As principais notícias da semana

Se por um lado, por mais prejudiciais que sejam, ciberataques nunca foram considerados violentos por não apresentarem risco real à vida dos usuários, por outro essa realidade parece estar mudando.

Na Alemanha, registrou-se a primeira morte associada a um ataque de ransomware, que pode ser tratada como assassinato. Seria a abertura de um capítulo completamente novo na história da cibersegurança.

Enquanto isso, ataques de ransomware menos nocivos, mas ainda preocupantes, crescem no setor da Educação, e o Google se mobiliza para auxiliar vítimas a se prevenirem de malwares.

O que você vai ler hoje:

• Ataques de ransomware são um desafio para universidades ao redor do mundo
• Ainda na Educação, segurança de endpoints é principal fator de risco
• O Google agora escaneia arquivos suspeitos para você
• Primeira morte associada à ransomware é registrada na Alemanha

Ataques de ransomware são um desafio para universidades ao redor do mundo

O número de ataques de ransomware a universidades tem aumentado vertiginosamente desde o começo do ano, forçando as instituições acadêmicas a se manterem atualizadas sobre as melhores soluções de segurança para garantir que suas redes sejam resistentes o suficiente para prevenir e combater estes ataques, casos eles ocorram.

Recentemente, o Reino Unido emitiu um alerta às instituições de ensino ao redor do mundo, após equipes de segurança nacional observarem um aumento preocupante de ataques de ransomware a universidades em agosto.

Em alguns desses casos, os hackers não só exigiram um resgate significativo das vítimas, que deveria ser pago em bitcoin, mas também ameaçaram vazar dados pessoais roubados de seus alunos se o pagamento não fosse realizado.

Alguns dos vetores de infecção de ataque mais comuns incluem Protocolos de Desktop Remoto (RDP), e-mails de phishing e software e hardware vulneráveis ​​devido à falta de patches de segurança.

Por isso, a mitigação contra ataques de ransomware que as universidades estão sendo instadas a adotar incluem um gerenciamento completo de vulnerabilidades e patching nos softwares utilizados para ensino, proteção de serviços RDP com autenticação multifator, instalação de softwares antivírus e garantia de que funcionários e alunos estejam cientes dos riscos inerentes aos e-mails de phishing.

Também é recomendado que as universidades tenham backups offline atualizados e testados, de modo que, se os sistemas forem criptografados por um ataque de ransomware, eles possam ser restaurados sem que seja necessário pagar resgate a criminosos cibernéticos.

Ainda na Educação, segurança de endpoints é principal fator de risco

A crescente lacuna nas estratégias de segurança cibernética da educação hoje é mais grave na segurança de endpoints.

Visibilidade limitada dos dispositivos, picos de gerenciamento remoto e uso de aplicativos colaborativos, bem como atrasos na correção de vulnerabilidades críticas, estão colocando alunos e funcionários em risco elevado.

Esses e muitos outros insights são do Absolute Software's Distance Learning's Impact on Education IT Report, publicado esta semana. O relatório é baseado em dados anônimos de milhões de dispositivos ativos em aproximadamente 10.000 escolas.

De acordo com o relatório, o uso de aplicativos de gerenciamento remoto e colaboração em escolas de ensino fundamental e médio aumentou 87% e 141%, respectivamente, entre janeiro e maio de 2020.

A pesquisa também revela que 41% das equipes de TI das escolas disseram que rastrear dispositivos perdidos é um desafio significativo e, desde janeiro, houve um aumento de 205% no número de novos dispositivos conectados pela primeira vez à Internet, à medida que as escolas aumentaram seu inventário para dar suporte ao ensino à distância em 2020.

Além disso, a lacuna cada vez maior na segurança de endpoint, impulsionada pela rápida transformação digital que está acontecendo na educação hoje, coloca os professores na posição de helpdesk com muita frequência.

90% dos professores relatam que passam mais tempo resolvendo problemas de tecnologia e 7 em cada 10 estão tendo que sacrificar o tempo de ensino para resolver problemas técnicos.

Todos esses pontos poderiam ser evitados, ou minimizados, com melhores estratégias de segurança para endpoint a nível de dispositivo.

O Google agora escaneia arquivos suspeitos para você

O Google adicionou um novo recurso hoje ao APP, seu programa de segurança destinado a usuários de alto risco, como jornalistas, organizações políticas e ativistas.

A partir de hoje, os usuários do APP que navegam na web com o Chrome podem enviar arquivos suspeitos recém-baixados para os servidores do Google e fazer a varredura em busca de malware.

O recurso é a adição mais recente ao Programa de Proteção Avançada do Google, que vem evoluindo conforme mais e mais nos tornamos dependentes de auxílios para identificação e controle de ameaças antes de que elas, de fato, ocorram.

Com isso em mente, a partir do ano passado, o Google começou a mostrar avisos aos usuários do APP quando eles baixavam arquivos que pareciam ser maliciosos usando o Chrome.

Já essa semana, o Google disse que atualizou este aviso para adicionar uma opção que permite que os usuários do APP façam o upload do arquivo baixado para os servidores do Google, a fim de que ele seja verificado pelo Google Safe Browsing, usando suas técnicas internas de análise estática e dinâmica.

O novo recurso é ideal para usuários que não têm dinheiro para comprar um programa antivírus, como ativistas com baixa renda ou que vivem em países sancionados nos EUA, onde alguns fornecedores de segurança podem não estar presentes.

E para que os usuários do APP aproveitem as vantagens desse novo recurso, basta usarem o Chrome como seu navegador e fazer login com sua conta do Google protegida pelo APP.

Primeira morte associada à ransomware é registrada na Alemanha

As autoridades alemãs estão investigando a morte de um paciente após um ataque de ransomware a um hospital em Duesseldorf.

Identificada apenas como uma mulher que precisava de atendimento médico urgente, a paciente morreu após ter sido redirecionada para um hospital na cidade de Wuppertal, a mais de 30km de seu destino inicial, o Hospital Universitário de Duesseldorf, onde seria recebida pelo pronto-socorro.

Porém, o hospital que originalmente a receberia estava lidando com um ataque de ransomware que atingiu sua rede e infectou mais de 30 servidores internos no dia 10 de setembro, impossibilitando-o de recebê-la.

O incidente marca a primeira morte humana relatada indiretamente causada por um ataque de ransomware.

O caso está sendo investigada pelas autoridades alemãs. Se o ataque de ransomware e o tempo de inatividade do hospital forem considerados culpados pela morte da mulher, a polícia alemã disse que planeja transformar sua investigação em um caso de assassinato.

De acordo com a agência de notícias alemã RTL, a gangue de ransomware responsável pelo ataque retirou seu pedido de resgate depois que a polícia alemã entrou em contato. O hospital já recebeu uma descriptografia e está restaurando seus sistemas.

Um dia antes, o BSI havia emitido um aviso inesperado, pedindo às empresas alemãs que atualizassem seus gateways de rede Citrix para a vulnerabilidade CVE-2019-19871, um conhecido ponto de entrada para cibercriminosos.

A Associated Press também informou hoje que todo o ataque de ransomware à rede do hospital parece ter sido um acidente, com a nota de resgate sendo dirigida à universidade local (Duesseldorf Heinrich Heine University), e não ao hospital, que era apenas parte da rede maior.

Ou seja, um efeito colateral, que acabou chegando longe demais.

Saiba como manter sua empresa protegida de ameaças. Consulte a assessoria de especialistas da Compugraf.

Alguns pontos que nos ajudam a concluir isso:

• O crescimento vertiginoso do trabalho remoto está tornando a segurança de endpoints uma urgência para todas as organizações.
• Estratégias de implantação que priorizam a nuvem (cloud-first solutions) dominam as inovações do Hype Cycle for Endpoint Security da Gartner este ano.
• Soluções de Zero Trust Security (ZTNA) estão ganhando adesão em empresas que já perceberam que a identidade de seus colaboradores é o novo perímetro de segurança de seus negócios.
• Em 2024, pelo menos 40% das empresas terão elaborado estratégias para adoção do Secure Access Service Edge (SASE), contrapondo a estatística de menos de 1% de adesão no final do ano de 2018.

Esses e muitos outros novos insights são do Gartner Hype Cycle for Endpoint Security de 2020, ecoado no recente anúncio, também da Gartner, de que desdobramento da modalidade BYOD (bring your own device) transformará a segurança das empresas nos próximos cinco anos.

A definição de Hype Cycles (ciclo de tendências) da Gartner é composta por cinco fases do ciclo de vida de uma tecnologia e determina para onde os holofotes da cibersegurança estarão voltados ao longo dos próximos meses e/ou anos.

