Em meio a bugs e malwares, usuários devem primeiro proteger o que está ao alcance. Em contrapartida, organizações podem ter motivos para investir pesado em cibersegurança em 2021.

Quais notícias você vai ler hoje:

• 3 milhões de usuários devem desinstalar essas 28 extensões maliciosas do Chrome e do Microsoft Edge
• Ransomware pode comprometer camadas primárias de PCs, à medida que estratégias se voltam para firmware UEFI
• Uso de dados pessoais: a grande sacada das fintechs
• Bug do Contact Form 7 pode comprometer significativamente sites de WordPress, dando acesso a cibercriminosos

3 milhões de usuários devem desinstalar essas 28 extensões maliciosas do Chrome e do Microsoft Edge

Vinte e oito extensões para Google Chrome e Microsoft Edge podem conter malware e provavelmente deverão ser desinstaladas por mais de 3 milhões de usuários, descobriram pesquisadores de segurança da Avast Threat Intelligence no dia 17 de dezembro de 2020.

Dentre as extensões populares estão: Video Downloader para Facebook, Vimeo Video Downloader, DM for Instagram, Instagram Story Downloader e SoundCloud Music Downloader.

E, embora a Avast Threat Intelligence tenha começado a investigar a possível ameaça em novembro de 2020, ela parece ter passado despercebida por anos. As avaliações na Chrome Web Store trazem evidências que justificam essa suspeita, já que mencionam o sequestro de links desde dezembro de 2018, observaram os pesquisadores.

A Avast Threat Intelligence descobriu o malware depois de acompanhar a pesquisa do pesquisador tcheco Edvard Rejthar, que primeiro identificou a ameaça originada nas extensões do navegador de seu próprio sistema. Percebendo comportamentos fora do comum em seu computador, Rejthar saiu à procura das causas do problema complementos do navegador, que tendem a ser "a vulnerabilidade mais comum do computador de um usuário, além do phishing", escreveu ele.

Rejthar encontrou scripts maliciosos vindos de certas extensões de navegador. O malware entrou no sistema por meio do localStorage, o repositório geral de dados que os navegadores disponibilizam para sites e add-ons, relatou ele.

Clicar em links – quaisquer que sejam – também faz com que as extensões enviem informações ao servidor de controle do invasor, aparentemente criando um registro de todos os cliques de alguém. Esse registro é então enviado para sites de terceiros e pode ser usado para coletar informações pessoais de um usuário, incluindo data de nascimento, endereços de e-mail, informações do dispositivo, hora do primeiro login, hora do último login, nome do dispositivo, sistema operacional , navegador usado e endereço IP, diz a Avast.

Os pesquisadores presumiram que ou as extensões foram criadas deliberadamente com malware embutido, ou o ator da ameaça esperou que as extensões se tornassem populares e então lançou uma atualização maliciosa.

Avast disse que os pesquisadores relataram o problema ao Google e à Microsoft. Nenhuma das empresas respondeu imediatamente à solicitação de comentário sobre se eles estão cientes das extensões e planejam investigá-las e/ou removê-las.

A lista completa das extensões identificadas está aqui; algumas delas já foram derrubadas.

Fonte: ThreatPost

Ransomware pode comprometer camadas primárias de PCs, à medida que estratégias se voltam para firmware UEFI

Dois meses atrás, pesquisadores da empresa de segurança norte-americana AdvIntel descobriram que uma das plataformas de malware mais problemáticas da Internet, o Trickbot, tinha começado a testar uma estratégia bastante sinistra e preocupante: sondar chips de firmware UEFI dentro de PCs selecionados para ver se eles eram vulneráveis ​​a vulnerabilidades de firmware conhecidas.

Isso foi apenas um “reconhecimento de território” – o Trickbot não estava infectando o chip SPI no qual o firmware UEFI reside – mas a descoberta é significativa.

UEFI (Unified Extensible Firmware Interface) é um software de baixo nível usado para gerenciar o processo de inicialização em computadores pessoais, incluindo Macbooks, substituindo o antigo BIOS. Qualquer ameaça que seja capaz de comprometer um computador por meio dessa camada se tornaria poderosa em aspectos fundamentais, como se tornar invisível para todos os softwares de segurança convencionais.

Depois de pesquisar a descoberta com sua parceira de pesquisa, Eclypsium, a AdvIntel publicou recentemente uma análise da estratégia apelidada de “TrickBoot” (um trocadilho com o nome da plataforma), que sugere que a intrigante iniciativa pode ter a ver com um novo e iminente tipo de ataque de ransomware.

Malware capaz de gravar ou apagar o firmware UEFI seria uma revolução nas regras do jogo, ainda mais se associado a ataques de ransomware, a principal ameaça de 2020.

Se, de fato, um ataque afetasse o firmware, seria necessária, provavelmente, a substituição de toda a placa-mãe dos PCs afetados. Desencadeada contra, possivelmente, milhares de máquinas, ou mesmo alguns dispositivos-chave da infraestrutura corporativa, essa tática poderia rapidamente levar a maioria das organizações ao caos.

Fonte: Forbes

Uso de dados pessoais: a grande sacada das fintechs

Pesquisadores do Fundo Monetário Internacional (FMI), o credor mundial para nações em tempos de crise financeira, moveram uma pesquisa para responder à dúvida na cabeça de todos – desde usuários às principais organizações do mundo: “por que as fintechs surgiram e ganharam tanta relevância na última década, se com os bancos tradicionais ocorria justamente o contrário?”.

Na análise, pesquisadores associados descrevem como smartphones, pesquisa online e mídia social ajudaram a impulsionar a inovação financeira por meio do uso de dados não-financeiros, como o tipo de navegador do usuário, o dispositivo que está sendo usado, o histórico de pesquisas online de uma pessoa e suas compras.

"A fintech resolve um grande dilema do mercado financeiro acessando vários dados não-financeiros, como o tipo de navegador e hardware usado para acessar a internet e o histórico de pesquisas e compras online. Uma vez alimentados por inteligência artificial e machine learning, esses dados alternativos geram fontes superiores aos métodos tradicionais de avaliação de crédito e podem promover a inclusão financeira, por exemplo, permitindo mais crédito para trabalhadores informais, ou famílias e empresas em áreas rurais", disse a publicação que detalha a pesquisa feita pela equipe do FMI.

De acordo com o FMI, existem 1,7 bilhão de adultos sem banco no mundo – recorte populacional que apenas reforça a relevância das fintechs e justifica a rápida penetração dessas organizações no dia a dia da população mundial.

Mas o uso de informações alternativas para avaliar a disponibilidade de crédito não é uma técnica nova. O FMI está apenas interessado na evolução do mercado fora dos bancos tradicionais e suas implicações políticas.

Afinal, empresas como Facebook e Amazon passaram a conhecer a vida financeira de seus clientes mais do que os bancos. É preciso ficar de olho para entender que implicações as novas condições impostas por esse mercado podem ter – sobretudo em se tratando de segurança e privacidade.

Fonte: IMF e ZDNet

Bug do Contact Form 7 pode comprometer significativamente sites de WordPress, dando acesso a cibercriminosos

Um patch para o popular plugin de formulários para WordPress – Contact Form 7 – foi lançado na quinta-feira (17).

Ele corrige um bug crítico que permite a um usuário não-autenticado assumir o controle, ou possivelmente sequestrar todo o servidor que o hospeda, de um site que executa o plugin. O patch vem na forma de uma atualização da versão 5.3.2 do Contact Form 7.

