Hackers se organizam para ataques altamente direcionados. Por outro lado, empresas se unem em coalizões de cibersegurança e derrubam algumas das maiores ameaças do mundo.

O que você vai ler hoje:

• Google remove 240 games maliciosos da Play Store
• Sites falsos da Amazon exploram Prime Day na tentativa de roubar credenciais de pagamento
• Coalizão formada pela Microsoft e parceiros derruba uma das maiores botnets de malware do mundo
• Grupo mercenário de hackers desenvolve ataques extremamente personalizados a alvos ao redor do mundo

Google remove 240 games maliciosos da Play Store

Pesquisadores de segurança revelaram que 240 aplicativos maliciosos têm bombardeado os usuários do Android com anúncios irrelevantes e suspeitos.

Apelidados de RAINBOWMIX, em homenagem aos jogos retros disponíveis uns anos atrás, os aplicativos mapeados pela campanha parecem, a princípio, legítimos, visto que funcionam como deveriam, apesar da qualidade seja ruim.

Muitos deles são emuladores Nintendo (NES), extraídos de fontes legítimas, ou jogos de baixa qualidade, disse a equipe da White Ops responsável pela pesquisa. Os próprios anúncios também parecem ser legítimos – parecem vir de aplicativos e serviços confiáveis, como o Chrome ou YouTube.

Isso permitiu que os fraudadores contornassem certos protocolos de segurança e se mantivessem sob o radar, levando a milhões de downloads e impressões de anúncios por dia no pico da campanha.

E para evitar serem detectados pelo sistema de segurança da Play Store, os fraudadores usaram um software chamado “empacotador” (packer) – que comprime os arquivos utilizados, de modo que a carga final parece menor, e, em seguida, “desempacota” seu código malicioso em momentos oportunos.

Para isso, o RAINBOWMIX rastreava quando os usuários ligavam e desligavam a tela, para determinar o melhor momento para exibir um anúncio, garantindo que a impressão contasse e também que um anúncio não fosse renderizado quando a tela estivesse desligada.

Desde a descoberta, o Google excluiu todos os aplicativos de sua loja.

“Tínhamos detectado anteriormente a maioria dos aplicativos em questão e elogiamos a White Ops por compartilhar suas descobertas, que pudemos confirmar de forma independente”, declarou um porta-voz da empresa à Forbes.

“Quando encontramos violações da política, tomamos medidas, e o Google continua a fazer investimentos significativos para proteger nossos usuários e suas experiências.”

Sites falsos da Amazon exploram Prime Day na tentativa de roubar credenciais de pagamento

De acordo com um grupo de pesquisadores da Check Point, a Amazon removeu um número excepcionalmente alto de domínios maliciosos projetados para imitar o marketplace dias antes de seu “saldão online” que deve movimentar milhões mundialmente, o Prime Day.

Esses domínios maliciosos tentam imitar a gigante do comércio eletrônico incluindo as palavras “Amazon” e “Prime” em seus sites e URLs, na tentativa de enganar os consumidores para que forneçam seus dados pessoais.

Para se ter uma ideia da rápida movimentação dos cibercriminosos, nos últimos 30 dias, por exemplo, houve um aumento de 21% no número de registros de domínios que contêm a palavra “Amazon”, afirmam os pesquisadores, sendo 28% deles maliciosos e 10%, suspeitos.

Além disso, o número de domínios registrados contendo as palavras “Amazon” e “Prime” dobrou no último mês, e 20% desses domínios são maliciosos.

“Este ano, vimos um aumento significativo no interesse de hackers na Amazon. No primeiro trimestre, a Amazon representou apenas 1% de todos os ataques de phishing associados a marcas. No segundo trimestre, porém, a Amazon chegou ao topo das marcas mais copiadas por hackers, ao lado do Google”, disse Maya Levine, engenheira de segurança da Check Point.

“Espera-se que essa tendência continue, durante e após o Amazon Prime Day. Os compradores devem ser especialmente cautelosos ao navegar em sites fraudulentos. Nossa pesquisa indica que os navegadores da web foram visados ​​em 61% de todos os ataques de phishing no segundo trimestre.”

Coalizão formada pela Microsoft e parceiros derruba uma das maiores botnets de malware do mundo

Uma coalizão de empresas de tecnologia anunciou hoje um esforço coordenado para derrubar a infraestrutura de back-end do botnet de malware TrickBot.

As empresas e organizações que participaram da derrubada incluíram a equipe Defender da Microsoft, FS-ISAC, ESET, Black Lotus Labs da Lumen, NTT e a divisão de segurança cibernética da Broadcom, Symantec.

Em uma estratégia conjunta que durou meses, todos os participantes realizaram investigações aprofundadas sobre a infraestrutura de back-end de servidores e módulos de malware do TrickBot.

Foram mais de 125.000 amostras de malware coletadas. Em seguida, os membros da coalizão se demoraram analisando seu conteúdo e extraindo e mapeando informações sobre o funcionamento interno do malware, incluindo todos os servidores que o botnet usou para controlar computadores infectados e servir módulos adicionais.

Com essas informações em mãos, a Microsoft foi ao tribunal em outubro de 2020 e pediu a um juiz que lhe concedesse controle sobre os servidores TrickBot.

“Diante das evidências, o tribunal concedeu aprovação para a Microsoft e nossos parceiros desabilitarem os endereços de IP, tornarem o conteúdo armazenado nos servidores de comando e controle inacessíveis, suspender todos os serviços para os operadores de botnet e bloquear qualquer esforço dos operadores TrickBot para comprar ou alugar servidores adicionais “, disse a Microsoft em um comunicado à imprensa.

Esforços estão sendo feitos em conjunto com provedores de serviços de Internet (ISPs) e equipes de prontidão de emergência de computadores (CERTs) em todo o mundo para notificar todos os usuários infectados.

De acordo com os membros da coalizão, o botnet TrickBot havia infectado mais de um milhão de computadores no momento de sua queda. Alguns desses sistemas infectados também incluem dispositivos da Internet das Coisas (IoT).

Grupo mercenário de hackers desenvolve ataques extremamente personalizados a alvos ao redor do mundo

Autointitulado Bahamut, um grupo mercenário de hackers tem realizado extensas operações em todo o mundo, se valendo de ataques multifacetados, que foram recentemente detalhados por pesquisadores de segurança cibernética da BlackBerry.

As campanhas parecem estar em operação desde pelo menos 2016.

“O grupo não é apenas responsável por uma variedade de casos não resolvidos que atormentaram os pesquisadores por anos. Nós também descobrimos que o Bahamut está por trás de uma série de campanhas de phishing e coleta de credenciais extremamente direcionadas e elaboradas, centenas de novas amostras de malware do Windows, zero-day exploits, táticas de evasão de antivírus forense e muito mais.”

Em alguns casos, o Bahamut é conhecido por monitorar seus alvos por um ano ou mais antes de finalmente chegar ao que eles consideram o melhor momento para ataque.

E uma das estratégias pelas quais o grupo tem comprometido suas vítimas é por meio de uma rede de sites, aplicativos e até mesmo personas inteiras meticulosamente elaboradas. Tudo isso é projetado para se adaptar a alvos em potencial, a fim de obter uma noção mais clara das notícias em que eles estão interessados ​​- e nas quais poderiam clicar – a fim de, eventualmente, realizar um ataque de phishing ou malware.

Mas além de malware e engenharia social, o Bahamut também emprega o uso de aplicativos móveis maliciosos para usuários de iPhone e Android, projetados de forma personalizada para atrair certos grupos e usuários de um determinado idioma.

Ao instalar um dos aplicativos maliciosos – a lista completa é detalhada no relatório oficial da BlackBerry – o usuário está instalando uma porta dos fundos em seu dispositivo que os invasores podem usar para monitorar todas as atividades das vítimas, como a capacidade de ler seus mensagens, ouvir suas chamadas, monitorar sua localização e outras atividades de espionagem.

Divulgando suas descobertas, a BlackBerry espera ser capaz de ajudar a conter a atividade do grupo. Porém, é preciso estar alerta, pois a melhor forma de combatê-lo é evitando que eles tenham acessos às vulnerabilidades das redes corporativas de seus potenciais alvos.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Vulnerabilidades na cadeia de suprimentos são uma alternativa fácil e, na maioria das vezes, eficaz para cibercriminosos, mesmo nas empresas mais seguras.

Mais de 80% das empresas sofreram uma violação de dados devido a vulnerabilidades de segurança em suas cadeias de suprimentos, uma vez que cibercriminosos têm se aproveitado da segurança frágil de fornecedores menores como meio de obter acesso às redes de grandes organizações.

