Um grupo de cibercriminosos obteve acesso ao ambiente do governo e a outros sistemas por meio de uma atualização comprometida do software Orion da SolarWinds.

A maioria das organizações não está preparada para esse tipo de ataque à cadeia de suprimentos de software.

Recentemente, um grupo de hackers, possivelmente filiado ao governo russo, teve acesso aos sistemas operacionais de vários departamentos do governo dos EUA, incluindo o Tesouro e o Comércio dos EUA, em uma longa campanha que parece ter começado em março.

A notícia desencadeou uma reunião de emergência do Conselho de Segurança Nacional dos EUA no sábado (19) e foi o início de uma série de ataques cada vez mais graves, que ficaram conhecidos como “ataques SolarWinds”.

Isso porque o ataque envolveu o comprometimento da infraestrutura da SolarWinds, empresa que produz uma plataforma de monitoramento de rede e aplicativos chamada Orion.

Nesta notícia você vai ler sobre:

As atualizações maliciosas do Orion

Não existe solução fácil

E você também pode entrar em contato com nossos consultores para saber como proteger a sua empresa. Pronto para continuar?

Após a invasão, o hacker usou esse acesso para produzir e distribuir atualizações carregadas de trojan aos usuários do software, espalhando-se por redes altamente estratégicas, como a do governo americano.

Em uma página de seu site, que foi retirada do ar após o surgimento de notícias relacionadas ao ataque, a SolarWinds afirmou que seus clientes incluíam 425 empresas da Fortune 500 dos EUA, as dez maiores empresas de telecomunicações dos EUA, as cinco principais empresas de contabilidade dos EUA, todas as filiais do Exército dos EUA, o Pentágono, o Departamento de Estado, bem como centenas de universidades e faculdades em todo o mundo.

O ataque à cadeia de suprimentos de software da SolarWinds também permitiu que hackers acessassem a rede da empresa de segurança cibernética FireEye dos Estados Unidos, uma violação que foi anunciada na semana passada (20).

Embora a FireEye não tenha mencionado o grupo de cibercriminosos responsáveis, o Washington Post relata que é a APT29, ou Cozy Bear, o braço de hackers do serviço de inteligência estrangeira da Rússia, o responsável pelos ataques.

Fique por dentro de nossas novidades

Assine nossa cybernews para receber notícias e os melhores conteúdos sobre segurança da informação!

As atualizações maliciosas do Orion

As compilações de software para as versões do Orion 2019.4 HF 5 a 2020.2.1, lançadas entre março de 2020 e junho de 2020, podem conter um componente carregado de trojan.

No entanto, em uma análise oficial, a FireEye observou que cada um dos ataques realizados (supostamente) pelo grupo exigia um planejamento meticuloso e interação manual por parte dos invasores.

Eles conseguiram modificar um plugin da plataforma Orion denominado SolarWinds.Orion.Core.BusinessLayer.dll – distribuído como parte das atualizações da plataforma Orion.

O componente infectado é assinado digitalmente e contém um backdoor que se comunica com servidores de terceiros, controlados pelos atacantes.

A FireEye rastreia esse componente como SUNBURST e lançou regras de detecção de código aberto para ele no GitHub.

“Após um período inativo inicial de até duas semanas, ele recupera e executa comandos, chamados de 'Trabalhos', que incluem a capacidade de transferir arquivos, executar arquivos, criar perfil do sistema, reiniciar a máquina e desativar serviços do sistema”, dizem os analistas da FireEye.

"O malware mascara seu tráfego de rede com o protocolo Orion Improvement Program (OIP) e armazena resultados de reconhecimento em arquivos de configuração de plugin legítimos, permitindo que ele se misture à atividade legítima do SolarWinds.”

Além disso, os invasores escolheram manter rastros de malware muito sutis, preferindo roubar e usar credenciais para realizar movimento lateral pela rede e estabelecer acesso remoto legítimo.

O backdoor foi usado para fornecer um dropper de malware leve, nunca antes visto, que a FireEye apelidou de TEARDROP. Este dropper carrega diretamente na memória e não deixa rastros no disco.

Para evitar a detecção, os invasores ainda usaram técnicas de substituição de arquivo temporário para executar remotamente suas ferramentas. Isso significa que eles modificaram um utilitário legítimo no sistema visado pelo sistema malicioso, executaram-no e substituíram-no de volta pelo legítimo.

Uma técnica semelhante envolveu a modificação temporária de tarefas agendadas do sistema, atualizando uma tarefa legítima para executar uma maliciosa e, em seguida, revertendo a tarefa de volta à sua configuração original.

Essa é uma das melhores opções de segurança operacional exibida por um cibercriminoso que a FireEye já observou, de acordo com os pesquisadores; no entanto, os pesquisadores da empresa acreditam que esses ataques podem ser detectados por meio de defesa persistente e descreveram várias técnicas de detecção em sua análise.

Já a SolarWinds aconselhou os clientes a atualizarem para a versão 2020.2.1 HF 1 da plataforma Orion o mais rápido possível, a fim de garantir que estejam executando uma versão limpa do produto.

A empresa também lançou um novo hotfix 2020.2.1 HF 2 que substituirá o componente comprometido e fará melhorias adicionais de segurança.

Por fim, o Departamento de Segurança Interna dos Estados Unidos também emitiu uma diretiva de emergência para que organizações governamentais verifiquem em suas redes a presença do componente infectado e reportem às autoridades.

Não existe solução fácil

Ataques à cadeia de suprimentos de software não são novidade e especialistas em segurança vêm alertando há muitos anos que eles são uma das ameaças mais difíceis de prevenir, porque se aproveitam das relações de confiança entre fornecedores e clientes e de canais de comunicação máquina a máquina, como mecanismos de atualização de software nos quais os usuários confiam.

“Não conheço nenhuma organização que incorpore a aparência de um ataque à cadeia de suprimentos em seu ambiente de uma perspectiva de modelagem de ameaças”, disse David Kennedy, ex-hacker da NSA e fundador da consultoria de segurança TrustedSec, à imprensa.

"Quando você vê o que aconteceu com a SolarWinds, é um excelente exemplo de como um invasor pode selecionar literalmente qualquer alvo que tenha seu produto implantado, afetando um grande número de empresas ao redor do mundo, e a maioria das organizações não teria capacidade de incorporar isso em suas estratégias de detecção e prevenção. Esta não é uma discussão de hoje. "

Embora o software que é implantado em organizações possa passar por análises de segurança para entender se seus desenvolvedores seguem boas práticas de segurança – no sentido de corrigir vulnerabilidades de produtos que podem ser exploradas -, as organizações não pensam em como esse software pode impactar sua infraestrutura se seu mecanismo de atualização for comprometido, Kennedy diz.

“É algo em que ainda somos muito imaturos e não há solução fácil para isso, porque as empresas precisam de software para administrar suas organizações, precisam de tecnologia para expandir sua presença e se manterem competitivas, e as organizações que fornecem esse software não pensam nisso como um modelo de ameaça."

É provável que o número de ataques à cadeia de suprimentos de software aumente no futuro, especialmente à medida que outros invasores forem percebendo quão bem-sucedidos e abrangentes eles podem ser.

O número de ataques de ransomware contra organizações explodiu após os ataques WannaCry e NotPetya de 2017, porque eles mostraram aos invasores que as redes corporativas não são tão resistentes quanto pensavam.

Gangues de ransomware também entenderam o valor de explorar a cadeia de suprimentos e começaram a invadir provedores de serviços gerenciados para explorar o acesso às redes de seus clientes.

O próprio NotPetya tinha um componente de cadeia de suprimentos porque o worm do ransomware foi inicialmente lançado por meio de servidores de atualização de software backdoor de um software de contabilidade chamado M.E.Doc, popular na Europa Oriental.

“Tanto o crime organizado quanto outros grupos de estado-nação estão olhando para este ataque agora e pensando ‘uau, esta é uma campanha muito bem-sucedida’”, disse Kennedy.

Do ponto de vista do ransomware, se eles atingissem simultaneamente todas as organizações que tinham SolarWinds Orion instalado, eles poderiam ter criptografado uma grande porcentagem da infraestrutura mundial e saído da operação com dinheiro suficiente para nunca ter que trabalhar novamente.

De certa forma, as organizações afetadas deram sorte. Mas por quanto tempo?

Mantenha sua empresa protegida. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Uma força-tarefa liderada pela Microsoft pretende lançar o roteiro de prevenção e combate a ataques ransomware.

Campainhas e fechaduras inteligentes podem, na verdade, abrir as portas para agentes mal-intencionados.

E grupos financiados pelo Estado roubam informações sobre as vacinas contra o COVID-19.

O que você vai ler hoje:

• Microsoft e McAffee montam força-tarefa anti-ransomware
• Grupos financiados pelo Estado hackeiam empresas e ministério da saúde atrás de informações sobre a vacina contra o COVID-19
• Microsoft ainda não corrigiu vulnerabilidade explorada em um zero-day de alta gravidade do Windows
• Campainhas e fechaduras inteligentes não são tão seguras quanto parecem quando o assunto é hackers

Microsoft e McAffee montam força-tarefa anti-ransomware

Um grupo formado por 19 empresas de segurança, de tecnologia e organizações sem fins lucrativos, e liderado por nomes como Microsoft e McAfee, anunciou, na segunda-feira (21), planos de formar uma nova coalizão para lidar com a crescente ameaça do ransomware.

Chamado de Ransomware Task Force (RTF), o novo grupo se concentrará na avaliação das soluções técnicas existentes que fornecem proteção durante um ataque de ransomware.

Para isso, a RTF vai encomendar artigos exclusivos de especialistas sobre o assunto, envolverá as principais partes interessadas em todos os setores afetados pelos ataques, identificará lacunas nas soluções atuais e, em seguida, trabalhará em um roteiro comum para tratar os problemas de todos os membros.

O resultado final deve ser uma estrutura padronizada para lidar com ataques de ransomware em verticais, baseada em um consenso da indústria, em vez de conselhos individuais recebidos de contratantes isolados.