Existem 20 tecnologias no Hype Cycle for Endpoint Security deste ano. A proliferação de ataques a endpoints, o crescimento acelerado do trabalho remoto, a “pandemia do ransomware” e os frequentes ataques de phishing estão, como contrapartida ao prejuízo provocado pelo cibercrime, criando novas oportunidades para pesquisadores e fornecedores do ramo de cibersegurança acelerarem, também, inovações para prevenção e combate a ameaças.

Nesse cenário, a nuvem se tornou a plataforma preferida das organizações que adotam medidas de segurança de endpoint, conforme evidenciado pelas muitas referências do Hype Cycle a estratégias de implantação cloud-first.

O gráfico abaixo ilustra essa tendência:

O que há de novo nas soluções de segurança para endpoint e o que esperar para os próximos anos

A seguir, compartilhamos os principais assuntos com os quais sua empresa deve se preocupar nos próximos meses:

Colaboradores trabalhando de seus dispositivos pessoais são a superfície de ataque mais vulnerável das empresas

Cinco tecnologias estão no Hype Cycle pela primeira vez, reflexo do aceleramento provocado pelo trabalho remoto e a severidade e sofisticação dos ataques a endpoints.

São elas:

• Unified Endpoint Security
• Extended Detection and Response
• Business E-Mail Compromise Protection
• BYOPC Security
• Secure Access Service Edge (SASE)

Durante todo o isolamento social gerado pela pandemia do novo coronavírus, diversas organizações ao redor do mundo têm lutando para equipar suas forças de trabalho remotas com sistemas, dispositivos e smartphones corporativos. Por outro lado, muitas delas demandam que os colaboradores usem seus próprios dispositivos.

O modelo “traga o seu PC” (BYOPC, acrônimo de bring your own PC) se tornou tal via de regra que o termo vem substituindo o BYOD no Hype Cycle e pesquisas de cibersegurança afora.

O BYOPC é uma das superfícies de ameaça mais vulneráveis das empresas hoje. O número de colaboradores que acessam dados e aplicativos valiosos de seus próprios dispositivos, muitas vezes sem proteção nenhuma, será a grande preocupação dos próximos anos.

Investimento em soluções unificadas continua crescendo

Detecção e resposta estendidas (Extended detection and response, ou XDR) está no Hype Cycle pela primeira vez, refletindo uma tendência de consolidação dos gastos atuais com fornecedores no ramo de segurança cibernética.

A Gartner define o termo XDR como uma ferramenta de detecção e resposta de ameaças e resposta a incidentes específica de um fornecedor, que unifica vários produtos de segurança em um sistema único de operações de segurança.

A XDR e seu potencial para reduzir o custo total e a complexidade das infraestruturas de segurança cibernética na empresas é um tema constantemente debatido ao longo deste ano. Os fornecedores de XDR afirmam que seus portfólios integrados de aplicativos de detecção e resposta oferecem maior precisão e uma prevenção mais assertiva do que os sistemas autônomos.

É necessário reforçar a cerca em torno dos e-mails corporativos

A prevenção do comprometimento de e-mails corporativos (Business email compromise, ou BEC) também é figurinha inédita no Hype Cycle.

Os ataques de phishing custaram às empresas 1,8 bilhão de dólares em 2019, de acordo com o FBI, enfatizando a necessidade de melhor segurança nessa área, em específico.

E, visando justamente isso, a BEC pode ser definida como uma série de soluções que detectam e filtram e-mails maliciosos, onde criminosos se fazem passar por parceiros comerciais para desviar fundos ou dados das empresas-alvo.

Muitos desses ataques têm foco em executivos C-level, que veem suas identidades fraudadas por cibercriminosos na expectativa de desviar milhares de dólares para contas externas.

Faturas fraudulentas, aliás, foram responsáveis ​​por 39% dos ataques de phishing visando empresas em 2018, representando não só um risco interno para as organizações, mas também um risco para a reputação de seus executivos.

Dashboards unificados será o diferencial para equipes de TI

Unified Endpoint Security (UES) é outra tendência presente no Hype Cycle, e vem sendo impulsionada pela demanda das equipes de TI por um único dashboard para todos os eventos de segurança cibernética.

Sobre isso, a Gartner observa que os fornecedores de sucesso no setor de UES serão aqueles que demonstrarem ganhos de produtividade significativos na integração de segurança e operações, bem como aqueles que processarem rapidamente grandes quantidades de dados para detectar ameaças anteriormente desconhecidas.

CIOs e CISOs estão procurando uma maneira de integrar o UES e o Unified Endpoint Management (UEM), para que suas equipes possam ter um console único e abrangente em tempo real de todos os dispositivos que forneça alertas sobre quaisquer eventos de segurança.

O objetivo é ajustar as políticas de segurança em todos os dispositivos.

Integrar para conquistar: a nova ordem

Já o Unified Endpoint Management (UEM) está se expandindo rapidamente além do gerenciamento de PCs e dispositivos móveis para fornecer maiores insights de análises de endpoint e integração mais profunda no Gerenciamento de Identidade e Acesso (Identity and Access Management, ou IAM).

Os muitos benefícios do UEM, incluindo a simplificação de atualizações contínuas do sistema operacional em várias plataformas móveis, permitindo o gerenciamento de dispositivos independentemente da conexão e tendo uma arquitetura capaz de suportar uma ampla gama de dispositivos e sistemas operacionais, são o motivo pelo qual as empresas estão procurando expandir sua adoção de soluções com esse perfil.

Outro grande benefício mencionado pelas empresas é a automação de patches, políticas e gerenciamento de configurações baseados na Internet.

Além disso, os líderes da UEM se diferenciam por suas soluções de segurança adicionais integradas à plataforma UEM, incluindo autenticação multifator sem senha (Zero Sign-On) e defesa móvel contra ameaças (MTD).

O MTD, especialmente, é notório entre os clientes que precisam validar dispositivos em escala, estabelecer o contexto do usuário, verificar conexões de rede e, em seguida, detectar e corrigir ameaças. Ou seja, soluções completas, que simplifiquem a construção de uma rede de segurança com diversas camadas, serão prioridade das organizações em ascensão.

Soluções focais perdem espaço para proteções multifatoriais e unificadas

Por fim, dez tecnologias foram removidas ou substituídas no Hype Cycle porque, de acordo com a Gartner, evoluíram para recursos mais amplos ou se transformaram em ferramentas que vão além da segurança.

As dez tecnologias incluem navegadores protegidos, DLP para dispositivos móveis, detecção e resposta gerenciadas, análise de comportamento de usuários e entidades, segurança de IoT, plataformas de colaboração de conteúdo, identidade móvel, autenticação de usuário, ambientes confiáveis ​​e BYOD, que foi substituído por BYOPC.

De certo modo, o que dá para apreender dessas tendências e do novo ciclo que começamos a desbravar é uma consciência cada vez maior, por parte das empresas, a respeito das muitas camadas envolvidas na segurança de suas redes, dispositivos e colaboradores.

Por isso, é fundamental contar com parceiros que entendam dessa complexidade e assegurem que todas as superfícies de ataque estejam amparadas e protegidas.

Conte com os especialistas da Compugraf nessa missão. Entre em contato conosco e conheça nossas soluções!

Consumidores estão dispostos a ceder seus dados, desde que a sua empresa faça bom uso deles e seja transparente a respeito de sua utilização.

É uma boa notícia, mas reforça a necessidade de se investir na proteção desses dados – especialmente diante de ataques crescentes que exploram vulnerabilidades básicas.

O que você vai ler hoje:

• Facebook lança página para divulgar todas vulnerabilidades identificadas e corrigidas no WhatsApp
• Novo ataque direcionado a fintechs utiliza Trojan excepcionalmente desenvolvido
• Apple posterga a implementação das novas medidas de segurança do iOS 14 para 2021
• Bug de plugin do WordPress possibilita 10 mil ataques por hora a websites
• Consumidores estão dispostos a disponibilizar seus dados – desde que eles sejam bem utilizados

Facebook lança página para divulgar todas vulnerabilidades identificadas e corrigidas no WhatsApp

O Facebook lançou uma nova página, onde pretende listar todas as vulnerabilidades já identificadas e corrigidas no WhatsApp, seu serviço de mensagens instantâneas.

O fabricante do aplicativo publica regularmente notas de atualização nas páginas do iOS e da Google Play Store; no entanto, esses registros de alterações não fornecem descrições detalhadas dos bugs de segurança corrigidos, muitos dos quais são descritos apenas como "correções de segurança".