Os dados são de uma pesquisa realizada pela empresa de segurança cibernética BlueVoyant.

Nos resultados, compartilhados recentemente, o grupo de pesquisadores descobriu que as empresas têm uma média de 1.013 fornecedores em seu ecossistema de suprimentos – e que 82% de todas as organizações já sofreram alguma violação de dados nos últimos 12 meses devido à fragilidade da segurança cibernética nessa cadeia de abastecimento.

Mas, apesar do risco representado por essas vulnerabilidades de segurança – que, como se pode ver, é preocupantemente alto -, um terço das organizações têm pouca ou nenhuma noção se hackers invadiram em sua cadeia de suprimentos, o que significa que elas podem não saber que foram vítimas de um incidente até ser tarde demais.

Fornecedores são uma alternativa para penetrar nas empresas mais seguras

Uma das principais razões para esse tipo de ataque é que as grandes empresas provavelmente são muito mais protegidas do que as pequenas. Logo, grupos de cibercriminosos estão cada vez mais se voltando para os fornecedores dessas organizações como um meio alternativo de se infiltrar em sua rede corporativa.

E o pior: muitas vezes passando completamente despercebidos.

"Geralmente as pessoas pensam, ‘bem, quais são os nossos fornecedores mais importantes?’ e, inevitavelmente, terminam listando os dez principais, sendo alguns dos maiores nomes do mundo, como os provedores de nuvem. Mas não é daí que vem a ameaça", disse Robert Hannigan – presidente da BlueVoyant International, que conduziu a pesquisa.

“É muito mais provável que a ameaça venha de uma empresa muito menor, da qual você nunca ouviu falar, mas que está conectada à sua rede e é responsável por uma parte pouco significativa, mas necessária, da sua operação”, completou.

Um exemplo disso aconteceu em 2017, quando o NotPetya – o ciberataque mais devastador da história – infectou organizações em todo o mundo.

Aparentemente, o malware começou a se espalhar usando o mecanismo de atualização de um software sequestrado da Linkos Group, uma empresa ucraniana de recursos contábeis que prestava serviços para uma série de empresas dos mais diferentes países.

"Quem teria pensado, na época do NotPetya, que a atualização de um software de contabilidade causaria prejuízos e desestruturaria empresas ao redor do mundo. Especialmente porque não se tratava de um fornecedor importante para nenhuma das empresas que foram atingidas, mas causou enormes danos e interrupções", disse Hannigan.

Mas, embora não devamos ignorar a dimensão do NotPetya, é preciso ter em mente que o caso é uma exceção. Outros ataques contra a cadeia de suprimentos são muito mais sutis, com cibercriminosos se infiltrando no fornecedor via malwares ou e-mails de phishing e se apropriando de contas de usuário – que eles usam como porta de entrada para violar a organização de maior interesse, especialmente se já houver uma relação de confiança entre a empresa e seus fornecedores.

Esse foi o caso quando uma empresa de serviços públicos sofreu uma violação de dados após criminosos cibernéticos se infiltrarem em sua rede por meio de um escritório de advocacia, comprometendo a conta de um colaborador do escritório e usando essa conta para ter acesso à empresa.

"O que o invasor fez foi comprometer a caixa de entrada de alguém nesta empresa específica e, como o invasor estava usando a identidade de uma pessoa real e sua caixa de entrada real, a proteção normal contra e-mails de phishing não funcionou, porque é apenas um e-mail de um pessoa normal de confiança. Infelizmente, e não tinha como saberem disso, era um invasor ", explicou Hannigan.

Conscientizar também é parte da prevenção

Um dos principais motivos pelos quais as vulnerabilidades da cadeia de suprimentos podem passar despercebidas é porque, muitas vezes, não está claro quem é o responsável pelo gerenciamento de riscos quando se trata de relacionamentos com fornecedores terceirizados.

Mesmo que se saiba que um fornecedor pode ter vulnerabilidades, resolver o problema pode ser muito mais complexo e talvez nunca aconteça, pois não há uma pessoa ou equipe dedicada, responsável por este fornecedor em específico.

"Até hoje, nunca conheci um CISO que não soubesse que existe um enorme ecossistema para entender e proteger. Mas encontrar uma maneira de fazer isso é um desafio. Mesmo as maiores organizações têm uma equipe limitada para lidar com o risco cibernético e há um limite para o que eles podem fazer. Você não pode esperar que uma equipe pequena gerencie os riscos de 10.000 fornecedores", comenta Hannigan.

Para gerenciar melhor o risco representado pelas vulnerabilidades da sua cadeia de suprimentos, o relatório recomenda que as organizações devem decidir quem é o proprietário do risco cibernético de terceiros, a fim de adotar uma estratégia eficaz para gerenciá-lo, bem como melhorar a visibilidade de toda o ecossistema de fornecedores.

O relatório também recomendou que as organizações podem e devem alertar e ajudar terceirizados a lidar com vulnerabilidades em potencial – pois isso também é uma forma de se proteger.

"Os criminosos não desistem, simplesmente; eles só procuram formas mais fáceis de entrar. É inevitável que, quando os perímetros das empresas forem melhor defendidos, os criminosos comecem a procurar alternativas mais vulneráveis – e a cadeia de suprimentos é uma forma óbvia e, na maioria das vezes, eficaz de fazer isso”, finaliza Hannigan.

O relatório completo você pode ler aqui.

Mantenha todas as superfícies de ataque da sua empresa segura. Entre em contato com os especialistas da Compugraf!

Malwares continuam evoluindo, mas erros humanos e de empresas ainda são alguns dos principais responsáveis por incidentes graves de segurança.

O que você vai ler hoje:

• Google remove da Play Store 17 aplicativos para Android infectados com malware
• Airbnb pode se ver responsável por um grave incidente de segurança de vazamento de dados
• Novo malware Alien faz de tudo e mais um pouco com seus dispositivos
• O melhor jeito de combater ataques de ransomware ainda é, simplesmente, não deixar que eles aconteçam

Google remove da Play Store 17 aplicativos para Android infectados com malware

Esta semana, o Google removeu 17 aplicativos para Android da Play Store infectados com o malware Joker (também conhecido como Bread), de acordo com pesquisadores de segurança da Zscaler.

O Joker é um spyware projetado para roubar mensagens SMS, listas de contatos e informações de dispositivos, junto com a inscrição da vítima em serviços premium de protocolo de aplicativos sem fio (WAP).

Os 17 aplicativos maliciosos haviam surgido na Play Store este mês baixados mais de 120.000 vezes até serem detectados.

Eram eles:

• All Good PDF Scanner
• Mint Leaf Message-Your Private Message
• Unique Keyboard – Fancy Fonts & Free Emoticons
• Tangram App Lock
• Direct Messenger
• Private SMS
• One Sentence Translator – Multifunctional Translator
• Style Photo Collage
• Meticulous Scanner
• Desire Translate
• Talent Photo Editor – Blur focus
• Care Message
• Part Message
• Paper Doc Scanner
• Blue Scanner
• Hummingbird PDF Converter – Photo to PDF

Seguindo seus procedimentos internos, o Google removeu os aplicativos da Play Store e usou o serviço Play Protect para desabilitar os aplicativos em dispositivos infectados, mas os usuários ainda precisam remover os aplicativos de seus dispositivos manualmente.

Essa recente remoção também marca a terceira ação da equipe de segurança do Google contra um lote de aplicativos infectados pelo Joker nos últimos meses.

No início do mês, o Google removeu seis desses aplicativos após eles terem sido detectados e denunciados por outros pesquisadores de segurança.

Antes disso, em julho, a empresa removeu outro lote de aplicativos infectados, que estava ativo desde março e conseguiu infectar milhões de dispositivos.

Airbnb pode se ver responsável por um grave incidente de segurança de vazamento de dados

A empresa de hospedagem Airbnb pode ser responsável por um grave incidente de segurança, já que seus hosts relataram, na semana passada, que conseguem acessar inadvertidamente caixas de entrada privadas que não estão associadas às suas contas.

Na quinta-feira, os anfitriões do Airbnb inundaram o fórum Reddit para questionar o súbito aparecimento de caixas de entrada que não pertencem a eles quando fizeram login na plataforma.

Por meio de screenshots de uma dessas “caixas de entrada compartilhadas”, um usuário denunciou o ocorrido, alegando não ter "nenhuma associação com essas pessoas ou com seus apartamentos".

Embora nenhuma conta de hóspedes, até o momento, tenha relatado problemas semelhantes, os anfitriões podem ver os endereços de outras pessoas, bem como demais informações pessoais – como os códigos necessários para acessar uma propriedade -, o que significa que os problemas da caixa de entrada do Airbnb podem ser considerados um incidente de segurança extremamente grave, uma vez que compromete a segurança residencial de seus usuários.

