Utilidades domésticas podem virar armas de espionagem? Talvez não. Mas muitos vetores do nosso dia a dia estão sujeitos a ataques – seja por apps de relacionamentos ou por dispositivos corrompidos.

O que você vai ler hoje:

• Cibercriminosos vasculham massivamente a internet em busca de brechas deixadas por desenvolvedores
• O mercado do ransomware continua evoluindo e, agora, conta até com “corretores”
• Hackers usam tecnologia do iPhone 12 para ouvir conversas de usuários através de um aspirador
• Bumble expõe seus 95 milhões de usuários ao risco de vazamento de dados

Cibercriminosos vasculham massivamente a internet em busca de brechas deixadas por desenvolvedores

Atraindo pouca atenção para si, cibercriminosos passaram os últimos dois ou três anos vasculhando massivamente a internet em busca de arquivos ENV que tenham sido acidentalmente carregados e esquecidos em servidores da web, aponta pesquisa.

Arquivos ENV, ou arquivos de ambiente, são um tipo de arquivo de configuração, geralmente usado por desenvolvedores e ferramentas de desenvolvimento. E, devido à natureza de seus dados, os arquivos ENV devem sempre ser armazenados em pastas protegidas.

De modo geral, os desenvolvedores de aplicativos costumam receber avisos sobre a varredura de botnets maliciosos em busca de arquivos de configuração GIT ou de chaves privadas SSH que tenham sido acidentalmente carregadas online. Mas as varreduras por arquivos ENV são tão comuns quanto, ainda que não recebam a mesma atenção.

De acordo com a empresa de segurança GreyNoise, mais de 2.800 endereços IP diferentes foram usados ​​para escanear arquivos ENV nos últimos três anos, com mais de 1.100 scanners ativos só no mês passado.

Varreduras semelhantes também foram registradas pela empresa de inteligência de ameaças Bad Packets, que rastreou os caminhos de arquivos ENV mais comuns e tem postado updates recorrentemente no Twitter.

Se os agentes de ameaças que identificam os arquivos ENV acabam baixando o arquivo, são capazes de extrair todas as credenciais confidenciais e violar a infraestrutura de back-end de uma organização.

E o objetivo final dos ataques subsequentes pode ser qualquer um, desde o roubo de propriedade intelectual a ataques de ransomware ou instalação de malware de mineração de criptografia (cryptojacking).

Como forma de se proteger, os pesquisadores aconselham desenvolvedores a testar e ver se os arquivos ENV de seus aplicativos estão disponíveis online e, em seguida, proteger qualquer arquivo ENV que possa ter sido acidentalmente exposto.Além disso, alterar todos os tokens e senhas dos arquivos expostos é uma obrigação.

O mercado do ransomware continua evoluindo e, agora, conta até com “corretores”

Foi-se o tempo em que grupos de ransomware lançavam campanhas em massa de spam por e-mail na esperança de infectar usuários aleatórios na Internet.

Hoje, os operadores de ransomware evoluíram de um nicho de pequenas gangues de malware para uma série de cartéis de crimes cibernéticos complexos com habilidades, ferramentas e orçamentos similares aos dos grupos de hackers patrocinados pelo governo.

Mais do que isso, as gangues de ransomware, hoje, contam com parcerias em vários níveis com outros núcleos do crime cibernético. Chamados de "corretores de acesso inicial" (initial access brokers, em inglês), esses grupos operam como uma cadeia de suprimentos do submundo do crime, fornecendo às gangues de ransomware (e outras) acesso a grandes acervos de sistemas comprometidos, a fim de facilitar o sucesso dos ataques.

Consistindo em endpoints RDP hackeados, dispositivos de rede backdoor e computadores infectados por malware, esses sistemas permitem que gangues de ransomware obtenham acesso facilmente a redes corporativas, aumentem seu grau de acesso e criptografem arquivos para exigir resgates enormes sem grandes esforços.

Esses corretores de acesso inicial são uma parte crucial do cenário do crime cibernético. Hoje, três tipos de corretores se destacam como as fontes da maioria dos ataques de ransomware:

• Vendedores de endpoints RDP comprometidos
• Vendedores de dispositivos de rede hackeados
• Vendedores de computadores já infectados com malware

No entanto, embora a proteção contra os dois primeiros vetores normalmente se baseie estar atento às boas práticas de criação de senha, autenticação multifatorial e manter os dispositivos atualizados, o terceiro vetor é mais difícil de proteger.

Isso ocorre porque os operadores de botnet de malware muitas vezes dependem de engenharia social para enganar os usuários a fim de que eles próprios instalem malware em seus sistemas, mesmo se os computadores estiverem executando softwares atualizados.

De todo modo, pesquisadores de cibersegurança alertam para o desenvolvimento de uma rede de cibercrime muito maior e mais complexa, que promete bastante dores de cabeça para as organizações-alvo desses grupos.

Hackers usam tecnologia do iPhone 12 para ouvir conversas de usuários através de um aspirador

Hackers usaram a tecnologia LiDAR, presente no último iPhone 12 Pro e 12 Pro Max, para transformar um aspirador de pó em um dispositivo de espionagem.

Isso de acordo com uma equipe de acadêmicos da Universidade Nacional de Cingapura e da Universidade de Maryland, que publicou um artigo de pesquisa com o título “Espionagem com seu robô aspirador de pó: espionagem por meio de sensores LiDAR”.

O hack, que os pesquisadores chamaram de LidarPhone, é conhecido como “ataque de canal lateral”, quando, em vez de explorar fraquezas ou vulnerabilidades, os hackers exploram os pontos fortes de um dispositivo – muitas vezes de forma diferente daquela para a qual eles foram originalmente projetados.

No caso da pesquisa, os hackers utilizaram os sensores LiDAR de um aspirador inteligente, cuja função é ajudar o aparelho a mapear os arredores, para atuar como microfones e gravar as conversas de seus proprietários.

Ao longo de 19 horas dessa gravação secreta, os pesquisadores dizem que conseguiram coletar conversas e músicas tocadas por um alto-falante de computador e pela caixa de som da TV.

"Os sons são essencialmente ondas de pressão que se propagam através das vibrações do meio", argumentam os pesquisadores, "e a energia sonora de um ambiente é parcialmente induzida em objetos próximos, criando vibrações físicas sutis dentro desses meios sólidos." Ao reaproveitar os sensores LiDAR do aspirador de pó, eles conseguiram, portanto, captar essas vibrações, que foram então processadas "para recuperar traços de sons". O processo de recuperação, baseado em deep learning, tem uma taxa de sucesso de cerca de 90%, de acordo com o artigo.

As mesmas técnicas poderiam, teoricamente, ser aplicadas a qualquer dispositivo equipado com sensor LiDAR.

Porém, aplicar os resultados obtidos em laboratório a um cenário real de hacking está longe de ser simples. Além de precisar comprometer o aspirador de pó para poder reutilizar os sensores LiDAR por meio de uma atualização de firmware, os hackers também precisariam acessar a rede local do alvo.

Níveis de ruído, iluminação e distância do alvo seriam fatores importantes para o sucesso da operação – o que pode ser tranquilizante para usuários dessa e de outras soluções inteligentes, pelo menos por ora, pois dificilmente o esforço vai compensar.

Bumble expõe seus 95 milhões de usuários ao risco de vazamento de dados

Pesquisadores de cibersegurança descobriram que, mesmo que fossem banidos do serviço, poderiam extrair uma série de informações pessoais do aplicativo de relacionamentos Bumble, conhecido como um dos mais importantes concorrentes do Tinder.

As falhas de segurança foram corrigidas no início deste mês, mas levou pelo menos 200 dias desde que o Bumble foi avisado dessas vulnerabilidades para que a empresa de fato fizesse algo.

Até então, se uma conta do Bumble estivesse conectada ao Facebook, era possível ter acesso a todos os “interesses” ou páginas curtidas por um usuário.

O hacker também podia adquirir informações sobre o tipo exato de pessoa que um usuário do Bumble estava procurando, bem como todas as fotos que ele enviou para o aplicativo.

Mas o mais preocupante é que era possível obter a localização aproximada de um usuário observando sua distância em quilômetros. Um invasor poderia, então, falsificar a localização de algumas contas e, em seguida, tentar triangular as coordenadas de um alvo.

