Conhecido, malware TrickBot volta a atacar após um período incomum de inatividade

Conhecido, malware TrickBot volta a atacar após um período incomum de inatividade

O grupo por trás do conhecido malware TrickBot está de volta após uma pausa excepcionalmente longa entre suas campanhas de ataque. Mas, de acordo com pesquisadores de segurança, agora a gangue opera com atividade reduzida.

A suspeita é de que a pausa se deve ao fato de o grupo ter mobilizado uma significativa mudança operacional, focada em explorar malwares de parceiros, como o do grupo Emotet. Com isso, ficaria mais fácil escalar os ataques.

Confira a seguir mais detalhes da descoberta:

TrickBot está de volta: o que isso significa?

Um relatório publicado pela Intel 471 em fevereiro deste ano sinalizou um período “estranho” de relativa inatividade da gangue. De acordo com eles, “de 28 de dezembro de 2021 a 17 de fevereiro de 2022, os pesquisadores da Intel 471 não observaram novas campanhas do TrickBot”.

Antes da calma, um incidente, que ocorreu em novembro de 2021, indicava que o botnet do TrickBot havia sido usado para distribuir o malware Emotet – indicando que a colaboração com o grupo por trás do Emotet estaria em andamento. O relatório da Intel 471 também associa o TrickBot a um terceiro grupo – os operadores da família de malware Bazar – cujos controladores “enviaram comandos para baixar e executar o TrickBot (em meados de 2021) e o Emotet (em novembro de 2021)”.

De modo geral, os pesquisadores especulam que, desta vez, “é provável que os membros do grupo tenham eliminado o malware TrickBot de suas operações, explorando outras plataformas, como o Emotet”.

A “turbulenta” história do malware TrickBot

O TrickBot foi originalmente criado como um trojan bancário, em 2016. De lá para cá, porém, ele evoluiu para um ecossistema completo de malware, recheado de recursos para espionagem e roubo de dados, verificação de vulnerabilidades para invasão de rede, antidepuração – que serve para travar os navegadores dos pesquisadores antes de que eles tenham a chance de identificar sua presença – e identificando e contornando firmwares, dentre outras operações.

Por conta disso, o TrickBot recebeu uma atenção especial das autoridades nos últimos anos. Em 2020, a Microsoft obteve uma ordem judicial dos EUA que permitia apreender servidores do grupo por trás do malware. No ano passado, vários membros desse grupo foram presos e acusados, podendo passar anos na prisão.

Apesar desses esforços, o TrickBot permaneceu ativo.

Isto é, até o final de dezembro de 2021, quando novos ataques foram interrompidos e instaurou-se um período curioso de “silêncio” por parte do grupo.

De acordo com o relatório, a campanha mais recente do Trickbot “aconteceu em 28 de dezembro de 2021. Essa foi uma das três campanhas de malware ativas durante o mês. Apenas para fins de comparação, oito [campanhas] diferentes foram descobertas em novembro de 2021.”

“Embora tenha havido inatividade de tempos em tempos”, observou o relatório, “uma pausa tão longa pode ser considerada incomum”.

Além disso, os arquivos de configuração de malware integrados do TrickBot, que contêm uma lista de endereços de controladores aos quais o bot pode se conectar, “não foram acessados por longos períodos”, disseram os pesquisadores.

Surpreendentemente, esses arquivos já foram atualizados com certa frequência, mas estão recebendo cada vez menos atualizações, disseram os pesquisadores. Por outro lado, a infraestrutura de comando e controle (C2) associada ao TrickBot permanece ativa, com atualizações para “plugins adicionais, injeções da web e configurações adicionais para bots na botnet”.

Os pesquisadores agora concluíram que “essa pausa se deve parcialmente a uma grande mudança dos operadores do TrickBot”.

Uma aliança antiga

Como observado, a colaboração com o Emotet (e o Bazar) não é nova. Mas os pesquisadores disseram à imprensa que a natureza da parceria pode estar evoluindo.

“É difícil dizer o que poderia resultar da colaboração”, escreveu Hank Schless, gerente sênior de soluções de segurança da Lookout, ao Threatpost. “Sabemos que o Emotet recentemente começou a testar como o malware poderia instalar excertos de Cobalt Strike em dispositivos previamente infectados, então talvez eles possam combinar a funcionalidade com o TrickBot.”

Cobalt Strike é uma ferramenta de teste de penetração usada tanto por analistas cibernéticos quanto por invasores. Tendo sucesso no teste, fica ainda mais fácil escalar os ataques.

“Cibercriminosos estão compartilhando seus malwares em fóruns da Dark Web e outras plataformas, o que ajuda toda a comunidade do cibercrime a evoluir suas táticas”, comenta Schless.

Às vezes, as gangues de crimes cibernéticos nutrem parcerias ou relacionamentos comerciais muito parecidos com o que acontece nos negócios convencionais. E, neste caso, parece que a equipe por trás do TrickBot decidiu que era mais fácil “comprar” do que “construir” seu malware, se aproveitando do desenvolvimento de outras gangues.

Alguns acham que o malware original do grupo pode, inclusive, sair de cena.

Afinal, o TrickBot agora tem cinco anos – uma vida inteira em termos de segurança cibernética. “Talvez”, escreveram os pesquisadores da Intel 471, “uma combinação de atenção indesejada ao e a disponibilidade de recursos de malware mais novos e aprimorados tenha convencido os operadores do TrickBot a abandoná-lo de vez”.

Quer proteger sua empresa dos riscos de malware? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Manufatura é o setor mais afetado por ransomware no Brasil

Manufatura é o setor mais afetado por ransomware no Brasil

Relatório sobre ameaças de segurança na América Latina, publicado pela IBM, mostra que as empresas brasileiras do setor de manufatura estão sentindo o maior impacto dos ataques orquestrados por gangues de ransomware

Ransomware, comprometimento de e-mail corporativo (BEC) e coleta de credenciais paralisaram as empresas do setor na América Latina em 2021, sobrecarregando ainda mais as cadeias de suprimentos.