Várias capturas de tela enviadas ao Imgur também mostram que dados como nomes completos, fotos de perfil, ganhos com reservas, número de reservas em um período de 30 dias e visualizações de propriedades podem ser acessados indevidamente por essas caixas de entrada compartilhadas.

Em nota oficial, o Airbnb disse que um "problema técnico" ocorreu às 9h30 do dia 25 de setembro e foi identificado dentro de uma hora, impactando as plataformas de desktop e acessos via navegador, mas não o aplicativo móvel do Airbnb.

O problema foi resolvido às 12h30. Embora o acesso inadvertido tenha sido concedido a alguns usuários, o Airbnb diz que eles não foram capazes de modificar nenhum dos dados vazados:

"Na quinta-feira, um problema técnico resultou em um pequeno grupo de usuários visualizando inadvertidamente quantidades limitadas de informações de contas de outros usuários", informou a empresa. "Corrigimos o problema rapidamente e estamos implementando controles adicionais para garantir que isso não aconteça novamente. Não acreditamos que nenhuma informação pessoal foi usada indevidamente e em nenhum momento as informações de pagamento foram comprometidas."

Novo malware Alien faz de tudo e mais um pouco com seus dispositivos

Pesquisadores de segurança descobriram e analisaram uma nova variedade de malware Android, caracterizado por uma ampla gama de recursos que permitem roubar as credenciais de 226 aplicativos.

Chamado de “Alien”, este novo trojan está ativo desde o início do ano e foi ofertado como um Malware-as-a-Service (MaaS) em fóruns de hackers clandestinos.

Em um relatório compartilhado esta semana com veículos de comunicação, os pesquisadores de segurança do ThreatFabric investigaram profundamente as postagens de um desses fóruns clandestinos, bem como as amostras do Alien para entender a evolução, truques e demais recursos do malware.

E, de acordo com os pesquisadores, o Alien não chega a ser uma novidade, mas sim uma nova versão baseada no código-fonte de uma gangue rival de malware chamada Cerberus.

De acordo com o ThreatFabric, a Cerberus morreu porque a equipe de segurança do Google encontrou uma maneira de detectar e limpar dispositivos infectados. Mas mesmo que o Alien tenha sido baseado em uma versão mais antiga de Cerberus, ele não parece ter esse problema, e seu MaaS vem justamente para preencher o vazio deixado pela gangue rival.

Além disso, os pesquisadores dizem que o Alien é ainda mais avançado do que o Cerberus, já que ele faz parte de uma nova geração de Trojans bancários para Android que também integraram recursos de acesso remoto em seus códigos-base.

Isso torna o Alien uma mistura excepcionalmente perigosa para os dispositivos infectados.

O malware não só pode mostrar telas de login falsas e coletar senhas para vários aplicativos e serviços, como também pode conceder aos hackers acesso a dispositivos para usar essas credenciais ou até mesmo realizar outras ações.

Atualmente, de acordo com ThreatFabric, o malware conta com os seguintes recursos:

• Pode sobrepor o conteúdo de outros aplicativos (recurso usado para coletar credenciais de login via phishing)
• Registrar o que está sendo digitado no teclado dos dispositivos
• Fornecer acesso remoto a um dispositivo após a instalação de uma instância TeamViewer
• Coletar, enviar ou encaminhar mensagens SMS
• Roubar lista de contatos
• Coletar detalhes de dispositivos e listas de aplicativos
• Coletar dados de geolocalização
• Fazer pedidos USSD
• Encaminhar chamadas
• Instalar e iniciar outros aplicativos
• Iniciar navegadores em páginas específicas
• Bloquear a tela (um recurso semelhante ao ransomware)
• Mostrar notificações sniff no dispositivo
• Roubar códigos 2FA gerados por aplicativos autenticadores

O malware é majoritariamente distribuído por sites de phishing via uma páginas falsas para “download de atualizações de software” ou com atualizações fakes sobre o coronavírus (um golpe comum no momento).

Outro método de proliferação do malware ao qual se deve estar atento é via SMS, pois, uma vez que infectado, é possível que o ALien colete a lista de contatos do dispositivos, que será reutilizada para espalhar a campanha de malware, alertam os pesquisadores.

O melhor jeito de combater ataques de ransomware ainda é, simplesmente, não deixar que eles aconteçam

Este ano, houve um aumento incomparável no número de ataques de ransomware, onde cibercriminosos não apenas criptografam as redes das vítimas e exigem um pagamento de seis dígitos em bitcoin para devolver os arquivos sequestrados, mas também ameaçam publicar informações corporativas confidenciais e outros dados roubados se a vítima não pagar o resgate.

Por outro lado, estão surgindo iniciativas como o projeto No More Ransom da Europol, que tenta combater esses criminosos oferecendo recursos gratuitos de descriptografia para centenas de famílias diferentes de ransomware – projeto que estima-se ter impedido que mais de quatro milhões de vítimas precisassem pagar pelo resgate.

Contudo, os mesmos responsáveis pela iniciativa ainda alertam que a melhor maneira de se proteger contra o dano potencial de um ataque de ransomware é garantir que as organizações, empresas e indivíduos tenham as medidas de segurança cibernética necessárias para se prevenir do ransomware antes de qualquer coisa.

O principal conselho é fazer o backup dos seus dados e mantê-los offline. Também é essencial que todos os sistemas operacionais e antivírus estejam devidamente atualizados e que as equipes de TI implementem qualquer patch disponível o mais rápido possível para mitigar quaisquer vulnerabilidades.

Também é importante que as organizações ensinem seus colaboradores a detectarem um ataque cibernético em potencial, para que não corram o risco de serem ludibriados, uma vez que são eles a superfície de ataque mais vulnerável.

Conte com a Compugraf para manter sua empresa segura. Entre em contato com nosso time de especialistas!

As principais notícias da semana

Se por um lado, por mais prejudiciais que sejam, ciberataques nunca foram considerados violentos por não apresentarem risco real à vida dos usuários, por outro essa realidade parece estar mudando.

Na Alemanha, registrou-se a primeira morte associada a um ataque de ransomware, que pode ser tratada como assassinato. Seria a abertura de um capítulo completamente novo na história da cibersegurança.

Enquanto isso, ataques de ransomware menos nocivos, mas ainda preocupantes, crescem no setor da Educação, e o Google se mobiliza para auxiliar vítimas a se prevenirem de malwares.

O que você vai ler hoje:

• Ataques de ransomware são um desafio para universidades ao redor do mundo
• Ainda na Educação, segurança de endpoints é principal fator de risco
• O Google agora escaneia arquivos suspeitos para você
• Primeira morte associada à ransomware é registrada na Alemanha

Ataques de ransomware são um desafio para universidades ao redor do mundo

O número de ataques de ransomware a universidades tem aumentado vertiginosamente desde o começo do ano, forçando as instituições acadêmicas a se manterem atualizadas sobre as melhores soluções de segurança para garantir que suas redes sejam resistentes o suficiente para prevenir e combater estes ataques, casos eles ocorram.

Recentemente, o Reino Unido emitiu um alerta às instituições de ensino ao redor do mundo, após equipes de segurança nacional observarem um aumento preocupante de ataques de ransomware a universidades em agosto.

Em alguns desses casos, os hackers não só exigiram um resgate significativo das vítimas, que deveria ser pago em bitcoin, mas também ameaçaram vazar dados pessoais roubados de seus alunos se o pagamento não fosse realizado.

Alguns dos vetores de infecção de ataque mais comuns incluem Protocolos de Desktop Remoto (RDP), e-mails de phishing e software e hardware vulneráveis ​​devido à falta de patches de segurança.

Por isso, a mitigação contra ataques de ransomware que as universidades estão sendo instadas a adotar incluem um gerenciamento completo de vulnerabilidades e patching nos softwares utilizados para ensino, proteção de serviços RDP com autenticação multifator, instalação de softwares antivírus e garantia de que funcionários e alunos estejam cientes dos riscos inerentes aos e-mails de phishing.

Também é recomendado que as universidades tenham backups offline atualizados e testados, de modo que, se os sistemas forem criptografados por um ataque de ransomware, eles possam ser restaurados sem que seja necessário pagar resgate a criminosos cibernéticos.

Ainda na Educação, segurança de endpoints é principal fator de risco

A crescente lacuna nas estratégias de segurança cibernética da educação hoje é mais grave na segurança de endpoints.

Visibilidade limitada dos dispositivos, picos de gerenciamento remoto e uso de aplicativos colaborativos, bem como atrasos na correção de vulnerabilidades críticas, estão colocando alunos e funcionários em risco elevado.