A vulnerabilidade crítica (CVE-2020-35489) é classificada como um bug de upload de arquivo irrestrito, de acordo com a Astra Security Research, que encontrou a falha na quarta-feira (16).

O pesquisador creditado por identificar a falha, Jinson Varghese, escreveu que a vulnerabilidade permite a um usuário não-autenticado contornar qualquer restrição de tipo de arquivo de formulário no Formulário de Contato 7 e carregar um binário executável em um site que tenha plugin na versão 5.3.1 ou anterior instalado e ativo.

Em seguida, o invasor pode realizar uma série de ações prejudiciais, como desfigurar o site ou redirecionar os visitantes para um site de terceiros, na tentativa de enganá-los para que forneçam informações financeiras e pessoais.

Além de assumir o controle do site, o invasor também poderia comandar o servidor que hospeda o site se não houver uma conteinerização usada para segregar o site no servidor que hospeda a instância do WordPress, de acordo com os pesquisadores.

Para se proteger, basta instalar a versão mais atualizada do plugin, disponível aqui.

** Fonte: ZDNet

A recém-descoberta família de malware baseado em Python tem como alvo o Outlook e as credenciais do navegador de usuários do Microsoft Windows.

Pesquisadores descobriram um novo trojan (cavalo de Tróia) cujo objetivo é o furto de informações. O malware tem como alvo os sistemas Microsoft Windows e se utiliza de um ataque para extração de dados, que vão desde credenciais do navegador até arquivos do Outlook.

O trojan, chamado PyMicropsia (devido a ter sido construído via Python), foi desenvolvido pelo grupo de ameaças AridViper, conhecido por ter como alvo organizações no Oriente Médio.

“AridViper é um grupo de ameaças ativo que continua desenvolvendo novas ferramentas como parte de seu arsenal”, declararam os pesquisadores em uma análise divulgada no dia 13 de dezembro. “Além disso, com base em diferentes aspectos do PyMicropsia analisados por nós, várias seções do malware ainda não são usadas, indicando que se trata, provavelmente, de uma família de malware em desenvolvimento ativo.”

Os recursos do trojan para roubo de informações incluem upload de arquivos, download/execução de carga útil, roubo de credencial do navegador (e a capacidade de limpar histórico e perfis de navegação), captura de tela e keylogging.

Além disso, o malware pode coletar informações de listagem de arquivos, excluir arquivos, reinicializar máquinas, coletar informações da unidade USB e gravar áudio – bem como coletar arquivos .OST do Outlook e eliminar/desativar processos do Outlook.

Um arquivo OST, também conhecido como Offline Outlook Data File (Arquivo de Dados Offline do Outlook), é usado por contas da Microsoft, contas do Exchange e contas do Outlook.com “para armazenar uma cópia sincronizada das informações da sua caixa de de e-mail no computador local”, de acordo com a Microsoft. Os arquivos OST podem conter mensagens de e-mail, contatos, tarefas, dados de calendário e outras informações relevantes – e pessoais – de um usuário.

Como o trojan funciona

O trojan foi transformado em um executável do Windows pelo PyInstaller, um pacote Python que permite aplicativos em executáveis autônomos. Depois de baixado, o malware “implementa sua funcionalidade principal executando um loop, onde inicializa diferentes threads e chama várias tarefas periodicamente com a intenção de coletar informações e interagir com o operador C2”, explicam os pesquisadores.

O agente de ameaça usa bibliotecas Python integradas e pacotes específicos para fins de roubo de informações – incluindo PyAudio (habilitando recursos de roubo de áudio) e mss (permitindo recursos de captura de tela) -, bem como outros “diversos fins, como interação com processos do Windows, registro do Windows, rede, sistema de arquivos e assim por diante”.

O PyMicropsia tem relações com a família de malware Micropsia, outro malware AridViper conhecido por ter como alvo o Microsoft Windows. Esses links incluem sobreposições de código; táticas, técnicas e procedimentos semelhantes (TTPs), como o uso de rar.exe para compactar dados para exfiltração; e estruturas de caminho de URI de comunicação de comando e controle (C2) semelhantes.

Micropsia também fez referências a temas específicos em código e implementações C2 – incluindo referências anteriores a programas de TV como The Big Bang Theory e Game of Thrones. Digno de nota, nas variáveis de código do PyMicropsia, os pesquisadores encontraram referências a vários nomes de atores famosos, os atores Fran Drescher e Keanu Reeves, o que “parece estar de acordo com o modus operandi do grupo suspeito", disseram os pesquisadores.

Leia também:

• Endpoint Security x Endpoint Protection: Qual a diferença?
• Trabalho Remoto Seguro: O Guia Da Segurança da Informação

AridViper: Desenvolvimento Ativo

Investigando as capacidades do PyMicropsia, os pesquisadores disseram que também identificaram duas amostras adicionais hospedadas na infraestrutura do trojan.

Esses elementos adicionais, que são baixados e usados ​​pelo trojan durante sua implantação, fornecem recursos de persistência e keylogging. Eles não são baseados em Python / PyInstaller.

Embora o PyMicropsia seja projetado para ter como alvo apenas os sistemas operacionais Windows, os pesquisadores também encontraram trechos no código que verificam a existência de outros sistemas operacionais (como “posix” ou “darwin”). Posix, ou Portable Operating System Interface, é uma família de padrões usados ​​para manter a compatibilidade entre os sistemas operacionais; e Darwin, um sistema operacional de código aberto semelhante ao Unix.

“Esta é uma descoberta interessante, já que não vimos o AridViper mirar nesses sistemas operacionais antes e isso pode representar uma nova área que o grupo está começando a explorar”, alertam os pesquisadores.

Mantenha seus dispositivos protegidos. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Educação infantil e serviços essenciais são alvos lucrativos para cibercriminosos. Vulnerabilidades em maquininhas de cartão poderiam abrir caminhos para ataques.

O que você vai ler hoje:

• Facebook bane agentes de ameaças de sua plataforma
• Vulnerabilidades em maquininhas de cartão poderiam possibilitar roubo de informações financeiras
• Ataques cibernéticos no setor de educação infantil estão aumentaram significativamente, alerta FBI
• Setores de serviços essenciais são a principal vítima de ataques. O que fazer a respeito

Facebook bane agentes de ameaças de sua plataforma

O Facebook baniu de sua plataforma várias contas e páginas que eram usadas para lançar ataques de phishing e malware por dois grupos cibercriminosos: APT32, no Vietnã, e um grupo de ameaça não-identificado, com base em Bangladesh.

Em comunicado oficial, a gigante das redes sociais disse que aniquilou a capacidade de ambos os grupos usarem sua infraestrutura para abusar de sua plataforma, distribuir malware e hackear outras contas. Uma análise por grupos de segurança alega que os dois grupos não tinham conexão entre si e miravam os usuários do Facebook utilizando táticas “muito diferentes”.

“A operação do Vietnã se concentrou principalmente em espalhar malware para seus alvos, enquanto a operação de Bangladesh se concentrou em comprometer contas em plataformas e coordenar ações para remover contas e páginas do Facebook”.

O Facebook também informou que o APT32 explorou sua plataforma para atingir ativistas de direitos humanos vietnamitas, bem como vários governos estrangeiros (incluindo os do Laos e Camboja), organizações não-governamentais, agências de notícias e uma série de empresas.