É o que descobriu o X-Force Threat Intelligence Index, da IBM, em um relatório exclusivo sobre ciberataques na LATAM. No Brasil, o ransomware foi o principal método de ataque usado pelos criminosos no ano passado, respondendo por 32% dos incidentes de segurança reportados no país.

Indústria de manufatura é a mais afetada no Brasil

Dentre os alvos, as indústrias de manufatura foram o setor mais atacado, representando 20% dos ataques de ransomware em 2021. Mas, segundo o estudo, esse dado reflete uma tendência global, pois os cibercriminosos encontraram uma vantagem incontestável no papel crítico que a manufatura exerce nas cadeias de suprimentos globais; com isso, é mais fácil pressionar as vítimas para pagar pelos resgates milionários.

Respondendo por 17% dos ataques de ransomware desse extrato, o setor de mineração é o segundo mais visado por gangues de ransomware no Brasil. Os segmentos de energia e varejo respondem por 15% dos ataques.

O relatório também revela que a vida útil média de um grupo de ransomware antes de deixar o negócio ou mudar de modus operandi gira em torno dos 17 meses. O REvil foi o tipo mais comum de ransomware, correspondendo a 50% dos ataques remediados na América Latina.

Além disso, os pesquisadores observaram que a taxa de ataques de comprometimento de e-mail comercial (BEC) é maior na América Latina do que em qualquer outra parte do mundo, acelerando de 0% em 2019 para 26% em 2021 no Brasil. Já as vulnerabilidades não-corrigidas possibilitaram 18% dos ataques em 2021.

O estudo também diz que a América Latina teve um aumento de 4% nos ataques cibernéticos em 2021, em relação ao ano anterior. A pesquisa sugere que Brasil, México e Peru foram os países mais atacados da região no ano passado.

Um relatório separado sobre ameaças cibernéticas, publicado pela SonicWall no início de fevereiro, registra que o Brasil está atrás apenas dos EUA, Alemanha e Reino Unido em ataques de ransomware. Com mais de 33 milhões de tentativas de intrusão em 2021, o país ficou em nono lugar no mesmo ranking do ano anterior, com 3,8 milhões de ataques de ransomware.

Gastos com segurança cibernética vão aumentar 10% em 2022

Em uma nota semelhante, de acordo com a empresa de análise IDC, os gastos gerais com segurança devem chegar a quase 5 bilhões de reais no Brasil em 2022 – um aumento de 10% em relação a 2020.

Desse total, os gastos com soluções de segurança chegarão a 4,5 bilhões de reais, com a segurança na nuvem se tornando uma área de foco para os tomadores de decisão no setor de TI.

E mais: a escassez de habilidades em segurança da informação é um dos problemas mais significativos enfrentados pelas organizações brasileiras, mencionado por 40% das empresas pesquisadas pelo IDC. 57% dos entrevistados disseram que vão contar com ajuda externa para gerenciar e operar ambientes com soluções modernas de cibersegurança devido à escassez de profissionais para impulsionar as equipes internas.

Por fim, de acordo com um estudo divulgado em dezembro de 2021 pela PwC, a grande maioria das empresas brasileiras planeja aumentar seus orçamentos de segurança cibernética em 2022. O estudo observou que o aumento de ataques cibernéticos contra organizações locais estava entre as principais preocupações dos tomadores de decisão.

O estudo ainda sugere que 45% das empresas brasileiras estimam um aumento de 10% ou mais nos investimentos em segurança de dados, ante 26% no mundo todo. Apenas 14% dos líderes brasileiros expressaram os mesmos níveis de preocupação em relação à segurança cibernética em 2020, contra 8% no mundo.

Em 2021, 50% das empresas pesquisadas pela PwC afirmaram ter alocado até 10% de seu orçamento de tecnologia para ações relacionadas à segurança.

Quer manter sua empresa segura? Conheça as soluções da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Novos grupos de cibercriminosos estão direcionando ataques à tecnologia industrial e operacional

Dois dos novos grupos são sofisticados o bastante para invadir redes ICS/OT diretamente, podendo comprometer infraestruturas industriais

Pesquisadores de cibersegurança descobriram três novos grupos de ameaças focados no setor industrial. Mais da metade de todos os ataques ao setor, porém, são obra de dois grupos conhecidos e altamente sofisticados.

As diferentes motivações para os ataques

Ataques cibernéticos que visam players industriais, infraestrutura crítica, serviços públicos, energia e afins geralmente não têm objetivo de ganhar dinheiro, e sim de roubar dados ou causar interrupções catastróficas como forma de ameaça ou para “impor respeito”. Os incidentes de ransomware vivenciados pelo oleoduto Colonial Pipeline e pela JBS, da indústria de alimentos, por exemplo, chamaram a atenção justamente para isso – o quanto conseguiam ser destrutivos e se espalhar, rapidamente, pelos setores essenciais dos Estados Unidos.

A Colonial Pipeline precisou interromper temporariamente o seu fornecimento de combustível por toda a costa leste dos EUA, causando pânico nos cidadãos da região, que temiam ficar sem gasolina. Já a JBS, um frigorífico global, pagou US$ 11 milhões pelo resgate de seus sistemas, o que, contudo, não foi o suficiente para impedir um aumento no preço das carnes e diminuição do abate de gado, devido à incerteza do mercado.

Com consequências tão catastróficas, que indivíduo ou empresa não morreria de medo de sofrer um ataque de ransomware?

Mas os ataques às indústrias, especialmente aqueles conduzidos por grupos de ameaças persistentes avançadas (APT), também podem ter natureza política.