Esses e muitos outros insights são do Absolute Software's Distance Learning's Impact on Education IT Report, publicado esta semana. O relatório é baseado em dados anônimos de milhões de dispositivos ativos em aproximadamente 10.000 escolas.

De acordo com o relatório, o uso de aplicativos de gerenciamento remoto e colaboração em escolas de ensino fundamental e médio aumentou 87% e 141%, respectivamente, entre janeiro e maio de 2020.

A pesquisa também revela que 41% das equipes de TI das escolas disseram que rastrear dispositivos perdidos é um desafio significativo e, desde janeiro, houve um aumento de 205% no número de novos dispositivos conectados pela primeira vez à Internet, à medida que as escolas aumentaram seu inventário para dar suporte ao ensino à distância em 2020.

Além disso, a lacuna cada vez maior na segurança de endpoint, impulsionada pela rápida transformação digital que está acontecendo na educação hoje, coloca os professores na posição de helpdesk com muita frequência.

90% dos professores relatam que passam mais tempo resolvendo problemas de tecnologia e 7 em cada 10 estão tendo que sacrificar o tempo de ensino para resolver problemas técnicos.

Todos esses pontos poderiam ser evitados, ou minimizados, com melhores estratégias de segurança para endpoint a nível de dispositivo.

O Google agora escaneia arquivos suspeitos para você

O Google adicionou um novo recurso hoje ao APP, seu programa de segurança destinado a usuários de alto risco, como jornalistas, organizações políticas e ativistas.

A partir de hoje, os usuários do APP que navegam na web com o Chrome podem enviar arquivos suspeitos recém-baixados para os servidores do Google e fazer a varredura em busca de malware.

O recurso é a adição mais recente ao Programa de Proteção Avançada do Google, que vem evoluindo conforme mais e mais nos tornamos dependentes de auxílios para identificação e controle de ameaças antes de que elas, de fato, ocorram.

Com isso em mente, a partir do ano passado, o Google começou a mostrar avisos aos usuários do APP quando eles baixavam arquivos que pareciam ser maliciosos usando o Chrome.

Já essa semana, o Google disse que atualizou este aviso para adicionar uma opção que permite que os usuários do APP façam o upload do arquivo baixado para os servidores do Google, a fim de que ele seja verificado pelo Google Safe Browsing, usando suas técnicas internas de análise estática e dinâmica.

O novo recurso é ideal para usuários que não têm dinheiro para comprar um programa antivírus, como ativistas com baixa renda ou que vivem em países sancionados nos EUA, onde alguns fornecedores de segurança podem não estar presentes.

E para que os usuários do APP aproveitem as vantagens desse novo recurso, basta usarem o Chrome como seu navegador e fazer login com sua conta do Google protegida pelo APP.

Primeira morte associada à ransomware é registrada na Alemanha

As autoridades alemãs estão investigando a morte de um paciente após um ataque de ransomware a um hospital em Duesseldorf.

Identificada apenas como uma mulher que precisava de atendimento médico urgente, a paciente morreu após ter sido redirecionada para um hospital na cidade de Wuppertal, a mais de 30km de seu destino inicial, o Hospital Universitário de Duesseldorf, onde seria recebida pelo pronto-socorro.

Porém, o hospital que originalmente a receberia estava lidando com um ataque de ransomware que atingiu sua rede e infectou mais de 30 servidores internos no dia 10 de setembro, impossibilitando-o de recebê-la.

O incidente marca a primeira morte humana relatada indiretamente causada por um ataque de ransomware.

O caso está sendo investigada pelas autoridades alemãs. Se o ataque de ransomware e o tempo de inatividade do hospital forem considerados culpados pela morte da mulher, a polícia alemã disse que planeja transformar sua investigação em um caso de assassinato.

De acordo com a agência de notícias alemã RTL, a gangue de ransomware responsável pelo ataque retirou seu pedido de resgate depois que a polícia alemã entrou em contato. O hospital já recebeu uma descriptografia e está restaurando seus sistemas.

Um dia antes, o BSI havia emitido um aviso inesperado, pedindo às empresas alemãs que atualizassem seus gateways de rede Citrix para a vulnerabilidade CVE-2019-19871, um conhecido ponto de entrada para cibercriminosos.

A Associated Press também informou hoje que todo o ataque de ransomware à rede do hospital parece ter sido um acidente, com a nota de resgate sendo dirigida à universidade local (Duesseldorf Heinrich Heine University), e não ao hospital, que era apenas parte da rede maior.

Ou seja, um efeito colateral, que acabou chegando longe demais.

Saiba como manter sua empresa protegida de ameaças. Consulte a assessoria de especialistas da Compugraf.

Alguns pontos que nos ajudam a concluir isso:

• O crescimento vertiginoso do trabalho remoto está tornando a segurança de endpoints uma urgência para todas as organizações.
• Estratégias de implantação que priorizam a nuvem (cloud-first solutions) dominam as inovações do Hype Cycle for Endpoint Security da Gartner este ano.
• Soluções de Zero Trust Security (ZTNA) estão ganhando adesão em empresas que já perceberam que a identidade de seus colaboradores é o novo perímetro de segurança de seus negócios.
• Em 2024, pelo menos 40% das empresas terão elaborado estratégias para adoção do Secure Access Service Edge (SASE), contrapondo a estatística de menos de 1% de adesão no final do ano de 2018.

Esses e muitos outros novos insights são do Gartner Hype Cycle for Endpoint Security de 2020, ecoado no recente anúncio, também da Gartner, de que desdobramento da modalidade BYOD (bring your own device) transformará a segurança das empresas nos próximos cinco anos.

A definição de Hype Cycles (ciclo de tendências) da Gartner é composta por cinco fases do ciclo de vida de uma tecnologia e determina para onde os holofotes da cibersegurança estarão voltados ao longo dos próximos meses e/ou anos.

Existem 20 tecnologias no Hype Cycle for Endpoint Security deste ano. A proliferação de ataques a endpoints, o crescimento acelerado do trabalho remoto, a “pandemia do ransomware” e os frequentes ataques de phishing estão, como contrapartida ao prejuízo provocado pelo cibercrime, criando novas oportunidades para pesquisadores e fornecedores do ramo de cibersegurança acelerarem, também, inovações para prevenção e combate a ameaças.

Nesse cenário, a nuvem se tornou a plataforma preferida das organizações que adotam medidas de segurança de endpoint, conforme evidenciado pelas muitas referências do Hype Cycle a estratégias de implantação cloud-first.

O gráfico abaixo ilustra essa tendência:

O que há de novo nas soluções de segurança para endpoint e o que esperar para os próximos anos

A seguir, compartilhamos os principais assuntos com os quais sua empresa deve se preocupar nos próximos meses:

Colaboradores trabalhando de seus dispositivos pessoais são a superfície de ataque mais vulnerável das empresas

Cinco tecnologias estão no Hype Cycle pela primeira vez, reflexo do aceleramento provocado pelo trabalho remoto e a severidade e sofisticação dos ataques a endpoints.

São elas:

• Unified Endpoint Security
• Extended Detection and Response
• Business E-Mail Compromise Protection
• BYOPC Security
• Secure Access Service Edge (SASE)

Durante todo o isolamento social gerado pela pandemia do novo coronavírus, diversas organizações ao redor do mundo têm lutando para equipar suas forças de trabalho remotas com sistemas, dispositivos e smartphones corporativos. Por outro lado, muitas delas demandam que os colaboradores usem seus próprios dispositivos.

O modelo “traga o seu PC” (BYOPC, acrônimo de bring your own PC) se tornou tal via de regra que o termo vem substituindo o BYOD no Hype Cycle e pesquisas de cibersegurança afora.

O BYOPC é uma das superfícies de ameaça mais vulneráveis das empresas hoje. O número de colaboradores que acessam dados e aplicativos valiosos de seus próprios dispositivos, muitas vezes sem proteção nenhuma, será a grande preocupação dos próximos anos.

Investimento em soluções unificadas continua crescendo

Detecção e resposta estendidas (Extended detection and response, ou XDR) está no Hype Cycle pela primeira vez, refletindo uma tendência de consolidação dos gastos atuais com fornecedores no ramo de segurança cibernética.

A Gartner define o termo XDR como uma ferramenta de detecção e resposta de ameaças e resposta a incidentes específica de um fornecedor, que unifica vários produtos de segurança em um sistema único de operações de segurança.