Para isso, o grupo criou páginas e contas do Facebook, atingindo seguidores específicos com ataques de phishing e malware. Aqui, o APT23 usou várias técnicas de engenharia social, muitas vezes usando iscas românticas ou se passando por ativistas ou entidades de negócios para parecer mais legítimo.

Enquanto isso, os autores da ameaça baseados em Bangladesh visavam ativistas locais, jornalistas e minorias religiosas para comprometer suas contas no Facebook. O Facebook alegou ter encontrado links nesta atividade para duas organizações sem fins lucrativos em Bangladesh: Don’s Team (também conhecida como Defense of Nation) e a Crime Research and Analysis Foundation (CRAF).

A empresa alegou que os grupos colaboraram para denunciar usuários do Facebook por violações fictícias de seus Padrões da Comunidade – como suposta falsificação de identidade, violação de propriedade intelectual, nudez e terrorismo. Além disso, os grupos supostamente hackearam contas de usuários e páginas do Facebook e as usaram para seus próprios fins operacionais, inclusive para amplificar seu conteúdo.

“Em pelo menos uma ocasião, depois que a conta de um administrador da página foi comprometida, eles removeram os administradores restantes para assumir e desativar a página”, disse o Facebook.

A rede de Mark Zuckerberg – que removeu a infraestrutura usada por invasores, no passado, por abusar de sua plataforma – alertou que os invasores por trás dessas operações são “adversários persistentes” e espera-se que suas táticas continuem evoluindo.

Vulnerabilidades em maquininhas de cartão poderiam possibilitar roubo de informações financeiras

Vulnerabilidades de segurança em terminais de ponto de venda (PoS) poderiam ter permitido que criminosos cibernéticos roubassem detalhes de cartão de crédito, clonassem terminais e cometessem outras formas de fraudes financeiras às custas de compradores e varejistas.

As vulnerabilidades nas maquininhas de cartão da Verifone e da Ingenico – que são usadas ​​em milhões de lojas ao redor do mundo – foram detalhadas pelo pesquisador independente Aleksei Stennikov e por Timur Yunusov, chefe de pesquisa de segurança ofensiva do Cyber ​​R&D Lab, durante uma apresentação da Black Hat Europe 2020.

Uma das principais vulnerabilidades em ambas as marcas é o uso de senhas-padrão que podem fornecer aos invasores acesso a um menu de serviços e a capacidade de manipular ou alterar o código nas máquinas para executar comandos maliciosos.

Os pesquisadores dizem que esses problemas de segurança existem há pelo menos 10 anos, enquanto alguns existem de uma forma ou de outra por até 20 anos – embora os últimos estejam principalmente em elementos legados do dispositivo, que não são mais usados.

Além disso, os invasores podem obter acesso aos dispositivos para manipulá-los de duas maneiras. Eles são capazes de obter acesso físico ao terminal PoS ou obter acesso remotamente e, em seguida, executar comandos de código arbitrário, buffer overflows e outras técnicas comuns. que podem fornecer aos invasores uma elevação de privilégios, bem como a capacidade de controlar o dispositivo e roubar os dados que passam por ele.

O acesso remoto é possível se um invasor obtiver acesso à rede por meio de phishing ou outro tipo de ataque e, a seguir, se mover livremente pela rede até o terminal PoS.

Afinal, a maquininha de cartão é um computador e, se estiver conectada à rede e à Internet, os invasores podem tentar obter acesso e manipulá-la como qualquer outra máquina desprotegida.

Os meios de pagamento no mundo e o Pix no Brasil. Como ele vai afetar a sua empresa?

O Pix traz uma grande novidade para os meios de pagamento no Brasil, isso quer dizer que as empresas podem se beneficiar com o uso dele.

Mas tem mais coisa em jogo, pois agora as empresas também precisam estar em conformidade com a LGPD.

E por fim, já está em discussão a aplicação do conceito de Open Banking no Brasil.

O que isso tudo significa para as empresas brasileiras? Confira nosso guia mais recente e desvende todas as novidades tecnológicas envolvendo o setor financeiro.

Ataques cibernéticos no setor de educação infantil estão aumentaram significativamente, alerta FBI

Ataques cibernéticos no setor de educação infantil estão aumentando de forma alarmante nos Estados Unidos.

Em um alerta conjunto do FBI e da Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA), as autoridades disseram que os dados do Centro de Análise e Compartilhamento de Informações Multiestaduais (MS-ISAC) mostram que, em agosto e setembro, 57% dos incidentes de ransomware relatados ao MS-ISAC envolveu escolas de ensino fundamental, em comparação com apenas 28% de todos os incidentes de ransomware relatados de janeiro a julho.

Mas o ransomware não é o único problema – a CISA e o FBI disseram que malwares de trojan, ataques de negação de serviço distribuído (DDoS), phishing e roubo de credenciais, bem como o hacking de contas, comprometimento de rede e muito mais estão em alta desde o início do ano escolar.

“Seja como garantia para ataques de ransomware ou para vender na dark web, os cibercriminosos podem tentar explorar o ambiente rico em dados que são as escolas e serviços de tecnologia educacional (edtech)”, dizem os órgãos de segurança.

“A necessidade de as escolas fazerem uma transição rápida para o ensino à distância provavelmente contribuiu para as lacunas de segurança cibernética, deixando-as vulneráveis ​​a ataques. Além disso, as instituições de ensino que terceirizaram suas ferramentas de ensino à distância podem ter perdido a visibilidade das medidas de proteção de dados – tornando-se alvos lucrativos para os cibercriminosos.”

As cinco variantes de ransomware mais comuns identificadas em incidentes direcionados às escolas neste ano são Ryuk, Maze, Nefilim, AKO e Sodinokibi / REvil.

A engenharia social em geral também está em ascensão no setor edtech, e mira alunos, pais, professores, colaboradores de TI ou outros indivíduos envolvidos no ensino à distância. Os esforços incluem phishing de informações pessoais ou de contas bancárias, links maliciosos para baixar malware e técnicas de spoofing de domínio, em que os invasores registram domínios da web semelhantes a sites legítimos. Aqui, eles esperam que um usuário clique por engano e acesse um site sem notar mudanças sutis nas URLs do site.

Além disso, ataques como DDoS e bombardeio de Zoom também estão se tornando mais frequentes, de acordo com o alerta.

“Os cibercriminosos provavelmente veem as escolas como alvos de oportunidade, e esses tipos de ataques devem continuar até o ano letivo de 2021. Essas questões serão particularmente desafiadoras para escolas que enfrentam limitações de recursos; portanto, a liderança educacional, o pessoal de tecnologia da informação e o pessoal de segurança precisarão equilibrar esse risco ao determinar seus investimentos em segurança cibernética.”

Setores de serviços essenciais são a principal vítima de ataques. O que fazer a respeito

Governos e provedores de serviços essenciais observaram uma enxurrada de ataques de ransomware no setor de saúde ao longo deste ano.

Em 16 de novembro de 2020, a Americold, uma das maiores cadeias de armazéns frigoríficos dos EUA, tornou-se a vítima mais recente de um ataque coordenado de ransomware. O ataque afetou as comunicações, o inventário e as operações da Americold, o que é particularmente preocupante, já que as instalações frigoríficas serão essenciais para a implementação das vacinas contra o COVID-19.

Enquanto o governo trabalha para combater os riscos abrangentes de segurança cibernética para a infraestrutura crítica, o resultado é que, cada vez mais, as decisões de segurança cibernética se tornam decisões de negócio. As empresas não podem esperar para investir somente depois de um grande incidente de segurança.