O site da força-tarefa, incluindo todos os detalhes a respeito de seus membros e funções de liderança, será lançado no próximo mês, em janeiro de 2021, seguido por um sprint de dois a três meses para tirar a força-tarefa do papel.

Grupos financiados pelo Estado hackeiam empresas e ministério da saúde atrás de informações sobre a vacina contra o COVID-19

A ameaça persistente avançada (APT) conhecida como “Lazarus Group”, junto a outros sofisticados agentes de ameaça estatais, estão, ativamente, tentando roubar pesquisas feitas com o fim de acelerar os esforços de desenvolvimento de vacinas contra o COVID-19 em seus respectivos países.

Esse é o alerta dos pesquisadores da Kaspersky, que descobriram que o Lazarus Group – ligado à Coreia do Norte – atacou recentemente uma empresa farmacêutica, bem como um ministério da saúde (não-divulgado). O objetivo era o roubo de propriedade intelectual, disseram os pesquisadores.

“Em 27 de outubro de 2020, dois servidores Windows foram comprometidos no ministério”, diz uma postagem de blog publicada na quarta-feira (23). “De acordo com nossa telemetria, a empresa [farmacêutica] foi violada em 25 de setembro de 2020 … [ela] está desenvolvendo uma vacina contra o COVID-19 e está autorizada a produzir e distribuir vacinas contra o COVID-19”.

De acordo com a Kaspersky, em primeira instância, os ciberataques instalaram nos servidores do ministério um sofisticado malware chamado “wAgent”, que não tem arquivo (funciona apenas na memória) e busca cargas úteis adicionais de um servidor remoto. Para a empresa farmacêutica, o Lazarus Group implantou o malware Bookcode em um provável ataque à cadeia de suprimentos por meio de uma empresa de software sul-coreana.

“Ambos os ataques alavancaram diferentes clusters de malware que não têm muita relação entre si”, disseram os pesquisadores. “No entanto, podemos confirmar que ambos estão ligados ao grupo Lazarus, e também encontramos intersecções após a exploração.”

Os pesquisadores explicaram que ambos os pacotes de malware foram atribuídos anteriormente ao APT, sendo o Bookcode exclusivo do Lazarus Group. Além disso, as intersecções na fase de pós-exploração são notáveis.

Isso inclui "o uso de ADFind no ataque contra o ministério da saúde para coletar mais informações sobre o ambiente da vítima", explicaram os pesquisadores. “A mesma ferramenta foi implantada durante o caso da farmacêutica para extrair a lista de funcionários e computadores do Active Directory. Embora ADfind seja uma ferramenta comum para o processo de pós-exploração, é um ponto de dados adicional que indica que os invasores usam ferramentas e metodologias compartilhadas.”

Daqui para frente, os ataques aos desenvolvedores de vacinas e medicamentos contra o COVID-19, bem como as tentativas de roubar dados confidenciais deles, continuarão, previu a Kaspersky. À medida que a corrida de desenvolvimento entre as empresas farmacêuticas continua, esses ataques cibernéticos terão ramificações para a geopolítica, com a "atribuição de ataques com consequências graves ou voltados para os últimos desenvolvimentos médicos certamente sendo utilizados como um argumento em disputas diplomáticas".

Microsoft ainda não corrigiu vulnerabilidade explorada em um zero-day de alta gravidade do Windows

Um ataque zero-day de alta gravidade contra o Windows, que poderia levar à apropriação total do desktop, continua sendo uma ameaça perigosa, já que a solução lançada pela Microsoft falhou em corrigir adequadamente a vulnerabilidade.

O bug de escalonamento de privilégio local no Windows 8.1 e Windows 10 (CVE-2020-0986) existe na API do Spooler de Impressão. Isso pode permitir que um invasor local eleve privilégios e execute código no contexto do usuário atual, de acordo com o comunicado da Microsoft emitido em junho. Um invasor precisa primeiro fazer logon no sistema, mas pode executar um aplicativo especialmente criado para assumir o controle do sistema afetado.

A taxa de bug é de 8,3 em 10 na escala de gravidade de vulnerabilidade CVSS.

De uma perspectiva mais técnica, "a falha específica existe no processo de host do driver de impressora do modo de usuário splwow64.exe", de acordo com um comunicado da Zero Day Initiative (ZDI) da Trend Micro, que relatou o bug à Microsoft em dezembro do ano passado. “O problema resulta da falta de validação adequada de um valor fornecido pelo usuário antes de deixar de referenciá-lo como um indicador.”

O problema permaneceu sem correção por seis meses. Nesse ínterim, a Kaspersky observou que ele estava sendo explorado em maio para atacar uma empresa sul-coreana, como parte de uma cadeia de exploit que também usava um bug de execução remota de código zero no Internet Explorer. Essa campanha, apelidada de Operação Powerfall, foi considerada iniciada pela ameaça persistente avançada (APT) conhecida como Darkhotel.

A atualização de junho da Microsoft incluiu um patch que “aborda a vulnerabilidade corrigindo como o kernel do Windows lida com objetos na memória”. No entanto, Maddie Stone, pesquisadora do Google Project Zero, agora revelou que a correção estava com defeito, depois que a Microsoft falhou em remendá-la no prazo de 90 dias após ser alertada sobre o problema.

A Microsoft lançou um novo CVE, CVE-2020-17008, e os pesquisadores esperam um patch em janeiro. Enquanto isso, o Project Zero emitiu um código de prova de conceito público para o problema.

Campainhas e fechaduras inteligentes não são tão seguras quanto parecem quando o assunto é hackers

Campainhas inteligentes, projetadas para permitir que os proprietários fiquem de olho em seus visitantes, muitas vezes podem causar mais danos à segurança do que benefícios, uma vez que as campainhas digitais voltadas para o consumidor estão repletas de vulnerabilidades de segurança cibernética em potencial, que vão desde credenciais codificadas, problemas de autenticação e envio de dispositivos com bugs críticos antigos e ainda não-corrigidos.

Essa nova avaliação vem do NCC Group, que publicou um relatório este mês descrevendo os "pesadelos domésticos da IoT". Em parceria com a publicação Which?, o grupo avaliou modelos de campainhas inteligentes feitos por três fornecedores – Victure, Qihoo e Accfly – juntamente com testes de caixa-branca de três fabricantes adicionais.

O escopo dos problemas descobertos inclui recursos não-documentados que, se conhecidos, podem ser explorados por hackers. Outros problemas encontrados foram relacionados aos aplicativos móveis usados ​​para acessar as campainhas, juntamente com vulnerabilidades no próprio hardware.

Os modelos específicos examinados foram Victure’s VD300, Accfly’s Smart Video Doorbell V5 e Qihoo’s 360 D819 Smart Video Doorbell. Outro dispositivo de campainha, identificado apenas como “Smart WiFi Doorbell” e que usava hardware do fabricante YinXx, também foi examinado. Além disso, um modelo não especificado “HD Wi-Fi Video Doorbell V5” foi testado.

Por último, foi testada uma campainha inteligente identificada apenas como XF-IP007H. Várias marcas usam “XF-IP007H” em seus nomes de produtos, incluindo Extaum, Docooler e Tickas. Essas campainhas, como todas as testadas pelo NCC Group, são vendidas a preços competitivos e estão disponíveis no site de comércio eletrônico da Amazon, Walmart e outros varejistas online populares.

Os pesquisadores disseram que a maioria dos dispositivos analisados ​​eram clones da campainha Victure, que tinha uma série de problemas de segurança pré-existentes associados a ela.

O principal problema foi um serviço HTTP não-documentado, encontrado em execução na porta 80. Os pesquisadores observaram que a porta exigia as credenciais, no entanto, essas credenciais poderiam ser facilmente extraídas de "um clone sem marca deste dispositivo para venda online."

Sendo assim, forçar as fechaduras digitais por meio do aplicativo móvel usado para controlar as campainhas foi muito fácil, graças às comunicações não-criptografadas.

“Em vários dispositivos, o HTTPS não era aplicado ou nem existia como meio de comunicação em uma variedade de aplicativos móveis, como o app da Victure, que solicitou um certificado raiz por meio de uma solicitação HTTP”, escreveram os pesquisadores .

A falta de criptografia pode permitir que informações confidenciais, como nome de usuário e senhas, sejam "vistas" nas comunicações de dados entre o dispositivo móvel e os serviços de back-end da fechadura digital.

Outro vetor de ataque discutido foi o abuso de códigos QR, um tipo de código de barras baseado em imagem para obter informações adicionais rapidamente. Muitas das campainhas digitais, na tentativa de simplificar o acesso, permitiram que os clientes usassem a câmera do telefone para tirar uma foto de um código QR, que configura o aplicativo do usuário com as credenciais corretas.

Com a campainha do Victure, um serviço HTTP não documentado foi encontrado em execução na porta 80. Os pesquisadores observaram que a porta exigia as credenciais, no entanto, essas credenciais poderiam ser facilmente extraídas de "um clone sem marca deste dispositivo para venda online."

Abrir fechaduras digitais por meio do aplicativo móvel usado para controlar as campainhas digitais foi muito fácil, graças às comunicações não criptografadas.

“Em vários dispositivos, HTTPS não era aplicado ou nem existia como método de comunicação em uma variedade de aplicativos móveis, como o aplicativo móvel Victure, que solicitou um certificado raiz por meio de uma solicitação HTTP”, escreveram os pesquisadores .

A falta de criptografia pode permitir que informações confidenciais, como nome de usuário e senhas, sejam "vistas" nas comunicações de dados entre o dispositivo móvel e os serviços de back-end da fechadura digital.

Outro vetor de ataque discutido foi o abuso de códigos QR, um tipo de código de barras baseado em imagem para obter informações adicionais rapidamente. Muitas das campainhas digitais, na tentativa de simplificar o acesso, permitiram que os clientes usassem a câmera do telefone para tirar uma foto de um código QR, que configura o aplicativo do usuário com as credenciais corretas.

“O invasor pode então decodificar rapidamente o código QR e extrair o BSSID de texto simples e a senha para a rede Wi-Fi”, alertaram os pesquisadores.