A XDR e seu potencial para reduzir o custo total e a complexidade das infraestruturas de segurança cibernética na empresas é um tema constantemente debatido ao longo deste ano. Os fornecedores de XDR afirmam que seus portfólios integrados de aplicativos de detecção e resposta oferecem maior precisão e uma prevenção mais assertiva do que os sistemas autônomos.

É necessário reforçar a cerca em torno dos e-mails corporativos

A prevenção do comprometimento de e-mails corporativos (Business email compromise, ou BEC) também é figurinha inédita no Hype Cycle.

Os ataques de phishing custaram às empresas 1,8 bilhão de dólares em 2019, de acordo com o FBI, enfatizando a necessidade de melhor segurança nessa área, em específico.

E, visando justamente isso, a BEC pode ser definida como uma série de soluções que detectam e filtram e-mails maliciosos, onde criminosos se fazem passar por parceiros comerciais para desviar fundos ou dados das empresas-alvo.

Muitos desses ataques têm foco em executivos C-level, que veem suas identidades fraudadas por cibercriminosos na expectativa de desviar milhares de dólares para contas externas.

Faturas fraudulentas, aliás, foram responsáveis ​​por 39% dos ataques de phishing visando empresas em 2018, representando não só um risco interno para as organizações, mas também um risco para a reputação de seus executivos.

Dashboards unificados será o diferencial para equipes de TI

Unified Endpoint Security (UES) é outra tendência presente no Hype Cycle, e vem sendo impulsionada pela demanda das equipes de TI por um único dashboard para todos os eventos de segurança cibernética.

Sobre isso, a Gartner observa que os fornecedores de sucesso no setor de UES serão aqueles que demonstrarem ganhos de produtividade significativos na integração de segurança e operações, bem como aqueles que processarem rapidamente grandes quantidades de dados para detectar ameaças anteriormente desconhecidas.

CIOs e CISOs estão procurando uma maneira de integrar o UES e o Unified Endpoint Management (UEM), para que suas equipes possam ter um console único e abrangente em tempo real de todos os dispositivos que forneça alertas sobre quaisquer eventos de segurança.

O objetivo é ajustar as políticas de segurança em todos os dispositivos.

Integrar para conquistar: a nova ordem

Já o Unified Endpoint Management (UEM) está se expandindo rapidamente além do gerenciamento de PCs e dispositivos móveis para fornecer maiores insights de análises de endpoint e integração mais profunda no Gerenciamento de Identidade e Acesso (Identity and Access Management, ou IAM).

Os muitos benefícios do UEM, incluindo a simplificação de atualizações contínuas do sistema operacional em várias plataformas móveis, permitindo o gerenciamento de dispositivos independentemente da conexão e tendo uma arquitetura capaz de suportar uma ampla gama de dispositivos e sistemas operacionais, são o motivo pelo qual as empresas estão procurando expandir sua adoção de soluções com esse perfil.

Outro grande benefício mencionado pelas empresas é a automação de patches, políticas e gerenciamento de configurações baseados na Internet.

Além disso, os líderes da UEM se diferenciam por suas soluções de segurança adicionais integradas à plataforma UEM, incluindo autenticação multifator sem senha (Zero Sign-On) e defesa móvel contra ameaças (MTD).

O MTD, especialmente, é notório entre os clientes que precisam validar dispositivos em escala, estabelecer o contexto do usuário, verificar conexões de rede e, em seguida, detectar e corrigir ameaças. Ou seja, soluções completas, que simplifiquem a construção de uma rede de segurança com diversas camadas, serão prioridade das organizações em ascensão.

Soluções focais perdem espaço para proteções multifatoriais e unificadas

Por fim, dez tecnologias foram removidas ou substituídas no Hype Cycle porque, de acordo com a Gartner, evoluíram para recursos mais amplos ou se transformaram em ferramentas que vão além da segurança.

As dez tecnologias incluem navegadores protegidos, DLP para dispositivos móveis, detecção e resposta gerenciadas, análise de comportamento de usuários e entidades, segurança de IoT, plataformas de colaboração de conteúdo, identidade móvel, autenticação de usuário, ambientes confiáveis ​​e BYOD, que foi substituído por BYOPC.

De certo modo, o que dá para apreender dessas tendências e do novo ciclo que começamos a desbravar é uma consciência cada vez maior, por parte das empresas, a respeito das muitas camadas envolvidas na segurança de suas redes, dispositivos e colaboradores.

Por isso, é fundamental contar com parceiros que entendam dessa complexidade e assegurem que todas as superfícies de ataque estejam amparadas e protegidas.

Conte com os especialistas da Compugraf nessa missão. Entre em contato conosco e conheça nossas soluções!

Consumidores estão dispostos a ceder seus dados, desde que a sua empresa faça bom uso deles e seja transparente a respeito de sua utilização.

É uma boa notícia, mas reforça a necessidade de se investir na proteção desses dados – especialmente diante de ataques crescentes que exploram vulnerabilidades básicas.

O que você vai ler hoje:

• Facebook lança página para divulgar todas vulnerabilidades identificadas e corrigidas no WhatsApp
• Novo ataque direcionado a fintechs utiliza Trojan excepcionalmente desenvolvido
• Apple posterga a implementação das novas medidas de segurança do iOS 14 para 2021
• Bug de plugin do WordPress possibilita 10 mil ataques por hora a websites
• Consumidores estão dispostos a disponibilizar seus dados – desde que eles sejam bem utilizados

Facebook lança página para divulgar todas vulnerabilidades identificadas e corrigidas no WhatsApp

O Facebook lançou uma nova página, onde pretende listar todas as vulnerabilidades já identificadas e corrigidas no WhatsApp, seu serviço de mensagens instantâneas.

O fabricante do aplicativo publica regularmente notas de atualização nas páginas do iOS e da Google Play Store; no entanto, esses registros de alterações não fornecem descrições detalhadas dos bugs de segurança corrigidos, muitos dos quais são descritos apenas como "correções de segurança".

O Facebook alega que isso acontece "devido às políticas e práticas das lojas de aplicativos", e espera que a nova página funcione efetivamente como um changelog focado em segurança para usuários interessados.

Os detalhes que serão listados na nova página incluirão uma breve descrição do bug e um identificador de Common Vulnerabilities and Exposures (CVE), quando possível.

Os números CVE são destinados a pesquisadores de segurança que desejam rastrear bugs ou a empresas de segurança que desejam emitir alertas de segurança para seus próprios clientes.

O Facebook ainda disse que todas as vulnerabilidades listadas no site são bugs que foram corrigidos recentemente, e a nova página deve servir de exemplo e alertar porque os usuários precisam manter o aplicativo WhatsApp sempre atualizado para evitar ataques futuros.

Novo ataque direcionado a fintechs utiliza Trojan excepcionalmente desenvolvido

Uma operação de hacking direcionada a organizações de tecnologia financeira (fintechs) tem utilizado uma versão recentemente desenvolvida do malware Trojan para roubar endereços de e-mail, senhas e outras informações corporativas confidenciais.

Conhecido como Evilnum, o grupo de “ameaça persistente avançada” (Advanced Persistent Threat, ou APT) surgiu pela primeira vez em 2018. Uma das razões para seu sucesso é a frequência com que eles mudam de ferramentas e estratégia de ataque ao mirar em alvos relacionados a Fintechs, localizadas principalmente na Europa e no Reino Unido , mas com vítimas também nas Américas e na Austrália.

Nas últimas semanas, o grupo tem usado um Trojan de acesso remoto (RAT) com script Python, em uma nova onda de ataques direcionados.

Descoberto por pesquisadores de segurança cibernética, que o apelidaram de PyVil RAT, o malware permite que invasores roubem secretamente informações corporativas por meio de keylogging e capturas de tela, tendo também a capacidade de coletar informações sobre o sistema infectado – incluindo qual versão do Windows está em execução, quais produtos antivírus estão instalados e se dispositivos USB estão conectados.

Embora não esteja claro quem são os criminosos cibernéticos por trás do Evilnum, a natureza altamente direcionada dos ataques e a maneira como eles constantemente mudam suas táticas levam os pesquisadores a acreditar que se trata de uma campanha altamente profissional e com bons recursos, que representam alto risco para as fintechs ao redor do mundo.

Apple posterga a implementação das novas medidas de segurança do iOS 14 para 2021

A Apple anunciou, oficialmente, que vai postergar a implementação das novas medidas de privacidade do iOS 14 até o início de 2021, para dar aos anunciantes e editores de aplicativos móveis mais tempo para se preparar.

A mudança foi simples, mas com um enorme impacto: implementar um “opt-in” no IDFA.

O IDFA é o identificador da Apple para anunciantes. É mais comumente usado como um dashboard de resultados de marketing, mas também pode ser explorado de forma a violar a privacidade.