Pouco antes da invasão da Ucrânia pela Rússia, a Rússia foi acusada mobilizar ataques cibernéticos à Ucrânia, incluindo um ataque distribuído de negação de serviço (DDoS) a sites do governo ucraniano. Os serviços financeiros no país também foram impactados, de acordo com a Ucrânia.

O Kremlin negou qualquer envolvimento, mas não foi a primeira vez em que uma denúncia desse tipo ocorreu: a Rússia também foi apontada como responsável por um ataque cibernético em 2015, que derrubou a rede elétrica da Ucrânia e interrompeu o fornecimento de energia no país.

Os ataques a Sistemas de Controle Industrial colocam setores críticos no centro do alvo

No quinto relatório Year In Review da norte-americana Dragos, que foca em ameaças do Sistema de Controle Industrial (ICS) e Tecnologia Operacional (OT), a empresa, especialista em segurança cibernética industrial, disse que foram descobertos três novos grupos “com a motivação clara de direcionar seus ataques para ICS/OT”.

A descoberta dá continuidade à pesquisa do ano anterior, que detalhou as façanhas de quatro outros grupos de cibercriminosos, apelidados de Stibnite, Talonite, Kamacite e Vanadinite.

Os três novos grupos descobertos pela Dragos são Kostovite, Petrovite e Erythrite.

Os grupos de cibercriminosos que ameaçam o setor industrial

A Dragos detalhou, em seu relatório, as diferenças entre as gangues:

Kostovite:

Em 2021, o grupo Kostovite visava uma importante organização de energia renovável. Os criminosos exploraram uma vulnerabilidade zero-day no software de acesso remoto Ivanti Connect Secure para obter acesso direto à infraestrutura da empresa, mover-se lateralmente e roubar dados. O Kostovite tem como alvo instalações na América do Norte e Austrália e, ao que tudo indica, tem relação com o UNC2630, um grupo de língua chinesa associado a 12 famílias de malware.

Petrovite:

Aparecendo pela primeira vez em 2019, a Petrovite frequentemente tem como alvo empresas de mineração e energia no Cazaquistão. O grupo invade os sistemas para reconhecimento de rede e roubo de dados.

Erythrite:

Já a gangue Erythrite, ativa desde 2020, geralmente tem como alvo organizações nos EUA e no Canadá. A lista de alvos é ampla e inclui petróleo e gás, manufatura, empresas de energia e um membro da Fortune 500.

“O Erythrite executa envenenamento altamente eficaz de mecanismo de pesquisa e usa a implantação de malware para roubo de credenciais”, diz a Dragos. “Seu malware é lançado como parte de um ciclo de desenvolvimento rápido projetado para contornar a detecção endpoint. O Erythrite possui semelhanças, a nível técnico, com outro grupo rotulado por várias organizações de segurança de TI como Solarmarker.”

Dois dos grupos são altamente sofisticados

Kostovite e Erythrite demonstraram habilidades para conduzir invasões sofisticadas, “com foco em operações de acesso inicial e roubo de dados, em vez de interrupção”, informa a Dragos.

“[Esses] adversários estão dispostos a gastar tempo, esforço e recursos comprometendo e coletando informações de ambientes ICS/OT para utilização futura”, diz Dragos.

Os novos grupos em cena se juntam ao Lockbit 2.0 e ao Conti, responsáveis ​​por 51% de todos os ataques de ransomware no setor de manufatura em 2021.

Além disso, de acordo com a empresa, o risco é ainda maior para o setor industrial porque a triagem de ameaças de OT é “incrivelmente difícil de se escalar”, pois 86% das ocorrências têm falta de visibilidade da rede.

Finalizando, o relatório alerta que mais de um terço dos avisos CVE também contêm dados imprecisos e erros quando se trata de ICS/OT, dificultando o desafio de corrigir vulnerabilidades emergentes corretamente. Além disso, 65% dos avisos para vulnerabilidades públicas tinham um patch disponível, mas nenhuma alternativa de mitigação.

Quer proteger sua empresa de ponta a ponta? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Gangues de ransomware estão mudando suas táticas – e isso pode sair caro para empresas de médio porte

Pesquisadores de cibersegurança detalham como alguns grupos de ransomware estão migrando sua atenção para alvos menores, mas que asseguram pagamentos significativos

O custo e o risco dos ataques de ransomware estão aumentando, o que tem tornado mais difícil para criminosos cibernéticos executá-los. Com a diminuição, o número geral de ataques de ransomware está caindo de forma notável. Por outro lado, esse movimento também significa que algumas vítimas de ransomware acabam pagando um preço mais alto.

Os ataques de ransomware ainda estão em alta, com vários incidentes importantes sendo notificados pela imprensa global; no entanto, de acordo com uma análise da empresa de segurança cibernética Coveware, há sinais de que mudanças recentes podem reduzir o número total de ataques ao redor do mundo.

Acontece que essa redução acompanha uma lei básica de oferta e demanda: com menos ataques acontecendo, eles se tornam mais direcionados e o valor de resgate solicitado pelos grupos de ransomware aumenta.

O que mudou?

Existem algumas possibilidades: é provável que várias organizações tenham aprimorado sua segurança cibernética ao longo dos últimos dois anos marcados pela pandemia da COVID-19, que forçou diversas empresas a adotarem um regime remoto ou híbrido. Essas modificações aumentaram os investimentos em cibersegurança, tornando as soluções corporativas mais robustas contra ataques e, sobretudo, mais atentas ao risco do ransomware, que vem marcando o noticiário cibernético quase que pelo mesmo período.

Outra possibilidade – mais citada pelos pesquisadores – é o aumento no número de prisões de indivíduos associados a ataques de ransomware. Essa contenção direta é citada como a maior mudança no cenário do ransomware ao redor do mundo, com a prisão, na Rússica, de vários suspeitos afiliados ao ransomware REvil tida como a mais notável.