O Facebook alega que isso acontece "devido às políticas e práticas das lojas de aplicativos", e espera que a nova página funcione efetivamente como um changelog focado em segurança para usuários interessados.

Os detalhes que serão listados na nova página incluirão uma breve descrição do bug e um identificador de Common Vulnerabilities and Exposures (CVE), quando possível.

Os números CVE são destinados a pesquisadores de segurança que desejam rastrear bugs ou a empresas de segurança que desejam emitir alertas de segurança para seus próprios clientes.

O Facebook ainda disse que todas as vulnerabilidades listadas no site são bugs que foram corrigidos recentemente, e a nova página deve servir de exemplo e alertar porque os usuários precisam manter o aplicativo WhatsApp sempre atualizado para evitar ataques futuros.

Novo ataque direcionado a fintechs utiliza Trojan excepcionalmente desenvolvido

Uma operação de hacking direcionada a organizações de tecnologia financeira (fintechs) tem utilizado uma versão recentemente desenvolvida do malware Trojan para roubar endereços de e-mail, senhas e outras informações corporativas confidenciais.

Conhecido como Evilnum, o grupo de “ameaça persistente avançada” (Advanced Persistent Threat, ou APT) surgiu pela primeira vez em 2018. Uma das razões para seu sucesso é a frequência com que eles mudam de ferramentas e estratégia de ataque ao mirar em alvos relacionados a Fintechs, localizadas principalmente na Europa e no Reino Unido , mas com vítimas também nas Américas e na Austrália.

Nas últimas semanas, o grupo tem usado um Trojan de acesso remoto (RAT) com script Python, em uma nova onda de ataques direcionados.

Descoberto por pesquisadores de segurança cibernética, que o apelidaram de PyVil RAT, o malware permite que invasores roubem secretamente informações corporativas por meio de keylogging e capturas de tela, tendo também a capacidade de coletar informações sobre o sistema infectado – incluindo qual versão do Windows está em execução, quais produtos antivírus estão instalados e se dispositivos USB estão conectados.

Embora não esteja claro quem são os criminosos cibernéticos por trás do Evilnum, a natureza altamente direcionada dos ataques e a maneira como eles constantemente mudam suas táticas levam os pesquisadores a acreditar que se trata de uma campanha altamente profissional e com bons recursos, que representam alto risco para as fintechs ao redor do mundo.

Apple posterga a implementação das novas medidas de segurança do iOS 14 para 2021

A Apple anunciou, oficialmente, que vai postergar a implementação das novas medidas de privacidade do iOS 14 até o início de 2021, para dar aos anunciantes e editores de aplicativos móveis mais tempo para se preparar.

A mudança foi simples, mas com um enorme impacto: implementar um “opt-in” no IDFA.

O IDFA é o identificador da Apple para anunciantes. É mais comumente usado como um dashboard de resultados de marketing, mas também pode ser explorado de forma a violar a privacidade.

Portanto, no iOS 14, a Apple planeja exigir que os desenvolvedores peçam permissão para usar o IDFA toda vez que baixarem um aplicativo. Em outras palavras, é a transição do opt-out – com a maioria das pessoas nem mesmo sabendo que isso existia – para o opt-in, com todos sendo solicitados a ter permissão sempre que instalarem um aplicativo.

“No iOS 14, iPadOS 14 e tvOS 14, os aplicativos serão obrigados a receber permissão do usuário para rastrear dados em aplicativos ou sites de propriedade de outras empresas ou para acessar o identificador de publicidade do dispositivo”, anunciou a Apple em uma atualização de desenvolvedor.

“Estamos empenhados em garantir que os usuários possam escolher se permitem ou não que um aplicativo os rastreie. Para dar aos desenvolvedores tempo para fazer as mudanças necessárias, os aplicativos serão obrigados a obter permissão para rastrear usuários a partir do início do próximo ano. Mais informações, incluindo uma atualização das Diretrizes de Revisão da App Store, serão divulgadas neste outono.”

Bug de plugin do WordPress possibilita 10 mil ataques por hora a websites

Os desenvolvedores do plugin WordPress File Manager corrigiram, recentemente, um problema de segurança explorado ativamente, permitindo o sequestro total do site de seus usuários – mas não antes de que milhares de ataques fossem realizados explorando essa vulnerabilidade.

De acordo com a equipe de segurança “Sucuri WordPress”, a vulnerabilidade surgiu na versão 6.4 do software, que é usado como alternativa ao FTP para o gerenciamento de transferências, cópias, exclusões e uploads de arquivos.

Na versão 6.4, lançada em 5 de maio, um arquivo foi renomeado no plugin, que conta com mais de 700.000 instalações ativas, para fins de desenvolvimento e teste. No entanto, em vez de ser mantido como uma alteração local, o arquivo renomeado foi adicionado acidentalmente ao projeto, criando uma abertura para exploração de agentes mal-intencionados.

O script em questão concedia aos usuários privilégios como modificar, enviar e excluir arquivos. A solução para esta vulnerabilidade, incluída na versão 6.9, é bastante simples: simplesmente exclua o arquivo – que nunca fez parte da funcionalidade do plugin.

No entanto, uma semana antes de o arquivo ser removido, um código de Prova de Conceito (PoC) foi lançado no repositório de código GitHub, levando a uma onda de ataques contra sites antes da versão 6.9 ser disponibilizada.

O primeiro ataque foi detectado em 31 de agosto, um dia antes do lançamento de uma versão corrigida do gerenciador. Depois, cresceu para cerca de 1.500 ataques por hora e, um dia depois, para uma média de 2.5000 ataques a cada 60 minutos. Em 2 de setembro, a equipe viu cerca de 10.000 ataques por hora.

Embora a vulnerabilidade já tenha sido resolvida, apenas 6,8% dos sites WordPress foram atualizados para a nova versão corrigida do plugin, deixando muitos sites vulneráveis. Um erro básico, que pode custar muito caro.

Consumidores estão dispostos a disponibilizar seus dados – desde que eles sejam bem utilizados

Uma plataforma de personalização baseada em Inteligência Artificial, a Formation.ai, entrevistou mais de 2.000 clientes dos EUA no primeiro trimestre de 2020 a respeito de seus sentimentos em relação à concessão de dados por fidelidade à marca.

Em um relatório exclusivo, a empresa mostra que a personalização é fundamental para ganhar a lealdade do consumidor no mercado competitivo de hoje. Mas essa personalização só é possível com um bom aproveitamento de dados cedidos pelo consumidor.

Quase quatro entre cinco (79%) dos consumidores concordam que quanto mais táticas de personalização uma marca usa, mais eles são leais a ela. Mas, para 77% dos consumidores, as empresas não estão fazendo o suficiente para conquistar essa fidelidade.

O relatório descobriu que mais de quatro entre cinco (81%) dos consumidores estão dispostos a compartilhar informações pessoais básicas para personalização e que 83% dos consumidores estão mais dispostos a compartilhar dados se a marca for transparente sobre como eles serão usados.

Em contrapartida, apenas um em cada cinco (20%) consumidores ​​sente que recebe e-mails de marketing que de fato apresentam conteúdo relevante para seu estilo de vida, interesses ou compras anteriores específicas.

De modo geral, a pesquisa aponta que as pessoas estão cada vez mais receosas de colocar sua privacidade em risco, e exigem saber como seus dados são usados.

Por outro lado, as empresas precisam ser mais transparentes na forma como usam os dados de seus clientes – sejam eles quais forem – para evitar tanto mensagens ultra-direcionadas, que faz com que o consumidor sinta que está sendo observado, quanto mensagens superficiais demais, com as quais o consumidor não se identifica.

Saiba como atender às normas da Lei Geral de Proteção de Dados no Brasil e se assegure de que sua empresa utiliza os dados de seus clientes da melhor forma.

Conte com a assessoria de especialistas da Compugraf!

Yoda disse uma vez que “o medo da perda é um caminho para o lado negro” e, embora ele não estivesse falando sobre a última ameaça à segurança cibernética, poderia facilmente estar.

O grupo de cibercriminosos DarkSide (ou Lado Negro,cujo nome é inspirado pelos membros maquiavélicos da franquia Star Wars) está ativo há menos de duas semanas, mas seus ataques altamente direcionados já estão rendendo muito dinheiro ao grupo.

Para se ter uma ideia, o medo da perda de dados de usuários e clientes é o caminho que aparentemente levou pelo menos uma vítima de ransomware – uma empresa emergente – a pagar o 1 milhão de dólares de resgate exigido.

