcionamento interno do malware, incluindo todos os servidores que o botnet usou para controlar computadores infectados e servir módulos adicionais.

Com essas informações em mãos, a Microsoft foi ao tribunal em outubro de 2020 e pediu a um juiz que lhe concedesse controle sobre os servidores TrickBot.

“Diante das evidências, o tribunal concedeu aprovação para a Microsoft e nossos parceiros desabilitarem os endereços de IP, tornarem o conteúdo armazenado nos servidores de comando e controle inacessíveis, suspender todos os serviços para os operadores de botnet e bloquear qualquer esforço dos operadores TrickBot para comprar ou alugar servidores adicionais “, disse a Microsoft em um comunicado à imprensa.

Esforços estão sendo feitos em conjunto com provedores de serviços de Internet (ISPs) e equipes de prontidão de emergência de computadores (CERTs) em todo o mundo para notificar todos os usuários infectados.

De acordo com os membros da coalizão, o botnet TrickBot havia infectado mais de um milhão de computadores no momento de sua queda. Alguns desses sistemas infectados também incluem dispositivos da Internet das Coisas (IoT).

Grupo mercenário de hackers desenvolve ataques extremamente personalizados a alvos ao redor do mundo

Autointitulado Bahamut, um grupo mercenário de hackers tem realizado extensas operações em todo o mundo, se valendo de ataques multifacetados, que foram recentemente detalhados por pesquisadores de segurança cibernética da BlackBerry.

As campanhas parecem estar em operação desde pelo menos 2016.

“O grupo não é apenas responsável por uma variedade de casos não resolvidos que atormentaram os pesquisadores por anos. Nós também descobrimos que o Bahamut está por trás de uma série de campanhas de phishing e coleta de credenciais extremamente direcionadas e elaboradas, centenas de novas amostras de malware do Windows, zero-day exploits, táticas de evasão de antivírus forense e muito mais.”

Em alguns casos, o Bahamut é conhecido por monitorar seus alvos por um ano ou mais antes de finalmente chegar ao que eles consideram o melhor momento para ataque.

E uma das estratégias pelas quais o grupo tem comprometido suas vítimas é por meio de uma rede de sites, aplicativos e até mesmo personas inteiras meticulosamente elaboradas. Tudo isso é projetado para se adaptar a alvos em potencial, a fim de obter uma noção mais clara das notícias em que eles estão interessados ​​- e nas quais poderiam clicar – a fim de, eventualmente, realizar um ataque de phishing ou malware.

Mas além de malware e engenharia social, o Bahamut também emprega o uso de aplicativos móveis maliciosos para usuários de iPhone e Android, projetados de forma personalizada para atrair certos grupos e usuários de um determinado idioma.

Ao instalar um dos aplicativos maliciosos – a lista completa é detalhada no relatório oficial da BlackBerry – o usuário está instalando uma porta dos fundos em seu dispositivo que os invasores podem usar para monitorar todas as atividades das vítimas, como a capacidade de ler seus mensagens, ouvir suas chamadas, monitorar sua localização e outras atividades de espionagem.

Divulgando suas descobertas, a BlackBerry espera ser capaz de ajudar a conter a atividade do grupo. Porém, é preciso estar alerta, pois a melhor forma de combatê-lo é evitando que eles tenham acessos às vulnerabilidades das redes corporativas de seus potenciais alvos.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Vulnerabilidades na cadeia de suprimentos são uma alternativa fácil e, na maioria das vezes, eficaz para cibercriminosos, mesmo nas empresas mais seguras.

Mais de 80% das empresas sofreram uma violação de dados devido a vulnerabilidades de segurança em suas cadeias de suprimentos, uma vez que cibercriminosos têm se aproveitado da segurança frágil de fornecedores menores como meio de obter acesso às redes de grandes organizações.

Os dados são de uma pesquisa realizada pela empresa de segurança cibernética BlueVoyant.

Nos resultados, compartilhados recentemente, o grupo de pesquisadores descobriu que as empresas têm uma média de 1.013 fornecedores em seu ecossistema de suprimentos – e que 82% de todas as organizações já sofreram alguma violação de dados nos últimos 12 meses devido à fragilidade da segurança cibernética nessa cadeia de abastecimento.

Mas, apesar do risco representado por essas vulnerabilidades de segurança – que, como se pode ver, é preocupantemente alto -, um terço das organizações têm pouca ou nenhuma noção se hackers invadiram em sua cadeia de suprimentos, o que significa que elas podem não saber que foram vítimas de um incidente até ser tarde demais.