Como era extremamente fácil violar os dados dos usuários e, potencialmente, realizar ataques de vigilância ou revender as informações furtadas, os pesquisadores destacam que “o excesso de confiança que as pessoas têm em grandes marcas e aplicativos disponíveis em lojas como a App Store e a Play Store pode ser problemática”, visto que o cadastro de apps nessas lojas não dispensa a necessidade de uma averiguação cuidados por parte dos usuários.

Em última análise, finalizam os responsáveis pela pesquisa, esse é um “grande problema para todos que se preocupam, mesmo que minimamente, com sua informações pessoais e com sua privacidade”.

Mantenha sua empresa segura! Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar

A natureza crítica das estruturas fabris, somada a vulnerabilidades de segurança, representa uma oportunidade única para hackers, que exploram ataques de ransomware direcionados à manufatura.

Ataques de ransomware têm se tornado uma grande ameaça para indústrias de manufatrua, à medida que grupos cibercriminosos se mostram cada vez mais interessados em sistemas de controle industrial (ICS), que gerenciam as operações fabris.

De acordo com análises feitas por pesquisadores de segurança cibernética da iniciativa privada, o número de ataques de ransomware registrados publicamente contra o setor de manufatura triplicou – e isso considerando somente dados do ano passado.

Embora grande parte da manufatura esteja apoiada em sistemas tradicionais de TI, alguns elementos dos processos industriais dependem de sistemas ICS, principalmente quando falamos de produção em massa – e essa é uma brecha que vários grupos de hackers estão ativamente procurando explorar, com ataques altamente direcionados.

Ataques ao setor secundário podem parar o país

Ataques de ransomware direcionados a ICS são potencialmente muito preocupantes por conta da natureza interconectada da cadeia de suprimentos de manufatura.

Isto é, se uma fábrica for atingida por um ataque cibernético, isso poderá ter consequências em larga escala, visto que ela pode ajudar a alimentar uma indústria inteira.

Se uma empresa da indústria farmacêutica que produz medicamentos em massa, ou outros produtos de saúde, for atingida por um ataque de ransomware, por exemplo, isso pode ter um impacto indireto no setor de saúde como um todo, impedindo desde tratamentos caseiros ao atendimento em hospitais de todo o país.

É esse nível de ameaça, e o potencial caos que ela causaria, que levou os pesquisadores de segurança cibernética a descreverem o ransomware com a capacidade de interromper processos industriais como a “maior ameaça ao setor”, atualmente. E pelo menos cinco grupos de hackers estão visando ativamente, ou demonstrando interesse, em empresas de manufatura.

Indústrias estariam mais propensas a pagar pelo resgate das redes

Para os cibercriminosos, o setor secundário, como um todo, é um alvo altamente estratégico. Em muitos casos, afinal, se tratam de operações que não podem ficar suspensas por muito tempo. Logo, concluem os criminosos, elas podem ser mais propensas a ceder às demandas dos invasores e pagar centenas de milhares de dólares em bitcoins em troca de recuperar sua rede.

"A manufatura requer um tempo de atividade significativo para atender à produção e qualquer ataque que cause paralisação pode custar muito dinheiro. Assim, eles podem estar mais inclinados a pagar os invasores", disse Selena Larson, analista de inteligência da Dragos, empresa responsável pela pesquisa, à imprensa.

"Além disso, os processos de manufatura não contam, necessariamente, com operações de segurança cibernética muito robustas e podem representar oportunidades interessantes para cibercriminosos, uma vez que tendem a ser alvos fáceis e, de certa forma, altamente rentáveis".

Os pontos de atenção para a manufatura

Por sua natureza, os ativos industriais de empresas de manufatura são frequentemente expostos à Internet, uma vez que os sistemas são interdependentes de uma rede única, fornecendo caminhos para que grupos de hackers e gangues de ransomware obtenham acesso a essa rede por meio de tecnologia de acesso remoto, como protocolos de desktop remoto (RDP) e serviços VPN, ou vulnerabilidades em sistemas sem patch.

Em outubro de 2020, a empresa responsável pela pesquisa disse que havia pelo menos 108 alertas contendo 262 vulnerabilidades com impacto em equipamentos industriais – isso apenas durante este ano, e muitas dos quais potencialmente deixam as redes vulneráveis a ransomware e outros ataques cibernéticos.

"Infelizmente, vulnerabilidades não-corrigidas, que podem permitir o acesso inicial ao sistema, sempre serão um problema. Testar e aplicar patches assim que possível é muito importante para prevenir a exploração", alertam os pesquisadores. Como vulnerabilidades comuns são facilmente identificáveis, os cibercriminosos não precisam forçar muito para abrir as portas das redes industriais.

Também é natural que os cibercriminosos estejam recorrendo ao ransomware como principal ameaça, visto que, hoje, é a maneira mais rápida e fácil de ganhar dinheiro comprometendo uma grande rede.

Mas, ao obter controle suficiente da rede para implantar ransomware, os hackers também poderão acessar propriedade intelectual e dados confidenciais armazenados na rede, escalando o problema para uma violação grave.

Isso poderia levar grupos de hackers a usarem o ransomware como cortina de fumaça para ataques cibernéticos mais complexos, projetados para roubar propriedade intelectual, tornando a ameaça ainda mais prejudicial às vítimas a longo prazo.

Para se proteger, é necessária a adoção de uma rotina de medidas preventivas, como a condução de revisões regulares da arquitetura cibernética para identificar brechas de rede, garantir que os dispositivos e serviços estejam constantemente atualizados e realizar uma análise completa da infraestrutura de rede, para identificar possíveis pontos fracos que poderiam interromper a continuidade das operações industriais no país.

Mantenha seu negócio seguro. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Cenário é favorável para empresas de segurança no Brasil. A contrapartida: o número de ataques continua crescendo ao redor do mundo.

O que você vai ler hoje:

• 63 milhões de registros de clientes e usuários são expostos em banco de dados acessível ao público
• Número de infecções por código malicioso cresce no Brasil
• Gigante dos games sofre ataque de ransomware e deve pagar 11 milhões de dólares
• Empresas de TI no Brasil caminham para recuperação pós-pandemia

63 milhões de registros de clientes e usuários são expostos em banco de dados acessível ao público

O pesquisador de cibersegurança Jeremiah Fowler descobriu, no começo de outubro deste ano, mais de 60 milhões de registros de clientes e usuários expostos em um banco de dados descriptografado, disponível para qualquer um, sem senha. Os registros pertenciam a uma provedora de serviços de hospedagem norte-americana, Cloud Cluster.

De acordo com Jeremiah, não é possível saber, com certeza, por quanto tempo esses registros foram expostos ou quem mais pode ter tido acesso a esses dados, que incluem logins para plataformas de e-commerce e gestão de websites, como Magento e WordPress.

“Se um cibercriminoso tivesse acesso a essas informações, ele poderia comprometer esses sites e contas de comércio eletrônico”, afirma o pesquisador.

Além disso, havia registros no banco de dados conectando vários nomes de empresas, todos fornecendo serviços de hospedagem e gerenciamento de dados semelhantes sob o guarda-chuva Cloud Cluster. Com a enorme quantidade de registros, era difícil dizer quantos serviços eles operavam.

No total, foram expostos 63.747.966 de registros. Segundo Fowler, o banco de dados descriptografado que continha essas credenciais permitia a qualquer pessoa editar, baixar ou até mesmo excluir os dados, sem necessidade de credenciais administrativas.

Ele também informa informa que notificou a empresa no dia 5 de outubro, quando descobriu o ocorrido. No entanto, a empresa só respondeu no dia 13 de outubro, agradecendo:

“Obrigado por apontar os problemas para aumentar a segurança do site. Nós também levamos a segurança de dados muito a sério”.

Não é certo que a empresa tenha notificado seus clientes e usuários sobre a exposição dos dados, como exigido pelas normas de proteção de dados pessoais.

Com esses dados, cibercriminosos poderiam logar nos sistemas das empresas expostas, acessar o back-end dos clientes da Cloud Cluster, bem como a conta dos usuários desses clientes.

Número de infecções por código malicioso cresce no Brasil

Brasil teve um crescimento de 1,26% no número de infecções por código malicioso em relação ao ano passado, passando de 11% em 2018 para 12,26% em 2019, segundo o Relatório de Segurança da ESET de 2020.