Portanto, no iOS 14, a Apple planeja exigir que os desenvolvedores peçam permissão para usar o IDFA toda vez que baixarem um aplicativo. Em outras palavras, é a transição do opt-out – com a maioria das pessoas nem mesmo sabendo que isso existia – para o opt-in, com todos sendo solicitados a ter permissão sempre que instalarem um aplicativo.

“No iOS 14, iPadOS 14 e tvOS 14, os aplicativos serão obrigados a receber permissão do usuário para rastrear dados em aplicativos ou sites de propriedade de outras empresas ou para acessar o identificador de publicidade do dispositivo”, anunciou a Apple em uma atualização de desenvolvedor.

“Estamos empenhados em garantir que os usuários possam escolher se permitem ou não que um aplicativo os rastreie. Para dar aos desenvolvedores tempo para fazer as mudanças necessárias, os aplicativos serão obrigados a obter permissão para rastrear usuários a partir do início do próximo ano. Mais informações, incluindo uma atualização das Diretrizes de Revisão da App Store, serão divulgadas neste outono.”

Bug de plugin do WordPress possibilita 10 mil ataques por hora a websites

Os desenvolvedores do plugin WordPress File Manager corrigiram, recentemente, um problema de segurança explorado ativamente, permitindo o sequestro total do site de seus usuários – mas não antes de que milhares de ataques fossem realizados explorando essa vulnerabilidade.

De acordo com a equipe de segurança “Sucuri WordPress”, a vulnerabilidade surgiu na versão 6.4 do software, que é usado como alternativa ao FTP para o gerenciamento de transferências, cópias, exclusões e uploads de arquivos.

Na versão 6.4, lançada em 5 de maio, um arquivo foi renomeado no plugin, que conta com mais de 700.000 instalações ativas, para fins de desenvolvimento e teste. No entanto, em vez de ser mantido como uma alteração local, o arquivo renomeado foi adicionado acidentalmente ao projeto, criando uma abertura para exploração de agentes mal-intencionados.

O script em questão concedia aos usuários privilégios como modificar, enviar e excluir arquivos. A solução para esta vulnerabilidade, incluída na versão 6.9, é bastante simples: simplesmente exclua o arquivo – que nunca fez parte da funcionalidade do plugin.

No entanto, uma semana antes de o arquivo ser removido, um código de Prova de Conceito (PoC) foi lançado no repositório de código GitHub, levando a uma onda de ataques contra sites antes da versão 6.9 ser disponibilizada.

O primeiro ataque foi detectado em 31 de agosto, um dia antes do lançamento de uma versão corrigida do gerenciador. Depois, cresceu para cerca de 1.500 ataques por hora e, um dia depois, para uma média de 2.5000 ataques a cada 60 minutos. Em 2 de setembro, a equipe viu cerca de 10.000 ataques por hora.

Embora a vulnerabilidade já tenha sido resolvida, apenas 6,8% dos sites WordPress foram atualizados para a nova versão corrigida do plugin, deixando muitos sites vulneráveis. Um erro básico, que pode custar muito caro.

Consumidores estão dispostos a disponibilizar seus dados – desde que eles sejam bem utilizados

Uma plataforma de personalização baseada em Inteligência Artificial, a Formation.ai, entrevistou mais de 2.000 clientes dos EUA no primeiro trimestre de 2020 a respeito de seus sentimentos em relação à concessão de dados por fidelidade à marca.

Em um relatório exclusivo, a empresa mostra que a personalização é fundamental para ganhar a lealdade do consumidor no mercado competitivo de hoje. Mas essa personalização só é possível com um bom aproveitamento de dados cedidos pelo consumidor.

Quase quatro entre cinco (79%) dos consumidores concordam que quanto mais táticas de personalização uma marca usa, mais eles são leais a ela. Mas, para 77% dos consumidores, as empresas não estão fazendo o suficiente para conquistar essa fidelidade.

O relatório descobriu que mais de quatro entre cinco (81%) dos consumidores estão dispostos a compartilhar informações pessoais básicas para personalização e que 83% dos consumidores estão mais dispostos a compartilhar dados se a marca for transparente sobre como eles serão usados.

Em contrapartida, apenas um em cada cinco (20%) consumidores ​​sente que recebe e-mails de marketing que de fato apresentam conteúdo relevante para seu estilo de vida, interesses ou compras anteriores específicas.

De modo geral, a pesquisa aponta que as pessoas estão cada vez mais receosas de colocar sua privacidade em risco, e exigem saber como seus dados são usados.

Por outro lado, as empresas precisam ser mais transparentes na forma como usam os dados de seus clientes – sejam eles quais forem – para evitar tanto mensagens ultra-direcionadas, que faz com que o consumidor sinta que está sendo observado, quanto mensagens superficiais demais, com as quais o consumidor não se identifica.

Saiba como atender às normas da Lei Geral de Proteção de Dados no Brasil e se assegure de que sua empresa utiliza os dados de seus clientes da melhor forma.

Conte com a assessoria de especialistas da Compugraf!

Yoda disse uma vez que “o medo da perda é um caminho para o lado negro” e, embora ele não estivesse falando sobre a última ameaça à segurança cibernética, poderia facilmente estar.

O grupo de cibercriminosos DarkSide (ou Lado Negro,cujo nome é inspirado pelos membros maquiavélicos da franquia Star Wars) está ativo há menos de duas semanas, mas seus ataques altamente direcionados já estão rendendo muito dinheiro ao grupo.

Para se ter uma ideia, o medo da perda de dados de usuários e clientes é o caminho que aparentemente levou pelo menos uma vítima de ransomware – uma empresa emergente – a pagar o 1 milhão de dólares de resgate exigido.

E, seguindo o que se tornou uma espécie de norma para os cibercriminosos por trás das principais ameaças de ransomware ao redor do mundo, o DarkSide se revelou por meio de um comunicado à imprensa, conforme relatado pela Bleeping Computer.

O comunicado, adequadamente hospedado em um site da Dark Web e datado de 10 de agosto de 2020, afirma que “o DarkSide é um grupo novo no mercado, mas isso não significa que não temos experiência e viemos do nada”.

A ameaça de 1 milhão de dólares da DarkSide

Os cibercriminosos afirmam já ter obtido “milhões de dólares de lucro” por meio de parcerias com outros criminosos especializados em ransomware, mas criaram o DarkSide porque a busca por um “produto perfeito” de ataque cryptolocker não deu certo.

DarkSide é, eles afirmam, o produto perfeito.

De acordo com Lawrence Abrams, da Bleeping, pelo menos uma vítima desta ameaça recentemente desenvolvida parece ter pago um resgate de mais de 1 milhão de dólares.

Aliás, os resgates, de modo geral, variam de 200.000 dólares a 2 milhões de dólares, mas esses números dobram se a janela concedida para o pagamento inicial não for cumprida.

DarkSide afirma ter como alvo apenas aqueles que “podem pagar”

Com cruel ironia, a gangue DarkSide afirma que “não quer acabar com o seu negócio” e que vai “atacar apenas empresas que possam pagar a quantia solicitada”.

Supõe-se que isso explica as variações do resgate, pois os ataques aparentam ser altamente direcionados e levar em conta duas variáveis: quão alto pode ser o valor de um resgate e qual é a chance de pagamento. Geralmente, a DarkSide opera, nos dois casos, com o valor mais alto possível e boas chances de extorsão.

Na verdade, o que essa declaração quer dizer é que o grupo analisa os registros contábeis das empresas e determina quanto pode ser pago com base na receita líquida.

O DarkSide também disse, no comunicado à imprensa. que não teria como alvo hospitais, hospícios, escolas, universidades, organizações sem fins lucrativos ou o setor governamental.

As gangues de ransomware DoppelPaymer e Maze já fizeram promessas semelhantes, relacionadas ao setor de saúde, durante o início da pandemia do COVID-19.

Outros criminosos de ransomware não foram tão indulgentes, como o NetWalker, que atingiu o UCSF e extraiu com sucesso um resgate de 1,14 milhão de dólares.

Resta esperar para saber se a gangue DarkSide será fiel à sua palavra.

“Levamos nossa reputação muito a sério”, disseram os operadores do DarkSide, acrescentando que, se os resgates forem pagos, “todas as garantias serão cumpridas.”

Essas garantias parecem estar relacionadas à prática – agora padrão – de exfiltrar dados antes de criptografar as redes.

Como “voto de confiança”, o grupo DarkSide disse que garantiria a descriptografia de um arquivo de teste, forneceria suporte para descriptografia após o pagamento e excluiria todos os dados subidos às lojas na Dark Web.