E, de acordo com a análise da Coveware, esse movimento aumentou o perfil de risco dos ataques de ransomware e, por consequência, do envolvimento dos criminosos com esse tipo de ameaça. O aumento no risco é seguido por uma diminuição no número de criminosos cibernéticos afiliados a malwares de criptografia, porque alguns decidirão que o potencial de ser preso e extraditado não vale o risco, como já tem sido observado.

O outro lado da moeda

No entanto, embora uma diminuição no número de ataques seja positiva, de modo geral, ela pode vir com um efeito colateral ainda mais sério – o custo das demandas de resgate vai aumentar, principalmente para vítimas menos conhecidas.

De acordo com a Coveware, o pagamento médio de resgate durante os últimos três meses de 2021 foi de cerca de 322 mil dólares- mais que o dobro do valor do trimestre anterior.

Esse aumento ocorre após o que os pesquisadores descrevem como uma “mudança tática” para mirar em empresas que são grandes o bastante para pagar quantias significativas de resgate, mas que, por outro lado, são pequenas o suficiente para que os invasores não precisem gastar muito tempo e esforço na preparação e efetivação do do ataque.

Os pesquisadores também alertam que essa mudança tática provavelmente continuará ao longo dos próximos meses, citando uma entrevista com um afiliado de ransomware da LockBit, que detalha a mentalidade por trás da mudança:

“Você pode dar sorte e lucrar muito mirando em empresas multinacionais, mas [também pode] provocar um conflito geopolítico tão grande que vão te encontrar e te prender rapidamente. É melhor receber pequenas quantias estáveis de empresas de médio porte de forma discreta”, disse ele.

Obviamente, os criminosos não querem deixar de lucrar, mesmo que isso implique em abrir mão de estratégias muito mais ousadas e com um retorno muito maior.

O alerta fica, sobretudo, para empresas que acreditavam não estar na mira desses grupos justamente porque a tendência era ir atrás de alvos maiores.

Mantenha suas informações protegidas e previna-se dos mais diversos ataques. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Google Drive implementa alerta que notifica o usuário de arquivos suspeitos em meio ao aumento de ataques de malware

Nos últimos anos, os criminosos têm se voltado cada vez mais para as plataformas de armazenamento na nuvem como meio de de distribuição de malware a vítimas em potencial. Uma dessas plataformas, amplamente utilizada por organizações e para fins pessoais, são os drives em nuvem – como o OneDrive, da Microsoft, e o Google Drive.

Mas um novo e simples recurso, que foi adicionado recentemente ao Google Drive, ajudará seus usuários a evitar esses ataques criminosos.

O que é essa nova camada de defesa? Um banner simples e colorido, que emite um alerta na parte superior da página quando um usuário acessa um arquivo na plataforma de armazenamento em nuvem.

Nova camada de proteção do Google Drive visa alertar usuários de risco provável

Basicamente, os arquivos que a detecção avançada de malware do Google considerar incompletos serão sinalizados ao usuário. O banner deixa claro que “este arquivo parece suspeito e pode ser usado para roubar suas informações pessoais.

banner de alerta de malware do Google Drive

Talvez não pareça grande coisa, mas é o tipo de mensagem que pode manter os usuários desprevenidos fora de perigo.

Mas como o Google Drive determina que um arquivo como o do exemplo pode ser malicioso? É relativamente simples: ações como solicitar informações financeiras ou dados pessoais podem acionar os sinalizadores, assim como campos de formulário e recursos ativos, como macros, que pareçam suspeitos.

Esses banners começarão a ser lançados no Google Workspace e no G Suite nas próximas semanas. Originalmente anunciado em outubro de 2021, o lançamento completo, porém, não deve acontecer tão cedo.

Isso porque, de acordo com o relatório de ameaças na nuvem, de janeiro de 2022, produzido pela Netskope, o Google Drive tornou-se o ponto de distribuição de arquivos maliciosos número para os cibercriminosos, o que demanda ainda mais investimentos em soluções de segurança um pouco mais complexas do que um banner de alerta.

Além disso, a Netskope determinou que cerca de 37% de todos os downloads maliciosos foram fornecidos pelo Google Drive. Mas a plataforma não é o único serviço de armazenamento em nuvem citado no relatório. O OneDrive, da Microsoft, ficou em segundo lugar com 20% de participação.

Sim, tanto a Microsoft quanto o Google – e todos os outros provedores de armazenamento em nuvem respeitáveis ​– analisam arquivos carregados em seus servidores a fim de detectar conteúdo malicioso. É um jogo interminável de gato e rato, no entanto, os hackers criminosos geralmente estão um passo à frente.

Mudanças pequenas, mas importantes, como os novos banners de aviso do Google Drive podem fazer toda a diferença. Se esse cabeçalho der ao usuário um motivo para parar e pensar antes de clicar inconscientemente em um botão com isca para malware, a missão está cumprida.

Quer levar a segurança dos seus arquivos e da sua empresa a um novo patamar? Conheça as soluções da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Hackers sequestram contas do Instagram de empresas e influenciadores, exigindo resgate

O acesso às contas está sendo vendido por até 40.000 dólares

Usando ciberataques direcionados, hackers estão sequestrando contas do Instagram de empresas e influenciadores relevantes (isto é, com muitos seguidores), de acordo com um relatório publicado pela Secureworks sobre uma nova campanha de phishing em atividade. Além de sequestrar a conta, os criminosos ameaçam vendê-la, solicitando valores exorbitantes.

A empresa, ao divulgar o relatório, disse que descobriu o esforço dos cibercriminosos em outubro de 2021, após encontrar hackers usurpando contas de destaque na rede social e exigindo um resgate em troca da devolução do perfil.