De acordo com o estudo, a forma como ataques cibernéticos são executados amadureceu significativamente. Houve uma diminuição de ataques generalistas e massificados, paralelo ao crescimento de ataques mais direcionados, com maiores chances de sucesso.

O relatório contou com a participação de mais de 3900 empresas, distribuídas por 14 países da América Latina, como o Brasil, México, Argentina, Colômbia e outros. Dessas, cerca de 60% afirmaram ter sofrido pelo manos um incidente de segurança durante o ano de 2019, número que se manteve em relação ao ano de 2018, de acordo com a pesquisa.

Além disso, 1 a cada 3 empresas entrevistadas afirmaram ter sofrido uma infecção por código malicioso, o que inclui ransomware.

Outros dados preocupantes dizem respeito a ataques de phishing, que continuam sendo bastante explorado na América Latina.

Cerca de 45% dos usuários individuais entrevistados afirmaram ter recebido tentativas de phishing relacionadas à pandemia do novo coronavírus ao longo deste ano. Além disso, 50% garantiram que a empresa para qual trabalham não apresenta ferramentas necessárias para manter o trabalho remoto seguro.

O relatório completo você pode conferir aqui.

Gigante dos games sofre ataque de ransomware e deve pagar 11 milhões de dólares

Capcom, a gigante japonesa de games por trás das franquias Street Fighter, Mega Man e Resident Evil, relatou recentemente um grande incidente de segurança cibernética: um ataque de ransomware direcionado, cujos autores exigiram um pagamento de resgate de US$ 11 milhões.

Embora inesperado, o ataque não é surpreendente, dado o crescimento vertiginoso da empresa, que registrou receitas de 94,5 bilhões de ienes em 2019 – valor convertido para cerca de US$ 900 milhões na taxa de câmbio atual.

Em comunicado oficial, a Capcom anunciou que o ataque “interrompeu algumas operações de suas redes internas a partir de 2 de novembro”. Esse é o dia em que a empresa detectou pela primeira vez o acesso não-autorizado aos seus sistemas.

Os hackers por trás do ataque comprometeram quase 2.000 servidores da Capcom. Os invasores também afirmam ter desviado cerca de 1 TB de dados, incluindo demonstrações financeiras, documentos fiscais, dados pessoais, e-mails, bate-papos e informações pessoais dos clientes.

Os hackers também postaram capturas de tela de arquivos e pastas como prova do sequestro de dados. A Capcom contestou parcialmente as alegações dos hackers em seu comunicado à imprensa, tentando tranquilizar o público de que "não há indicação de que qualquer informação de nossos clientes tenha sido violada".

A Capcom relatou o incidente às autoridades e a investigação está em andamento. Nenhuma outra atualização foi postada na página de comunicados à imprensa da empresa até o momento.

Empresas de TI no Brasil caminham para recuperação pós-pandemia

As empresas de tecnologia no Brasil estão se encaminhando para recuperação em 2021, com computação em nuvem, análise de dados e cibersegurança sendo as três principais áreas de investimento para compradores e consumidores

De acordo com o relatório da IDC WW COVID-19 – Impact on IT Spending Survey, realizado em junho de 2020 e atualizado em setembro, uma perspectiva mais otimista tem sido observada recentemente.

Em junho, 48% das empresas brasileiras entrevistadas disseram que mergulharam na crise, devido à pandemia, mas este número caiu para 14% em setembro.

Quando se trata de orçamentos de TI, 42% das organizações brasileiras pesquisadas disseram que seus gastos para o próximo ano serão maiores do que o previsto antes do COVID-19, enquanto 22% seguirão suas previsões e 36% disseram que os orçamentos devem diminuir no próximo ano.

As empresas ainda vão investir em serviços gerenciados e de suporte no Brasil, mesmo que em um ritmo lento, afirmam os analistas responsáveis pelo relatório. O mesmo não deve acontecer no segmento de servidores e armazenamento, que, de acordo com o IDC, vinha encolhendo antes mesmo da pandemia.

Por outro lado, setores como o de soluções em nuvem têm apresentado alta no Brasil. Pesquisas separadas realizadas pelo Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (Cetic.br), braço de pesquisa do Centro Brasileiro de Informações em Redes (NIC.br), mostram uma evolução no uso desses serviços.

De acordo com a pesquisa, o armazenamento baseado em nuvem cresceu de 25% para 38%. O software empresarial na nuvem aumentou de 20% para 27% em dois anos, assim como o uso da capacidade de processamento da nuvem, que passou de 16% para 23% no mesmo período.

É um cenário promissor, que pode simbolizar o começo de um novo capítulo no investimento em cibersegurança no país.

Consulte a assessoria de especialistas em segurança da Compugraf e invista na proteção da sua empresa!

Mais de 1.200 organizações foram vítimas de uma campanha que usa explorações de vulnerabilidades conhecidas para obter acesso remoto a contas VoIP

Uma campanha de hacking em larga escala comprometeu sistemas telefônicos VoIP (Voice over Internet Protocol) em mais de 1.200 empresas em todo o mundo ao longo deste ano, a fim de lucrar com a venda de contas comprometidas.

Embora o objetivo principal pareça ser a discagem de números com tarifa premium, ou a venda de números de telefone e planos de chamadas, para que outros cibercriminosos possam usar esses números, o acesso a sistemas VoIP pode oferecer aos invasores a oportunidade de conduzir outros ataques mais complexos, incluindo ouvir chamadas privadas, cryptocurrency mining (mineração de criptomoedas), ou, até mesmo, usar os sistemas comprometidos como uma catapulta para campanhas muito mais agressivas.

Os detalhes da campanha

Os ataque foi detalhado por pesquisadores de segurança cibernética da Check Point, em relatório exclusivo.

Um grupo de hackers comprometeu as redes VoIP de quase 1.200 organizações em mais de 20 países, explorando vulnerabilidades conhecidas, com mais da metade das vítimas no Reino Unido.

“Durante nossa pesquisa, descobrimos uma nova campanha direcionada ao Sangoma PBX, uma GUI da web de código aberto que gerencia o Asterisk, o sistema PBX VoIP mais popular do mundo, usado por muitas empresas para telecomunicações. O ataque explora uma vulnerabilidade crítica no Sangoma, concedendo ao invasor acesso de administrador ao sistema.”

Acredita-se que setores como governo, militar, seguros, finanças e manufatura tenham sido vítimas da campanha.

Os ataques exploram a CVE-2019-19006, uma vulnerabilidade crítica nos sistemas de telefone VoIP da Sangoma e Asterisk, que permite que estranhos obtenham acesso remotamente sem qualquer forma de autenticação.

Um patch de segurança para corrigir a vulnerabilidade foi lançado ainda no ano passado, mas muitas organizações não o aplicaram – e os criminosos estão se aproveitando justamente disso, procurando por sistemas sem patch.

"A vulnerabilidade é uma falha de desvio de autenticação, e o exploit está disponível publicamente, como parte do protocolo de notificação de falhas de segurança. Uma vez explorado, os hackers têm acesso de administrador ao sistema VoIP, o que lhes permite controlar totalmente suas funções. E o pior: a invasão não será detectada, a menos que uma equipe de TI esteja procurando especificamente por isso", disse Derek Middlemiss, evangelista de segurança da Check Point Research, à imprensa.

O problema talvez seja ainda mais sério: a cadeia de ataques a sistemas VoIP

Um dos meios mais comuns de exploração desses sistemas hackeados é fazer chamadas sem registrá-las no sistema VoIP, o que permitiria aos invasores discar secretamente números de tarifa premium que eles configuraram para ganhar dinheiro às custas da organização comprometida .

E como as empresas fazem tantas ligações legítimas nesses sistemas, seria difícil detectar se um servidor está sendo explorado maliciosamente ou não.

Os invasores também ganham dinheiro vendendo o acesso aos sistemas em leilões virtuais, algo que poderia ser usado para outros ataques cibernéticos, ainda mais perigosos para as vítimas.

E é bastante possível para os invasores usarem um sistema VoIP comprometido como um gateway para o resto da rede, abrindo a possibilidade de roubar credenciais ou implantar malware.

“Isso depende de como o servidor está configurado e conectado ao resto da rede corporativa. Se não for segmentado do resto da rede, os invasores podem se mover lateralmente”, acrescentou Middlemiss.