Mantenha seus dispositivos protegidos. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Em meio a bugs e malwares, usuários devem primeiro proteger o que está ao alcance. Em contrapartida, organizações podem ter motivos para investir pesado em cibersegurança em 2021.

Quais notícias você vai ler hoje:

• 3 milhões de usuários devem desinstalar essas 28 extensões maliciosas do Chrome e do Microsoft Edge
• Ransomware pode comprometer camadas primárias de PCs, à medida que estratégias se voltam para firmware UEFI
• Uso de dados pessoais: a grande sacada das fintechs
• Bug do Contact Form 7 pode comprometer significativamente sites de WordPress, dando acesso a cibercriminosos

3 milhões de usuários devem desinstalar essas 28 extensões maliciosas do Chrome e do Microsoft Edge

Vinte e oito extensões para Google Chrome e Microsoft Edge podem conter malware e provavelmente deverão ser desinstaladas por mais de 3 milhões de usuários, descobriram pesquisadores de segurança da Avast Threat Intelligence no dia 17 de dezembro de 2020.

Dentre as extensões populares estão: Video Downloader para Facebook, Vimeo Video Downloader, DM for Instagram, Instagram Story Downloader e SoundCloud Music Downloader.

E, embora a Avast Threat Intelligence tenha começado a investigar a possível ameaça em novembro de 2020, ela parece ter passado despercebida por anos. As avaliações na Chrome Web Store trazem evidências que justificam essa suspeita, já que mencionam o sequestro de links desde dezembro de 2018, observaram os pesquisadores.

A Avast Threat Intelligence descobriu o malware depois de acompanhar a pesquisa do pesquisador tcheco Edvard Rejthar, que primeiro identificou a ameaça originada nas extensões do navegador de seu próprio sistema. Percebendo comportamentos fora do comum em seu computador, Rejthar saiu à procura das causas do problema complementos do navegador, que tendem a ser "a vulnerabilidade mais comum do computador de um usuário, além do phishing", escreveu ele.

Rejthar encontrou scripts maliciosos vindos de certas extensões de navegador. O malware entrou no sistema por meio do localStorage, o repositório geral de dados que os navegadores disponibilizam para sites e add-ons, relatou ele.

Clicar em links – quaisquer que sejam – também faz com que as extensões enviem informações ao servidor de controle do invasor, aparentemente criando um registro de todos os cliques de alguém. Esse registro é então enviado para sites de terceiros e pode ser usado para coletar informações pessoais de um usuário, incluindo data de nascimento, endereços de e-mail, informações do dispositivo, hora do primeiro login, hora do último login, nome do dispositivo, sistema operacional , navegador usado e endereço IP, diz a Avast.

Os pesquisadores presumiram que ou as extensões foram criadas deliberadamente com malware embutido, ou o ator da ameaça esperou que as extensões se tornassem populares e então lançou uma atualização maliciosa.

Avast disse que os pesquisadores relataram o problema ao Google e à Microsoft. Nenhuma das empresas respondeu imediatamente à solicitação de comentário sobre se eles estão cientes das extensões e planejam investigá-las e/ou removê-las.

A lista completa das extensões identificadas está aqui; algumas delas já foram derrubadas.

Fonte: ThreatPost

Ransomware pode comprometer camadas primárias de PCs, à medida que estratégias se voltam para firmware UEFI

Dois meses atrás, pesquisadores da empresa de segurança norte-americana AdvIntel descobriram que uma das plataformas de malware mais problemáticas da Internet, o Trickbot, tinha começado a testar uma estratégia bastante sinistra e preocupante: sondar chips de firmware UEFI dentro de PCs selecionados para ver se eles eram vulneráveis ​​a vulnerabilidades de firmware conhecidas.

Isso foi apenas um “reconhecimento de território” – o Trickbot não estava infectando o chip SPI no qual o firmware UEFI reside – mas a descoberta é significativa.

UEFI (Unified Extensible Firmware Interface) é um software de baixo nível usado para gerenciar o processo de inicialização em computadores pessoais, incluindo Macbooks, substituindo o antigo BIOS. Qualquer ameaça que seja capaz de comprometer um computador por meio dessa camada se tornaria poderosa em aspectos fundamentais, como se tornar invisível para todos os softwares de segurança convencionais.

Depois de pesquisar a descoberta com sua parceira de pesquisa, Eclypsium, a AdvIntel publicou recentemente uma análise da estratégia apelidada de “TrickBoot” (um trocadilho com o nome da plataforma), que sugere que a intrigante iniciativa pode ter a ver com um novo e iminente tipo de ataque de ransomware.

Malware capaz de gravar ou apagar o firmware UEFI seria uma revolução nas regras do jogo, ainda mais se associado a ataques de ransomware, a principal ameaça de 2020.

Se, de fato, um ataque afetasse o firmware, seria necessária, provavelmente, a substituição de toda a placa-mãe dos PCs afetados. Desencadeada contra, possivelmente, milhares de máquinas, ou mesmo alguns dispositivos-chave da infraestrutura corporativa, essa tática poderia rapidamente levar a maioria das organizações ao caos.

Fonte: Forbes

Uso de dados pessoais: a grande sacada das fintechs

Pesquisadores do Fundo Monetário Internacional (FMI), o credor mundial para nações em tempos de crise financeira, moveram uma pesquisa para responder à dúvida na cabeça de todos – desde usuários às principais organizações do mundo: “por que as fintechs surgiram e ganharam tanta relevância na última década, se com os bancos tradicionais ocorria justamente o contrário?”.

Na análise, pesquisadores associados descrevem como smartphones, pesquisa online e mídia social ajudaram a impulsionar a inovação financeira por meio do uso de dados não-financeiros, como o tipo de navegador do usuário, o dispositivo que está sendo usado, o histórico de pesquisas online de uma pessoa e suas compras.

"A fintech resolve um grande dilema do mercado financeiro acessando vários dados não-financeiros, como o tipo de navegador e hardware usado para acessar a internet e o histórico de pesquisas e compras online. Uma vez alimentados por inteligência artificial e machine learning, esses dados alternativos geram fontes superiores aos métodos tradicionais de avaliação de crédito e podem promover a inclusão financeira, por exemplo, permitindo mais crédito para trabalhadores informais, ou famílias e empresas em áreas rurais", disse a publicação que detalha a pesquisa feita pela equipe do FMI.

De acordo com o FMI, existem 1,7 bilhão de adultos sem banco no mundo – recorte populacional que apenas reforça a relevância das fintechs e justifica a rápida penetração dessas organizações no dia a dia da população mundial.

Mas o uso de informações alternativas para avaliar a disponibilidade de crédito não é uma técnica nova. O FMI está apenas interessado na evolução do mercado fora dos bancos tradicionais e suas implicações políticas.

Afinal, empresas como Facebook e Amazon passaram a conhecer a vida financeira de seus clientes mais do que os bancos. É preciso ficar de olho para entender que implicações as novas condições impostas por esse mercado podem ter – sobretudo em se tratando de segurança e privacidade.

Fonte: IMF e ZDNet

Bug do Contact Form 7 pode comprometer significativamente sites de WordPress, dando acesso a cibercriminosos

Um patch para o popular plugin de formulários para WordPress – Contact Form 7 – foi lançado na quinta-feira (17).

Ele corrige um bug crítico que permite a um usuário não-autenticado assumir o controle, ou possivelmente sequestrar todo o servidor que o hospeda, de um site que executa o plugin. O patch vem na forma de uma atualização da versão 5.3.2 do Contact Form 7.

A vulnerabilidade crítica (CVE-2020-35489) é classificada como um bug de upload de arquivo irrestrito, de acordo com a Astra Security Research, que encontrou a falha na quarta-feira (16).

O pesquisador creditado por identificar a falha, Jinson Varghese, escreveu que a vulnerabilidade permite a um usuário não-autenticado contornar qualquer restrição de tipo de arquivo de formulário no Formulário de Contato 7 e carregar um binário executável em um site que tenha plugin na versão 5.3.1 ou anterior instalado e ativo.

Em seguida, o invasor pode realizar uma série de ações prejudiciais, como desfigurar o site ou redirecionar os visitantes para um site de terceiros, na tentativa de enganá-los para que forneçam informações financeiras e pessoais.

Além de assumir o controle do site, o invasor também poderia comandar o servidor que hospeda o site se não houver uma conteinerização usada para segregar o site no servidor que hospeda a instância do WordPress, de acordo com os pesquisadores.

Para se proteger, basta instalar a versão mais atualizada do plugin, disponível aqui.

** Fonte: ZDNet

A recém-descoberta família de malware baseado em Python tem como alvo o Outlook e as credenciais do navegador de usuários do Microsoft Windows.

Pesquisadores descobriram um novo trojan (cavalo de Tróia) cujo objetivo é o furto de informações. O malware tem como alvo os sistemas Microsoft Windows e se utiliza de um ataque para extração de dados, que vão desde credenciais do navegador até arquivos do Outlook.

O trojan, chamado PyMicropsia (devido a ter sido construído via Python), foi desenvolvido pelo grupo de ameaças AridViper, conhecido por ter como alvo organizações no Oriente Médio.

“AridViper é um grupo de ameaças ativo que continua desenvolvendo novas ferramentas como parte de seu arsenal”, declararam os pesquisadores em uma análise divulgada no dia 13 de dezembro. “Além disso, com base em diferentes aspectos do PyMicropsia analisados por nós, várias seções do malware ainda não são usadas, indicando que se trata, provavelmente, de uma família de malware em desenvolvimento ativo.”

Os recursos do trojan para roubo de informações incluem upload de arquivos, download/execução de carga útil, roubo de credencial do navegador (e a capacidade de limpar histórico e perfis de navegação), captura de tela e keylogging.

Além disso, o malware pode coletar informações de listagem de arquivos, excluir arquivos, reinicializar máquinas, coletar informações da unidade USB e gravar áudio – bem como coletar arquivos .OST do Outlook e eliminar/desativar processos do Outlook.

Um arquivo OST, também conhecido como Offline Outlook Data File (Arquivo de Dados Offline do Outlook), é usado por contas da Microsoft, contas do Exchange e contas do Outlook.com “para armazenar uma cópia sincronizada das informações da sua caixa de de e-mail no computador local”, de acordo com a Microsoft. Os arquivos OST podem conter mensagens de e-mail, contatos, tarefas, dados de calendário e outras informações relevantes – e pessoais – de um usuário.