Se os pagamentos não forem feitos, os criminosos ameaçam publicar todos os dados e mantê-los armazenados por pelo menos seis meses, notificando a mídia, clientes e parceiros sobre o incidente.

Quão nova é a equipe criminosa DarkSide?

Se tudo isso parece bastante familiar, é porque é. Embora o DarkSide afirme ser novo, e os ataques de ransomware específicos o sejam, a metodologia é experimentada e testada há bastante tempo.

Além disso, foi sugerido que existem semelhanças no próprio malware que ligam o grupo DarkSide ao REvil e ao GandCrab, anteriores a eles. Isso não quer dizer que os operadores REvil, de grande sucesso no cibercrime, estão evoluindo para algo novo, mas esses links são interessantes de serem observados.

E por falar em notas, até mesmo as notas de resgate personalizadas “Welcome to the Dark Side”, que a DarkSide, usa parecem ser baseadas em modelos do REvil.

Combatendo a ameaça do “Lado Negro da Força”

Trazendo o Yoda de volta à história, e sua citação clássica sobre o “medo da perda”, reduzir o risco da perda de dados é a chave para usar a força da segurança cibernética contra o “Lado Negro”.

Sejam quem sejam e de onde quer que eles tenham vindo, o grupo DarkSide certamente é mais um player no universo do ransomware que deve levado a sério e do qual as empresas devem se prevenir.

Isso significa voltar aos princípios de limpeza de sistemas e segurança de rede, garantindo que sua organização esteja fazendo mais do que apenas fazer backups de dados. Você tem que diminuir o risco de ataque, diminuir a superfície de ataque e tornar a segurança sua maior prioridade nos negócios.

Portanto, mantenha todos os softwares corrigidos e atualizados, certifique-se de que uma autenticação forte, preferencialmente de dois fatores, seja usada onde quer que esteja, eduque todos, desde o chão de fábrica até a diretoria, para estarem cientes e “acordar” para as ameaças que permitem que invasores ransomware entrem na rede.

Torne as coisas mais difíceis, e não mais fáceis, para os cibercriminosos.

Conte com a assessoria de especialistas da Compugraf para manter sua empresa segura.

Proposta mudaria data de vigência da Lei Geral de Proteção de Dados para dezembro de 2020, mas não foi aprovada no Senado

A LGPD vai finalmente acontecer após ter seu pedido mais recente de prorrogação negado. A proposta mudaria o início de vida da lei para dia 31 de dezembro, enquanto o órgão regulamentador da lei só deve iniciar as atividades em agosto de 2021.

Mas antes de continuarmos, uma observação.

Estamos todos comprometidos a ajudar a sua empresa a entrar em conformidade com a LGPD, e por isso preparamos a página mais completa sobre o tema na internet:

A Medida Provisória nº 959/2020, foi aprovada como um todo, com exceção do item que sugeria a de sua vigência.

Sendo assim, as sanções administrativas e a chegada da Autoridade Nacional de Proteção de Dados continuam datadas para agosto de 2021.

Você pode saber mais sobre todas as sanções da LGPD na última edição do nosso CyberTalks em um bate-papo com o José Aparecido, Engenheiro de Produto aqui da Compugraf:

Antes da votação, data de vigência estava prevista para o dia 16 de agosto, mas apesar da prorrogação ter sido invalidada, a lei agora passará a valer até 15 dias úteis depois da data em questão, ou seja, a previsão mais distante “até o momento” é o dia 04/09.

E isso se nada mudar ao longo do caminho ou a LGPD ser barrada mais uma vez, já que com as alterações a lei deve ser novamente aprovada pelo atual presidente do país.

Ontem (26) as empresas entraram em pânico após lerem de alguns portais de notícia que a lei passaria a vigorar no dia seguinte, hoje (27), ou até mesmo retroativamente para respeitar a data até então estipulada (16) de agosto.

A Lei Geral de Proteção de Dados sofre com a confusão em seus termos e datas desde o princípio, já que as informações nunca foram muito objetivas, levando sempre diferentes grupos de profissionais acreditarem em diferentes informações.

Mas para Carla Manso, DPO da Compugraf:

“(…)independente de datas e todo o drama em torno da lei, as empresas precisam continuar na jornada para entrar em conformidade o mais rápido possível, enxergando esses ruídos mais como uma oportunidade para arrumar a casa do que como desculpa para a procrastinação.”

Essa é a atualização mais recente do turbulento mês de agosto para a LGPD

Atualização 25/08 – ainda não entrou em vigor

O texto original da MP 959/20 foi alterado e aprovado com sucesso na Câmara, o qual sugere uma nova data para que a Lei Geral de Proteção de Dados entre em vigor. Caso seja aprovado em votação no dia 26/08, a LGPD passará a entrar em vigor somente no dia 31 de dezembro de 2020.

A votação ocorre no dia 26/08 às 16h na TV Senado (horário de brasília) em uma única sessão, e caso aprovada, seguirá para o aceite final e a sanção presidencial. A data sugerida pela nova versão da MP é vista positivamente por especialistas, além de envolver um acordo prévio entre todos os poderes (Executivo, Câmara e Senado).

Atualização 20/08 – ainda não entrou em vigor

Visto como um importante passo na saúde e proteção de dados no país inteiro, o texto original da MP 959/20 foi retirado da pauta do dia e movido para o dia 25/08. E isso é um ótimo exemplo sobre como a lei tem sido menosprezada por aqui.

As mudanças constantes na data de vigência, assim como uma série de lacunas a serem preenchidas pela lei brasileira é resultado de um conflito de interesses muito grande no Brasil.

Atualização 19/08 – ainda não entrou em vigor

Não houve consenso entre os deputados sobre a MP 959 na votação de ontem, 18/08 e a mesma não está planejada para ser abordada nos próximos dias. No entanto, é possível que isso mude e tenha prioridade dada a urgência do tema.

A data limite para que a MP ainda tenha validade e possa ser votada pelas duas autoridades (Câmara e Senado), é dia 26/08.

Atualização 11/08 – ainda não entrou em vigor

O início dos conflitos da LGPD em sua proximidade com a possível aprovação. A lei estava prevista para entrar em vigor neste mesmo mês, mesmo sem ANPD, o que não deve ser reconhecido até que a MP 959, que adia seu lançamento, seja votada.

A conformidade não depende da data final

A gente já noticiou em nossos conteúdos que hoje, ano que vem, ou seja lá quando a lei entrar em vigor, ela será uma realidade.

Já se passaram 2 anos desde a proposta original e não faz sentido esperar por uma data para começar a movimentar as coisas. A confusão jurídica causada por todas essas decisões envolvem questões e interesses políticos que não devem interferir na importância de uma empresa ter responsabilidade no uso de dados pessoais.

Essa zona de conflitos e informações que muitas vezes se divergem entre si devem agora influenciar muito mais no prazo para o funcionamento de seu órgão regulamentador, a Autoridade Nacional de Proteção de Dados do que da lei em si.

Para muitos ainda é confusa a ideia de uma lei em vigor que não tem sua existência devidamente acompanhada por um órgão responsável, mas nesses casos é válido compreender que outros órgãos e os concorrentes de sua empresa estarão observando as suas práticas e preparados para notificar qualquer irregularidade.

Sua empresa pode iniciar a jornada da LGPD em até 24 horas

Pensando na corrida das empresas para se adequar a LGPD, assim como toda a complexidade do processo para muitos profissionais, a Compugraf, junto com a OneTrust decidiu descomplicar as coisas e propor o impossível:

Ajudar você a iniciar regularização da sua empresa em até 24h.

Isso é possível com a OneTrust Fast Track, nosso framework para criação de roadmaps dinâmicos, que devem acelerar todo esse processo junto às empresas.

Tudo o que você precisa, é começar agora.

O que vem pela frente?

Apesar das mais recentes notícias se mostrarem promissoras, nossa única certeza é a de que certamente ainda teremos novidades.

Mas a parte boa disso tudo é que você pode acompanhar todas por aqui e em nossas redes sociais: LinkedIn, Instagram, YouTube.

Phishing continua se destacando como um dos ataques favoritos de cibercriminosos. Banco Santander e Google são vítimas de suas próprias vulnerabilidades – mas apenas um deles contou com a ajuda de hackers white hats.

O Brasil está entre os países mais afetados por campanhas envolvendo a COVID-19, em grande parte por falta de atenção dos usuários.