O relatório conclui:

“Encontramos vários players relevantes na área que publicaram postagens de vendas de informações, ferramentas e sites de exploração de sistemas VoIP em fóruns de cibercrime. […]

As descobertas iniciais foram tutoriais sobre como fazer a varredura, reunir informações em servidores relativos e usar scripts de exploração. As instruções simplificam o processo a um nível em que qualquer pessoa poderia hackear um sistema. Talvez, como resultado, pareça haver uma grande e crescente comunidade envolvida na invasão de serviços de VoIP.

Embora isso possa explicar a cadeia de infecção, ainda existem dúvidas sobre a motivação dos ataques. Uma análise mais aprofundada levou não apenas à descoberta de que os ataques aos servidores SIP ocorram em uma escala maior do que se pensava inicialmente, mas também que existe um modelo econômico profundo subjacente.”

Para se proteger, recomenda-se que as organizações alterem nomes de usuário e senhas padrão em dispositivos para que não possam ser explorados facilmente e, se possível, analise o faturamento de chamadas regularmente para destinos potencialmente suspeitos, volumes de tráfego ou padrões de chamada.

E o mais importante, as organizações devem aplicar os patches de segurança necessários para evitar que vulnerabilidades conhecidas sejam exploradas, assim que eles estiverem disponíveis.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e conheça nossas soluções

O Brasil é vítima de ataque ao STJ. Por outro lado, conduziu investigação contra fraudadores de investimentos e visa devolver 24 milhões de dólares aos prejudicados pelo golpe. Grupo Campari se vê combatendo ransomware e dezenas de milhares de dados pessoais estão nas mãos de criminosos.

O que você vai ler hoje:

• STJ é atingido por ciberataque e paralisa sua operações
• Grupo Campari é vítima de ransomware, mas se recusa a pagar por resgate dos dados
• Polícia Federal brasileira investiga fraude de investimentos em criptomoedas e apreende 24 milhões de dólares
• Mais de 23.000 bancos de dados hackeados estão disponíveis para download gratuito em fóruns de cibercrime

STJ é atingido por ciberataque e paralisa sua operações

O Superior Tribunal de Justiça (STJ) foi atingido por um ciberataque que paralisará suas operações por pelos menos uma semana.

O incidente foi detectado na terça-feira (3), durante várias sessões de julgamento que se desdobravam no Tribunal.

De acordo com o STJ, a causa foi um vírus encontrado na rede e, por precaução, os acessos à internet foram desconectados, o que levou ao cancelamento das sessões de julgamento. Todos os sistemas do Tribunal, incluindo e-mail e telefonia, ficaram indisponíveis.

O ministro do STJ, Humberto Martins, divulgou no dia 5/11 uma nota sobre o ocorrido, informando que o atentado não afetou as informações relativas aos processos judiciais em andamento. Segundo nota do ministro, a invasão bloqueou o acesso aos dados por meio de criptografia, mas havia backups no local.

Posteriormente, descobriu-se que o ataque também afetou os backups do Tribunal no que está sendo descrito como o pior incidente de segurança cibernética já registrado no Brasil.

Ao lado do Centro de Defesa Cibernética do Exército Brasileiro e do pool de fornecedores de tecnologia do STJ, que inclui empresas como a Microsoft, a instituição trabalha agora na recuperação do ambiente de sistemas.

Todas as sessões do STJ, que aconteciam virtualmente, também foram suspensas. De acordo com o Tribunal, apenas casos urgentes estão sendo tratados enquanto o grupo de trabalho de recuperação avança e a expectativa é que os sistemas retomem seu funcionamento no dia 10 de novembro.

A pedido do STJ, um inquérito da Polícia Federal foi iniciado e o presidente Jair Bolsonaro declarou, em sessão ao vivo no dia 5, que um resgate havia sido exigido pelos autores do ataque e que os responsáveis ​​pelo incidente já haviam sido encontrados.

No entanto, essa informação não havia sido confirmada pela polícia até o momento da publicação deste texto.

Grupo Campari é vítima de ransomware, mas se recusa a pagar por resgate dos dados

O Campari Group, famoso fornecedor italiano de bebidas por trás de marcas como Campari, Cinzano e Appleton, sofreu um ataque de ransomware que derrubou grande parte de sua rede de TI.

O ataque ocorreu no domingo, 1º de novembro, e está vinculado à gangue de ransomware RagnarLocker, que agora está tentando extorquir a empresa atrás de um valor de resgate para descriptografar seus arquivos.

Não só isso: o grupo também está ameaçando liberar arquivos que roubou da rede da Campari se a empresa não pagar o resgate exigido em uma semana após a invasão inicial. O prazo venceu dia 8 de novembro, domingo.

Em uma janela de chat disponível para as vítimas do RagnarLocker, um representante da Campari não respondeu à gangue do ransomware. O pedido de resgate está definido atualmente em US$ 15 milhões.

A Campari também disse que detectou a intrusão assim que ocorreu e imediatamente agiu para isolar os sistemas afetados, e que o incidente não deve ter nenhum impacto significativo em seus resultados financeiros.

No entanto, cinco dias após o ataque, os sites, servidores de e-mail e linhas de telefone da Campari ainda estavam fora do ar.

Polícia Federal brasileira investiga fraude de investimentos em criptomoedas e apreende 24 milhões de dólares

Autoridades brasileiras e estadunidenses apreenderam 24 milhões de dólares em criptomoedas conectadas a um esquema online que supostamente fraudou “dezenas de milhares” de investidores.

A pedido do governo do Brasil, as forças de segurança dos EUA participaram da “Operação Egypto”, uma investigação federal brasileira sobre a suspeita de fraude, declarou o Departamento de Justiça dos EUA (DoJ) na quarta-feira (4).

O esforço colaborativo, realizado no âmbito do tratado de Assistência Jurídica Mútua em Matéria Criminal, localizou o suspeito Marcos Antonio Fagundes, que está sendo acusado de operação de instituição financeira sem autorização legal, gestão fraudulenta de instituição financeira, apropriação indébita, lavagem de dinheiro e a violação da lei de valores mobiliários.

Os promotores alegam que entre agosto de 2017 e maio de 2019, Fagundes e parceiros criminosos usaram a internet para encontrar e prospectar investidores, convencendo-os a investir em novas “oportunidades” financeiras.

As vítimas do suposto golpe abririam mão de fundos em moeda brasileira ou criptomoeda, acreditando que o investimento seria direcionado para empresas controladas por Fagundes e seus associados.

Essas empresas, dizem as autoridades, deveriam investir em ativos virtuais. No entanto, apenas uma “quantidade muito pequena” dos fundos foi usada para esse fim – enquanto o restante foi para os bolsos dos supostos fraudadores.

Depois que o tribunal brasileiro emitiu uma ordem de apreensão de qualquer criptomoeda detida por Fagundes nos Estados Unidos, US$ 24 milhões foram recuperados.

A investigação ainda está em andamento. No entanto, as autoridades brasileiras, o FBI e outras partes pretendem manter a criptomoeda como parte de futuros procedimentos de confisco para tentar compensar os investidores envolvidos, até certo nível.

Mais de 23.000 bancos de dados hackeados estão disponíveis para download gratuito em fóruns de cibercrime

Mais de 23.000 bancos de dados hackeados foram disponibilizados para download em vários fóruns de hackers e canais do Telegram, no que os analistas da inteligência de ameaças estão chamando de “o maior vazamento do tipo já visto na história”.

O acervo de dados teria se originado no Cit0Day.in, um serviço privado, que coletava bancos de dados hackeados e, em seguida, fornecia acesso a nomes de usuário, e-mails, endereços e até mesmo senhas em texto não-criptografado para outros hackers por uma taxa diária ou mensal.

No entanto, o Cit0day caiu em 14 de setembro, quando o domínio principal do site exibiu um aviso de apreensão do FBI e do DOJ.

Diante disso, rumores começaram a circular, em fóruns de hackers, de que um indivíduo conhecido como Xrenovi4, o criador do site Cit0day, pode ter sido preso.

Mas, embora não esteja claro se Xrenovi4 vazou os dados ou se os dados foram hackeados por uma gangue rival, os bancos de dados hackeados do Cit0day foram oferecidos, em sua totalidade, para download gratuito em um fórum conhecido para hackers que se comunicam em russo no mês passado.