E, seguindo o que se tornou uma espécie de norma para os cibercriminosos por trás das principais ameaças de ransomware ao redor do mundo, o DarkSide se revelou por meio de um comunicado à imprensa, conforme relatado pela Bleeping Computer.

O comunicado, adequadamente hospedado em um site da Dark Web e datado de 10 de agosto de 2020, afirma que “o DarkSide é um grupo novo no mercado, mas isso não significa que não temos experiência e viemos do nada”.

A ameaça de 1 milhão de dólares da DarkSide

Os cibercriminosos afirmam já ter obtido “milhões de dólares de lucro” por meio de parcerias com outros criminosos especializados em ransomware, mas criaram o DarkSide porque a busca por um “produto perfeito” de ataque cryptolocker não deu certo.

DarkSide é, eles afirmam, o produto perfeito.

De acordo com Lawrence Abrams, da Bleeping, pelo menos uma vítima desta ameaça recentemente desenvolvida parece ter pago um resgate de mais de 1 milhão de dólares.

Aliás, os resgates, de modo geral, variam de 200.000 dólares a 2 milhões de dólares, mas esses números dobram se a janela concedida para o pagamento inicial não for cumprida.

DarkSide afirma ter como alvo apenas aqueles que “podem pagar”

Com cruel ironia, a gangue DarkSide afirma que “não quer acabar com o seu negócio” e que vai “atacar apenas empresas que possam pagar a quantia solicitada”.

Supõe-se que isso explica as variações do resgate, pois os ataques aparentam ser altamente direcionados e levar em conta duas variáveis: quão alto pode ser o valor de um resgate e qual é a chance de pagamento. Geralmente, a DarkSide opera, nos dois casos, com o valor mais alto possível e boas chances de extorsão.

Na verdade, o que essa declaração quer dizer é que o grupo analisa os registros contábeis das empresas e determina quanto pode ser pago com base na receita líquida.

O DarkSide também disse, no comunicado à imprensa. que não teria como alvo hospitais, hospícios, escolas, universidades, organizações sem fins lucrativos ou o setor governamental.

As gangues de ransomware DoppelPaymer e Maze já fizeram promessas semelhantes, relacionadas ao setor de saúde, durante o início da pandemia do COVID-19.

Outros criminosos de ransomware não foram tão indulgentes, como o NetWalker, que atingiu o UCSF e extraiu com sucesso um resgate de 1,14 milhão de dólares.

Resta esperar para saber se a gangue DarkSide será fiel à sua palavra.

“Levamos nossa reputação muito a sério”, disseram os operadores do DarkSide, acrescentando que, se os resgates forem pagos, “todas as garantias serão cumpridas.”

Essas garantias parecem estar relacionadas à prática – agora padrão – de exfiltrar dados antes de criptografar as redes.

Como “voto de confiança”, o grupo DarkSide disse que garantiria a descriptografia de um arquivo de teste, forneceria suporte para descriptografia após o pagamento e excluiria todos os dados subidos às lojas na Dark Web.

Se os pagamentos não forem feitos, os criminosos ameaçam publicar todos os dados e mantê-los armazenados por pelo menos seis meses, notificando a mídia, clientes e parceiros sobre o incidente.

Quão nova é a equipe criminosa DarkSide?

Se tudo isso parece bastante familiar, é porque é. Embora o DarkSide afirme ser novo, e os ataques de ransomware específicos o sejam, a metodologia é experimentada e testada há bastante tempo.

Além disso, foi sugerido que existem semelhanças no próprio malware que ligam o grupo DarkSide ao REvil e ao GandCrab, anteriores a eles. Isso não quer dizer que os operadores REvil, de grande sucesso no cibercrime, estão evoluindo para algo novo, mas esses links são interessantes de serem observados.

E por falar em notas, até mesmo as notas de resgate personalizadas “Welcome to the Dark Side”, que a DarkSide, usa parecem ser baseadas em modelos do REvil.

Combatendo a ameaça do “Lado Negro da Força”

Trazendo o Yoda de volta à história, e sua citação clássica sobre o “medo da perda”, reduzir o risco da perda de dados é a chave para usar a força da segurança cibernética contra o “Lado Negro”.

Sejam quem sejam e de onde quer que eles tenham vindo, o grupo DarkSide certamente é mais um player no universo do ransomware que deve levado a sério e do qual as empresas devem se prevenir.

Isso significa voltar aos princípios de limpeza de sistemas e segurança de rede, garantindo que sua organização esteja fazendo mais do que apenas fazer backups de dados. Você tem que diminuir o risco de ataque, diminuir a superfície de ataque e tornar a segurança sua maior prioridade nos negócios.

Portanto, mantenha todos os softwares corrigidos e atualizados, certifique-se de que uma autenticação forte, preferencialmente de dois fatores, seja usada onde quer que esteja, eduque todos, desde o chão de fábrica até a diretoria, para estarem cientes e “acordar” para as ameaças que permitem que invasores ransomware entrem na rede.

Torne as coisas mais difíceis, e não mais fáceis, para os cibercriminosos.

Conte com a assessoria de especialistas da Compugraf para manter sua empresa segura.

Proposta mudaria data de vigência da Lei Geral de Proteção de Dados para dezembro de 2020, mas não foi aprovada no Senado

A LGPD vai finalmente acontecer após ter seu pedido mais recente de prorrogação negado. A proposta mudaria o início de vida da lei para dia 31 de dezembro, enquanto o órgão regulamentador da lei só deve iniciar as atividades em agosto de 2021.

Mas antes de continuarmos, uma observação.

Estamos todos comprometidos a ajudar a sua empresa a entrar em conformidade com a LGPD, e por isso preparamos a página mais completa sobre o tema na internet:

A Medida Provisória nº 959/2020, foi aprovada como um todo, com exceção do item que sugeria a de sua vigência.

Sendo assim, as sanções administrativas e a chegada da Autoridade Nacional de Proteção de Dados continuam datadas para agosto de 2021.

Você pode saber mais sobre todas as sanções da LGPD na última edição do nosso CyberTalks em um bate-papo com o José Aparecido, Engenheiro de Produto aqui da Compugraf:

Antes da votação, data de vigência estava prevista para o dia 16 de agosto, mas apesar da prorrogação ter sido invalidada, a lei agora passará a valer até 15 dias úteis depois da data em questão, ou seja, a previsão mais distante “até o momento” é o dia 04/09.

E isso se nada mudar ao longo do caminho ou a LGPD ser barrada mais uma vez, já que com as alterações a lei deve ser novamente aprovada pelo atual presidente do país.

Ontem (26) as empresas entraram em pânico após lerem de alguns portais de notícia que a lei passaria a vigorar no dia seguinte, hoje (27), ou até mesmo retroativamente para respeitar a data até então estipulada (16) de agosto.

A Lei Geral de Proteção de Dados sofre com a confusão em seus termos e datas desde o princípio, já que as informações nunca foram muito objetivas, levando sempre diferentes grupos de profissionais acreditarem em diferentes informações.

Mas para Carla Manso, DPO da Compugraf:

“(…)independente de datas e todo o drama em torno da lei, as empresas precisam continuar na jornada para entrar em conformidade o mais rápido possível, enxergando esses ruídos mais como uma oportunidade para arrumar a casa do que como desculpa para a procrastinação.”

Essa é a atualização mais recente do turbulento mês de agosto para a LGPD

Atualização 25/08 – ainda não entrou em vigor

O texto original da MP 959/20 foi alterado e aprovado com sucesso na Câmara, o qual sugere uma nova data para que a Lei Geral de Proteção de Dados entre em vigor. Caso seja aprovado em votação no dia 26/08, a LGPD passará a entrar em vigor somente no dia 31 de dezembro de 2020.

A votação ocorre no dia 26/08 às 16h na TV Senado (horário de brasília) em uma única sessão, e caso aprovada, seguirá para o aceite final e a sanção presidencial. A data sugerida pela nova versão da MP é vista positivamente por especialistas, além de envolver um acordo prévio entre todos os poderes (Executivo, Câmara e Senado).

Atualização 20/08 – ainda não entrou em vigor

Visto como um importante passo na saúde e proteção de dados no país inteiro, o texto original da MP 959/20 foi retirado da pauta do dia e movido para o dia 25/08. E isso é um ótimo exemplo sobre como a lei tem sido menosprezada por aqui.

As mudanças constantes na data de vigência, assim como uma série de lacunas a serem preenchidas pela lei brasileira é resultado de um conflito de interesses muito grande no Brasil.