Como as contas do Instagram são sequestradas

Os criminosos por trás do ataque enviam, inicialmente, uma mensagem na qual fingem ser o Instagram, notificando os usuários sobre uma suposta violação de direitos autorais. Há um link na mensagem que leva as vítimas a um site controlado pelos hackers. A partir daí, o usuário é solicitado a inserir suas informações de login no Instagram, que são roubadas e dão aos invasores acesso total às contas.

“Depois de obter o controle da conta, os cibercriminosos alteram a senha e o nome de usuário do perfil. O nome de usuário modificado é uma variação de ‘pharabenfarway‘, seguido por um número que parece ser o número de seguidores da conta invadida”, explicou a Secureworks.

“Os criminosos ainda adicionam um comentário ao perfil, dizendo que ‘esta conta do Instagram deve ser vendida de volta ao seu proprietário’. O comentário inclui um link composto por um domínio encurtado do WhatsApp (wa .me) e um número de contato.

Clicar no link abre um prompt de conversa por meio do WhatsApp, onde o usuário pode falar com os criminosos. Eles também podem entrar em contato com a vítima por mensagem de texto, usando o número de telefone listado na conta, com o objetivo de negociar um valor de resgate, em troca do acesso à conta.”

A Secureworks, com base nas datas de criação do domínio utilizado para os ataques, acredita que os hackers sequestraram várias contas e iniciaram a campanha em 2021.

Além disso, por meio de pesquisas em fóruns da dark web, a Secureworks encontrou uma postagem datada de setembro de 2021; nela, alguém ligado aos hackers vendia o acesso a contas invadidas do Instagram por cerca de 40.000 dólares.

De acordo com o relatório, os hackers fornecem números de telefone que indicam que as operações provavelmente estão baseadas na Rússia e na Turquia. Outras evidências indicam que pelo menos um dos criminosos tem origem turca.

“Em um incidente, as comunicações dos agentes de ameaças se originaram de uma versão em turco do Instagram. Além disso, a fonte da página de um dos sites de phishing faz referência ao serviço de compartilhamento de arquivos turco hizliresim[.]com. A infraestrutura associada a esta campanha é baseada na Turquia e outros países”, disse a empresa.

Os pesquisadores também alertaram que ataques como esse podem dar aos hackers acesso a contas de e-mail ou outros recursos corporativos, se as senhas forem reutilizadas.

Além disso, se o Instagram invadido for utilizado para estratégias de comunicação de uma empresa, ou para parcerias, no caso de influencers, o sequestro da conta pode abrir as portas para um ataque ainda mais prejudicial, no qual informações corporativas podem ser comprometidas.

O modelo, similar ao de ataques de ransomware, aponta para a importância da utilização de medidas de segurança básicas, como a autenticação multifator, para prevenir problemas sérios oriundos de ciberataques.

Mantenha sua empresa e seus colaboradores seguros. Conheça as soluções da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Microsoft elenca as principais ameaças para os CISOs em 2022

Gangues são detidas, mas os prejuízos dos ciberataques só crescem nos últimos anos. Cerca de 9 bilhões de dólares foram desviados em 2021, fora os prejuízos acarretados por ciberataques.

O que você vai ler:

Interpol prende uma das maiores gangues de cibercriminosos do mundo

Uma das maiores gangues de cibercriminosos, originada da Nigéria e conhecida como SilverTerrier, foi interceptada em uma operação policial que deteve 11 indivíduos em dezembro de 2021, anunciou a Interpol.

A agência de segurança internacional disse que os suspeitos pareciam ter como alvo até 50.000 indivíduos e empresas diferentes por meio de ataques de comprometimento de e-mail comercial. Conhecidos como BECs (Bussiness E-mail Compromise), esses ataques servem para auxiliar os criminosos a encontrarem uma maneira de interceptar e-mails, seja por meio da invasão de contas ou falsificação de endereços de e-mail, e induzir as empresas a enviar fundos para os fraudadores, em vez de parceiros de negócios com quem eles acreditavam estar interagindo.

E, no mercado norte-americano, o BEC continua sendo a fraude mais custosa para as organizações. De acordo com o mais recente relatório anual de crimes cibernéticos do FBI, as perdas resultantes desses ataques totalizaram US$ 1,8 bilhão somente em 2020, com perdas globais estimadas em cerca de US$ 5 bilhões entre 2018 e 2020. Isso o torna um crime muito mais prejudicial, financeiramente, do que o ransomware.

A SilverTerrier é conhecida como um dos grupos de fraude de comprometimento de e-mail mais bem-sucedidos. A Interpol divulgou, por exemplo, que a análise inicial de um dos 11 computadores dos suspeitos indicou que eles possuíam mais de 800.000 nomes de usuário e senhas, que poderiam ter sido usados ​​para invadir contas de e-mail empresariais.

Além disso, outro suspeito estava monitorando conversas entre 16 empresas e seus clientes, para desviar transações legítimas no momento em que elas estivessem prestes a ser realizadas, disse a Interpol.

Coletivamente, os grupos BEC da Nigéria compõem uma indústria criminal em expansão. Em 2019, os fraudadores nigerianos produziram mais de 81.300 tipos de malware vinculados a 2,1 milhões de ataques ao redor do mundo.

Crypto.com é alvo de ciberataque e tem prejuízo de 35 milhões de dólares

A Crypto.com, uma das maiores e mais conhecidas exchanges de criptomoedas do mundo, admitiu que 483 de seus usuários foram atingidos por um ataque cibernético no início deste mês, levando a saques não autorizados de bitcoin e Ether no valor de 35 milhões de dólares.

Em anúncio inicial, a empresa dissera que 15 milhões de dólares haviam sido levados no assalto.