No total, 23.618 bancos de dados hackeados estavam disponíveis para download por meio do portal de hospedagem de arquivos MEGA. O link ficou ativo por apenas algumas horas antes de ser removido após uma denúncia de abuso.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Bots maliciosos se tornaram mais complexos e mais custosos, afetando maioria das empresas ao redor do mundo

96% dos representantes de e-commerce ao redor do mundo dizem que bons bots são fundamentais para o sucesso de sua organização. Mas 80% dos comércios eletrônicos alegam terem perdido receita por conta de bots ruins.

Além disso, 81% dos e-commerces frequentemente ou muito frequentemente enfrentam problemas relacionados a bots maliciosos, e 80% dizem que houve um aumento na perda financeira dentro de sua organização por conta de ataques mais complexos e sofisticados a bots de e-commerce.

Finalmente, uma em cada quatro organizações diz que um único ataque de bot lhes custou 500.000 dólares ou mais no ano passado, e duas em cada três dizem que um único ataque lhes custou 100.000 dólares ou mais, dentre prejuízos e gastos com correções de segurança.

Essas e muitas outras informações estão no relatório Bot Landscape & Impact Report 2020, publicado no início de novembro.

A metodologia do relatório é baseada em entrevistas com colaboradores de varejo online e comércio eletrônico, com funções em tempo integral relacionadas à prevenção de fraude, experiência do cliente, pagamentos e gerenciamento de e-commerce.

As descobertas, conduzidas pela Kount, empresa de segurança do comércio eletrônico, trazem à luz novos insights sobre a amplitude da ameaça que diferentes tipos de bots maliciosos representam, bem como sobre o estado de mitigação e gerenciamento de bots.

Bots maliciosos visam todos os pontos da jornada do cliente

De acordo com o relatório, bots maliciosos são programados visando todos os pontos da jornada do cliente, com a maior enfoque na tentativa de violação das sessões de criação de conta e login dos usuários.

A pesquisa também descobriu que a sofisticação desses bots maliciosos está crescendo rapidamente.

É comum, por exemplo, encontrar bots projetados para ataques de força bruta ou de empilhamento de credenciais, teste automatizado de cartão de crédito para identificar cartões de crédito roubados utilizáveis, análise de conteúdo para vantagem competitiva e bots sociais projetados para enganar usuários.

Além disso, os bots mal-intencionados estão sendo usados para lançar ataques distribuídos de negação de serviço (DDoS) a fim de interromper ou derrubar de vez um site ou serviço digital.

Ataques de bots podem levar horas para serem detectados

Ataques de bots maliciosos podem levar horas para serem detectados e interrompidos. Mas, sobretudo, custam caro.

Uma em cada quatro empresas relata que um único ataque de bot malicioso custou à sua organização mais de US$ 500.000, por exemplo, dentre prejuízos com o ataque e gastos com cibersegurança corretiva.

Outro dado preocupante é que a maioria das organizações pesquisadas (58%) relatou mais de 50 ataques de bot nos últimos doze meses, com cerca de um terço dos ataques levando mais de seis horas para serem detectados e interrompidos.

Das empresas que sofreram ataques, dois terços dizem que um único ataque custou US$ 100.000 ou mais em receita perdida.

Os prejuízos vão além da perda financeira

Isso porque ataques de bot não só impedem as organizações de gerar receita, mas também de cuidar dos clientes e enviar pedidos, criando um caos que pode sair muito mais caro do que o ataque, em si, para os e-commerces.

Além disso, bots maliciosos podem travar sites, roubar informações dos clientes e criar contas falsas. Em alguns casos, foi relatado, inclusive, o congelamento de estoques por conta de ataques direcionados.

No todo, os bots acabam custando milhões de dólares por ano a todas as organizações, tornando esta área de segurança cibernética uma alta prioridade para muitos CISOs e CIOs em indústrias orientadas para o digital, incluindo varejo online e e-commerce.

Os bots estão cada vez mais complexos

Quase 90% das organizações dizem que bots maliciosos estão se mostrando cada vez mais difíceis de identificar e destruir.

Isso porque as soluções de segurança cibernética atuais nem sempre são eficazes na criação da resposta adaptativa necessária para identificar e erradicar bots maliciosos de redes corporativas.

Firewalls de acesso à web, redes de distribuição de conteúdo e fornecedores de bot dedicados têm funcionalidade básica para controlar bots, mas podem faltar funcionalidades essenciais necessárias para empresas de comércio eletrônico, como uma abordagem baseada em eventos para identificar tentativas de ataques de bots maliciosos, bem como distinguir bots bons, bots ruins e bots questionáveis.

Além disso, as equipes de TI, infraestrutura e segurança cibernética são responsáveis pelo problema de resolução de bots maliciosos na maioria das organizações pesquisadas.

E, como os bots maliciosos afetam a receita se forem bem-sucedidos, a responsabilidade de erradicá-los geralmente é compartilhada entre os departamentos.

Por isso, soluções completas de segurança, que permitam uma visão 360º das superfícies de ataque de uma organização e sejam capazes de antever – e, naturalmente, prevenir – quaisquer tentativas de ataques fazem a diferença na hora de assegurar a proteção dos diferentes pontos de vulnerabilidade de um e-commerce.

Saiba como manter o seu varejo seguro.

Consulte a assessoria de especialistas da Compugraf e proteja sua empresa!

Novas vulnerabilidades da Microsoft estão sendo exploradas por cibercriminosos. Violação de dados ameaça vazar desde registros psicoterapêuticos, na Finlândia, a informações financeiras, na Cingapura.

O que você vai ler hoje:

• Falha de segurança do Windows está sendo ativamente explorada por cibercriminosos
• Cidadãos finlandeses são vítimas de ransomware, que ameaça vazar informações “altamente sensíveis e confidenciais”
• E-mails universitários funcionam como “atalho” para invasão de redes corporativas nos EUA
• 1,1 milhão de contas comprometidas por falha de segurança em e-commerce

Falha de segurança do Windows está sendo ativamente explorada por cibercriminosos

A Microsoft confirmou, na última semana de outubro, que uma vulnerabilidade zero day não-corrigida no sistema operacional do Windows está sendo ativamente explorada por agentes cibercriminosos. A vulnerabilidade afeta todas as versões do Windows 7 ao Windows 10.

A empresa foi informada sobre a vulnerabilidade pela Project Zero do Google, uma unidade dedicada, formada pelos principais “caçadores de vulnerabilidades” do mundo, que rastreia bugs de segurança associados a zero day exploits.

Como o Project Zero identificou que o problema de segurança estava sendo explorado ativamente por invasores, a equipe deu à Microsoft um prazo de apenas sete dias para corrigi-lo antes da divulgação. A Microsoft não conseguiu lançar um patch de segurança dentro do prazo extremamente restritivo, e o Google publicou detalhes da vulnerabilidade, que agora pode ser rastreada como CVE-2020-17087.

O bug, em si, fica dentro do driver de criptografia do kernel do Windows, conhecido como cng.sys, e pode permitir que um invasor escale seus privilégios ao acessar uma máquina que utilize o sistema operacional da Microsoft.

Mas, embora a empresa tenha confirmado que o ataque relatado é real, ela também sugere que seu escopo é limitado e altamente direcionado. Ou seja, não se trata, por enquanto, de um exploit generalizado.

A Microsoft afirma não ter nenhuma evidência de exploits generalizados ameaçando seu sistema.

Além disso, argumenta que o ataque exige que outras vulnerabilidades sejam encadeadas para que uma exploração bem-sucedida aconteça. Uma das principais já foi corrigida: era uma vulnerabilidade baseada em navegador, CVE-2020-15999, que incluía o Chrome e Microsoft Edge. O Microsoft Edge foi atualizado em 22 de outubro, enquanto o Google Chrome foi atualizado em 20 de outubro. Contanto que seu navegador esteja atualizado, você está protegido.

Fora isso, de acordo com um porta-voz da Microsoft, em comunicado à Forbes, não há outras cadeias de ataque conhecidas explorando essa vulnerabilidade do Windows atualmente.