Como o trojan funciona

O trojan foi transformado em um executável do Windows pelo PyInstaller, um pacote Python que permite aplicativos em executáveis autônomos. Depois de baixado, o malware “implementa sua funcionalidade principal executando um loop, onde inicializa diferentes threads e chama várias tarefas periodicamente com a intenção de coletar informações e interagir com o operador C2”, explicam os pesquisadores.

O agente de ameaça usa bibliotecas Python integradas e pacotes específicos para fins de roubo de informações – incluindo PyAudio (habilitando recursos de roubo de áudio) e mss (permitindo recursos de captura de tela) -, bem como outros “diversos fins, como interação com processos do Windows, registro do Windows, rede, sistema de arquivos e assim por diante”.

O PyMicropsia tem relações com a família de malware Micropsia, outro malware AridViper conhecido por ter como alvo o Microsoft Windows. Esses links incluem sobreposições de código; táticas, técnicas e procedimentos semelhantes (TTPs), como o uso de rar.exe para compactar dados para exfiltração; e estruturas de caminho de URI de comunicação de comando e controle (C2) semelhantes.

Micropsia também fez referências a temas específicos em código e implementações C2 – incluindo referências anteriores a programas de TV como The Big Bang Theory e Game of Thrones. Digno de nota, nas variáveis de código do PyMicropsia, os pesquisadores encontraram referências a vários nomes de atores famosos, os atores Fran Drescher e Keanu Reeves, o que “parece estar de acordo com o modus operandi do grupo suspeito", disseram os pesquisadores.

Leia também:

• Endpoint Security x Endpoint Protection: Qual a diferença?
• Trabalho Remoto Seguro: O Guia Da Segurança da Informação

AridViper: Desenvolvimento Ativo

Investigando as capacidades do PyMicropsia, os pesquisadores disseram que também identificaram duas amostras adicionais hospedadas na infraestrutura do trojan.

Esses elementos adicionais, que são baixados e usados ​​pelo trojan durante sua implantação, fornecem recursos de persistência e keylogging. Eles não são baseados em Python / PyInstaller.

Embora o PyMicropsia seja projetado para ter como alvo apenas os sistemas operacionais Windows, os pesquisadores também encontraram trechos no código que verificam a existência de outros sistemas operacionais (como “posix” ou “darwin”). Posix, ou Portable Operating System Interface, é uma família de padrões usados ​​para manter a compatibilidade entre os sistemas operacionais; e Darwin, um sistema operacional de código aberto semelhante ao Unix.

“Esta é uma descoberta interessante, já que não vimos o AridViper mirar nesses sistemas operacionais antes e isso pode representar uma nova área que o grupo está começando a explorar”, alertam os pesquisadores.

Mantenha seus dispositivos protegidos. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Educação infantil e serviços essenciais são alvos lucrativos para cibercriminosos. Vulnerabilidades em maquininhas de cartão poderiam abrir caminhos para ataques.

O que você vai ler hoje:

• Facebook bane agentes de ameaças de sua plataforma
• Vulnerabilidades em maquininhas de cartão poderiam possibilitar roubo de informações financeiras
• Ataques cibernéticos no setor de educação infantil estão aumentaram significativamente, alerta FBI
• Setores de serviços essenciais são a principal vítima de ataques. O que fazer a respeito

Facebook bane agentes de ameaças de sua plataforma

O Facebook baniu de sua plataforma várias contas e páginas que eram usadas para lançar ataques de phishing e malware por dois grupos cibercriminosos: APT32, no Vietnã, e um grupo de ameaça não-identificado, com base em Bangladesh.

Em comunicado oficial, a gigante das redes sociais disse que aniquilou a capacidade de ambos os grupos usarem sua infraestrutura para abusar de sua plataforma, distribuir malware e hackear outras contas. Uma análise por grupos de segurança alega que os dois grupos não tinham conexão entre si e miravam os usuários do Facebook utilizando táticas “muito diferentes”.

“A operação do Vietnã se concentrou principalmente em espalhar malware para seus alvos, enquanto a operação de Bangladesh se concentrou em comprometer contas em plataformas e coordenar ações para remover contas e páginas do Facebook”.

O Facebook também informou que o APT32 explorou sua plataforma para atingir ativistas de direitos humanos vietnamitas, bem como vários governos estrangeiros (incluindo os do Laos e Camboja), organizações não-governamentais, agências de notícias e uma série de empresas.

Para isso, o grupo criou páginas e contas do Facebook, atingindo seguidores específicos com ataques de phishing e malware. Aqui, o APT23 usou várias técnicas de engenharia social, muitas vezes usando iscas românticas ou se passando por ativistas ou entidades de negócios para parecer mais legítimo.

Enquanto isso, os autores da ameaça baseados em Bangladesh visavam ativistas locais, jornalistas e minorias religiosas para comprometer suas contas no Facebook. O Facebook alegou ter encontrado links nesta atividade para duas organizações sem fins lucrativos em Bangladesh: Don’s Team (também conhecida como Defense of Nation) e a Crime Research and Analysis Foundation (CRAF).

A empresa alegou que os grupos colaboraram para denunciar usuários do Facebook por violações fictícias de seus Padrões da Comunidade – como suposta falsificação de identidade, violação de propriedade intelectual, nudez e terrorismo. Além disso, os grupos supostamente hackearam contas de usuários e páginas do Facebook e as usaram para seus próprios fins operacionais, inclusive para amplificar seu conteúdo.

“Em pelo menos uma ocasião, depois que a conta de um administrador da página foi comprometida, eles removeram os administradores restantes para assumir e desativar a página”, disse o Facebook.

A rede de Mark Zuckerberg – que removeu a infraestrutura usada por invasores, no passado, por abusar de sua plataforma – alertou que os invasores por trás dessas operações são “adversários persistentes” e espera-se que suas táticas continuem evoluindo.

Vulnerabilidades em maquininhas de cartão poderiam possibilitar roubo de informações financeiras

Vulnerabilidades de segurança em terminais de ponto de venda (PoS) poderiam ter permitido que criminosos cibernéticos roubassem detalhes de cartão de crédito, clonassem terminais e cometessem outras formas de fraudes financeiras às custas de compradores e varejistas.

As vulnerabilidades nas maquininhas de cartão da Verifone e da Ingenico – que são usadas ​​em milhões de lojas ao redor do mundo – foram detalhadas pelo pesquisador independente Aleksei Stennikov e por Timur Yunusov, chefe de pesquisa de segurança ofensiva do Cyber ​​R&D Lab, durante uma apresentação da Black Hat Europe 2020.

Uma das principais vulnerabilidades em ambas as marcas é o uso de senhas-padrão que podem fornecer aos invasores acesso a um menu de serviços e a capacidade de manipular ou alterar o código nas máquinas para executar comandos maliciosos.

Os pesquisadores dizem que esses problemas de segurança existem há pelo menos 10 anos, enquanto alguns existem de uma forma ou de outra por até 20 anos – embora os últimos estejam principalmente em elementos legados do dispositivo, que não são mais usados.

Além disso, os invasores podem obter acesso aos dispositivos para manipulá-los de duas maneiras. Eles são capazes de obter acesso físico ao terminal PoS ou obter acesso remotamente e, em seguida, executar comandos de código arbitrário, buffer overflows e outras técnicas comuns. que podem fornecer aos invasores uma elevação de privilégios, bem como a capacidade de controlar o dispositivo e roubar os dados que passam por ele.

O acesso remoto é possível se um invasor obtiver acesso à rede por meio de phishing ou outro tipo de ataque e, a seguir, se mover livremente pela rede até o terminal PoS.

Afinal, a maquininha de cartão é um computador e, se estiver conectada à rede e à Internet, os invasores podem tentar obter acesso e manipulá-la como qualquer outra máquina desprotegida.

Os meios de pagamento no mundo e o Pix no Brasil. Como ele vai afetar a sua empresa?

O Pix traz uma grande novidade para os meios de pagamento no Brasil, isso quer dizer que as empresas podem se beneficiar com o uso dele.

Mas tem mais coisa em jogo, pois agora as empresas também precisam estar em conformidade com a LGPD.

E por fim, já está em discussão a aplicação do conceito de Open Banking no Brasil.

O que isso tudo significa para as empresas brasileiras? Confira nosso guia mais recente e desvende todas as novidades tecnológicas envolvendo o setor financeiro.

Ataques cibernéticos no setor de educação infantil estão aumentaram significativamente, alerta FBI

Ataques cibernéticos no setor de educação infantil estão aumentando de forma alarmante nos Estados Unidos.

Em um alerta conjunto do FBI e da Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA), as autoridades disseram que os dados do Centro de Análise e Compartilhamento de Informações Multiestaduais (MS-ISAC) mostram que, em agosto e setembro, 57% dos incidentes de ransomware relatados ao MS-ISAC envolveu escolas de ensino fundamental, em comparação com apenas 28% de todos os incidentes de ransomware relatados de janeiro a julho.

Mas o ransomware não é o único problema – a CISA e o FBI disseram que malwares de trojan, ataques de negação de serviço distribuído (DDoS), phishing e roubo de credenciais, bem como o hacking de contas, comprometimento de rede e muito mais estão em alta desde o início do ano escolar.

“Seja como garantia para ataques de ransomware ou para vender na dark web, os cibercriminosos podem tentar explorar o ambiente rico em dados que são as escolas e serviços de tecnologia educacional (edtech)”, dizem os órgãos de segurança.

“A necessidade de as escolas fazerem uma transição rápida para o ensino à distância provavelmente contribuiu para as lacunas de segurança cibernética, deixando-as vulneráveis ​​a ataques. Além disso, as instituições de ensino que terceirizaram suas ferramentas de ensino à distância podem ter perdido a visibilidade das medidas de proteção de dados – tornando-se alvos lucrativos para os cibercriminosos.”

As cinco variantes de ransomware mais comuns identificadas em incidentes direcionados às escolas neste ano são Ryuk, Maze, Nefilim, AKO e Sodinokibi / REvil.