Sobre as brechas de segurança, a empresa disse ter visto que, para algumas contas, as transações estavam sendo aprovadas sem que o segundo fator de autenticação (o código adicional de uso único, além da senha que permite o acesso a uma conta) fosse inserido por um usuário. Enquanto investigava, todos os saques no Crypto.com foram suspensos, em uma interrupção que durou 14 horas. Em seguida, a empresa exigiu que todos os clientes fizessem login novamente e passassem por um novo processo de autenticação de dois fatores.

Como medida adicional, a Crypto.com também introduziu um recurso no qual, quando um novo endereço é adicionado como beneficiário em uma conta, o usuário receberá notificações e terá 24 horas para cancelar qualquer pagamento, se não tiver autorizado a inserção daquele endereço.

Por fim, é anunciado o Programa Mundial de Proteção de Contas (WAPP), prometendo restaurar fundos de até US$ 250.000 para usuários qualificados. Para se qualificar, os usuários precisam usar autenticação multifator e apresentar um boletim de ocorrência policial, denunciando o roubo.

Pesquisa da Microsoft revela as principais dores de cabeça de CISOs em 2022

O ransomware é a preocupação de segurança número que os Chief Information Security Officers (CISOs) estão enfrentando no início de 2022. Porém, a ameaça é apenas um dos muitos problemas com os quais esses profissionais estão tendo que lidar.

De acordo com uma pesquisa da Microsoft, abordar ameaças de ransomware é o principal desafio de segurança cibernética enfrentado atualmente pelos CISOs, seguido de perto pela configuração de segurança em sistemas em nuvem e pela proteção de ambientes corporativos híbridos e multiplataforma.

Além disso, de acordo com a pesquisa, outros dos principais desafios de segurança cibernética que os CISOs enfrentarão em 2022 incluem o recrutamento de profissionais de segurança e a construção de uma cultura de produtividade dos colaboradores que não sacrifique as medidas de proteção da empresa.

Por fim, a pesquisa revela que a segurança na nuvem é o investimento mais desejado para o ano pelo CISOs, junto com o gerenciamento de vulnerabilidades e a segurança de aplicativos.

8,6 bilhões de dólares em criptomoedas foram desviados por cibercriminosos no ano de 2021

Grupos de cibercriminosos conseguiram desviar no mínimo 8,6 bilhões de dólares em criptomoedas em 2021, de acordo com um novo relatório da Chainanalysis, empresa de análise de blockchain.

A empresa disse que os 8,6 bilhões representam um aumento de 30% na lavagem de dinheiro em relação a 2020, mas são ofuscados por 2019, que viu pelo menos US$ 10,9 bilhões lavados.

A Chainalysis também disse que os cibercriminosos roubaram um montante de US$ 33 bilhões em criptomoedas desde 2017.

2021 representa o primeiro ano desde 2018 em que as exchanges centralizadas não receberam a maioria dos fundos enviados por endereços ilícitos, com os protocolos DeFi – criados para descentralizar o mercado financeiro – contribuindo em grande parte para a diferença.

Na verdade, os protocolos DeFi receberam, em 2021, 17% de todos os fundos enviados por carteiras ilícitas – isto é, 900 milhões de dólares –, em comparação com apenas 2% em 2020.

O relatório ainda diz que os endereços associados ao roubo enviaram pouco menos da metade de seus fundos roubados para as plataformas DeFi – mais de US$ 750 milhões em criptomoedas no total.

E como a Chainalysis já relatou anteriormente, os hackers afiliados à Coreia do Norte foram responsáveis ​​por US$ 400 milhões em hacks de criptomoedas no ano passado, e usaram extensivamente os protocolos DeFi para lavagem de dinheiro.

Mantenha sua empresa segura. Conheça as soluções da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Ministério da Saúde recupera sistemas, após mais de um mês do ciberataque que paralisou o ConecteSUS

Responsáveis pelo ataque tinham credenciais de acesso, de acordo com o Ministério; porém, ministros descartam sabotagem interna

Após um massivo ataque cibernético que interrompeu os principais sistemas do Ministério da Saúde (MS) no Brasil, o órgão governamental informa que, enfim, todas as suas plataformas estão online e funcionais novamente.

De acordo com nota divulgada pelo Ministério da Saúde no dia 14 de janeiro, “a maioria dos sistemas foi restabelecida”. O ataque cibernético aconteceu no início de dezembro de 2021 e derrubou a maior parte dos sites da rede do ministério, incluindo o ConecteSUS, que detém os dados de vacinação da população brasileira contra a COVID-19.

O prazo para a recuperação total dos sistemas é sexta-feira, dia 21 de janeiro.

As consequências do ciberataque ao Ministério da Saúde

Com a paralisação resultante do ataque cibernético, dados cruciais sobre a pandemia, incluindo número de casos, mortes e dados de vacinação, ficaram indisponíveis por quase um mês. Isso significa, por exemplo, que instituições que dependem de dados governamentais sobre a COVID-19 para monitorar os desenvolvimentos locais em torno do vírus não podiam acessar as informações necessárias desde o início de dezembro de 2021.

Gerentes dos hospitais também relataram desafios trazidos pela falta de acesso aos dados, em aspectos como planejamento de novos leitos e compra de medicamentos, bem como contratação de profissionais.

No entanto, Rodrigo Cruz, secretário-executivo do Ministério da Saúde, insiste que não houve comprometimento de informações ou apagão de dados referentes à saúde da população.

“O ministério continuou a receber e divulgar dados [desde o ciberataque], especialmente os dados relativos à pandemia [do COVID-19]. Essas informações foram e continuam sendo facilmente acessíveis em nosso site por meio de nossos relatórios e boletins epidemiológicos”, disse .

O ataque em detalhes

Os criminosos usaram credenciais legítimas de acesso para invadir a rede nacional de dados do Ministério da Saúde. Rodrigo Cruz observou que esse banco de dados, baseado em nuvem, alimenta todos os sistemas de saúde do país, incluindo aqueles relacionados ao gerenciamento de pandemia, o que significa que não há necessidade de técnicas sofisticadas para que um ataque cibernético paralise as operações a nível nacional.