O que você vai ler hoje:

• Golpes de vishing (voice phishing) ameaçam empresas do setor privado
• Experian sofre violação de dados que afetou 24 milhões de clientes
• Vulnerabilidade do Gmail permitiria que e-mails falsos fossem enviados por meio de contas legítimas
• Bug nos caixas eletrônicos do banco Santander permite saque de valores maiores do que os armazenados em cartões de débito
• Brasil está entre os países mais afetados por phishing relacionado ao COVID-19

Golpes de vishing (voice phishing) ameaçam empresas do setor privado

De forma conjunta, o FBI e a Agência de Cibersegurança e Segurança de Infraestrutura (CISA) emitiram, este mês, um comunicado de segurança alertando para uma onda de ataques de vishing visando corporações do setor privado.

Vishing, ou phishing de voz, é uma forma de engenharia social em que os criminosos ligam para as vítimas para obter as informações desejadas para efetivação de um ataque, geralmente se passando por pessoas conhecidas.

De acordo com os órgãos de segurança, em meados de julho de 2020, os cibercriminosos começaram uma campanha de vishing visando colaboradores que trabalham em casa. Eles coletaram credenciais de login de redes corporativas e então fizeram dinheiro com a venda desse acesso para outras gangues criminosas.

As páginas de phishing utilizadas para os ataques foram criadas para se parecerem com a página de login do VPN interno de uma empresa-alvo, e os sites também eram capazes de capturar autenticação de dois fatores (2FA) ou senhas de uso único (OTP), se necessário.

Os grupos criminosos, então, compilaram dossiês sobre os funcionários que trabalhavam para as empresas que queriam atingir, geralmente por coleta massiva de perfis públicos em plataformas de mídia social, ferramentas de recrutamento e marketing, serviços de verificação de histórico disponíveis ao público e pesquisa de código aberto.

As informações coletadas incluíam nome, endereço residencial, celular/telefone pessoal, cargo na empresa e tempo de permanência na empresa, de acordo com as duas agências.

Em seguida, os invasores ligaram para os funcionários usando números de telefone aleatórios de Voice-over-IP (VoIP) ou falsificando os números de telefone de outros funcionários da empresa.

"Os atores usaram técnicas de engenharia social e, em alguns casos, se fizeram passar por membros do help desk de TI da empresa vítima, usando seu conhecimento das informações de identificação pessoal do funcionário – incluindo nome, cargo, tempo de serviço na empresa e endereço residencial – para obter o confiança do funcionário visado ", diz o alerta conjunto.

"Os atores então convenciam os colaboradores de que um novo link VPN seria enviado e exigia seu login, incluindo qualquer 2FA ou OTP."

As duas agências de segurança cibernética estão agora alertando as empresas para que fiquem atentas aos agentes de ameaças e treinem seus colaboradores a respeito das melhores práticas de segurança para evitar os golpes de phishing.

Experian sofre violação de dados que afetou 24 milhões de clientes

A fornecedora de crédito Experian divulgou, recentemente, uma violação de dados sofrida este mês. A agência admitiu ter cedido os dados pessoais de seus clientes sul-africanos a um fraudador que se fazia passar por cliente.

Embora a Experian não tenha divulgado o número de usuários afetados, um relatório do South African Banking Risk Center (SABRIC), uma organização bancária antifraude e sem fins lucrativos, afirmou que a violação afetou 24 milhões de sul-africanos e 793.749 empresas locais.

A Experian disse que relatou o incidente às autoridades locais, que conseguiram rastrear o indivíduo por trás do golpe. Desde então, a Experian disse que obteve uma ordem judicial "que resultou na apreensão do hardware do indivíduo e na proteção e exclusão dos dados desviados".

Vulnerabilidade do Gmail permitiria que e-mails falsos fossem enviados por meio de contas legítimas

Um bug perigoso, descoberto no começo de 2020 por uma pesquisadora de segurança, pode ter permitido que invasores explorassem vulnerabilidades do Gmail, o serviço de e-mail do Google.

Basicamente, a vulnerabilidade, possibilita que e-mails falsos sejam enviados de endereços reais do Gmail.

Esses chamados “ataques de falsificação” permitem que os cibercriminosos entrem em contato com vítimas em potencial a partir de endereços de e-mail legítimos e ainda fornecem uma forma de encobrir seus rastros.

O bug, descoberto por Allison Hussain, ainda teria permitido que um invasor contornasse o SPF e o DMARC (as verificações principais de um provedor de e-mail) para enviar e-mails falsos.

A vulnerabilidade foi detectada uma vez que a pesquisadora conseguiu burlar as verificações de e-mail do Google usando recursos disponíveis para administradores do G Suite. Hussain criou regras de processamento de e-mail que pegavam mensagens de entrada falsas e as transformava em mensagens legítimas do Gmail, que poderiam ser enviadas às vítimas.

Hussain revelou o bug ao Google no início de abril. Mas, quando chegou primeiro de agosto e ela ainda não havia recebido nenhuma resposta sobre sua correção, a pesquisadora enviou um aviso de que pretendia publicar suas descobertas em seu blog pessoal.

Quando o Google respondeu que as mitigações não estariam em vigor até meados de setembro, Hussain esperou mais alguns dias e postou a descoberta em seu blog. Poucas horas após a publicação da postagem, o Google acelerou a correção.

Bug nos caixas eletrônicos do banco Santander permite saque de valores maiores do que os armazenados em cartões de débito

Gangues criminosas parecem ter encontrado um bug no software dos caixas eletrônicos do banco Santander.

O bug permitia que hackers usassem cartões de débito falsos ou cartões de débito pré-carregados válidos para retirar mais fundos de caixas eletrônicos do que os armazenados nos cartões.

Fontes da comunidade da inteligência de ameaças disseram que os detalhes sobre essa falha de software, em particular, foram inicialmente mantidos em sigilo e compartilhados ou vendidos entre membros de ATMs e grupos de fraude bancária por dias.

Os detalhes da falha, no entanto, não permaneceram secretos por muito tempo e, eventualmente, vazaram esta semana, sendo amplamente compartilhados nas salas de chat do Telegram, Instagram e outras redes sociais.

Como resultado do vazamento descontrolado de detalhes, vários grupos criminosos começaram a explorar o bug do software, resultando em um aumento repentino de saques em caixas eletrônicos do Santander e levando os funcionários do banco a investigarem.

Para evitar mais perdas, o Santander fechou todos os caixas eletrônicos na terça-feira (18/08).

Em comunicado oficial, o Santander diz que “os clientes devem saber que não houve impacto em suas contas, dados ou fundos, e continuamos a cooperar com as autoridades policiais enquanto investigam a situação”.

Brasil está entre os países mais afetados por phishing relacionado ao COVID-19

A disseminação de fake news relacionadas a iniciativas governamentais em torno do COVID-19 colocou o Brasil na lista dos países mais afetados por ataques de phishing, de acordo com uma nova pesquisa sobre spam e phishing publicada pela Kaspersky.

Segundo o relatório, cerca de 1 em cada 8 internautas no Brasil (12,9%) acessou, entre abril e junho de 2020, pelo menos um link que levava a sites com conteúdo malicioso. Isso está bem acima da média global, de 8,26% no mesmo período.

O grande aumento nas campanhas de desinformação em torno de supostas iniciativas do governo são o principal fator por trás do aumento. Um exemplo dos golpes enviados aos usuários nos últimos meses, mencionados no relatório, é um e-mail com a informação falsa de que o governo havia suspendido o pagamento das contas de energia durante a pandemia, que incluía um link convidando os usuários a se cadastrarem no benefício.

As tendências recentes colocam o Brasil como o quinto país mais afetado por phishing em uma lista compilada pela Kaspersky como parte do relatório. A Venezuela está no topo da lista, onde 17,56% dos usuários clicaram em um link que leva a conteúdo malicioso, seguida por Portugal (13,51%), Tunísia (13,51%) e França (13,08%).

Um estudo separado da mesma empresa, lançado em julho, sugere que os brasileiros estão mais cientes dos riscos à segurança da Internet, mas ainda precisam evoluir seu comportamento online.

Realizada em maio, a pesquisa, que considerou usuários com pelo menos dois dispositivos conectados, constatou que 48% não melhoraram seus hábitos de segurança na Internet.

Essa atitude relaxada em relação à segurança online tem três motivos principais: cerca de 45% dos brasileiros não priorizam sua segurança na Internet devido às pressões do dia a dia, apesar de reconhecerem que devem prestar mais atenção a isso; cerca de 36% dizem que se sentem mais seguros ao realizar transações financeiras e comerciais online, enquanto 33% dos brasileiros entrevistados relataram que não têm nada de valor a oferecer aos cibercriminosos.

Porém, essa é uma falsa crença que pode colocar seus bens em risco.

Mantenha sua empresa e seus colaboradores seguros. Consulte a assessoria de especialistas da Compugraf e conheça nossas soluções.