Atualização 19/08 – ainda não entrou em vigor

Não houve consenso entre os deputados sobre a MP 959 na votação de ontem, 18/08 e a mesma não está planejada para ser abordada nos próximos dias. No entanto, é possível que isso mude e tenha prioridade dada a urgência do tema.

A data limite para que a MP ainda tenha validade e possa ser votada pelas duas autoridades (Câmara e Senado), é dia 26/08.

Atualização 11/08 – ainda não entrou em vigor

O início dos conflitos da LGPD em sua proximidade com a possível aprovação. A lei estava prevista para entrar em vigor neste mesmo mês, mesmo sem ANPD, o que não deve ser reconhecido até que a MP 959, que adia seu lançamento, seja votada.

A conformidade não depende da data final

A gente já noticiou em nossos conteúdos que hoje, ano que vem, ou seja lá quando a lei entrar em vigor, ela será uma realidade.

Já se passaram 2 anos desde a proposta original e não faz sentido esperar por uma data para começar a movimentar as coisas. A confusão jurídica causada por todas essas decisões envolvem questões e interesses políticos que não devem interferir na importância de uma empresa ter responsabilidade no uso de dados pessoais.

Essa zona de conflitos e informações que muitas vezes se divergem entre si devem agora influenciar muito mais no prazo para o funcionamento de seu órgão regulamentador, a Autoridade Nacional de Proteção de Dados do que da lei em si.

Para muitos ainda é confusa a ideia de uma lei em vigor que não tem sua existência devidamente acompanhada por um órgão responsável, mas nesses casos é válido compreender que outros órgãos e os concorrentes de sua empresa estarão observando as suas práticas e preparados para notificar qualquer irregularidade.

Sua empresa pode iniciar a jornada da LGPD em até 24 horas

Pensando na corrida das empresas para se adequar a LGPD, assim como toda a complexidade do processo para muitos profissionais, a Compugraf, junto com a OneTrust decidiu descomplicar as coisas e propor o impossível:

Ajudar você a iniciar regularização da sua empresa em até 24h.

Isso é possível com a OneTrust Fast Track, nosso framework para criação de roadmaps dinâmicos, que devem acelerar todo esse processo junto às empresas.

Tudo o que você precisa, é começar agora.

O que vem pela frente?

Apesar das mais recentes notícias se mostrarem promissoras, nossa única certeza é a de que certamente ainda teremos novidades.

Mas a parte boa disso tudo é que você pode acompanhar todas por aqui e em nossas redes sociais: LinkedIn, Instagram, YouTube.

Phishing continua se destacando como um dos ataques favoritos de cibercriminosos. Banco Santander e Google são vítimas de suas próprias vulnerabilidades – mas apenas um deles contou com a ajuda de hackers white hats.

O Brasil está entre os países mais afetados por campanhas envolvendo a COVID-19, em grande parte por falta de atenção dos usuários.

O que você vai ler hoje:

• Golpes de vishing (voice phishing) ameaçam empresas do setor privado
• Experian sofre violação de dados que afetou 24 milhões de clientes
• Vulnerabilidade do Gmail permitiria que e-mails falsos fossem enviados por meio de contas legítimas
• Bug nos caixas eletrônicos do banco Santander permite saque de valores maiores do que os armazenados em cartões de débito
• Brasil está entre os países mais afetados por phishing relacionado ao COVID-19

Golpes de vishing (voice phishing) ameaçam empresas do setor privado

De forma conjunta, o FBI e a Agência de Cibersegurança e Segurança de Infraestrutura (CISA) emitiram, este mês, um comunicado de segurança alertando para uma onda de ataques de vishing visando corporações do setor privado.

Vishing, ou phishing de voz, é uma forma de engenharia social em que os criminosos ligam para as vítimas para obter as informações desejadas para efetivação de um ataque, geralmente se passando por pessoas conhecidas.

De acordo com os órgãos de segurança, em meados de julho de 2020, os cibercriminosos começaram uma campanha de vishing visando colaboradores que trabalham em casa. Eles coletaram credenciais de login de redes corporativas e então fizeram dinheiro com a venda desse acesso para outras gangues criminosas.

As páginas de phishing utilizadas para os ataques foram criadas para se parecerem com a página de login do VPN interno de uma empresa-alvo, e os sites também eram capazes de capturar autenticação de dois fatores (2FA) ou senhas de uso único (OTP), se necessário.

Os grupos criminosos, então, compilaram dossiês sobre os funcionários que trabalhavam para as empresas que queriam atingir, geralmente por coleta massiva de perfis públicos em plataformas de mídia social, ferramentas de recrutamento e marketing, serviços de verificação de histórico disponíveis ao público e pesquisa de código aberto.

As informações coletadas incluíam nome, endereço residencial, celular/telefone pessoal, cargo na empresa e tempo de permanência na empresa, de acordo com as duas agências.

Em seguida, os invasores ligaram para os funcionários usando números de telefone aleatórios de Voice-over-IP (VoIP) ou falsificando os números de telefone de outros funcionários da empresa.

"Os atores usaram técnicas de engenharia social e, em alguns casos, se fizeram passar por membros do help desk de TI da empresa vítima, usando seu conhecimento das informações de identificação pessoal do funcionário – incluindo nome, cargo, tempo de serviço na empresa e endereço residencial – para obter o confiança do funcionário visado ", diz o alerta conjunto.

"Os atores então convenciam os colaboradores de que um novo link VPN seria enviado e exigia seu login, incluindo qualquer 2FA ou OTP."

As duas agências de segurança cibernética estão agora alertando as empresas para que fiquem atentas aos agentes de ameaças e treinem seus colaboradores a respeito das melhores práticas de segurança para evitar os golpes de phishing.

Experian sofre violação de dados que afetou 24 milhões de clientes

A fornecedora de crédito Experian divulgou, recentemente, uma violação de dados sofrida este mês. A agência admitiu ter cedido os dados pessoais de seus clientes sul-africanos a um fraudador que se fazia passar por cliente.

Embora a Experian não tenha divulgado o número de usuários afetados, um relatório do South African Banking Risk Center (SABRIC), uma organização bancária antifraude e sem fins lucrativos, afirmou que a violação afetou 24 milhões de sul-africanos e 793.749 empresas locais.

A Experian disse que relatou o incidente às autoridades locais, que conseguiram rastrear o indivíduo por trás do golpe. Desde então, a Experian disse que obteve uma ordem judicial "que resultou na apreensão do hardware do indivíduo e na proteção e exclusão dos dados desviados".

Vulnerabilidade do Gmail permitiria que e-mails falsos fossem enviados por meio de contas legítimas

Um bug perigoso, descoberto no começo de 2020 por uma pesquisadora de segurança, pode ter permitido que invasores explorassem vulnerabilidades do Gmail, o serviço de e-mail do Google.

Basicamente, a vulnerabilidade, possibilita que e-mails falsos sejam enviados de endereços reais do Gmail.

Esses chamados “ataques de falsificação” permitem que os cibercriminosos entrem em contato com vítimas em potencial a partir de endereços de e-mail legítimos e ainda fornecem uma forma de encobrir seus rastros.

O bug, descoberto por Allison Hussain, ainda teria permitido que um invasor contornasse o SPF e o DMARC (as verificações principais de um provedor de e-mail) para enviar e-mails falsos.

A vulnerabilidade foi detectada uma vez que a pesquisadora conseguiu burlar as verificações de e-mail do Google usando recursos disponíveis para administradores do G Suite. Hussain criou regras de processamento de e-mail que pegavam mensagens de entrada falsas e as transformava em mensagens legítimas do Gmail, que poderiam ser enviadas às vítimas.

Hussain revelou o bug ao Google no início de abril. Mas, quando chegou primeiro de agosto e ela ainda não havia recebido nenhuma resposta sobre sua correção, a pesquisadora enviou um aviso de que pretendia publicar suas descobertas em seu blog pessoal.

Quando o Google respondeu que as mitigações não estariam em vigor até meados de setembro, Hussain esperou mais alguns dias e postou a descoberta em seu blog. Poucas horas após a publicação da postagem, o Google acelerou a correção.

Bug nos caixas eletrônicos do banco Santander permite saque de valores maiores do que os armazenados em cartões de débito

Gangues criminosas parecem ter encontrado um bug no software dos caixas eletrônicos do banco Santander.

O bug permitia que hackers usassem cartões de débito falsos ou cartões de débito pré-carregados válidos para retirar mais fundos de caixas eletrônicos do que os armazenados nos cartões.

Fontes da comunidade da inteligência de ameaças disseram que os detalhes sobre essa falha de software, em particular, foram inicialmente mantidos em sigilo e compartilhados ou vendidos entre membros de ATMs e grupos de fraude bancária por dias.