Cidadãos finlandeses são vítimas de ransomware, que ameaça vazar informações “altamente sensíveis e confidenciais”

Cerca de 1% da população finlandesa recebeu a seguinte ameaça nas últimas duas semanas:

“Seus registros psicoterapêuticos serão divulgados, a menos que você me pague €500 em criptomoeda em 48 horas”.

Isso porque vários indivíduos – aparentemente, sem quaisquer relações entre si – obtiveram acesso aos centros de psicoterapia da Vastaamo, rede hospitalar que trata cerca de 40.000 pacientes principalmente em Oulu e Tampere, na Finlândia.

Os hackers exploraram uma violação de segurança que se estendeu por entre fins de 2018 e início de 2019 e que parece não ter sido amplamente relatada às autoridades ou ao público em geral.

Esses registros psicoterapêuticos, profundamente íntimos, se tornaram munição para cibercriminosos chantagearem e, se bem-sucedidos, extraírem fundos da administração dos hospitais e de seus pacientes.

É o maior pedido de resgate dirigido a uma instalação médica, até o momento.

O pagamento de € 500 deve ser feito a uma carteira de criptomoeda exclusiva e os pacientes devem enviar um e-mail de confirmação para um endereço específico, a fim de não terem suas informações vazadas. Os hackers usaram um "provedor de depósito em criptomoeda" que envia notificações aos invasores assim que os fundos são recebidos, para manter o controle dos milhares de pagamentos desejados.

Nesse ínterim, as empresas de cibersegurança uniram forças com os provedores de análise de blockchain para rastrear e identificar os suspeitos. Uma investigação interna da rede hospitalar, que ainda está em andamento, constatou deficiências na segurança da informação; isso levou o Conselho de Administração a demitir o CEO da Vastaamo, Ville Tapio.

Outras medidas estão sendo tomadas para evitar que o ataque continue repercutindo, com danos ainda maiores.

E-mails universitários funcionam como “atalho” para invasão de redes corporativas nos EUA

Endereços de e-mail vinculados a domínios universitários são úteis por vários motivos, mas um tema recorrente nos últimos tempos tem sido a forma como eles funcionam como um “atalho” para ataques de phishing por meio de gateways de e-mail corporativos.

Isso porque os servidores de e-mails corporativos realizam verificações de autoridade dos e-mails recebidos, rejeitando qualquer domínio suspeito ou desconhecido.

Para os hackers, isso significa, então, sequestrar domínios com boa reputação. Uma pesquisa da empresa de segurança de e-mail INKY lança luz sobre essa tática e os domínios sendo explorados ​​pelo cibercrime.

Ao longo de 2020, a empresa filtrou 714 emails de phishing oriundos de domínios da Universidade de Oxford, 287 da Universidade de Stanford e 2.068 da Universidade de Purdue em Indiana, só nos Estados Unidos.

Considerando o grande número de e-mails originados desses domínios, no total, parece pouco. No entanto, estamos falando de apenas um provedor que protege um número relativamente pequeno de clientes corporativos, o que implica que esses e-mails são só a ponta de um iceberg muito maior.

Em um exemplo destacado pela pesquisa, a isca de phishing era uma mensagem do Microsoft 365 convidando o destinatário a acessar seus arquivos via soluções cloud, devido à quarentena. Essa tentativa de phishing foi detectada – o tema era muito óbvio – mas, se tivesse passado pela segurança, poderia parecer perfeitamente plausível a um indivíduo desavisado.

Uma rápida análise dos cabeçalhos de e-mail confirmou que a ação era resultado de uma invasão de conta e, ao que tudo indica, os invasores ainda são auxiliados pela capacidade de usar os servidores da universidade como retransmissores, enviando e-mails de localizações pouco suspeitas.

“Para evitar esse tipo de abuso, os servidores SMTP devem ser configurados para não aceitar e encaminhar e-mails de endereços IP não-locais para caixas de correio por usuários não-autenticados e não-autorizados", alertam os pesquisadores.

Além disso, estendem o alerta aos usuários, para que fiquem atentos a quaisquer indícios de e-mails suspeitos, mesmo se originados por domínios confiáveis.

1,1 milhão de contas comprometidas por falha de segurança em e-commerce

A plataforma de e-commerce RedMart, com sede em Cingapura, sofreu uma violação de dados que comprometeu os dados pessoais de 1,1 milhão de contas.

Um indivíduo, ainda não-identificado, alegou estar de posse do banco de dados envolvido na violação, que contém várias informações pessoais, como endereços de correspondência, senhas criptografadas e números parciais de cartão de crédito.

Na sexta-feira (30/10), os clientes do RedMart foram desconectados de suas contas e solicitados a redefinir suas senhas antes de logar novamente. Eles também foram informados de um "incidente de segurança de dados do RedMart" descoberto no dia anterior (29), como parte do "monitoramento proativo regular "realizado pela equipe de segurança cibernética da empresa.

Em sua nota aos clientes, a controladora da RedMart, Lazada, disse que a violação levou ao acesso não-autorizado de um "banco de dados exclusivo do RedMart" hospedado em um provedor de serviços terceirizado. Os dados desse sistema foram atualizados pela última vez em março de 2019 e continham informações pessoais que coincidem com os dados violados.

Em um FAQ publicado em seu site sobre o incidente de segurança, a Lazada disse que as informações do cartão de crédito dos clientes eram "totalmente seguras", pois a empresa não armazena nem o número completo do cartão, nem o CVV em seus sistemas.

"No entanto, recomendamos que você fique atento e monitore qualquer atividade incomum ou transações suspeitas em seus cartões de crédito", alertou, no comunicado oficial.

Além disso, a Lazada disse que havia relatado "voluntariamente" o incidente de segurança à Comissão de Proteção de Dados Pessoais (PDPC) de Cingapura e que estava em contato com outras autoridades relevantes, incluindo a Força Policial de Cingapura.

De acordo com a Lei de Proteção de Dados Pessoais (PDPA) de Cingapura, espera-se que as organizações notifiquem as autoridades sobre uma suspeita de violação de segurança de dados se ela afetar mais de 500 pessoas ou quando "dano ou impacto significativo" para os indivíduos provavelmente ocorrerá devido à violação.

Eles também devem fazer isso no máximo 72 horas após a conclusão da avaliação da violação e não levar mais de 30 dias para concluir uma investigação sobre uma suspeita de violação de segurança de dados.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf!

Esses e muitos outros insights são de uma pesquisa recente com líderes de TI, realizada pela CensusWide.

• 73% das empresas com mais de 500 funcionários aceleraram seus planos de migração para a nuvem a fim de se adequar ao trabalho remoto por conta da pandemia do novo coronavírus
• 81% das empresas aceleraram seus processos de modernização de TI devido à pandemia
• 48% de todas as empresas pesquisadas aceleraram seus planos de migração para a nuvem e 49% aceleraram seus planos de modernização de TI por causa do COVID-19
• 32% das empresas de grande porte, com mais de 500 funcionários, estão implementando mais automação usando ferramentas baseadas em inteligência artificial este ano

O objetivo das análises realizados pelos pesquisadores é entender como a dinâmica de investimentos, operações e gastos em TI mudou nos últimos seis meses.

E, nesse aspecto, eles descobriram que quanto maior a empresa, mais importante é proteger o acesso remoto à infraestrutura crítica para as equipes de administração de TI, colocando o acesso remoto e a atualização das políticas e avisos de privacidade como as duas das maiores prioridades para as empresas hoje.

Os resultados da pesquisa

Os principais insights da pesquisa incluem:

83% das empresas de grande porte fizeram mudanças significativas em sua estrutura de cibersegurança

A grande maioria das empresas transformou a forma como aborda a segurança cibernética nos últimos seis meses, com 83% das empresas de grande porte investindo em soluções de segurança e liderando todas as organizações.

Mas isso não tira a relevância dos movimentos que pequenas e médias empresas também têm feito. Refletindo como muitas dessas empresas são orientadas digitalmente, os ajustes de segurança cibernética começam em organizações com 10 a 49 funcionários.

Além disso, 60% de todas as organizações ajustaram suas abordagens à segurança na nuvem como resultado de forças de trabalho distribuídas.

48% de todas as organizações tiveram que acelerar a migração para a nuvem devido à pandemia, com empresas maiores liderando o caminho

De acordo com o relatório, 73,5% das empresas com mais de 500 funcionários aceleraram os planos de migração para a nuvem para dar suporte aos novos arranjos de trabalho remoto de seus colaboradores, liderando as demais organizações e, de certa forma, estabelecendo o exemplo.