A responsabilidade pelo ataque foi reivindicada pelo Lapsus$ Group, que disse que 50 TB de dados foram extraídos dos sistemas do Ministério da Saúde e, posteriormente, excluídos.

O secretário do Ministério da Saúde confirmou que os invasores conseguiram acessar outros sistemas e excluíram os dados referentes à pandemia do COVID-19, bem como os sistemas onde estavam armazenados. “Não são sistemas de prateleira, que podem ser apagados e reinstalados com um CD ou pendrive,” comenta.

Cruz acrescentou que o primeiro desafio foi garantir que nenhum dado tivesse sido comprometido e, em seguida, reconstruir os sistemas para que o MS pudesse receber as informações geradas pelas cidades e pelos estados.

Ele destacou que todos os sistemas têm seus processos de captura de dados estabelecidos. E, de acordo com o Ministério da Saúde, todas as credenciais de acesso do departamento foram atualizadas e os processos de controle de acesso foram aprimorados. Além disso, foram avaliados os riscos cibernéticos e as vulnerabilidades dos principais sistemas do MS.

Um comitê de proteção de dados também foi criado, como parte do plano de ação do ministério para lidar com as consequências do ataque cibernético.

Questionado sobre a possibilidade de envolvimento de servidores públicos na ocorrência, o ministro da Saúde, Marcelo Queiroga, disse que “se houve sabotagem, não foi por parte do ministério”. Ele acrescentou que cibercriminosos orquestraram o ataque, e a Polícia Federal está investigando o caso.

Mantenha seus sistemas e dispositivos seguros. Conheça as soluções da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Cibersegurança: 2021 foi um ano recorde em ataques cibernéticos, graças ao caso Log4j

Pesquisa da Check Point Research aponta para um aumento de 50% em ataques cibernéticos por semana nas redes corporativas, em comparação com 2020

A Check Point, empresa de segurança cibernética e parceira da Compugraf, divulgou novos dados de cibersegurança de 2021 que mostram que, entre seus clientes, houve um aumento significativo nos ataques cibernéticos semanais em redes corporativas, em comparação com 2020.

Os pesquisadores associaram algumas curvas de crescimento que surgiram no final do ano à vulnerabilidade Log4j, descoberta em dezembro de 2021. No relatório, a Check Point afirma que “2021 foi um ano recorde para ataques cibernéticos” e que a vulnerabilidade do Log4J “só piorou ainda mais as coisas”.

“No ano passado, vimos 50% mais ataques cibernéticos por semana em redes corporativas em comparação com 2020 – um aumento preocupante para as empresas. Vimos, também, o número de ataques cibernéticos atingir um pico no final do ano, em grande parte devido às tentativas de exploração da vulnerabilidade Log4j” disse Omer Dembinsky, gerente de pesquisa de dados da Check Point Software.

Ele acrescenta que “novas técnicas de infiltração e novos métodos de evasão tornaram muito mais fácil para os hackers executarem seus ataques. Mas o mais alarmante é que estamos vendo alguns setores sociais cruciais surgirem na lista dos setores mais afetados pelos ataques cibernéticos”.

As 5 indústrias mais atacadas em todo o mundo

A Check Point descobriu que, em 2021, ataques semanais de qualquer tipo a redes corporativas aumentou em 50%, comparado com o ano de 2020, e, no quarto trimestre, eles tiveram um recorde histórico de ataques cibernéticos semanais por organização, somando 925 ataques por semana.

Empresas da área de Educação e Pesquisa lidaram com uma média de 1.605 ataques por semana às suas redes, o maior volume de ataques já visto pelo setor. Isso representa um aumento de 75% no número de ataques em relação a 2020.

Os setores governamental, de defesa, militar e de comunicações não ficaram muito atrás, com uma média de cerca de 1.100 ataques semanais por organização.

Quando os pesquisadores dividiram os dados desses ataques por região, descobriram que as organizações no continente africano tiveram o maior volume de ataques em 2021, com uma média de 1.582 ataques semanais por organização.

Organizações na região da Ásia-Pacífico (China, Nova Zelândia, Austrália, sudeste asiático, etc.), tiveram uma média de 1.353 ataques semanais por organização, enquanto a América Latina lidou com 1.118 ataques semanais e a Europa enfrentou 670 ataques semanais. A América do Norte foi a menos atingida, com uma média semanal de 503 ataques.

A Check Point baseia seus números em sua ferramenta interna, a ThreatCloud, que extrai dados de centenas de milhões de sensores de ataque ao redor do mundo.

E, infelizmente, é esperado que o número de ataques aumente em 2022, já que os hackers continuam inovando e encontrando novas formas de executar seus ataques, como tem acontecido recentemente com o caso do crescimento irrefreável do ransomware.

“Estamos enfrentando uma pandemia cibernética. Incentivamos fortemente o público, especialmente aqueles nos setores de educação, governo e saúde, a aprender o básico sobre como se proteger”, disse a Check Point. “Medidas simples, como aplicar patches contra vulnerabilidades, segmentar suas redes e educar os funcionários, podem ajudar a tornar o mundo – e sua empresa – mais seguro.”

Proteja-se das ameaças de 2022. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Bug em navegador expõe ID do Google

Membros do REvil são detidos na Rússia, mas o fim dos malwares está longe.

O que você vai ler:

Sistema Linux é o principal alvo de 3 grupos ativos de malware

Sistemas baseados em Linux são uma parte essencial da infraestrutura cibernética da maioria dos equipamentos que utilizamos diariamente. Mas, recentemente, dispositivos IoT baseados em Linux se tornaram o principal alvo de cepas de malware direcionadas para esse sistema operacional.