Os detalhes da falha, no entanto, não permaneceram secretos por muito tempo e, eventualmente, vazaram esta semana, sendo amplamente compartilhados nas salas de chat do Telegram, Instagram e outras redes sociais.

Como resultado do vazamento descontrolado de detalhes, vários grupos criminosos começaram a explorar o bug do software, resultando em um aumento repentino de saques em caixas eletrônicos do Santander e levando os funcionários do banco a investigarem.

Para evitar mais perdas, o Santander fechou todos os caixas eletrônicos na terça-feira (18/08).

Em comunicado oficial, o Santander diz que “os clientes devem saber que não houve impacto em suas contas, dados ou fundos, e continuamos a cooperar com as autoridades policiais enquanto investigam a situação”.

Brasil está entre os países mais afetados por phishing relacionado ao COVID-19

A disseminação de fake news relacionadas a iniciativas governamentais em torno do COVID-19 colocou o Brasil na lista dos países mais afetados por ataques de phishing, de acordo com uma nova pesquisa sobre spam e phishing publicada pela Kaspersky.

Segundo o relatório, cerca de 1 em cada 8 internautas no Brasil (12,9%) acessou, entre abril e junho de 2020, pelo menos um link que levava a sites com conteúdo malicioso. Isso está bem acima da média global, de 8,26% no mesmo período.

O grande aumento nas campanhas de desinformação em torno de supostas iniciativas do governo são o principal fator por trás do aumento. Um exemplo dos golpes enviados aos usuários nos últimos meses, mencionados no relatório, é um e-mail com a informação falsa de que o governo havia suspendido o pagamento das contas de energia durante a pandemia, que incluía um link convidando os usuários a se cadastrarem no benefício.

As tendências recentes colocam o Brasil como o quinto país mais afetado por phishing em uma lista compilada pela Kaspersky como parte do relatório. A Venezuela está no topo da lista, onde 17,56% dos usuários clicaram em um link que leva a conteúdo malicioso, seguida por Portugal (13,51%), Tunísia (13,51%) e França (13,08%).

Um estudo separado da mesma empresa, lançado em julho, sugere que os brasileiros estão mais cientes dos riscos à segurança da Internet, mas ainda precisam evoluir seu comportamento online.

Realizada em maio, a pesquisa, que considerou usuários com pelo menos dois dispositivos conectados, constatou que 48% não melhoraram seus hábitos de segurança na Internet.

Essa atitude relaxada em relação à segurança online tem três motivos principais: cerca de 45% dos brasileiros não priorizam sua segurança na Internet devido às pressões do dia a dia, apesar de reconhecerem que devem prestar mais atenção a isso; cerca de 36% dizem que se sentem mais seguros ao realizar transações financeiras e comerciais online, enquanto 33% dos brasileiros entrevistados relataram que não têm nada de valor a oferecer aos cibercriminosos.

Porém, essa é uma falsa crença que pode colocar seus bens em risco.

Mantenha sua empresa e seus colaboradores seguros. Consulte a assessoria de especialistas da Compugraf e conheça nossas soluções.

A guerra cibernética continua. Grupos de hackers russos fazem vítimas ao redor do mundo; EUA identifica novas violações do TikTok e novos malwares se espalham entre usuários do MacBook e do Linux.

O que você vai ler hoje:

• Novo malware do Mac pode roubar dados do Telegram e de outros aplicativos
• Mais de 300.000 links maliciosos foram bloqueados por agências de segurança internacionais
• FBI e NSA publicam alerta de segurança a usuários do Linux
• Mais polêmicas em torno do TikTok denunciam outras violações de dados dos usuários
• Pesquisadores identificam novo grupo de hackers russos em atividade há 3 anos

Novo malware do Mac pode roubar dados do Telegram e de outros aplicativos

Projetos de Xcode estão sendo explorados para espalhar um malware do Mac especializado em comprometer o Safari e outros navegadores.

Xcode é um ambiente de desenvolvimento integrado (IDE) gratuito usado no macOS para desenvolver softwares e aplicativos relacionados à Apple.

Embora ainda não esteja claro como o XCSSET penetra nos projetos Xcode, presume-se que, uma vez incorporado ao sistema, o malware é executado durante a construção de um projeto.

Isso se torna especialmente preocupante quando vários desenvolvedores afetados pela ameaça têm o hábito de compartilhar seus projetos no GitHub – o que, segundo os pesquisadores, pode resultar em supply chain attacks para usuários que dependem desses repositórios.

Após “pegar uma carona” nesses projetos, e adentrando um sistema vulnerável, o XCSSET se volta aos navegadores, usando potenciais vulnerabilidades para roubar dados do usuário, incluindo conteúdo do Evernote, informações de blocos de notas e dados de comunicação de aplicativos como Skype e Telegram.

Além disso, a equipe responsável pela identificação do malware acredita que o elemento UXSS da cadeia de ataque pode ser usado não só para roubar informações gerais do usuário, mas também como um meio de modificar as sessões do navegador para exibir sites maliciosos, alterar endereços de carteiras de criptomoedas, colher informações de cartão de crédito da Apple Store e roubar credenciais de fontes como Apple ID, Google, Paypal e Yandex.

Mais de 300.000 links maliciosos, anunciando esquemas de criptomoeda, foram bloqueados por agências de segurança internacionais

Mais de 300.000 links maliciosos que anunciam esquemas falsos de enriquecimento rápido, desenhados para enganar usuários e fazer com que entreguem seu dinheiro a criminosos cibernéticos, foram eliminados em uma repressão do National Cyber Security Center (NCSC) do Reino Unido.

Os golpes mostram fraudadores tentando atrair pessoas para fazer falsos investimentos, usando endossos, também falsos, de celebridades, sugerindo que eles ganharam milhões comprando e vendendo bitcoin ou outro tipo de criptomoeda.

Os links para tais golpes são promovidos em artigos de fake news, em páginas projetadas para parecer que estão sendo publicadas em sites legítimos.

Os artigos, que são distribuídos por e-mails de phishing e publicidade digital paga, visam induzir as vítimas a dar seu dinheiro ou dados bancários a criminosos cibernéticos.

Felizmente, muitos dos golpes foram retirados do ar após serem relatados ao Serviço de Denúncias de E-mail Suspeito do NCSC, que já recebeu mais de 1,8 milhão de relatórios de comportamento potencialmente criminoso desde seu lançamento em abril deste ano.

FBI e NSA publicam alerta de segurança a usuários do Linux

https://www.zdnet.com/article/fbi-and-nsa-expose-new-linux-malware-drovorub-used-by-russian-state-hackers/

O FBI e a NSA publicaram hoje um alerta de segurança conjunto, contendo detalhes sobre um novo tipo de malware do sistema operacional Linux que as duas agências dizem ter sido desenvolvido e implantado em ataques ao redor do mundo por hackers militares da Rússia.

As duas agências afirmam que os hackers usaram o malware chamado Drovorub para plantar backdoors nas redes hackeadas.

O Drovorub, segundo as agências, é um sistema multicomponente, que vem com um implantador, um rootkit de módulo de kernel, uma ferramenta de transferência de arquivos, um módulo de encaminhamento de backdoors e um servidor de comando e controle (C2).

Além disso, ele é projetado para ser furtivo, utilizando tecnologias avançadas de 'rootkit' que dificultam a detecção da ameaça. Esse elemento furtivo permite que os operadores implantem o malware em diversos tipos diferentes de alvos, permitindo que um ataque ocorra a qualquer momento.

Para evitar a ameaça, os agentes de cibersegurança recomendam que as organizações dos atualizem qualquer sistema Linux para a versão 3.7 do kernel, ou posterior, para aproveitar um recurso de segurança que evitaria que os hackers instalassem o rootkit do Drovorub.

O alerta oficial você pode conferir aqui.

Mais polêmicas em torno do TikTok denunciam outras violações de dados dos usuários

O TikTok foi flagrado violando sua própria política de privacidade e as regras de segurança do Google para rastrear usuários do Android secretamente.

Um novo relatório chocante do Wall Street Journal afirma que o aplicativo vinculou novas instalações de seu aplicativo ao endereço MAC imutável dos dispositivos de seus usuários por 15 meses.

Resumindo, isso contorna a política do Google, de permitir que os usuários redefinam os IDs usados para rastreamento de anúncios.

O WSJ diz que o TikTok interrompeu essa prática em novembro – antes que sua atual crise de segurança nos EUA aumentasse e antes de se falar em proibições e vendas. Mas isso não será suficiente para impedir o nocaute que a plataforma deve experimentar no país.