Essa descoberta reflete como grandes empresas se comprometeram com uma diretriz cloud-first este ano.

Também é consistente com outras pesquisas realizadas em 2020, que mostram o quanto soluções em nuvem conquistaram de vez o mundo corporativo, especialmente se tratando de grandes empreendimentos.

49% de todas as organizações e 81% das empresas de grande porte tiveram que acelerar seu processo de modernização de TI devido à pandemia

Para as maiores empresas, a modernização de TI equivale à digitalização de mais processos usando serviços nativos na nuvem (59%), mantendo a flexibilidade e investindo em segurança para uma força de trabalho parcialmente remota (57%) e revisitando e ajustando suas demandas de segurança cibernética (40%) que, até então, tendiam a perder espaço para “demandas mais urgentes”.

51% das empresas com 500 funcionários ou mais estão tornando o acesso remoto seguro sua maior prioridade interna

Em contrapartida, 27% dos líderes de TI de todas as organizações afirmam que fornecer acesso seguro e granular a equipes de administração de TI, a prestadores de serviços de TI terceirizados e a fornecedores do setor é a prioridade número dentro das empresas.

A pesquisa também descobriu que organizações com 250 a 500 funcionários têm maior probabilidade de adquirir ferramentas e aplicativos de segurança cibernética específicos para atender aos requisitos de conformidade.

O investimento em equipes de TI cresceu em pelo menos 34% das empresas

Os líderes de TI estão rapidamente usando as lições aprendidas com a pandemia como catapulta para fortalecer a transformação da nuvem e as estratégias de modernização de TI.

Um em cada três líderes de TI entrevistados (34%) disse que seus orçamentos aumentaram durante a pandemia, correspondendo a empresas de todos os portes.

Já em empresas de maior escala, com mais de 500 funcionários, 59% dos líderes de TI viram seus orçamentos aumentarem.

Outra boa notícia é que as organizações também estão preservando sua equipe de TI.

63% dos entrevistados viram pouco ou nenhum impacto em suas equipes, indicando que a maioria das organizações terá o orçamento e os recursos para manter ou, até, aumentar seus planos de investimento em segurança cibernética.

Já 25% dos líderes de TI indicaram que sua empresa planeja manter toda a sua força de trabalho completamente remota.

Diante desses dados, é encorajador ver os líderes de TI recebendo o suporte de que precisam para realizar suas iniciativas de segurança em nuvem e modernização de TI no próximo ano.

Afinal, com empresas de todos os tamanhos ao redor do mundo precisando se adaptar às novas condições de trabalho impostas pela pandemia, a proteção das infraestruturas em nuvem precisa ser uma prioridade.

Mantenha seus ambientes em nuvem protegidos. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Estratégias clássicas, novas ameaças: grupos de cibercriminosos continuam investindo em ataques conhecidos e fazendo vítimas. Governo dos EUA é um dos alvos principais, especialmente em tempos de eleição.

O que você vai ler hoje:

• Malware da Emotet cria alertas falsos de atualização do Microsoft Office para infectar dispositivos
• Ataques de phishing exploram a eleição dos EUA para tentar roubar dados bancários
• Governo dos Estados Unidos divulga que foi hackeado em outubro
• Novo trojan de acesso remoto pode ser controlado pelo Telegram para executar funções complexas de extração de dados pessoais

Malware da Emotet cria alertas falsos de atualização do Microsoft Office para infectar dispositivos

Os cibercriminosos que controlam uma das ramificações de malware mais conhecidas do mundo estão adotando uma nova abordagem para atrair potenciais vítimas.

A nova campanha de e-mail do grupo explora um alerta falso do Windows Update para iniciar o processo de infecção. Os e-mails maliciosos não mencionam nada sobre atualização no assunto ou no corpo da mensagem; eles seguem estratégias consolidadas em 2020 e se restringem a tópicos de tendência como o COVID-19 ou baits comprovados, como avisos de remessa, faturas e currículos falsos.

Só depois de abrir os documentos anexos é que as vítimas são confrontadas com a falsa notificação de atualização.

A essa altura, porém, o PC do usuário ainda não foi infectado. A funcionalidade avançada exigida pelo Emotet e outros tipos de malware não é ativada até que o botão de “habilitar edição” seja clicado manualmente.

Para persuadir os usuários a ignorar o aviso da Microsoft e desativar o modo de exibição protegido, os cibercriminosos contam com truques de engenharia social. A maioria dos usuários tende a ignorar avisos dependendo de quem seja o remetente do e-mail, ou muitas vezes nem se atenta aos alertas.

E é assim que os invasores acessam os dispositivos sem grandes dificuldades.

Por isso, vale lembrar que a Microsoft não notifica sobre atualizações do Office dessa forma. Geralmente, o aplicativo exibe uma barra amarela no topo da página, com os dizeres “atualizações disponíveis”.

Ataques de phishing exploram a eleição dos EUA para tentar roubar dados bancários

Com a proximidade da eleição presidencial dos EUA, grupos de spam têm se mobilizado de forma massiva para não perder o timing e explorar assuntos relacionados ao registro de eleitores para induzir as vítimas a acessarem sites falsos, que se passam por sites oficiais do governo, e forneçam dados pessoais diversos.

Essas campanhas começaram em setembro e seguem em atividade até hoje, enquanto as iscas (o assunto do e-mail) ainda são relevantes.

Nesse sentido, as iscas dessas campanhas são relativamente simples e exploram o medo dos cidadãos dos EUA de que seu pedido de registro de eleitor possa ter falhado.

Usando linhas como "os detalhes do formulário de registro eleitoral não puderam ser confirmados" e "a secretaria do condado não conseguiu confirmar seu registro eleitoral", os usuários são atraídos para páginas falsas que solicita “um novo preenchimento do formulário de registro eleitoral”.

Se os usuários não perceberem a URL incorreta, eles acabarão fornecendo seus dados pessoais a um grupo de criminosos. Os dados geralmente coletados por meio desses formulários são:

• Nome
• Data de nascimento
• Endereço de correio
• Endereço de e-mail
• Número da Segurança Social (SSN)
• Informações da carteira de habilitação

Mas em um relatório de acompanhamento publicado na quinta-feira (22), a empresa de cibersegurança Proofpoint mostra que o grupo mudou suas táticas nos últimos dias.

Com o período pré-eleitoral chegando ao fim, os cibercriminosos se tornaram mais ousados. Além de solicitar informações de identificação pessoal específicas para formulários de registro de eleitores, o grupo agora expandiu seu escopo para incluir novos campos que também solicitam:

• Banco onde o usuário tenha conta-corrente
• Número da conta do banco
• Número de roteamento da conta bancária
• ID / nome de usuário do banco
• Senha da conta bancária
• Senhas de contas de e-mail
• Número de identificação do veículo (VIN)

Para acalmar os temores, os spammers afirmam que essas informações extras são necessárias para que os usuários possam reivindicar um "estímulo do governo".

Não se sabe ao certo quantos eleitores já caíram no golpe, mas, se os cibercriminosos estão insistindo neste tipo de ataque, é porque têm obtido algum retorno.

Governo dos Estados Unidos divulga que foi hackeado em outubro

Funcionários do governo estadunidense divulgaram os hacks sofridos pelos sistemas oficiais dos EUA em um comunicado conjunto de segurança, que foi publicado pela Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA) e o Federal Bureau of Investigation (FBI).

As autoridades americanas identificaram o grupo de hackers russo responsável pelos ataques como Energetic Bear, um codinome usado pela indústria de segurança cibernética. Outros nomes para o mesmo grupo também incluem TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti e Koala.

Também disseram que o grupo tem tido como alvo dezenas de redes governamentais estaduais, locais, territoriais e tribais (SLTT) desde fevereiro de 2020, no mínimo.

Além disso, as duas agências disseram que o Energetic Bear "comprometeu com sucesso a infraestrutura de rede e, em 1º de outubro de 2020, exfiltrou dados de pelo menos dois servidores do governo".

De acordo com o comunicado técnico, os hackers russos usaram vulnerabilidades publicamente conhecidas para violar o equipamento de rede, migrar para redes internas, elevar privilégios e roubar dados confidenciais.