A principal estratégia adotada pelos criminosos é a mobilização de ataques distribuídos de negação de serviço (DDoS), conduzidas, sobretudo, por três famílias de malware principais.

Em um novo relatório de segurança, publicado pela CrowdStrike, pesquisadores identificaram que as famílias de malware baseadas em Linux mais prevalentes em 2021 foram a XorDDoS, a Mirai e a Mozi, que, coletivamente, representaram 22% de todos os ataques de malware a IoTs baseados em Linux. Também foram o principal fator de malware direcionado a todos os sistemas baseados em Linux, que cresceram 35% em 2021, comparado com 2020.

Além disso, havia 10 vezes mais amostras do Mozi em 2021 em comparação com 2020, enquanto as amostras de malware XorDDoS aumentaram quase 123% em 2021.

Já as variantes Mirai mais prevalentes, hoje, são a Sora, a IZIH9 e a Rekai, que cresceram em 33%, 39% e 83%, respectivamente, em 2021. Este malware, em específico, visa sistemas Linux com senhas fracas, ou pré-programadas.

Rússia detêm 14 membros da gangue de ransomware REvil

Membros da gangue cibercriminosa de ransomware REvil foram detidos e o grupo foi desmantelado após uma ação do Serviço Federal de Segurança da Rússia (FSB), anunciou o governo de Moscou.

A ação conjunta do FSB e do Ministério de Assuntos Internos da Rússia foi realizada em 25 propriedades de várias regiões da Rússia, incluindo Moscou, São Petersburgo e Lipetsk; as regiões estão vinculadas a 14 membros do grupo de ransomware REvil.

De acordo com um comunicado do FSB, “vários membros do REvil foram detidos e incriminados” pela agência. Equipamentos de informática foram apreendidos, bem como carteiras de criptomoedas,mais de 426 milhões de rublos, 600 mil dólares americanos e 500 mil euros. 20 carros de luxo comprados com o dinheiro obtido de ataques de ransomware também foram apreendidos.

As invasões ocorreram a pedido dos Estados Unidos, que tem sido uma das principais vítimas de ataques de ransomware da gangue. No ano passado, os EUA e outros países do G7 alertaram a Rússia de que o país precisava assumir a responsabilidade pelo aumento do número de ataques de ransomware e pelos grupos de criminosos cibernéticos que operam dentro de suas fronteiras.

Ao total, foram 14 detidos e 8 incriminados pela FBS.

Criminosos usam Adobe Creative Cloud para roubar dados de usuários do Office 365

Pesquisadores identificaram que invasores estão explorando a Adobe Creative Cloud para enviar links maliciosos a usuários do Office 365 a fim de roubar credenciais de acesso inicial.

A Adobe Creative Cloud é um conjunto popular de aplicativos para compartilhamento de arquivos pessoais e corporativos e inclui aplicativos amplamente usados, como o Photoshop e o Adobe Acrobat.

Embora os invasores tenham como alvo principal os usuários do Office 365, pesquisadores observaram que caixas de entrada do Gmail também foram atingidas.

O ataque funciona assim: um invasor cria uma conta gratuita na Adobe Cloud e, em seguida, cria uma imagem ou um arquivo PDF com um link incorporado, que é compartilhado por e-mail com um usuário do Office 365 ou do Google.

Embora os links dentro dos documentos enviados aos usuários sejam maliciosos, eles próprios não estão hospedados na Adobe Cloud, mas sim em outro domínio controlado por invasores. Os invasores podem usar esse modelo para enviar vários documentos ou imagens da Adobe Cloud de aparência legítima para usuários desavisados.

Para se prevenir, os pesquisadores sugerem inspecionar todas as páginas da Adobe hospedadas na nuvem em busca de erros gramaticais e ortográficos, além de passar o mouse sobre os links (sem clicar) para verificar se o destino é confiável e que a página pretendida é legítima.

Bug em navegador permite a criminosos roubar ID do Google de usuários, e outras informações

Um bug encontrado no Safari 15 pode estar vazando informações sobre os sites que um usuário visita online. Pior ainda, pode estar expondo o ID exclusivo do Google e informações de perfil.

O bug foi descoberto pela primeira vez no final de novembro de 2021 pela FingerprintJS, uma empresa de Chicago especializada em prevenção de fraudes online. De acordo com o anúncio publicado, o problema decorre de um sistema que o Safari 15 e todos os outros principais navegadores da Web usam para armazenar em cache as informações de navegação em telefones, tablets ou computadores, chamado IndexedDB.

Normalmente, as informações armazenadas no IndexedDB só podem ser acessadas por uma página de um mesmo domínio que as criou. Se o Google criar um site, por exemplo, as informações armazenadas em cache só poderão ser acessadas por outra página da web do Google. Essa política de “mesma origem” foi criada para proteger um usuário de sites maliciosos que podem tentar roubar informações do seu navegador.

O que a FingerprintJS descobriu, porém, é que a versão atual do WebKit, o mecanismo de navegador que alimenta o Safari em Macs, bem como todos os navegadores no iOS e iPadOS, pode ser enganado para ignorar a verificação de mesma origem.

Em vez disso, de acordo com o pesquisador, “ele permite que sites arbitrários aprendam quais sites [você visita] em diferentes guias ou janelas”. Além disso, “[alguns] sites usam identificadores únicos e específicos do usuário em um banco de dados [o que] significa que os usuários autenticados podem ser identificados de forma precisa [pelos criminosos]”.

Os desenvolvedores da Apple desenvolveram uma correção e marcaram o problema como resolvido. A mudança não entrará em vigor imediatamente, no entanto. As atualizações levam tempo para serem lançadas e pode demorar até que a maioria dos dispositivos receba a correção.

Mantenha sua empresa protegida! Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar

Read more
No Comments