A engenharia social em geral também está em ascensão no setor edtech, e mira alunos, pais, professores, colaboradores de TI ou outros indivíduos envolvidos no ensino à distância. Os esforços incluem phishing de informações pessoais ou de contas bancárias, links maliciosos para baixar malware e técnicas de spoofing de domínio, em que os invasores registram domínios da web semelhantes a sites legítimos. Aqui, eles esperam que um usuário clique por engano e acesse um site sem notar mudanças sutis nas URLs do site.

Além disso, ataques como DDoS e bombardeio de Zoom também estão se tornando mais frequentes, de acordo com o alerta.

“Os cibercriminosos provavelmente veem as escolas como alvos de oportunidade, e esses tipos de ataques devem continuar até o ano letivo de 2021. Essas questões serão particularmente desafiadoras para escolas que enfrentam limitações de recursos; portanto, a liderança educacional, o pessoal de tecnologia da informação e o pessoal de segurança precisarão equilibrar esse risco ao determinar seus investimentos em segurança cibernética.”

Setores de serviços essenciais são a principal vítima de ataques. O que fazer a respeito

Governos e provedores de serviços essenciais observaram uma enxurrada de ataques de ransomware no setor de saúde ao longo deste ano.

Em 16 de novembro de 2020, a Americold, uma das maiores cadeias de armazéns frigoríficos dos EUA, tornou-se a vítima mais recente de um ataque coordenado de ransomware. O ataque afetou as comunicações, o inventário e as operações da Americold, o que é particularmente preocupante, já que as instalações frigoríficas serão essenciais para a implementação das vacinas contra o COVID-19.

Enquanto o governo trabalha para combater os riscos abrangentes de segurança cibernética para a infraestrutura crítica, o resultado é que, cada vez mais, as decisões de segurança cibernética se tornam decisões de negócio. As empresas não podem esperar para investir somente depois de um grande incidente de segurança.

Mesmo que seu orçamento e gastos com segurança cibernética sejam baixos, é recomendado designar líderes em sua organização que sejam responsáveis ​​por estar a par tanto de suas próprias redes e endpoints quanto do cenário global de ameaças.

Considere caminhos para compartilhar informações, mesmo com concorrentes, sobre ameaças, desafios e tendências semelhantes. Conscientização é a chave.

Os meios de pagamento no mundo: O Pix vai gerar oportunidades para sua empresa?

Toda novidade tecnológica desperta dúvidas em relação a sua aplicação em uma organização, além de todas as preocupações envolvendo segurança e privacidade.

Por isso, conte com nossa equipe de especialistas para te ajudar nessa jornada.

A pandemia não foi motivo para os hackers pouparem suas vítimas – que vão desde órgãos governamentais a provedores de saúde. Pelo contrário: a pandemia pode ter acelerado a maioria desses ataques.

Violações de dados, infiltrações de rede, roubo e venda de dados em massa, roubo de identidade, surtos de ransomware: 2020 foi considerado o pior ano da história para a cibersegurança – e o mercado clandestino do cibercrime não dá sinais de parar.

À medida que grande parte da população mundial migrava para o home office, as empresas foram forçadas a, rapidamente, fazer a transição para operações remotas. Se aproveitando disso, agentes de ameaça também mudaram seu modus operandi.

Como resultado, vimos uma variedade de ataques cibernéticos este ano, dentre os quais alguns dos piores, até agora, foram:

JANEIRO

• Travelex: os serviços da Travelex foram retirados do ar após uma infecção por malware. A própria empresa e suas empresas parceiras, que usam a plataforma para fornecer serviços de câmbio, foram todas afetadas.
• Reembolsos de impostos do IRS: um residente dos EUA foi preso por usar informações vazadas por meio de violações de dados para preencher declarações de impostos fraudulentas no valor de US$ 12 milhões.
• Distrito escolar independente de Manor: esse distrito escolar do Texas perdeu US$ 2,3 milhões por conta de um ataque de phishing.
• Wawa: 30 milhões de registros contendo dados de clientes da empresa foram disponibilizados para venda online.
• Microsoft: A gigante da tecnologia divulgou que cinco servidores usados para armazenar avaliações anônimas de usuários foram expostos na Internet sem proteção adequada.
• Maconha medicinal: Um banco de dados que apoia os sistemas de ponto de venda usado em dispensários de maconha medicinal e recreativa foi comprometido, afetando cerca de 30.000 usuários nos EUA.

FEVEREIRO

• Estée Lauder: 440 milhões de registros internos foram supostamente expostos devido a falhas de segurança de middleware.
• Portal de impostos do governo da Dinamarca: Os números de identificação do contribuinte de 1,26 milhão de cidadãos dinamarqueses foram acidentalmente expostos.
• DOD DISA: A Defense Information Systems Agency (DISA), que oferece serviços de TI para a Casa Branca, admitiu que ocorreu uma violação de dados que pode comprometer os registros dos funcionários.
• Autoridade de Conduta Financeira do Reino Unido (FCA): A FCA divulgou, acidentalmente, informações confidenciais pertencentes a cerca de 1.600 consumidores, como parte de uma solicitação FOIA.
• Clearview: Toda a lista de clientes da Clearview AI foi roubada devido a uma vulnerabilidade de software.
• General Electric: A GE alertou seus trabalhadores de que um indivíduo não-autorizado foi capaz de acessar informações pessoais, pertencentes a eles, devido a falhas de segurança com o fornecedor Canon Business Process Service.

MARÇO

• T-Mobile: Um hacker obteve acesso às contas de e-mail dos funcionários, comprometendo dados de clientes e colaboradores.
• Marriott: A rede de hotéis sofreu um ataque cibernético que comprometeu contas de e-mail de 5,2 milhões de hóspedes.
• Sussurro: o aplicativo anônimo de compartilhamento de segredos, fenômeno momentâneo do ano, expôs online milhões de perfis privados e dados de milhões de usuários.
• Anéis de hackers SIM-swap: a Europol fez apreensões em toda a Europa, detendo hackers SIM-swap responsáveis ​​pelo roubo de mais de € 3 milhões.
• Virgin Media: A empresa expôs os dados de 900.000 usuários por meio de um banco de dados de marketing aberto.
• MCA Wizard: 425 GB de documentos confidenciais pertencentes a organizações financeiras estavam acessíveis ao público por meio de um banco de dados vinculado ao aplicativo MCA Wizard.
• NutriBullet: NutriBullet foi vítima de um ataque Magecart, com o código de skimming do cartão de pagamento infectando o e-commerce da empresa.
• Marriott: a Marriott divulgou uma nova violação de dados que afetou 5,2 milhões de hóspedes do hotel.

ABRIL

• US Small Business Administration (SBA): até 8.000 candidatos a empréstimos de emergência foram envolvidos em um vazamento de dados de PII.
• Nintendo: 160.000 usuários foram afetados por uma campanha de sequestro de contas em massa.
• Email.it: O provedor de e-mail italiano deixou os dados de 600.000 usuários vulneráveis, o que resultou na venda das credenciais na Dark Web.
• US Small Business Administration (SBA): A SBA revelou que cerca de 8.000 candidatos a empréstimos de emergência para empresas estavam envolvidos em uma violação de dados.

MAIO

• EasyJet: A companhia aérea revelou uma violação de dados de nove milhões de clientes, incluindo algumas informações financeiras.
• Blackbaud: O provedor de serviços em nuvem foi atingido por operadores de ransomware que sequestraram as credenciais de seus clientes. Posteriormente, a empresa pagou um resgate para impedir que os dados vazassem online.
• Mitsubishi: Uma violação de dados sofrida pela empresa também resultou

potencialmente no roubo de dados confidenciais de projetos de mísseis.

• Toll Group: A gigante da logística foi atingida por um segundo ataque de ransomware em três meses.
• Illinois: O Departamento de Segurança do Trabalho de Illinois (IDES) vazou registros relativos aos cidadãos que se candidataram a benefícios de seguro-desemprego.
• Wishbone: 40 milhões de registros de usuários do site foram publicados online pelo grupo de hackers ShinyHunters.

JUNHO

• Amtrak: Dados pessoais de clientes vazaram e algumas contas do Amtrak Guest Rewards foram acessadas por hackers.
• University of California SF: A universidade pagou um resgate de US$ 1,14 milhões a hackers para salvar a pesquisa do COVID-19.
• AWS: A AWS atenuou um ataque DDoS de 2,3 Tbps.
• Postbank: Um funcionário do banco sul-africano obteve uma chave-mestra de acesso ao sistema e roubou US$ 3,2 milhões.
• NASA: A gangue de ransomware DopplePaymer alegou ter violado as redes de um terceirizado de TI da NASA.
• Claire's: A empresa de acessórios foi vítima de uma infecção do Magecart de cartões skimming.

JULHO

• CouchSurfing: 17 milhões de registros pertencentes ao CouchSurfing foram encontrados em um fórum da Dark Web.
• Universidade de York: A universidade do Reino Unido divulgou uma violação de dados causada por Blackbaud. Registros de funcionários e alunos foram roubados.
• SigRed: a Microsoft corrigiu um exploit de 17 anos que poderia ser usado para sequestrar servidores Microsoft Windows.
• MGM Resorts: Um hacker colocou os registros de 142 milhões de hóspedes do MGM online para venda em fóruns clandestinos.
• V Shred: As informações pessoais de 99.000 clientes e professores foram expostas online. A V Shred resolveu o problema apenas parcialmente.
• BlueLeaks: A polícia fechou um portal usado para hospedar 269 GB em arquivos roubados pertencentes aos departamentos de polícia dos EUA, após o vazamento de algumas dessas informações.
• EDP: A fornecedora de energia norte-americana confirmou um incidente de ransomware Ragnar Locker. Aparentemente, mais de 10 TB em registros de negócios foram roubados.
• MongoDB: Um hacker tentou resgatar 23.000 bancos de dados da MongoDB.