Os dispositivos direcionados incluíram gateways de acesso Citrix (CVE-2019-19781), servidores de e-mail Microsoft Exchange (CVE-2020-0688), agentes de e-mail Exim (CVE 2019-10149) e Fortinet SSL VPNs (CVE-2018-13379).

Em situações em que os ataques foram bem-sucedidos, a CISA e o FBI disseram que os hackers tentaram extrair arquivos como:

• Configurações e senhas de rede confidenciais.
• Procedimentos operacionais padrão (SOP), como a inscrição na autenticação multifator (MFA).
• Instruções de TI, como solicitar redefinições de senha.
• Fornecedores e informações de compra.
• Impressão de crachás de acesso.

O Energetic Bear é o mesmo grupo de hackers que orquestrou o ataque ao aeroporto de San Francisco anteriormente este ano.

Novo trojan de acesso remoto pode ser controlado pelo Telegram para executar funções complexas de extração de dados pessoais

Um grupo de pesquisadores de cibersegurança descobriu um novo trojan de acesso remoto (RAT), que vem sendo divulgado em fóruns de hackers clandestinos, que se comunicam em russo.

Chamado de T-RAT, o malware está disponível por apenas 45 dólares e seu principal argumento de venda é a capacidade de controlar os sistemas infectados por meio de um canal do Telegram, em vez de um painel de administração hospedado na web.

Seu autor afirma que isso dá aos compradores acesso mais rápido e fácil aos computadores infectados de qualquer local, permitindo que os agentes de ameaças ativem recursos de roubo de dados assim que a vítima for infectada e antes de que a presença do RAT seja identificada.

Para isso, o canal no Telegram suporta 98 ​​comandos que, quando digitados na janela principal de chat, permitem ao proprietário da RAT recuperar senhas e cookies do navegador, navegar no sistema de arquivos da vítima e pesquisar dados confidenciais, implantar um keylogger, gravar áudio pelo microfone, fazer capturas de tela da área de trabalho da vítima, tirar fotos via webcam e recuperar o conteúdo da área de transferência.

Além disso, o RAT também pode executar comandos de terminal (CMD e PowerShell), bloquear o acesso a certos sites (como antivírus e sites de suporte técnico), eliminar processos (software de segurança e depuração) e até mesmo desabilitar a barra de tarefas e o gerenciador de tarefas.

Mas o uso do Telegram como sistema de comando e controle não é tanta novidade; o aplicativo tem sido uma tendência nos últimos anos, e o T-RAT não é o primeiro RAT a implementar tal modelo.

Ameaças anterior incluem RATAttack (removido do GitHub em 2017, direcionado ao Windows), HeroRAT (direcionado a usuários de Android), TeleRAT (usado contra iranianos, mirando em usuários de Android), IRRAT (direcionado a usuários de Android), RAT-via-Telegram (disponível no GitHub, direcionado ao Windows) e Telegram-RAT (disponível no GitHub, direcionado ao Windows).

Mantenha sua rede e seus dispositivos seguros. Entre em contato com a assessoria de especialistas da Compugraf e veja como podemos te ajudar!

Os invasores se voltaram a setores que ganharam caráter de urgência diante da pandemia do COVID-19 – como saúde, e-commerces e serviços educacionais online – e se aproveitam da transição massiva para ambientes digitais arquitetando ataques complexos, de alto rendimento, projetados para subjugar empresas e derrubá-las rapidamente.

“A primeira metade de 2020 testemunhou uma mudança radical na metodologia de ataque DDoS para ataques complexos de múltiplos vetores mais curtos, mais rápidos e mais difíceis de atingir”, afirma Richard Hummel, líder de inteligência de ameaças da Netscout, fornecedora de produtos de gerenciamento de desempenho de aplicativos e redes, que conduziu uma análise sobre a evolução de ataques DDoS ao longo da pandemia.

E, da mesma forma que ocorreu com outros ataques este ano, é esperado que os ataque DDoS se tornem ainda mais frequentes e complexos.

“Os cibercriminosos aumentaram o escopo dos ataques, mirando contra plataformas e serviços online cruciais em um mundo cada vez mais digital, como comércio eletrônico, educação, serviços financeiros e saúde.

Não importa o alvo, adversário ou tática usada, é fundamental que os defensores e profissionais de segurança permaneçam vigilantes nesses dias desafiadores para proteger a infraestrutura crítica que conecta e caracteriza o mundo moderno”, prossegue Hummel.

Ataques recorde de DDoS em plataformas e serviços online

Mais de 929.000 ataques DDoS ocorreram em maio, representando o maior número de ataques já visto em um mês até hoje.

No primeiro semestre de 2020, ocorreram 4,83 milhões de ataques DDoS, um aumento de 15% em relação ao ano passado.

No entanto, a frequência de ataques DDoS aumentou 25% ao redor do mundo durante os meses de lockdown da pandemia, que ocorreu entre março e junho na maioria dos países.

Malfeitores focados em ataques mais curtos e complexos

Ataques superdimensionados, com mais de 15 vetores, aumentaram 2.851% desde 2017, enquanto a duração média do ataque caiu 51% em relação ao mesmo período do ano passado.

Além disso, os ataques de vetor único diminuíram em 43%, enquanto a taxa de transferência do ataque aumentou 31%, chegando a 407 Mpps.

O aumento na complexidade e velocidade do ataque, juntamente com a diminuição na sua duração, dá às equipes de segurança menos tempo para defender suas organizações desses ataques cada vez mais sofisticados.

Como esses ataques costumam ocorrer

Mais cedo este mês, o provedor de serviços Cloudfare, que oferece registro de domínios e proteção para websites, enviou um e-mail para toda a sua base de clientes alertando a respeito de um aumento na quantidade de ataques de ransom associados a ataques de DDoS.

De acordo com o e-mail, entidades autodenominadas Fancy Bear, Cozy Bear e Lazarus estão ameaçando lançar ataques DDoS contra sites corporativos e infraestrutura de rede, a menos que um resgate seja pago antes de um determinado prazo.

Antes da nota de resgate, porém, um pequeno ataque DDoS é lançado como forma de demonstração. Trata-se, tipicamente, de um ataque de reflexão UDP usando uma variedade de protocolos e durando cerca de 30 minutos (ou menos).

A nota de resgate costuma ser enviada para e-mail genéricos corporativos, como “suporte@…”, “comercial@…”, “financeiro@…” e por aí vai, e segue este modelo:

"Nós somos a Fancy Bear e escolhemos a [nome da empresa] como alvo para nosso próximo ataque DDoS.

Toda a sua rede estará sujeita a um ataque DDoS a partir de segunda-feira (em 6 dias). (Não estamos blefando, e, para provar, iniciaremos um pequeno ataque imediato a alguns de seus IPs, que durará 30 minutos.”

Organizações e indivíduos arcam com o custo dos ataques cibernéticos

Para determinar o impacto que os ataques DDoS têm no tráfego global da Internet, a Equipe de Engenharia de Segurança e Resposta (ASERT) da Netscout ATLAS desenvolveu o Coeficiente de Ataque DDoS (DAC).

Ele representa a quantidade de tráfego de ataque DDoS que atravessa a Internet em uma determinada região ou país, durante o período de um minuto.

Se nenhum tráfego puder ser atribuído a DDoS, a quantidade computada seria zero.

Porém, o DAC identificou a taxa de transferência regional superior de 877 Mpps na região Ásia-Pacífico e uma largura de banda superior a 2,8 Tbps na Europa, Oriente Médio e África.

O DAC é importante, pois os cibercriminosos não pagam pela largura de banda.

Isso significa que, de certa forma, todas as organizações e indivíduos conectados à Internet ao redor do mundo pagam uma “taxa de DDoS” que alimenta esses cibercriminosos.

Mantenha sua rede protegida

As melhores formas de se defender mudam de acordo os tipos de ataque.

Por isso, é importante contar com uma política de segurança da informação que possua protocolos e controles pré-definidos para lidar com cada tipo de invasão.

O ideal é o direcionamento de uma ação de defesa para cada camada de um ataque DDoS.

Confira como funciona um ataque DDoS aqui.

E saiba mais sobre como manter sua empresa segura entrando em contato com a assessoria de especialistas da Compugraf.