Mesmo que seu orçamento e gastos com segurança cibernética sejam baixos, é recomendado designar líderes em sua organização que sejam responsáveis ​​por estar a par tanto de suas próprias redes e endpoints quanto do cenário global de ameaças.

Considere caminhos para compartilhar informações, mesmo com concorrentes, sobre ameaças, desafios e tendências semelhantes. Conscientização é a chave.

Os meios de pagamento no mundo: O Pix vai gerar oportunidades para sua empresa?

Toda novidade tecnológica desperta dúvidas em relação a sua aplicação em uma organização, além de todas as preocupações envolvendo segurança e privacidade.

Por isso, conte com nossa equipe de especialistas para te ajudar nessa jornada.

A pandemia não foi motivo para os hackers pouparem suas vítimas – que vão desde órgãos governamentais a provedores de saúde. Pelo contrário: a pandemia pode ter acelerado a maioria desses ataques.

Violações de dados, infiltrações de rede, roubo e venda de dados em massa, roubo de identidade, surtos de ransomware: 2020 foi considerado o pior ano da história para a cibersegurança – e o mercado clandestino do cibercrime não dá sinais de parar.

À medida que grande parte da população mundial migrava para o home office, as empresas foram forçadas a, rapidamente, fazer a transição para operações remotas. Se aproveitando disso, agentes de ameaça também mudaram seu modus operandi.

Como resultado, vimos uma variedade de ataques cibernéticos este ano, dentre os quais alguns dos piores, até agora, foram:

JANEIRO

• Travelex: os serviços da Travelex foram retirados do ar após uma infecção por malware. A própria empresa e suas empresas parceiras, que usam a plataforma para fornecer serviços de câmbio, foram todas afetadas.
• Reembolsos de impostos do IRS: um residente dos EUA foi preso por usar informações vazadas por meio de violações de dados para preencher declarações de impostos fraudulentas no valor de US$ 12 milhões.
• Distrito escolar independente de Manor: esse distrito escolar do Texas perdeu US$ 2,3 milhões por conta de um ataque de phishing.
• Wawa: 30 milhões de registros contendo dados de clientes da empresa foram disponibilizados para venda online.
• Microsoft: A gigante da tecnologia divulgou que cinco servidores usados para armazenar avaliações anônimas de usuários foram expostos na Internet sem proteção adequada.
• Maconha medicinal: Um banco de dados que apoia os sistemas de ponto de venda usado em dispensários de maconha medicinal e recreativa foi comprometido, afetando cerca de 30.000 usuários nos EUA.

FEVEREIRO

• Estée Lauder: 440 milhões de registros internos foram supostamente expostos devido a falhas de segurança de middleware.
• Portal de impostos do governo da Dinamarca: Os números de identificação do contribuinte de 1,26 milhão de cidadãos dinamarqueses foram acidentalmente expostos.
• DOD DISA: A Defense Information Systems Agency (DISA), que oferece serviços de TI para a Casa Branca, admitiu que ocorreu uma violação de dados que pode comprometer os registros dos funcionários.
• Autoridade de Conduta Financeira do Reino Unido (FCA): A FCA divulgou, acidentalmente, informações confidenciais pertencentes a cerca de 1.600 consumidores, como parte de uma solicitação FOIA.
• Clearview: Toda a lista de clientes da Clearview AI foi roubada devido a uma vulnerabilidade de software.
• General Electric: A GE alertou seus trabalhadores de que um indivíduo não-autorizado foi capaz de acessar informações pessoais, pertencentes a eles, devido a falhas de segurança com o fornecedor Canon Business Process Service.

MARÇO

• T-Mobile: Um hacker obteve acesso às contas de e-mail dos funcionários, comprometendo dados de clientes e colaboradores.
• Marriott: A rede de hotéis sofreu um ataque cibernético que comprometeu contas de e-mail de 5,2 milhões de hóspedes.
• Sussurro: o aplicativo anônimo de compartilhamento de segredos, fenômeno momentâneo do ano, expôs online milhões de perfis privados e dados de milhões de usuários.
• Anéis de hackers SIM-swap: a Europol fez apreensões em toda a Europa, detendo hackers SIM-swap responsáveis ​​pelo roubo de mais de € 3 milhões.
• Virgin Media: A empresa expôs os dados de 900.000 usuários por meio de um banco de dados de marketing aberto.
• MCA Wizard: 425 GB de documentos confidenciais pertencentes a organizações financeiras estavam acessíveis ao público por meio de um banco de dados vinculado ao aplicativo MCA Wizard.
• NutriBullet: NutriBullet foi vítima de um ataque Magecart, com o código de skimming do cartão de pagamento infectando o e-commerce da empresa.
• Marriott: a Marriott divulgou uma nova violação de dados que afetou 5,2 milhões de hóspedes do hotel.

ABRIL

• US Small Business Administration (SBA): até 8.000 candidatos a empréstimos de emergência foram envolvidos em um vazamento de dados de PII.
• Nintendo: 160.000 usuários foram afetados por uma campanha de sequestro de contas em massa.
• Email.it: O provedor de e-mail italiano deixou os dados de 600.000 usuários vulneráveis, o que resultou na venda das credenciais na Dark Web.
• US Small Business Administration (SBA): A SBA revelou que cerca de 8.000 candidatos a empréstimos de emergência para empresas estavam envolvidos em uma violação de dados.

MAIO

• EasyJet: A companhia aérea revelou uma violação de dados de nove milhões de clientes, incluindo algumas informações financeiras.
• Blackbaud: O provedor de serviços em nuvem foi atingido por operadores de ransomware que sequestraram as credenciais de seus clientes. Posteriormente, a empresa pagou um resgate para impedir que os dados vazassem online.
• Mitsubishi: Uma violação de dados sofrida pela empresa também resultou

potencialmente no roubo de dados confidenciais de projetos de mísseis.

• Toll Group: A gigante da logística foi atingida por um segundo ataque de ransomware em três meses.
• Illinois: O Departamento de Segurança do Trabalho de Illinois (IDES) vazou registros relativos aos cidadãos que se candidataram a benefícios de seguro-desemprego.
• Wishbone: 40 milhões de registros de usuários do site foram publicados online pelo grupo de hackers ShinyHunters.

JUNHO

• Amtrak: Dados pessoais de clientes vazaram e algumas contas do Amtrak Guest Rewards foram acessadas por hackers.
• University of California SF: A universidade pagou um resgate de US$ 1,14 milhões a hackers para salvar a pesquisa do COVID-19.
• AWS: A AWS atenuou um ataque DDoS de 2,3 Tbps.
• Postbank: Um funcionário do banco sul-africano obteve uma chave-mestra de acesso ao sistema e roubou US$ 3,2 milhões.
• NASA: A gangue de ransomware DopplePaymer alegou ter violado as redes de um terceirizado de TI da NASA.
• Claire's: A empresa de acessórios foi vítima de uma infecção do Magecart de cartões skimming.