AGOSTO

• Cisco: Um ex-engenheiro se declarou culpado de causar grandes danos às redes da Cisco, custando à empresa US$ 2,4 milhões para consertá-los.
• Canon: A gigante da fotografia foi atingida pela gangue de ransomware Maze.
• Intel: 20 GB de dados corporativos confidenciais pertencentes à Intel foram publicados online.
• The Ritz, Londres: Os fraudadores se passaram por funcionários em um golpe de phishing contra clientes do Ritz.
• Freepik: A plataforma de imagens gratuitas revelou uma violação de dados que afetou 8,3 milhões de usuários.
• Universidade de Utah: a universidade cedeu às ameaças dos cibercriminosos e pagou um resgate de US$ 457.000 para impedir o grupo de publicar informações sobre seus alunos.
• Experian, África do Sul: A filial da Experian na África do Sul divulgou uma violação de dados que afetou 24 milhões de clientes.

SETEMBRO

• Nevada: uma escola de Nevada, sofrendo um ataque de ransomware, recusou-se a pagar os cibercriminosos – e, portanto, os dados dos alunos foram publicados online, como forma de retaliação.
• Ransomware em um hospital alemão: um paciente faleceu após não conseguir atendimento em um hospital que sofria uma infecção de ransomware.
• Policiais da Bielo-Rússia: as informações privadas de 1.000 policiais de alto escalão vazaram.
• Satélites: hackers iranianos foram acusados de comprometer satélites americanos.
• Cerberus: Os desenvolvedores do Trojan bancário Cerberus liberaram o código-fonte do malware, depois de não conseguirem vendê-lo para a iniciativa privada.
• Banco Estado: O banco chileno foi forçado a fechar agências devido a um ataque de ransomware.

OUTUBRO

• Barnes & Noble: A rede livreira sofreu um ataque cibernético, que acredita-se ser obra do grupo de ransomware Egregor. Registros roubados vazaram online como prova.
• ONU IMO: A Organização Marítima Internacional das Nações Unidas (ONU IMO) divulgou ter sofrido uma violação de segurança que afeta os sistemas públicos.
• Estrondo! Móvel: o provedor de serviços de telecomunicações foi vítima de um ataque de skimming de cartão Magecart.
• Google: O Google disse que mitigou um ataque DDoS de 2,54 Tbps, um dos maiores já registrados.
• Ubisoft, Crytek: Informações confidenciais pertencentes às gigantes dos videogames foram divulgadas online pela gangue de ransomware Egregor.

NOVEMBRO

• Manchester United: O Manchester United informou que estava investigando um incidente de segurança que afetou seus sistemas internos.
• Vertafore: 27,7 milhões de dados pessoais de motoristas do Texas foram comprometidos devido a "erro humano".
• Campari: A gigante das bebidas Campari ficou fora do ar após um ataque de ransomware.
• Botnet de US$ 100 milhões: um hacker russo foi preso por operar um botnet responsável por drenar US$ 100 milhões das contas bancárias de suas vítimas.
• Mashable: Um hacker publicou uma cópia de um banco de dados Mashable online.
• Capcom: A Capcom se tornou mais uma vítima do ransomware Ragnar Locker, sendo forçada a interromper seus sistemas internos.
• Home Depot: A varejista dos EUA fez um acordo de US$ 17,5 milhões depois que uma infecção de malware PoS afetou milhões de seus compradores.
• Embraer: A empresa aeroespacial brasileira foi atingida por um ciberataque que resultou em roubo de dados.

DEZEMBRO

• Leonardo SpA: A polícia italiana prendeu suspeitos que teriam roubado até 10 GB de dados corporativos e militares confidenciais da empresa.
• Flight Center: Descobriu-se que um hackathon de 2017 lançado pela empresa foi a fonte de um vazamento envolvendo registros de cartão de crédito e números de passaporte de cerca de 7.000 pessoas.
• Absa: Acredita-se que um funcionário de um banco com sede na África do Sul seja o responsável pelo vazamento de informações de identificação pessoal pertencentes aos clientes.
• HMRC: O escritório de impostos do Reino Unido foi classificado como “incompetente” devido a 11 violações de dados sérias que afetaram cerca de 24.000 pessoas.
• STF: Um ataque comprometeu por vários dias o funcionamento do Supremo Tribunal Federal do Brasil.

Embora a expectativa seja de que 2021 não seja um ano ruim, se os hábitos não mudarem, continuaremos sofrendo ameaças potencialmente trágicas.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Utilidades domésticas podem virar armas de espionagem? Talvez não. Mas muitos vetores do nosso dia a dia estão sujeitos a ataques – seja por apps de relacionamentos ou por dispositivos corrompidos.

O que você vai ler hoje:

• Cibercriminosos vasculham massivamente a internet em busca de brechas deixadas por desenvolvedores
• O mercado do ransomware continua evoluindo e, agora, conta até com “corretores”
• Hackers usam tecnologia do iPhone 12 para ouvir conversas de usuários através de um aspirador
• Bumble expõe seus 95 milhões de usuários ao risco de vazamento de dados

Cibercriminosos vasculham massivamente a internet em busca de brechas deixadas por desenvolvedores

Atraindo pouca atenção para si, cibercriminosos passaram os últimos dois ou três anos vasculhando massivamente a internet em busca de arquivos ENV que tenham sido acidentalmente carregados e esquecidos em servidores da web, aponta pesquisa.

Arquivos ENV, ou arquivos de ambiente, são um tipo de arquivo de configuração, geralmente usado por desenvolvedores e ferramentas de desenvolvimento. E, devido à natureza de seus dados, os arquivos ENV devem sempre ser armazenados em pastas protegidas.

De modo geral, os desenvolvedores de aplicativos costumam receber avisos sobre a varredura de botnets maliciosos em busca de arquivos de configuração GIT ou de chaves privadas SSH que tenham sido acidentalmente carregadas online. Mas as varreduras por arquivos ENV são tão comuns quanto, ainda que não recebam a mesma atenção.

De acordo com a empresa de segurança GreyNoise, mais de 2.800 endereços IP diferentes foram usados ​​para escanear arquivos ENV nos últimos três anos, com mais de 1.100 scanners ativos só no mês passado.

Varreduras semelhantes também foram registradas pela empresa de inteligência de ameaças Bad Packets, que rastreou os caminhos de arquivos ENV mais comuns e tem postado updates recorrentemente no Twitter.

Se os agentes de ameaças que identificam os arquivos ENV acabam baixando o arquivo, são capazes de extrair todas as credenciais confidenciais e violar a infraestrutura de back-end de uma organização.

E o objetivo final dos ataques subsequentes pode ser qualquer um, desde o roubo de propriedade intelectual a ataques de ransomware ou instalação de malware de mineração de criptografia (cryptojacking).

Como forma de se proteger, os pesquisadores aconselham desenvolvedores a testar e ver se os arquivos ENV de seus aplicativos estão disponíveis online e, em seguida, proteger qualquer arquivo ENV que possa ter sido acidentalmente exposto.Além disso, alterar todos os tokens e senhas dos arquivos expostos é uma obrigação.

O mercado do ransomware continua evoluindo e, agora, conta até com “corretores”

Foi-se o tempo em que grupos de ransomware lançavam campanhas em massa de spam por e-mail na esperança de infectar usuários aleatórios na Internet.

Hoje, os operadores de ransomware evoluíram de um nicho de pequenas gangues de malware para uma série de cartéis de crimes cibernéticos complexos com habilidades, ferramentas e orçamentos similares aos dos grupos de hackers patrocinados pelo governo.

Mais do que isso, as gangues de ransomware, hoje, contam com parcerias em vários níveis com outros núcleos do crime cibernético. Chamados de "corretores de acesso inicial" (initial access brokers, em inglês), esses grupos operam como uma cadeia de suprimentos do submundo do crime, fornecendo às gangues de ransomware (e outras) acesso a grandes acervos de sistemas comprometidos, a fim de facilitar o sucesso dos ataques.

Consistindo em endpoints RDP hackeados, dispositivos de rede backdoor e computadores infectados por malware, esses sistemas permitem que gangues de ransomware obtenham acesso facilmente a redes corporativas, aumentem seu grau de acesso e criptografem arquivos para exigir resgates enormes sem grandes esforços.

Esses corretores de acesso inicial são uma parte crucial do cenário do crime cibernético. Hoje, três tipos de corretores se destacam como as fontes da maioria dos ataques de ransomware:

• Vendedores de endpoints RDP comprometidos
• Vendedores de dispositivos de rede hackeados
• Vendedores de computadores já infectados com malware

No entanto, embora a proteção contra os dois primeiros vetores normalmente se baseie estar atento às boas práticas de criação de senha, autenticação multifatorial e manter os dispositivos atualizados, o terceiro vetor é mais difícil de proteger.

Isso ocorre porque os operadores de botnet de malware muitas vezes dependem de engenharia social para enganar os usuários a fim de que eles próprios instalem malware em seus sistemas, mesmo se os computadores estiverem executando softwares atualizados.

De todo modo, pesquisadores de cibersegurança alertam para o desenvolvimento de uma rede de cibercrime muito maior e mais complexa, que promete bastante dores de cabeça para as organizações-alvo desses grupos.

Hackers usam tecnologia do iPhone 12 para ouvir conversas de usuários através de um aspirador

Hackers usaram a tecnologia LiDAR, presente no último iPhone 12 Pro e 12 Pro Max, para transformar um aspirador de pó em um dispositivo de espionagem.

Isso de acordo com uma equipe de acadêmicos da Universidade Nacional de Cingapura e da Universidade de Maryland, que publicou um artigo de pesquisa com o título “Espionagem com seu robô aspirador de pó: espionagem por meio de sensores LiDAR”.

O hack, que os pesquisadores chamaram de LidarPhone, é conhecido como “ataque de canal lateral”, quando, em vez de explorar fraquezas ou vulnerabilidades, os hackers exploram os pontos fortes de um dispositivo – muitas vezes de forma diferente daquela para a qual eles foram originalmente projetados.

No caso da pesquisa, os hackers utilizaram os sensores LiDAR de um aspirador inteligente, cuja função é ajudar o aparelho a mapear os arredores, para atuar como microfones e gravar as conversas de seus proprietários.