Fornecedores são uma alternativa para penetrar nas empresas mais seguras

Uma das principais razões para esse tipo de ataque é que as grandes empresas provavelmente são muito mais protegidas do que as pequenas. Logo, grupos de cibercriminosos estão cada vez mais se voltando para os fornecedores dessas organizações como um meio alternativo de se infiltrar em sua rede corporativa.

E o pior: muitas vezes passando completamente despercebidos.

"Geralmente as pessoas pensam, ‘bem, quais são os nossos fornecedores mais importantes?’ e, inevitavelmente, terminam listando os dez principais, sendo alguns dos maiores nomes do mundo, como os provedores de nuvem. Mas não é daí que vem a ameaça", disse Robert Hannigan – presidente da BlueVoyant International, que conduziu a pesquisa.

“É muito mais provável que a ameaça venha de uma empresa muito menor, da qual você nunca ouviu falar, mas que está conectada à sua rede e é responsável por uma parte pouco significativa, mas necessária, da sua operação”, completou.

Um exemplo disso aconteceu em 2017, quando o NotPetya – o ciberataque mais devastador da história – infectou organizações em todo o mundo.

Aparentemente, o malware começou a se espalhar usando o mecanismo de atualização de um software sequestrado da Linkos Group, uma empresa ucraniana de recursos contábeis que prestava serviços para uma série de empresas dos mais diferentes países.

"Quem teria pensado, na época do NotPetya, que a atualização de um software de contabilidade causaria prejuízos e desestruturaria empresas ao redor do mundo. Especialmente porque não se tratava de um fornecedor importante para nenhuma das empresas que foram atingidas, mas causou enormes danos e interrupções", disse Hannigan.

Mas, embora não devamos ignorar a dimensão do NotPetya, é preciso ter em mente que o caso é uma exceção. Outros ataques contra a cadeia de suprimentos são muito mais sutis, com cibercriminosos se infiltrando no fornecedor via malwares ou e-mails de phishing e se apropriando de contas de usuário – que eles usam como porta de entrada para violar a organização de maior interesse, especialmente se já houver uma relação de confiança entre a empresa e seus fornecedores.

Esse foi o caso quando uma empresa de serviços públicos sofreu uma violação de dados após criminosos cibernéticos se infiltrarem em sua rede por meio de um escritório de advocacia, comprometendo a conta de um colaborador do escritório e usando essa conta para ter acesso à empresa.

"O que o invasor fez foi comprometer a caixa de entrada de alguém nesta empresa específica e, como o invasor estava usando a identidade de uma pessoa real e sua caixa de entrada real, a proteção normal contra e-mails de phishing não funcionou, porque é apenas um e-mail de um pessoa normal de confiança. Infelizmente, e não tinha como saberem disso, era um invasor ", explicou Hannigan.

Conscientizar também é parte da prevenção

Um dos principais motivos pelos quais as vulnerabilidades da cadeia de suprimentos podem passar despercebidas é porque, muitas vezes, não está claro quem é o responsável pelo gerenciamento de riscos quando se trata de relacionamentos com fornecedores terceirizados.

Mesmo que se saiba que um fornecedor pode ter vulnerabilidades, resolver o problema pode ser muito mais complexo e talvez nunca aconteça, pois não há uma pessoa ou equipe dedicada, responsável por este fornecedor em específico.

"Até hoje, nunca conheci um CISO que não soubesse que existe um enorme ecossistema para entender e proteger. Mas encontrar uma maneira de fazer isso é um desafio. Mesmo as maiores organizações têm uma equipe limitada para lidar com o risco cibernético e há um limite para o que eles podem fazer. Você não pode esperar que uma equipe pequena gerencie os riscos de 10.000 fornecedores", comenta Hannigan.

Para gerenciar melhor o risco representado pelas vulnerabilidades da sua cadeia de suprimentos, o relatório recomenda que as organizações devem decidir quem é o proprietário do risco cibernético de terceiros, a fim de adotar uma estratégia eficaz para gerenciá-lo, bem como melhorar a visibilidade de toda o ecossistema de fornecedores.

O relatório também recomendou que as organizações podem e devem alertar e ajudar terceirizados a lidar com vulnerabilidades em potencial – pois isso também é uma forma de se proteger.

"Os criminosos não desistem, simplesmente; eles só procuram formas mais fáceis de entrar. É inevitável que, quando os perímetros das empresas forem melhor defendidos, os criminosos comecem a procurar alternativas mais vulneráveis – e a cadeia de suprimentos é uma forma óbvia e, na maioria das vezes, eficaz de fazer isso”, finaliza Hannigan.

O relatório completo você pode ler aqui.

Mantenha todas as superfícies de ataque da sua empresa segura. Entre em contato com os especialistas da Compugraf!