JULHO

• CouchSurfing: 17 milhões de registros pertencentes ao CouchSurfing foram encontrados em um fórum da Dark Web.
• Universidade de York: A universidade do Reino Unido divulgou uma violação de dados causada por Blackbaud. Registros de funcionários e alunos foram roubados.
• SigRed: a Microsoft corrigiu um exploit de 17 anos que poderia ser usado para sequestrar servidores Microsoft Windows.
• MGM Resorts: Um hacker colocou os registros de 142 milhões de hóspedes do MGM online para venda em fóruns clandestinos.
• V Shred: As informações pessoais de 99.000 clientes e professores foram expostas online. A V Shred resolveu o problema apenas parcialmente.
• BlueLeaks: A polícia fechou um portal usado para hospedar 269 GB em arquivos roubados pertencentes aos departamentos de polícia dos EUA, após o vazamento de algumas dessas informações.
• EDP: A fornecedora de energia norte-americana confirmou um incidente de ransomware Ragnar Locker. Aparentemente, mais de 10 TB em registros de negócios foram roubados.
• MongoDB: Um hacker tentou resgatar 23.000 bancos de dados da MongoDB.

AGOSTO

• Cisco: Um ex-engenheiro se declarou culpado de causar grandes danos às redes da Cisco, custando à empresa US$ 2,4 milhões para consertá-los.
• Canon: A gigante da fotografia foi atingida pela gangue de ransomware Maze.
• Intel: 20 GB de dados corporativos confidenciais pertencentes à Intel foram publicados online.
• The Ritz, Londres: Os fraudadores se passaram por funcionários em um golpe de phishing contra clientes do Ritz.
• Freepik: A plataforma de imagens gratuitas revelou uma violação de dados que afetou 8,3 milhões de usuários.
• Universidade de Utah: a universidade cedeu às ameaças dos cibercriminosos e pagou um resgate de US$ 457.000 para impedir o grupo de publicar informações sobre seus alunos.
• Experian, África do Sul: A filial da Experian na África do Sul divulgou uma violação de dados que afetou 24 milhões de clientes.

SETEMBRO

• Nevada: uma escola de Nevada, sofrendo um ataque de ransomware, recusou-se a pagar os cibercriminosos – e, portanto, os dados dos alunos foram publicados online, como forma de retaliação.
• Ransomware em um hospital alemão: um paciente faleceu após não conseguir atendimento em um hospital que sofria uma infecção de ransomware.
• Policiais da Bielo-Rússia: as informações privadas de 1.000 policiais de alto escalão vazaram.
• Satélites: hackers iranianos foram acusados de comprometer satélites americanos.
• Cerberus: Os desenvolvedores do Trojan bancário Cerberus liberaram o código-fonte do malware, depois de não conseguirem vendê-lo para a iniciativa privada.
• Banco Estado: O banco chileno foi forçado a fechar agências devido a um ataque de ransomware.

OUTUBRO

• Barnes & Noble: A rede livreira sofreu um ataque cibernético, que acredita-se ser obra do grupo de ransomware Egregor. Registros roubados vazaram online como prova.
• ONU IMO: A Organização Marítima Internacional das Nações Unidas (ONU IMO) divulgou ter sofrido uma violação de segurança que afeta os sistemas públicos.
• Estrondo! Móvel: o provedor de serviços de telecomunicações foi vítima de um ataque de skimming de cartão Magecart.
• Google: O Google disse que mitigou um ataque DDoS de 2,54 Tbps, um dos maiores já registrados.
• Ubisoft, Crytek: Informações confidenciais pertencentes às gigantes dos videogames foram divulgadas online pela gangue de ransomware Egregor.

NOVEMBRO

• Manchester United: O Manchester United informou que estava investigando um incidente de segurança que afetou seus sistemas internos.
• Vertafore: 27,7 milhões de dados pessoais de motoristas do Texas foram comprometidos devido a "erro humano".
• Campari: A gigante das bebidas Campari ficou fora do ar após um ataque de ransomware.
• Botnet de US$ 100 milhões: um hacker russo foi preso por operar um botnet responsável por drenar US$ 100 milhões das contas bancárias de suas vítimas.
• Mashable: Um hacker publicou uma cópia de um banco de dados Mashable online.
• Capcom: A Capcom se tornou mais uma vítima do ransomware Ragnar Locker, sendo forçada a interromper seus sistemas internos.
• Home Depot: A varejista dos EUA fez um acordo de US$ 17,5 milhões depois que uma infecção de malware PoS afetou milhões de seus compradores.
• Embraer: A empresa aeroespacial brasileira foi atingida por um ciberataque que resultou em roubo de dados.

DEZEMBRO

• Leonardo SpA: A polícia italiana prendeu suspeitos que teriam roubado até 10 GB de dados corporativos e militares confidenciais da empresa.
• Flight Center: Descobriu-se que um hackathon de 2017 lançado pela empresa foi a fonte de um vazamento envolvendo registros de cartão de crédito e números de passaporte de cerca de 7.000 pessoas.
• Absa: Acredita-se que um funcionário de um banco com sede na África do Sul seja o responsável pelo vazamento de informações de identificação pessoal pertencentes aos clientes.
• HMRC: O escritório de impostos do Reino Unido foi classificado como “incompetente” devido a 11 violações de dados sérias que afetaram cerca de 24.000 pessoas.
• STF: Um ataque comprometeu por vários dias o funcionamento do Supremo Tribunal Federal do Brasil.

Embora a expectativa seja de que 2021 não seja um ano ruim, se os hábitos não mudarem, continuaremos sofrendo ameaças potencialmente trágicas.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Utilidades domésticas podem virar armas de espionagem? Talvez não. Mas muitos vetores do nosso dia a dia estão sujeitos a ataques – seja por apps de relacionamentos ou por dispositivos corrompidos.

O que você vai ler hoje:

• Cibercriminosos vasculham massivamente a internet em busca de brechas deixadas por desenvolvedores
• O mercado do ransomware continua evoluindo e, agora, conta até com “corretores”
• Hackers usam tecnologia do iPhone 12 para ouvir conversas de usuários através de um aspirador
• Bumble expõe seus 95 milhões de usuários ao risco de vazamento de dados

Cibercriminosos vasculham massivamente a internet em busca de brechas deixadas por desenvolvedores

Atraindo pouca atenção para si, cibercriminosos passaram os últimos dois ou três anos vasculhando massivamente a internet em busca de arquivos ENV que tenham sido acidentalmente carregados e esquecidos em servidores da web, aponta pesquisa.

Arquivos ENV, ou arquivos de ambiente, são um tipo de arquivo de configuração, geralmente usado por desenvolvedores e ferramentas de desenvolvimento. E, devido à natureza de seus dados, os arquivos ENV devem sempre ser armazenados em pastas protegidas.

De modo geral, os desenvolvedores de aplicativos costumam receber avisos sobre a varredura de botnets maliciosos em busca de arquivos de configuração GIT ou de chaves privadas SSH que tenham sido acidentalmente carregadas online. Mas as varreduras por arquivos ENV são tão comuns quanto, ainda que não recebam a mesma atenção.

De acordo com a empresa de segurança GreyNoise, mais de 2.800 endereços IP diferentes foram usados ​​para escanear arquivos ENV nos últimos três anos, com mais de 1.100 scanners ativos só no mês passado.

Varreduras semelhantes também foram registradas pela empresa de inteligência de ameaças Bad Packets, que rastreou os caminhos de arquivos ENV mais comuns e tem postado updates recorrentemente no Twitter.

Se os agentes de ameaças que identificam os arquivos ENV acabam baixando o arquivo, são capazes de extrair todas as credenciais confidenciais e violar a infraestrutura de back-end de uma organização.