Ao longo de 19 horas dessa gravação secreta, os pesquisadores dizem que conseguiram coletar conversas e músicas tocadas por um alto-falante de computador e pela caixa de som da TV.

"Os sons são essencialmente ondas de pressão que se propagam através das vibrações do meio", argumentam os pesquisadores, "e a energia sonora de um ambiente é parcialmente induzida em objetos próximos, criando vibrações físicas sutis dentro desses meios sólidos." Ao reaproveitar os sensores LiDAR do aspirador de pó, eles conseguiram, portanto, captar essas vibrações, que foram então processadas "para recuperar traços de sons". O processo de recuperação, baseado em deep learning, tem uma taxa de sucesso de cerca de 90%, de acordo com o artigo.

As mesmas técnicas poderiam, teoricamente, ser aplicadas a qualquer dispositivo equipado com sensor LiDAR.

Porém, aplicar os resultados obtidos em laboratório a um cenário real de hacking está longe de ser simples. Além de precisar comprometer o aspirador de pó para poder reutilizar os sensores LiDAR por meio de uma atualização de firmware, os hackers também precisariam acessar a rede local do alvo.

Níveis de ruído, iluminação e distância do alvo seriam fatores importantes para o sucesso da operação – o que pode ser tranquilizante para usuários dessa e de outras soluções inteligentes, pelo menos por ora, pois dificilmente o esforço vai compensar.

Bumble expõe seus 95 milhões de usuários ao risco de vazamento de dados

Pesquisadores de cibersegurança descobriram que, mesmo que fossem banidos do serviço, poderiam extrair uma série de informações pessoais do aplicativo de relacionamentos Bumble, conhecido como um dos mais importantes concorrentes do Tinder.

As falhas de segurança foram corrigidas no início deste mês, mas levou pelo menos 200 dias desde que o Bumble foi avisado dessas vulnerabilidades para que a empresa de fato fizesse algo.

Até então, se uma conta do Bumble estivesse conectada ao Facebook, era possível ter acesso a todos os “interesses” ou páginas curtidas por um usuário.

O hacker também podia adquirir informações sobre o tipo exato de pessoa que um usuário do Bumble estava procurando, bem como todas as fotos que ele enviou para o aplicativo.

Mas o mais preocupante é que era possível obter a localização aproximada de um usuário observando sua distância em quilômetros. Um invasor poderia, então, falsificar a localização de algumas contas e, em seguida, tentar triangular as coordenadas de um alvo.

Como era extremamente fácil violar os dados dos usuários e, potencialmente, realizar ataques de vigilância ou revender as informações furtadas, os pesquisadores destacam que “o excesso de confiança que as pessoas têm em grandes marcas e aplicativos disponíveis em lojas como a App Store e a Play Store pode ser problemática”, visto que o cadastro de apps nessas lojas não dispensa a necessidade de uma averiguação cuidados por parte dos usuários.

Em última análise, finalizam os responsáveis pela pesquisa, esse é um “grande problema para todos que se preocupam, mesmo que minimamente, com sua informações pessoais e com sua privacidade”.

Mantenha sua empresa segura! Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar

A natureza crítica das estruturas fabris, somada a vulnerabilidades de segurança, representa uma oportunidade única para hackers, que exploram ataques de ransomware direcionados à manufatura.

Ataques de ransomware têm se tornado uma grande ameaça para indústrias de manufatrua, à medida que grupos cibercriminosos se mostram cada vez mais interessados em sistemas de controle industrial (ICS), que gerenciam as operações fabris.

De acordo com análises feitas por pesquisadores de segurança cibernética da iniciativa privada, o número de ataques de ransomware registrados publicamente contra o setor de manufatura triplicou – e isso considerando somente dados do ano passado.

Embora grande parte da manufatura esteja apoiada em sistemas tradicionais de TI, alguns elementos dos processos industriais dependem de sistemas ICS, principalmente quando falamos de produção em massa – e essa é uma brecha que vários grupos de hackers estão ativamente procurando explorar, com ataques altamente direcionados.

Ataques ao setor secundário podem parar o país

Ataques de ransomware direcionados a ICS são potencialmente muito preocupantes por conta da natureza interconectada da cadeia de suprimentos de manufatura.

Isto é, se uma fábrica for atingida por um ataque cibernético, isso poderá ter consequências em larga escala, visto que ela pode ajudar a alimentar uma indústria inteira.

Se uma empresa da indústria farmacêutica que produz medicamentos em massa, ou outros produtos de saúde, for atingida por um ataque de ransomware, por exemplo, isso pode ter um impacto indireto no setor de saúde como um todo, impedindo desde tratamentos caseiros ao atendimento em hospitais de todo o país.

É esse nível de ameaça, e o potencial caos que ela causaria, que levou os pesquisadores de segurança cibernética a descreverem o ransomware com a capacidade de interromper processos industriais como a “maior ameaça ao setor”, atualmente. E pelo menos cinco grupos de hackers estão visando ativamente, ou demonstrando interesse, em empresas de manufatura.

Indústrias estariam mais propensas a pagar pelo resgate das redes

Para os cibercriminosos, o setor secundário, como um todo, é um alvo altamente estratégico. Em muitos casos, afinal, se tratam de operações que não podem ficar suspensas por muito tempo. Logo, concluem os criminosos, elas podem ser mais propensas a ceder às demandas dos invasores e pagar centenas de milhares de dólares em bitcoins em troca de recuperar sua rede.

"A manufatura requer um tempo de atividade significativo para atender à produção e qualquer ataque que cause paralisação pode custar muito dinheiro. Assim, eles podem estar mais inclinados a pagar os invasores", disse Selena Larson, analista de inteligência da Dragos, empresa responsável pela pesquisa, à imprensa.

"Além disso, os processos de manufatura não contam, necessariamente, com operações de segurança cibernética muito robustas e podem representar oportunidades interessantes para cibercriminosos, uma vez que tendem a ser alvos fáceis e, de certa forma, altamente rentáveis".

Os pontos de atenção para a manufatura

Por sua natureza, os ativos industriais de empresas de manufatura são frequentemente expostos à Internet, uma vez que os sistemas são interdependentes de uma rede única, fornecendo caminhos para que grupos de hackers e gangues de ransomware obtenham acesso a essa rede por meio de tecnologia de acesso remoto, como protocolos de desktop remoto (RDP) e serviços VPN, ou vulnerabilidades em sistemas sem patch.

Em outubro de 2020, a empresa responsável pela pesquisa disse que havia pelo menos 108 alertas contendo 262 vulnerabilidades com impacto em equipamentos industriais – isso apenas durante este ano, e muitas dos quais potencialmente deixam as redes vulneráveis a ransomware e outros ataques cibernéticos.

"Infelizmente, vulnerabilidades não-corrigidas, que podem permitir o acesso inicial ao sistema, sempre serão um problema. Testar e aplicar patches assim que possível é muito importante para prevenir a exploração", alertam os pesquisadores. Como vulnerabilidades comuns são facilmente identificáveis, os cibercriminosos não precisam forçar muito para abrir as portas das redes industriais.

Também é natural que os cibercriminosos estejam recorrendo ao ransomware como principal ameaça, visto que, hoje, é a maneira mais rápida e fácil de ganhar dinheiro comprometendo uma grande rede.

Mas, ao obter controle suficiente da rede para implantar ransomware, os hackers também poderão acessar propriedade intelectual e dados confidenciais armazenados na rede, escalando o problema para uma violação grave.

Isso poderia levar grupos de hackers a usarem o ransomware como cortina de fumaça para ataques cibernéticos mais complexos, projetados para roubar propriedade intelectual, tornando a ameaça ainda mais prejudicial às vítimas a longo prazo.

Para se proteger, é necessária a adoção de uma rotina de medidas preventivas, como a condução de revisões regulares da arquitetura cibernética para identificar brechas de rede, garantir que os dispositivos e serviços estejam constantemente atualizados e realizar uma análise completa da infraestrutura de rede, para identificar possíveis pontos fracos que poderiam interromper a continuidade das operações industriais no país.

Mantenha seu negócio seguro. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Cenário é favorável para empresas de segurança no Brasil. A contrapartida: o número de ataques continua crescendo ao redor do mundo.

O que você vai ler hoje:

• 63 milhões de registros de clientes e usuários são expostos em banco de dados acessível ao público
• Número de infecções por código malicioso cresce no Brasil
• Gigante dos games sofre ataque de ransomware e deve pagar 11 milhões de dólares
• Empresas de TI no Brasil caminham para recuperação pós-pandemia

63 milhões de registros de clientes e usuários são expostos em banco de dados acessível ao público

O pesquisador de cibersegurança Jeremiah Fowler descobriu, no começo de outubro deste ano, mais de 60 milhões de registros de clientes e usuários expostos em um banco de dados descriptografado, disponível para qualquer um, sem senha. Os registros pertenciam a uma provedora de serviços de hospedagem norte-americana, Cloud Cluster.

De acordo com Jeremiah, não é possível saber, com certeza, por quanto tempo esses registros foram expostos ou quem mais pode ter tido acesso a esses dados, que incluem logins para plataformas de e-commerce e gestão de websites, como Magento e WordPress.

“Se um cibercriminoso tivesse acesso a essas informações, ele poderia comprometer esses sites e contas de comércio eletrônico”, afirma o pesquisador.

Além disso, havia registros no banco de dados conectando vários nomes de empresas, todos fornecendo serviços de hospedagem e gerenciamento de dados semelhantes sob o guarda-chuva Cloud Cluster. Com a enorme quantidade de registros, era difícil dizer quantos serviços eles operavam.

No total, foram expostos 63.747.966 de registros. Segundo Fowler, o banco de dados descriptografado que continha essas credenciais permitia a qualquer pessoa editar, baixar ou até mesmo excluir os dados, sem necessidade de credenciais administrativas.

Ele também informa informa que notificou a empresa no dia 5 de outubro, quando descobriu o ocorrido. No entanto, a empresa só respondeu no dia 13 de outubro, agradecendo:

“Obrigado por apontar os problemas para aumentar a segurança do site. Nós também levamos a segurança de dados muito a sério”.