Malwares continuam evoluindo, mas erros humanos e de empresas ainda são alguns dos principais responsáveis por incidentes graves de segurança.

O que você vai ler hoje:

• Google remove da Play Store 17 aplicativos para Android infectados com malware
• Airbnb pode se ver responsável por um grave incidente de segurança de vazamento de dados
• Novo malware Alien faz de tudo e mais um pouco com seus dispositivos
• O melhor jeito de combater ataques de ransomware ainda é, simplesmente, não deixar que eles aconteçam

Google remove da Play Store 17 aplicativos para Android infectados com malware

Esta semana, o Google removeu 17 aplicativos para Android da Play Store infectados com o malware Joker (também conhecido como Bread), de acordo com pesquisadores de segurança da Zscaler.

O Joker é um spyware projetado para roubar mensagens SMS, listas de contatos e informações de dispositivos, junto com a inscrição da vítima em serviços premium de protocolo de aplicativos sem fio (WAP).

Os 17 aplicativos maliciosos haviam surgido na Play Store este mês baixados mais de 120.000 vezes até serem detectados.

Eram eles:

• All Good PDF Scanner
• Mint Leaf Message-Your Private Message
• Unique Keyboard – Fancy Fonts & Free Emoticons
• Tangram App Lock
• Direct Messenger
• Private SMS
• One Sentence Translator – Multifunctional Translator
• Style Photo Collage
• Meticulous Scanner
• Desire Translate
• Talent Photo Editor – Blur focus
• Care Message
• Part Message
• Paper Doc Scanner
• Blue Scanner
• Hummingbird PDF Converter – Photo to PDF

Seguindo seus procedimentos internos, o Google removeu os aplicativos da Play Store e usou o serviço Play Protect para desabilitar os aplicativos em dispositivos infectados, mas os usuários ainda precisam remover os aplicativos de seus dispositivos manualmente.

Essa recente remoção também marca a terceira ação da equipe de segurança do Google contra um lote de aplicativos infectados pelo Joker nos últimos meses.

No início do mês, o Google removeu seis desses aplicativos após eles terem sido detectados e denunciados por outros pesquisadores de segurança.

Antes disso, em julho, a empresa removeu outro lote de aplicativos infectados, que estava ativo desde março e conseguiu infectar milhões de dispositivos.

Airbnb pode se ver responsável por um grave incidente de segurança de vazamento de dados

A empresa de hospedagem Airbnb pode ser responsável por um grave incidente de segurança, já que seus hosts relataram, na semana passada, que conseguem acessar inadvertidamente caixas de entrada privadas que não estão associadas às suas contas.

Na quinta-feira, os anfitriões do Airbnb inundaram o fórum Reddit para questionar o súbito aparecimento de caixas de entrada que não pertencem a eles quando fizeram login na plataforma.

Por meio de screenshots de uma dessas “caixas de entrada compartilhadas”, um usuário denunciou o ocorrido, alegando não ter "nenhuma associação com essas pessoas ou com seus apartamentos".

Embora nenhuma conta de hóspedes, até o momento, tenha relatado problemas semelhantes, os anfitriões podem ver os endereços de outras pessoas, bem como demais informações pessoais – como os códigos necessários para acessar uma propriedade -, o que significa que os problemas da caixa de entrada do Airbnb podem ser considerados um incidente de segurança extremamente grave, uma vez que compromete a segurança residencial de seus usuários.

Várias capturas de tela enviadas ao Imgur também mostram que dados como nomes completos, fotos de perfil, ganhos com reservas, número de reservas em um período de 30 dias e visualizações de propriedades podem ser acessados indevidamente por essas caixas de entrada compartilhadas.

Em nota oficial, o Airbnb disse que um "problema técnico" ocorreu às 9h30 do dia 25 de setembro e foi identificado dentro de uma hora, impactando as plataformas de desktop e acessos via navegador, mas não o aplicativo móvel do Airbnb.

O problema foi resolvido às 12h30. Embora o acesso inadvertido tenha sido concedido a alguns usuários, o Airbnb diz que eles não foram capazes de modificar nenhum dos dados vazados:

"Na quinta-feira, um problema técnico resultou em um pequeno grupo de usuários visualizando inadvertidamente quantidades limitadas de informações de contas de outros usuários", informou a empresa. "Corrigimos o problema rapidamente e estamos implementando controles adicionais para garantir que isso não aconteça novamente. Não acreditamos que nenhuma informação pessoal foi usada indevidamente e em nenhum momento as informações de pagamento foram comprometidas."