E o objetivo final dos ataques subsequentes pode ser qualquer um, desde o roubo de propriedade intelectual a ataques de ransomware ou instalação de malware de mineração de criptografia (cryptojacking).

Como forma de se proteger, os pesquisadores aconselham desenvolvedores a testar e ver se os arquivos ENV de seus aplicativos estão disponíveis online e, em seguida, proteger qualquer arquivo ENV que possa ter sido acidentalmente exposto.Além disso, alterar todos os tokens e senhas dos arquivos expostos é uma obrigação.

O mercado do ransomware continua evoluindo e, agora, conta até com “corretores”

Foi-se o tempo em que grupos de ransomware lançavam campanhas em massa de spam por e-mail na esperança de infectar usuários aleatórios na Internet.

Hoje, os operadores de ransomware evoluíram de um nicho de pequenas gangues de malware para uma série de cartéis de crimes cibernéticos complexos com habilidades, ferramentas e orçamentos similares aos dos grupos de hackers patrocinados pelo governo.

Mais do que isso, as gangues de ransomware, hoje, contam com parcerias em vários níveis com outros núcleos do crime cibernético. Chamados de "corretores de acesso inicial" (initial access brokers, em inglês), esses grupos operam como uma cadeia de suprimentos do submundo do crime, fornecendo às gangues de ransomware (e outras) acesso a grandes acervos de sistemas comprometidos, a fim de facilitar o sucesso dos ataques.

Consistindo em endpoints RDP hackeados, dispositivos de rede backdoor e computadores infectados por malware, esses sistemas permitem que gangues de ransomware obtenham acesso facilmente a redes corporativas, aumentem seu grau de acesso e criptografem arquivos para exigir resgates enormes sem grandes esforços.

Esses corretores de acesso inicial são uma parte crucial do cenário do crime cibernético. Hoje, três tipos de corretores se destacam como as fontes da maioria dos ataques de ransomware:

• Vendedores de endpoints RDP comprometidos
• Vendedores de dispositivos de rede hackeados
• Vendedores de computadores já infectados com malware

No entanto, embora a proteção contra os dois primeiros vetores normalmente se baseie estar atento às boas práticas de criação de senha, autenticação multifatorial e manter os dispositivos atualizados, o terceiro vetor é mais difícil de proteger.

Isso ocorre porque os operadores de botnet de malware muitas vezes dependem de engenharia social para enganar os usuários a fim de que eles próprios instalem malware em seus sistemas, mesmo se os computadores estiverem executando softwares atualizados.

De todo modo, pesquisadores de cibersegurança alertam para o desenvolvimento de uma rede de cibercrime muito maior e mais complexa, que promete bastante dores de cabeça para as organizações-alvo desses grupos.

Hackers usam tecnologia do iPhone 12 para ouvir conversas de usuários através de um aspirador

Hackers usaram a tecnologia LiDAR, presente no último iPhone 12 Pro e 12 Pro Max, para transformar um aspirador de pó em um dispositivo de espionagem.

Isso de acordo com uma equipe de acadêmicos da Universidade Nacional de Cingapura e da Universidade de Maryland, que publicou um artigo de pesquisa com o título “Espionagem com seu robô aspirador de pó: espionagem por meio de sensores LiDAR”.

O hack, que os pesquisadores chamaram de LidarPhone, é conhecido como “ataque de canal lateral”, quando, em vez de explorar fraquezas ou vulnerabilidades, os hackers exploram os pontos fortes de um dispositivo – muitas vezes de forma diferente daquela para a qual eles foram originalmente projetados.

No caso da pesquisa, os hackers utilizaram os sensores LiDAR de um aspirador inteligente, cuja função é ajudar o aparelho a mapear os arredores, para atuar como microfones e gravar as conversas de seus proprietários.

Ao longo de 19 horas dessa gravação secreta, os pesquisadores dizem que conseguiram coletar conversas e músicas tocadas por um alto-falante de computador e pela caixa de som da TV.

"Os sons são essencialmente ondas de pressão que se propagam através das vibrações do meio", argumentam os pesquisadores, "e a energia sonora de um ambiente é parcialmente induzida em objetos próximos, criando vibrações físicas sutis dentro desses meios sólidos." Ao reaproveitar os sensores LiDAR do aspirador de pó, eles conseguiram, portanto, captar essas vibrações, que foram então processadas "para recuperar traços de sons". O processo de recuperação, baseado em deep learning, tem uma taxa de sucesso de cerca de 90%, de acordo com o artigo.

As mesmas técnicas poderiam, teoricamente, ser aplicadas a qualquer dispositivo equipado com sensor LiDAR.

Porém, aplicar os resultados obtidos em laboratório a um cenário real de hacking está longe de ser simples. Além de precisar comprometer o aspirador de pó para poder reutilizar os sensores LiDAR por meio de uma atualização de firmware, os hackers também precisariam acessar a rede local do alvo.

Níveis de ruído, iluminação e distância do alvo seriam fatores importantes para o sucesso da operação – o que pode ser tranquilizante para usuários dessa e de outras soluções inteligentes, pelo menos por ora, pois dificilmente o esforço vai compensar.

Bumble expõe seus 95 milhões de usuários ao risco de vazamento de dados

Pesquisadores de cibersegurança descobriram que, mesmo que fossem banidos do serviço, poderiam extrair uma série de informações pessoais do aplicativo de relacionamentos Bumble, conhecido como um dos mais importantes concorrentes do Tinder.

As falhas de segurança foram corrigidas no início deste mês, mas levou pelo menos 200 dias desde que o Bumble foi avisado dessas vulnerabilidades para que a empresa de fato fizesse algo.

Até então, se uma conta do Bumble estivesse conectada ao Facebook, era possível ter acesso a todos os “interesses” ou páginas curtidas por um usuário.

O hacker também podia adquirir informações sobre o tipo exato de pessoa que um usuário do Bumble estava procurando, bem como todas as fotos que ele enviou para o aplicativo.

Mas o mais preocupante é que era possível obter a localização aproximada de um usuário observando sua distância em quilômetros. Um invasor poderia, então, falsificar a localização de algumas contas e, em seguida, tentar triangular as coordenadas de um alvo.

Como era extremamente fácil violar os dados dos usuários e, potencialmente, realizar ataques de vigilância ou revender as informações furtadas, os pesquisadores destacam que “o excesso de confiança que as pessoas têm em grandes marcas e aplicativos disponíveis em lojas como a App Store e a Play Store pode ser problemática”, visto que o cadastro de apps nessas lojas não dispensa a necessidade de uma averiguação cuidados por parte dos usuários.

Em última análise, finalizam os responsáveis pela pesquisa, esse é um “grande problema para todos que se preocupam, mesmo que minimamente, com sua informações pessoais e com sua privacidade”.

Mantenha sua empresa segura! Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar

A natureza crítica das estruturas fabris, somada a vulnerabilidades de segurança, representa uma oportunidade única para hackers, que exploram ataques de ransomware direcionados à manufatura.

Ataques de ransomware têm se tornado uma grande ameaça para indústrias de manufatrua, à medida que grupos cibercriminosos se mostram cada vez mais interessados em sistemas de controle industrial (ICS), que gerenciam as operações fabris.

De acordo com análises feitas por pesquisadores de segurança cibernética da iniciativa privada, o número de ataques de ransomware registrados publicamente contra o setor de manufatura triplicou – e isso considerando somente dados do ano passado.