Não é certo que a empresa tenha notificado seus clientes e usuários sobre a exposição dos dados, como exigido pelas normas de proteção de dados pessoais.

Com esses dados, cibercriminosos poderiam logar nos sistemas das empresas expostas, acessar o back-end dos clientes da Cloud Cluster, bem como a conta dos usuários desses clientes.

Número de infecções por código malicioso cresce no Brasil

Brasil teve um crescimento de 1,26% no número de infecções por código malicioso em relação ao ano passado, passando de 11% em 2018 para 12,26% em 2019, segundo o Relatório de Segurança da ESET de 2020.

De acordo com o estudo, a forma como ataques cibernéticos são executados amadureceu significativamente. Houve uma diminuição de ataques generalistas e massificados, paralelo ao crescimento de ataques mais direcionados, com maiores chances de sucesso.

O relatório contou com a participação de mais de 3900 empresas, distribuídas por 14 países da América Latina, como o Brasil, México, Argentina, Colômbia e outros. Dessas, cerca de 60% afirmaram ter sofrido pelo manos um incidente de segurança durante o ano de 2019, número que se manteve em relação ao ano de 2018, de acordo com a pesquisa.

Além disso, 1 a cada 3 empresas entrevistadas afirmaram ter sofrido uma infecção por código malicioso, o que inclui ransomware.

Outros dados preocupantes dizem respeito a ataques de phishing, que continuam sendo bastante explorado na América Latina.

Cerca de 45% dos usuários individuais entrevistados afirmaram ter recebido tentativas de phishing relacionadas à pandemia do novo coronavírus ao longo deste ano. Além disso, 50% garantiram que a empresa para qual trabalham não apresenta ferramentas necessárias para manter o trabalho remoto seguro.

O relatório completo você pode conferir aqui.

Gigante dos games sofre ataque de ransomware e deve pagar 11 milhões de dólares

Capcom, a gigante japonesa de games por trás das franquias Street Fighter, Mega Man e Resident Evil, relatou recentemente um grande incidente de segurança cibernética: um ataque de ransomware direcionado, cujos autores exigiram um pagamento de resgate de US$ 11 milhões.

Embora inesperado, o ataque não é surpreendente, dado o crescimento vertiginoso da empresa, que registrou receitas de 94,5 bilhões de ienes em 2019 – valor convertido para cerca de US$ 900 milhões na taxa de câmbio atual.

Em comunicado oficial, a Capcom anunciou que o ataque “interrompeu algumas operações de suas redes internas a partir de 2 de novembro”. Esse é o dia em que a empresa detectou pela primeira vez o acesso não-autorizado aos seus sistemas.

Os hackers por trás do ataque comprometeram quase 2.000 servidores da Capcom. Os invasores também afirmam ter desviado cerca de 1 TB de dados, incluindo demonstrações financeiras, documentos fiscais, dados pessoais, e-mails, bate-papos e informações pessoais dos clientes.

Os hackers também postaram capturas de tela de arquivos e pastas como prova do sequestro de dados. A Capcom contestou parcialmente as alegações dos hackers em seu comunicado à imprensa, tentando tranquilizar o público de que "não há indicação de que qualquer informação de nossos clientes tenha sido violada".

A Capcom relatou o incidente às autoridades e a investigação está em andamento. Nenhuma outra atualização foi postada na página de comunicados à imprensa da empresa até o momento.

Empresas de TI no Brasil caminham para recuperação pós-pandemia

As empresas de tecnologia no Brasil estão se encaminhando para recuperação em 2021, com computação em nuvem, análise de dados e cibersegurança sendo as três principais áreas de investimento para compradores e consumidores

De acordo com o relatório da IDC WW COVID-19 – Impact on IT Spending Survey, realizado em junho de 2020 e atualizado em setembro, uma perspectiva mais otimista tem sido observada recentemente.

Em junho, 48% das empresas brasileiras entrevistadas disseram que mergulharam na crise, devido à pandemia, mas este número caiu para 14% em setembro.

Quando se trata de orçamentos de TI, 42% das organizações brasileiras pesquisadas disseram que seus gastos para o próximo ano serão maiores do que o previsto antes do COVID-19, enquanto 22% seguirão suas previsões e 36% disseram que os orçamentos devem diminuir no próximo ano.

As empresas ainda vão investir em serviços gerenciados e de suporte no Brasil, mesmo que em um ritmo lento, afirmam os analistas responsáveis pelo relatório. O mesmo não deve acontecer no segmento de servidores e armazenamento, que, de acordo com o IDC, vinha encolhendo antes mesmo da pandemia.

Por outro lado, setores como o de soluções em nuvem têm apresentado alta no Brasil. Pesquisas separadas realizadas pelo Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (Cetic.br), braço de pesquisa do Centro Brasileiro de Informações em Redes (NIC.br), mostram uma evolução no uso desses serviços.

De acordo com a pesquisa, o armazenamento baseado em nuvem cresceu de 25% para 38%. O software empresarial na nuvem aumentou de 20% para 27% em dois anos, assim como o uso da capacidade de processamento da nuvem, que passou de 16% para 23% no mesmo período.

É um cenário promissor, que pode simbolizar o começo de um novo capítulo no investimento em cibersegurança no país.

Consulte a assessoria de especialistas em segurança da Compugraf e invista na proteção da sua empresa!

Mais de 1.200 organizações foram vítimas de uma campanha que usa explorações de vulnerabilidades conhecidas para obter acesso remoto a contas VoIP

Uma campanha de hacking em larga escala comprometeu sistemas telefônicos VoIP (Voice over Internet Protocol) em mais de 1.200 empresas em todo o mundo ao longo deste ano, a fim de lucrar com a venda de contas comprometidas.

Embora o objetivo principal pareça ser a discagem de números com tarifa premium, ou a venda de números de telefone e planos de chamadas, para que outros cibercriminosos possam usar esses números, o acesso a sistemas VoIP pode oferecer aos invasores a oportunidade de conduzir outros ataques mais complexos, incluindo ouvir chamadas privadas, cryptocurrency mining (mineração de criptomoedas), ou, até mesmo, usar os sistemas comprometidos como uma catapulta para campanhas muito mais agressivas.

Os detalhes da campanha

Os ataque foi detalhado por pesquisadores de segurança cibernética da Check Point, em relatório exclusivo.

Um grupo de hackers comprometeu as redes VoIP de quase 1.200 organizações em mais de 20 países, explorando vulnerabilidades conhecidas, com mais da metade das vítimas no Reino Unido.

“Durante nossa pesquisa, descobrimos uma nova campanha direcionada ao Sangoma PBX, uma GUI da web de código aberto que gerencia o Asterisk, o sistema PBX VoIP mais popular do mundo, usado por muitas empresas para telecomunicações. O ataque explora uma vulnerabilidade crítica no Sangoma, concedendo ao invasor acesso de administrador ao sistema.”

Acredita-se que setores como governo, militar, seguros, finanças e manufatura tenham sido vítimas da campanha.

Os ataques exploram a CVE-2019-19006, uma vulnerabilidade crítica nos sistemas de telefone VoIP da Sangoma e Asterisk, que permite que estranhos obtenham acesso remotamente sem qualquer forma de autenticação.

Um patch de segurança para corrigir a vulnerabilidade foi lançado ainda no ano passado, mas muitas organizações não o aplicaram – e os criminosos estão se aproveitando justamente disso, procurando por sistemas sem patch.

"A vulnerabilidade é uma falha de desvio de autenticação, e o exploit está disponível publicamente, como parte do protocolo de notificação de falhas de segurança. Uma vez explorado, os hackers têm acesso de administrador ao sistema VoIP, o que lhes permite controlar totalmente suas funções. E o pior: a invasão não será detectada, a menos que uma equipe de TI esteja procurando especificamente por isso", disse Derek Middlemiss, evangelista de segurança da Check Point Research, à imprensa.

O problema talvez seja ainda mais sério: a cadeia de ataques a sistemas VoIP

Um dos meios mais comuns de exploração desses sistemas hackeados é fazer chamadas sem registrá-las no sistema VoIP, o que permitiria aos invasores discar secretamente números de tarifa premium que eles configuraram para ganhar dinheiro às custas da organização comprometida .

E como as empresas fazem tantas ligações legítimas nesses sistemas, seria difícil detectar se um servidor está sendo explorado maliciosamente ou não.

Os invasores também ganham dinheiro vendendo o acesso aos sistemas em leilões virtuais, algo que poderia ser usado para outros ataques cibernéticos, ainda mais perigosos para as vítimas.

E é bastante possível para os invasores usarem um sistema VoIP comprometido como um gateway para o resto da rede, abrindo a possibilidade de roubar credenciais ou implantar malware.

“Isso depende de como o servidor está configurado e conectado ao resto da rede corporativa. Se não for segmentado do resto da rede, os invasores podem se mover lateralmente”, acrescentou Middlemiss.

O relatório conclui:

“Encontramos vários players relevantes na área que publicaram postagens de vendas de informações, ferramentas e sites de exploração de sistemas VoIP em fóruns de cibercrime. […]

As descobertas iniciais foram tutoriais sobre como fazer a varredura, reunir informações em servidores relativos e usar scripts de exploração. As instruções simplificam o processo a um nível em que qualquer pessoa poderia hackear um sistema. Talvez, como resultado, pareça haver uma grande e crescente comunidade envolvida na invasão de serviços de VoIP.

Embora isso possa explicar a cadeia de infecção, ainda existem dúvidas sobre a motivação dos ataques. Uma análise mais aprofundada levou não apenas à descoberta de que os ataques aos servidores SIP ocorram em uma escala maior do que se pensava inicialmente, mas também que existe um modelo econômico profundo subjacente.”

Para se proteger, recomenda-se que as organizações alterem nomes de usuário e senhas padrão em dispositivos para que não possam ser explorados facilmente e, se possível, analise o faturamento de chamadas regularmente para destinos potencialmente suspeitos, volumes de tráfego ou padrões de chamada.

E o mais importante, as organizações devem aplicar os patches de segurança necessários para evitar que vulnerabilidades conhecidas sejam exploradas, assim que eles estiverem disponíveis.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e conheça nossas soluções