No momento, o TikTok não parece coletar mais dados do que os outros aplicativos de mídia social com os quais compete. Mas, se esse rastreamento tivesse surgido antes, provavelmente teria levado o Google a exigir uma mudança estrutural do app ou suspendê-lo completamente.

O problema sério dessas últimas descobertas é que elas contornam uma das proteções mais importantes da indústria de anúncios, que impede que um dispositivo seja vinculado a um usuário específico.

A indústria defende o fato de que os usuários são anônimos, e tanto a Apple quanto o Google estão aumentando as proteções no iOS e no Android para garantir isso. Mas quando um aplicativo importante quebra essas regras e tenta mascarar a prática, existe uma séria preocupação.

Pesquisadores identificam novo grupo de hackers russos em atividade há 3 anos

Pesquisadores de segurança descobriram um novo grupo de hackers russos que, alegadamente, se concentraram nos últimos três anos em espionagem corporativa, visando empresas em todo o mundo para roubar documentos que contenham segredos comerciais e dados pessoais de funcionários.

Batizado de RedCurl, as atividades desse novo grupo foram detalhadas em um relatório de 57 páginas divulgado pela empresa de segurança cibernética Group-IB.

A empresa tem rastreado o grupo desde o começo de 2019, quando foi chamada pela primeira vez para investigar uma violação de segurança em uma empresa hackeada pelo grupo.

Desde então, o Group-IB disse que identificou 26 outros ataques do RedCurl, realizados contra 14 organizações, que remontam a 2018.

As vítimas variaram entre países e setores da indústria, e incluem empresas de construção, varejistas, agências de viagens, seguradoras, bancos e escritórios de de advocacia e consultoria ao redor do mundo.

Mas, apesar da ação prolongada, o grupo não usou ferramentas complexas ou técnicas inovadores de hacking para seus ataques. Pelo contrário: o grupo dependeu muito do spear-phishing para o acesso inicial aos sistemas hackeados.

"A característica distintiva do RedCurl, no entanto, é que o conteúdo do e-mail é cuidadosamente elaborado", disseram os pesquisadores. "Por exemplo, os e-mails exibiam o endereço e o logotipo da empresa-alvo, enquanto o endereço do remetente apresentava o nome de domínio da empresa.

“Além disso, os invasores se passaram por membros da equipe de RH da organização-alvo e enviaram e-mails para vários funcionários ao mesmo tempo, o que os deixou menos vigilantes, especialmente considerando que muitos deles trabalhavam no mesmo departamento”, acrescentaram.

Os e-mails incluíam links para arquivos com malware que as vítimas tinham que baixar. Depois que as vítimas executaram o conteúdo dos arquivos bloqueados, elas foram infectadas com uma coleção de cavalos de Tróia baseados em PowerShell.

Treinamento dos colaboradores, bem como soluções de cibersegurança de ponta a ponta, são fundamentais para a prevenção da sua empresa.

Consulte a assessoria de especialistas da Compugraf e saiba como se proteger!

A quarentena continua expandindo o escopo de ciberataques como phishing e ransomware e um grupo de hackers chineses pode tomar conta do mercado de tecnologia de Taiwan.

O que você vai ler hoje:

• Ataques phishing que miram em usuários da Netflix cresce 646% durante a pandemia
• Canon sofre ataque de ransomware que compromete arquivos de foto e imagens de usuários
• Ciberataques em Taiwan escrevem um novo e complexo capítulo na história da cibersegurança
• Google vai voltar a ouvir suas conversas – mas só se você quiser
• Hackers podem interceptar tráfego via satélite. O que isso significa para as empresas?

Ataques phishing que miram em usuários da Netflix cresce 646% durante a pandemia

O número de assinantes da Netflix aumentou em 10 milhões durante os meses de quarentena. A má notícia é que o mesmo ocorreu com as ameaças de segurança.

Pesquisadores da empresa de segurança cibernética Webroot revelaram um aumento alarmante no número de domínios da web que foram registrados explicitamente para ataques de phishing visando usuários de serviços de streaming.

O número de URLs falsas do Twitch, por exemplo, subiu 337%; HBO e Netflix testemunharam um crescimento de 525%, enquanto o YouTube viu impressionantes 3.064% URLs falsas entre março e julho deste ano.

Mais recentemente, porém, uma estatística se destaca: um aumento maciço de URLs de phishing direcionados à Netflix, correspondendo a 646% nos últimos 2 meses de pandemia.

“Invasores estão procurando capitalizar o crescimento da Netflix durante os períodos de isolamento voluntário ou forçado”, alertam os pesquisadores. E, de certa forma, esse movimento nada mais é do que uma terceira onda de campanhas de phishing que se aproveitam das vulnerabilidades trazidas à tona pela quarentena.

Como medida de segurança, vale lembrar que a Netflix nunca pedirá o número do seu cartão de crédito, detalhes da conta bancária ou senha por e-mail ou mensagem de texto. Tampouco solicitará que o pagamento seja feito por meio de terceiros.

Se você receber um e-mail ou mensagem de texto que pareça suspeito de alguma forma, não clique em nenhum link contido nele; encaminhe-o para phishing@netflix.com para investigação.

Canon sofre ataque de ransomware que compromete arquivos de foto e imagens de usuários

Um ataque de ransomware sofrido em junho pela Canon – empresa especializada em Fotografia – parece ter sido confirmado por um memorando interno, com os agentes da ameaça “Maze” assumindo o crédito.

Embora os serviços já tenham sido retomados, na última atualização de status do site a Canon revelou que um problema "envolvendo 10 GB de armazenamento de dados" estava sendo investigado, levando à suspensão temporária de aplicativos móveis e da plataforma online da empresa.

Além disso, a organização afirma que "alguns dos arquivos de foto e imagem salvos antes do ataque, na plataforma e aplicativos, foram perdidos"; por outro lado, garante que "não houve vazamento de dados de imagem".

Ciberataques em Taiwan escrevem um novo e complexo capítulo na história da cibersegurança

Ataques direcionados contra empresas taiwanesas de semicondutores (chips) podem não ser muito discutidos aqui no Brasil. Mas isso não significa que o efeito cascata de um hack bem-sucedido não possa ser sentido em todo o mundo.

Ao longo da última década, a República da China vem se estabelecendo lentamente como um laboratório para empresas de chips, tanto em termos de desenvolvimento quanto de produção. A Taiwan Semiconductor Manufacturing Company (TSMC), por exemplo, é uma das principais empresas do setor ao redor do mundo e, com o tempo, o valor de mercado do setor aumentou consideravelmente no país.

Isso faz com que a seara da tecnologia seja o principal alvo dos grupos de “ameaças persistentes avançadas”, ou advanced persistent threats (APT), em inglês, devido à propriedade intelectual valiosa e frequentemente lucrativa dessas empresas, bem como aos dados de seus clientes.

Com isso em mente, os pesquisadores Chung-Kuan Chen e Inndy Lin descreveram, em um estudo recente, um conjunto de ataques que eles acreditam ter sido conduzido pelo mesmo grupo APT chinês, em busca de designs de chips, códigos-fonte, kits de desenvolvimento de software (SDKs) e outras informações proprietárias relevantes para o setor.

Esse conjunto de ataques foi apelidado de Operação “Chimera” (quimera, em inglês), que se caracteriza pelo comprometimento de uma variedade de endpoints e contas de usuário no momento de detecção das infecções por malware.

Além disso, os ataques são bastante complexos. No primeiro case mapeado pelos pesquisadores, o acesso inicial veio de uma ID corporativa válida – potencialmente roubada em uma violação de dados separada – e uma conexão de rede privada virtual (VPN).

No estágio seguinte da cadeia de ataque, um protocolo de desktop remoto (RDP) foi usado para obter acesso aos servidores da empresa.

Contudo, o que chama a atenção é uso de uma “skeleton key” (chave-mestra) para evitar as soluções de defesa dos endpoints. A ferramenta do grupo, chamada "SkeletonKeyInjector", foi projetada para ser implantada em servidores AD e controladores de domínio (DC), permitindo que os ciberataques se movam lateralmente por uma rede e façam chamadas diretas, evitando, assim, o software de segurança existente no dispositivo.

É um passo além – e preocupante – que, embora pareça distante, do outro lado do mundo, pode representar um novo e perigoso desafio para os agentes de segurança de qualquer país.

Mais detalhes sobre a Operação Chimera estão disponíveis neste whitepaper do grupo de pesquisa CyCraft.