Novo malware Alien faz de tudo e mais um pouco com seus dispositivos

Pesquisadores de segurança descobriram e analisaram uma nova variedade de malware Android, caracterizado por uma ampla gama de recursos que permitem roubar as credenciais de 226 aplicativos.

Chamado de “Alien”, este novo trojan está ativo desde o início do ano e foi ofertado como um Malware-as-a-Service (MaaS) em fóruns de hackers clandestinos.

Em um relatório compartilhado esta semana com veículos de comunicação, os pesquisadores de segurança do ThreatFabric investigaram profundamente as postagens de um desses fóruns clandestinos, bem como as amostras do Alien para entender a evolução, truques e demais recursos do malware.

E, de acordo com os pesquisadores, o Alien não chega a ser uma novidade, mas sim uma nova versão baseada no código-fonte de uma gangue rival de malware chamada Cerberus.

De acordo com o ThreatFabric, a Cerberus morreu porque a equipe de segurança do Google encontrou uma maneira de detectar e limpar dispositivos infectados. Mas mesmo que o Alien tenha sido baseado em uma versão mais antiga de Cerberus, ele não parece ter esse problema, e seu MaaS vem justamente para preencher o vazio deixado pela gangue rival.

Além disso, os pesquisadores dizem que o Alien é ainda mais avançado do que o Cerberus, já que ele faz parte de uma nova geração de Trojans bancários para Android que também integraram recursos de acesso remoto em seus códigos-base.

Isso torna o Alien uma mistura excepcionalmente perigosa para os dispositivos infectados.

O malware não só pode mostrar telas de login falsas e coletar senhas para vários aplicativos e serviços, como também pode conceder aos hackers acesso a dispositivos para usar essas credenciais ou até mesmo realizar outras ações.

Atualmente, de acordo com ThreatFabric, o malware conta com os seguintes recursos:

• Pode sobrepor o conteúdo de outros aplicativos (recurso usado para coletar credenciais de login via phishing)
• Registrar o que está sendo digitado no teclado dos dispositivos
• Fornecer acesso remoto a um dispositivo após a instalação de uma instância TeamViewer
• Coletar, enviar ou encaminhar mensagens SMS
• Roubar lista de contatos
• Coletar detalhes de dispositivos e listas de aplicativos
• Coletar dados de geolocalização
• Fazer pedidos USSD
• Encaminhar chamadas
• Instalar e iniciar outros aplicativos
• Iniciar navegadores em páginas específicas
• Bloquear a tela (um recurso semelhante ao ransomware)
• Mostrar notificações sniff no dispositivo
• Roubar códigos 2FA gerados por aplicativos autenticadores

O malware é majoritariamente distribuído por sites de phishing via uma páginas falsas para “download de atualizações de software” ou com atualizações fakes sobre o coronavírus (um golpe comum no momento).

Outro método de proliferação do malware ao qual se deve estar atento é via SMS, pois, uma vez que infectado, é possível que o ALien colete a lista de contatos do dispositivos, que será reutilizada para espalhar a campanha de malware, alertam os pesquisadores.

O melhor jeito de combater ataques de ransomware ainda é, simplesmente, não deixar que eles aconteçam

Este ano, houve um aumento incomparável no número de ataques de ransomware, onde cibercriminosos não apenas criptografam as redes das vítimas e exigem um pagamento de seis dígitos em bitcoin para devolver os arquivos sequestrados, mas também ameaçam publicar informações corporativas confidenciais e outros dados roubados se a vítima não pagar o resgate.

Por outro lado, estão surgindo iniciativas como o projeto No More Ransom da Europol, que tenta combater esses criminosos oferecendo recursos gratuitos de descriptografia para centenas de famílias diferentes de ransomware – projeto que estima-se ter impedido que mais de quatro milhões de vítimas precisassem pagar pelo resgate.

Contudo, os mesmos responsáveis pela iniciativa ainda alertam que a melhor maneira de se proteger contra o dano potencial de um ataque de ransomware é garantir que as organizações, empresas e indivíduos tenham as medidas de segurança cibernética necessárias para se prevenir do ransomware antes de qualquer coisa.

O principal conselho é fazer o backup dos seus dados e mantê-los offline. Também é essencial que todos os sistemas operacionais e antivírus estejam devidamente atualizados e que as equipes de TI implementem qualquer patch disponível o mais rápido possível para mitigar quaisquer vulnerabilidades.

Também é importante que as organizações ensinem seus colaboradores a detectarem um ataque cibernético em potencial, para que não corram o risco de serem ludibriados, uma vez que são eles a superfície de ataque mais vulnerável.

Conte com a Compugraf para manter sua empresa segura. Entre em contato com nosso time de especialistas!