Embora grande parte da manufatura esteja apoiada em sistemas tradicionais de TI, alguns elementos dos processos industriais dependem de sistemas ICS, principalmente quando falamos de produção em massa – e essa é uma brecha que vários grupos de hackers estão ativamente procurando explorar, com ataques altamente direcionados.

Ataques ao setor secundário podem parar o país

Ataques de ransomware direcionados a ICS são potencialmente muito preocupantes por conta da natureza interconectada da cadeia de suprimentos de manufatura.

Isto é, se uma fábrica for atingida por um ataque cibernético, isso poderá ter consequências em larga escala, visto que ela pode ajudar a alimentar uma indústria inteira.

Se uma empresa da indústria farmacêutica que produz medicamentos em massa, ou outros produtos de saúde, for atingida por um ataque de ransomware, por exemplo, isso pode ter um impacto indireto no setor de saúde como um todo, impedindo desde tratamentos caseiros ao atendimento em hospitais de todo o país.

É esse nível de ameaça, e o potencial caos que ela causaria, que levou os pesquisadores de segurança cibernética a descreverem o ransomware com a capacidade de interromper processos industriais como a “maior ameaça ao setor”, atualmente. E pelo menos cinco grupos de hackers estão visando ativamente, ou demonstrando interesse, em empresas de manufatura.

Indústrias estariam mais propensas a pagar pelo resgate das redes

Para os cibercriminosos, o setor secundário, como um todo, é um alvo altamente estratégico. Em muitos casos, afinal, se tratam de operações que não podem ficar suspensas por muito tempo. Logo, concluem os criminosos, elas podem ser mais propensas a ceder às demandas dos invasores e pagar centenas de milhares de dólares em bitcoins em troca de recuperar sua rede.

"A manufatura requer um tempo de atividade significativo para atender à produção e qualquer ataque que cause paralisação pode custar muito dinheiro. Assim, eles podem estar mais inclinados a pagar os invasores", disse Selena Larson, analista de inteligência da Dragos, empresa responsável pela pesquisa, à imprensa.

"Além disso, os processos de manufatura não contam, necessariamente, com operações de segurança cibernética muito robustas e podem representar oportunidades interessantes para cibercriminosos, uma vez que tendem a ser alvos fáceis e, de certa forma, altamente rentáveis".

Os pontos de atenção para a manufatura

Por sua natureza, os ativos industriais de empresas de manufatura são frequentemente expostos à Internet, uma vez que os sistemas são interdependentes de uma rede única, fornecendo caminhos para que grupos de hackers e gangues de ransomware obtenham acesso a essa rede por meio de tecnologia de acesso remoto, como protocolos de desktop remoto (RDP) e serviços VPN, ou vulnerabilidades em sistemas sem patch.

Em outubro de 2020, a empresa responsável pela pesquisa disse que havia pelo menos 108 alertas contendo 262 vulnerabilidades com impacto em equipamentos industriais – isso apenas durante este ano, e muitas dos quais potencialmente deixam as redes vulneráveis a ransomware e outros ataques cibernéticos.

"Infelizmente, vulnerabilidades não-corrigidas, que podem permitir o acesso inicial ao sistema, sempre serão um problema. Testar e aplicar patches assim que possível é muito importante para prevenir a exploração", alertam os pesquisadores. Como vulnerabilidades comuns são facilmente identificáveis, os cibercriminosos não precisam forçar muito para abrir as portas das redes industriais.

Também é natural que os cibercriminosos estejam recorrendo ao ransomware como principal ameaça, visto que, hoje, é a maneira mais rápida e fácil de ganhar dinheiro comprometendo uma grande rede.

Mas, ao obter controle suficiente da rede para implantar ransomware, os hackers também poderão acessar propriedade intelectual e dados confidenciais armazenados na rede, escalando o problema para uma violação grave.

Isso poderia levar grupos de hackers a usarem o ransomware como cortina de fumaça para ataques cibernéticos mais complexos, projetados para roubar propriedade intelectual, tornando a ameaça ainda mais prejudicial às vítimas a longo prazo.

Para se proteger, é necessária a adoção de uma rotina de medidas preventivas, como a condução de revisões regulares da arquitetura cibernética para identificar brechas de rede, garantir que os dispositivos e serviços estejam constantemente atualizados e realizar uma análise completa da infraestrutura de rede, para identificar possíveis pontos fracos que poderiam interromper a continuidade das operações industriais no país.

Mantenha seu negócio seguro. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Cenário é favorável para empresas de segurança no Brasil. A contrapartida: o número de ataques continua crescendo ao redor do mundo.

O que você vai ler hoje:

• 63 milhões de registros de clientes e usuários são expostos em banco de dados acessível ao público
• Número de infecções por código malicioso cresce no Brasil
• Gigante dos games sofre ataque de ransomware e deve pagar 11 milhões de dólares
• Empresas de TI no Brasil caminham para recuperação pós-pandemia

63 milhões de registros de clientes e usuários são expostos em banco de dados acessível ao público

O pesquisador de cibersegurança Jeremiah Fowler descobriu, no começo de outubro deste ano, mais de 60 milhões de registros de clientes e usuários expostos em um banco de dados descriptografado, disponível para qualquer um, sem senha. Os registros pertenciam a uma provedora de serviços de hospedagem norte-americana, Cloud Cluster.

De acordo com Jeremiah, não é possível saber, com certeza, por quanto tempo esses registros foram expostos ou quem mais pode ter tido acesso a esses dados, que incluem logins para plataformas de e-commerce e gestão de websites, como Magento e WordPress.

“Se um cibercriminoso tivesse acesso a essas informações, ele poderia comprometer esses sites e contas de comércio eletrônico”, afirma o pesquisador.

Além disso, havia registros no banco de dados conectando vários nomes de empresas, todos fornecendo serviços de hospedagem e gerenciamento de dados semelhantes sob o guarda-chuva Cloud Cluster. Com a enorme quantidade de registros, era difícil dizer quantos serviços eles operavam.

No total, foram expostos 63.747.966 de registros. Segundo Fowler, o banco de dados descriptografado que continha essas credenciais permitia a qualquer pessoa editar, baixar ou até mesmo excluir os dados, sem necessidade de credenciais administrativas.

Ele também informa informa que notificou a empresa no dia 5 de outubro, quando descobriu o ocorrido. No entanto, a empresa só respondeu no dia 13 de outubro, agradecendo:

“Obrigado por apontar os problemas para aumentar a segurança do site. Nós também levamos a segurança de dados muito a sério”.

Não é certo que a empresa tenha notificado seus clientes e usuários sobre a exposição dos dados, como exigido pelas normas de proteção de dados pessoais.

Com esses dados, cibercriminosos poderiam logar nos sistemas das empresas expostas, acessar o back-end dos clientes da Cloud Cluster, bem como a conta dos usuários desses clientes.

Número de infecções por código malicioso cresce no Brasil

Brasil teve um crescimento de 1,26% no número de infecções por código malicioso em relação ao ano passado, passando de 11% em 2018 para 12,26% em 2019, segundo o Relatório de Segurança da ESET de 2020.

De acordo com o estudo, a forma como ataques cibernéticos são executados amadureceu significativamente. Houve uma diminuição de ataques generalistas e massificados, paralelo ao crescimento de ataques mais direcionados, com maiores chances de sucesso.