Google vai voltar a ouvir suas conversas – mas só se você quiser

No ano passado, alto-falantes inteligentes como o Google Home, o Apple HomePod e o Amazon Echo, sofreram retaliação quando se descobriu que fornecedores externos estavam ouvindo gravações de voz captadas pelos dispositivos.

Agora, aparentemente do nada, o Google enviou um e-mail aos usuários de seu assistente de voz para notificá-los de que pesquisadores humanos estarão mais uma vez analisando trechos de áudio anônimos.

Desta vez, porém, tomou a atitude correta, no que diz respeito à privacidade: a empresa excluiu automaticamente todos os usuários da configuração que permite à empresa armazenar seus áudios.

Obviamente, o Google não está fazendo isso porque são bonzinhos. A empresa sabe que as pessoas se preocupam cada vez mais com a privacidade e, com isso, exigem transparência sobre como e quando seus dados são coletados.

Logo, o Google deseja que você aceite seu programa de gravação de voz, mas quer que você o faça com total conhecimento de como seus dados serão utilizados – seguindo de perto os princípios descritos no que é considerado o padrão ouro da regulamentação de proteção de dados – a GDPR, na Europa, e a LGPD, no Brasil.

Hackers podem interceptar tráfego via satélite. O que isso significa para as empresas?

As vulnerabilidades de segurança nas comunicações de banda larga via satélite podem permitir que invasores cibernéticos interceptem o tráfego não-criptografado da web usando meros equipamentos domésticos de televisão.

Explorando essas vulnerabilidades, é possível que um invasor espione comunicações confidenciais a milhares de quilômetros de distância, praticamente sem risco de ser detectado.

Um pesquisador de segurança cibernética da Universidade de Oxford demonstrou como foi capaz de interceptar o tráfego real de alvos que vão de navios a escritórios de advocacia e provedores de IoT em todo o mundo – tudo de um ponto fixo no Reino Unido.

E, conforme suas descobertas, uma das razões pelas quais isso é possível é porque, quando os dados estão sendo transferidos por meio de comunicações de banda larga via satélite por ISPs, eles não são criptografados porque essa é a maneira mais rápida de transmitir os dados a grandes distâncias. Mas é, também, o que os torna vulneráveis.

O pesquisador descobriu que era capaz de interceptar o tráfego usando uma antena parabólica de 90 dólares e um sintonizador de transmissão de vídeo digital de 200 dólares – ambos disponíveis online.

Para interceptar o tráfego, bastou ser capaz de identificar por onde um satélite geo-orbital estava orbitando – informação que está disponível online para qualquer um – e apontar a antena em direção a ele, bem como configurar algum software de gravação de sinal disponível gratuitamente para registrar os dados que estão sendo transmitidos.

A partir daí, é possível examinar o tráfego da Internet pesquisando qualquer coisa usando protocolos http.

Embora seja difícil usar essa técnica para atingir uma organização específica, tampouco seria impossível, especialmente se houver informações na esfera pública sobre qual tecnologia está sendo usada pela organização.

Sendo assim, ataques bem-sucedidos podem até ser questão de sorte do invasor, mas se ele descobrir quais informações estão sendo transmitidas por uma grande organização, isso pode ser altamente lucrativo.

“Estamos em um ponto de inflexão onde podemos projetar redes de satélite para um bom desempenho e segurança. Acho que incluir conscientemente a segurança no projeto dessas redes é uma lição que a indústria de satélites pode aprender”, conclui a pesquisa.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf.

E a maioria das vítimas de phishing tem que lidar com uma transação fraudulenta cerca de 5 dias após o phishing, mostram novas pesquisas

A gente já falou bastante sobre engenharia social por aqui, e durante nossas pesquisas identificamos o phishing como uma das técnicas mais utilizadas durantes os cibercrimes.

Desde então, a gente descobriu ainda mais sobre o tema.

Uma equipe mista de pesquisadores de segurança do Google, PayPal, Samsung e Arizona State University passou um ano inteiro analisando o cenário de phishing ao redor do mundo e a maneira como os usuários interagem com as páginas de phishing.

Em um projeto gigantesco que envolveu a análise de 22.553.707 visitas de usuários a 404.628 páginas de phishing, a equipe de pesquisa conseguiu reunir algumas das idéias mais elaboradas sobre o funcionamento das campanhas de phishing e seus impactos em larga escala.

"Descobrimos que o ataque médio de phishing se estende por 21 horas entre a primeira e a última visita das vítimas e que a detecção de cada ataque por entidades anti-phishing ocorre em média nove horas após a primeira visita da primeira vítima", escreveu a equipe de pesquisa, em um relatório que está programado para ser apresentado este mês, na conferência de segurança USENIX.

"Uma vez detectado o phishing, decorrem mais sete horas antes do pico de mitigação por avisos nativos do navegador."

A equipe de pesquisa chama esse intervalo entre o início da campanha e os avisos nos navegadores de "golden hours" de um ataque de phishing – isto é, quando os invasores fazem a maioria de suas vítimas.

Mas os pesquisadores também dizem que os ataques continuam a fazer vítimas mesmo depois que os avisos do navegador são implantados por meio de sistemas como a API Safe Browsing do Google.

"De maneira alarmante, 37,73% de todo o tráfego de vítimas em nosso agrupamento de dados ocorreu após a detecção dos ataques", anunciaram os responsáveis pela pesquisa.

Além disso, os pesquisadores também analisaram as interações de usuários nas páginas de phishing. Eles disseram que 7,42% das vítimas inseriram credenciais nos formulários das páginas falsas e acabaram sofrendo uma violação ou transação fraudulenta em suas contas.

Em média, criminosos tentam violar contas de usuários e realizar transações fraudulentas 5,19 dias após o usuário visitar o site de phishing, e as credenciais das vítimas acabam em “lixos públicos de dados”, ou portais criminais, cerca de 6,92 dias após o usuário visitar a página utilizada para phishing.

A maioria das campanhas de phishing não é bem-sucedida. Em compensação, poucos agentes fazem muitas vítimas

Mas apesar de os pesquisadores terem analisado mais de 400.000 sites de phishing, eles perceberam que a grande maioria das campanhas não é tão eficaz assim e que apenas um punhado de operadores de phishing é responsável pela maioria das vítimas desse tipo de ataque.

"Descobrimos que 10% dos maiores ataques do nosso grupo de dados representavam 89,13% das vítimas visadas e que esses ataques se mostraram capazes de derrotar efetivamente as atenuações de um ecossistema de cibersegurança a longo prazo", alertam os pesquisadores, no relatório.

Eles também disseram que algumas campanhas permaneceram ativas por nove meses, enquanto faziam dezenas de milhares de vítimas, usando nada mais do que "kits de phishing prontos para uso em um único nome de domínio comprometido [site de phishing]".

As descobertas do estudo coincidem com outras hipóteses de especialistas de segurança, que vêm atentando para o fato de os melhores agentes de ameaças se concentrarem em táticas de evasão para evitar serem detectados, sabendo que isso manteria suas campanhas em execução por mais tempo, prolongando as "golden hours".

É necessária mais colaboração para conter os ataques de phishing

A equipe atribuiu a atual situação de vulnerabilidade por parte de empresas e usuários à natureza reativa das defesas anti-phishing, que geralmente são lentas na detecção desses ataques.

No entanto, os pesquisadores também culparam a falta de colaboração entre parceiros do setor, convocando as diferentes entidades anti-phishing a trabalharem juntas.

"A colaboração entre indústrias e entre fornecedores certamente torna todas as entidades mais fortes contra phishing e outros ataques", acrescentou Sherrod DeGrippo, Diretora Sênior de Pesquisa e Detecção de Ameaças da Proofpoint, ecoando a conclusão do estudo.

No entanto, DeGrippo acrescenta que organizações que não trabalham diretamente com anti-phishing e cibersegurança também precisam participar dessa contenção.

"A eficácia dessa defesa adicional envolve registradores de domínio, provedores de certificados de criptografia e empresas de hospedagem para inibir os ataques, o que pode ser um desafio, pois os provedores podem ter recursos limitados.

"Por outro lado, interromper ataques de phishing é vital para ajudar a proteger organizações no mundo todo, e é essencial a colaboração no setor, o compartilhamento de insights e ações efetivas, como impedir o acesso de phish às vítimas", conclui DeGrippo.

O estudo acadêmico completo, intitulado "Sunrise to Sunset: Analyzing the End-to-end Life Cycle and Effectiveness of Phishing Attacks at Scale", está disponível para download em PDF.

Mantenha sua empresa e seus colaboradores protegidos. Consulte a assessoria de especialistas da Compugraf