O relatório contou com a participação de mais de 3900 empresas, distribuídas por 14 países da América Latina, como o Brasil, México, Argentina, Colômbia e outros. Dessas, cerca de 60% afirmaram ter sofrido pelo manos um incidente de segurança durante o ano de 2019, número que se manteve em relação ao ano de 2018, de acordo com a pesquisa.

Além disso, 1 a cada 3 empresas entrevistadas afirmaram ter sofrido uma infecção por código malicioso, o que inclui ransomware.

Outros dados preocupantes dizem respeito a ataques de phishing, que continuam sendo bastante explorado na América Latina.

Cerca de 45% dos usuários individuais entrevistados afirmaram ter recebido tentativas de phishing relacionadas à pandemia do novo coronavírus ao longo deste ano. Além disso, 50% garantiram que a empresa para qual trabalham não apresenta ferramentas necessárias para manter o trabalho remoto seguro.

O relatório completo você pode conferir aqui.

Gigante dos games sofre ataque de ransomware e deve pagar 11 milhões de dólares

Capcom, a gigante japonesa de games por trás das franquias Street Fighter, Mega Man e Resident Evil, relatou recentemente um grande incidente de segurança cibernética: um ataque de ransomware direcionado, cujos autores exigiram um pagamento de resgate de US$ 11 milhões.

Embora inesperado, o ataque não é surpreendente, dado o crescimento vertiginoso da empresa, que registrou receitas de 94,5 bilhões de ienes em 2019 – valor convertido para cerca de US$ 900 milhões na taxa de câmbio atual.

Em comunicado oficial, a Capcom anunciou que o ataque “interrompeu algumas operações de suas redes internas a partir de 2 de novembro”. Esse é o dia em que a empresa detectou pela primeira vez o acesso não-autorizado aos seus sistemas.

Os hackers por trás do ataque comprometeram quase 2.000 servidores da Capcom. Os invasores também afirmam ter desviado cerca de 1 TB de dados, incluindo demonstrações financeiras, documentos fiscais, dados pessoais, e-mails, bate-papos e informações pessoais dos clientes.

Os hackers também postaram capturas de tela de arquivos e pastas como prova do sequestro de dados. A Capcom contestou parcialmente as alegações dos hackers em seu comunicado à imprensa, tentando tranquilizar o público de que "não há indicação de que qualquer informação de nossos clientes tenha sido violada".

A Capcom relatou o incidente às autoridades e a investigação está em andamento. Nenhuma outra atualização foi postada na página de comunicados à imprensa da empresa até o momento.

Empresas de TI no Brasil caminham para recuperação pós-pandemia

As empresas de tecnologia no Brasil estão se encaminhando para recuperação em 2021, com computação em nuvem, análise de dados e cibersegurança sendo as três principais áreas de investimento para compradores e consumidores

De acordo com o relatório da IDC WW COVID-19 – Impact on IT Spending Survey, realizado em junho de 2020 e atualizado em setembro, uma perspectiva mais otimista tem sido observada recentemente.

Em junho, 48% das empresas brasileiras entrevistadas disseram que mergulharam na crise, devido à pandemia, mas este número caiu para 14% em setembro.

Quando se trata de orçamentos de TI, 42% das organizações brasileiras pesquisadas disseram que seus gastos para o próximo ano serão maiores do que o previsto antes do COVID-19, enquanto 22% seguirão suas previsões e 36% disseram que os orçamentos devem diminuir no próximo ano.

As empresas ainda vão investir em serviços gerenciados e de suporte no Brasil, mesmo que em um ritmo lento, afirmam os analistas responsáveis pelo relatório. O mesmo não deve acontecer no segmento de servidores e armazenamento, que, de acordo com o IDC, vinha encolhendo antes mesmo da pandemia.

Por outro lado, setores como o de soluções em nuvem têm apresentado alta no Brasil. Pesquisas separadas realizadas pelo Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (Cetic.br), braço de pesquisa do Centro Brasileiro de Informações em Redes (NIC.br), mostram uma evolução no uso desses serviços.

De acordo com a pesquisa, o armazenamento baseado em nuvem cresceu de 25% para 38%. O software empresarial na nuvem aumentou de 20% para 27% em dois anos, assim como o uso da capacidade de processamento da nuvem, que passou de 16% para 23% no mesmo período.

É um cenário promissor, que pode simbolizar o começo de um novo capítulo no investimento em cibersegurança no país.

Consulte a assessoria de especialistas em segurança da Compugraf e invista na proteção da sua empresa!

Mais de 1.200 organizações foram vítimas de uma campanha que usa explorações de vulnerabilidades conhecidas para obter acesso remoto a contas VoIP

Uma campanha de hacking em larga escala comprometeu sistemas telefônicos VoIP (Voice over Internet Protocol) em mais de 1.200 empresas em todo o mundo ao longo deste ano, a fim de lucrar com a venda de contas comprometidas.

Embora o objetivo principal pareça ser a discagem de números com tarifa premium, ou a venda de números de telefone e planos de chamadas, para que outros cibercriminosos possam usar esses números, o acesso a sistemas VoIP pode oferecer aos invasores a oportunidade de conduzir outros ataques mais complexos, incluindo ouvir chamadas privadas, cryptocurrency mining (mineração de criptomoedas), ou, até mesmo, usar os sistemas comprometidos como uma catapulta para campanhas muito mais agressivas.

Os detalhes da campanha

Os ataque foi detalhado por pesquisadores de segurança cibernética da Check Point, em relatório exclusivo.

Um grupo de hackers comprometeu as redes VoIP de quase 1.200 organizações em mais de 20 países, explorando vulnerabilidades conhecidas, com mais da metade das vítimas no Reino Unido.

“Durante nossa pesquisa, descobrimos uma nova campanha direcionada ao Sangoma PBX, uma GUI da web de código aberto que gerencia o Asterisk, o sistema PBX VoIP mais popular do mundo, usado por muitas empresas para telecomunicações. O ataque explora uma vulnerabilidade crítica no Sangoma, concedendo ao invasor acesso de administrador ao sistema.”

Acredita-se que setores como governo, militar, seguros, finanças e manufatura tenham sido vítimas da campanha.

Os ataques exploram a CVE-2019-19006, uma vulnerabilidade crítica nos sistemas de telefone VoIP da Sangoma e Asterisk, que permite que estranhos obtenham acesso remotamente sem qualquer forma de autenticação.

Um patch de segurança para corrigir a vulnerabilidade foi lançado ainda no ano passado, mas muitas organizações não o aplicaram – e os criminosos estão se aproveitando justamente disso, procurando por sistemas sem patch.

"A vulnerabilidade é uma falha de desvio de autenticação, e o exploit está disponível publicamente, como parte do protocolo de notificação de falhas de segurança. Uma vez explorado, os hackers têm acesso de administrador ao sistema VoIP, o que lhes permite controlar totalmente suas funções. E o pior: a invasão não será detectada, a menos que uma equipe de TI esteja procurando especificamente por isso", disse Derek Middlemiss, evangelista de segurança da Check Point Research, à imprensa.

O problema talvez seja ainda mais sério: a cadeia de ataques a sistemas VoIP

Um dos meios mais comuns de exploração desses sistemas hackeados é fazer chamadas sem registrá-las no sistema VoIP, o que permitiria aos invasores discar secretamente números de tarifa premium que eles configuraram para ganhar dinheiro às custas da organização comprometida .

E como as empresas fazem tantas ligações legítimas nesses sistemas, seria difícil detectar se um servidor está sendo explorado maliciosamente ou não.

Os invasores também ganham dinheiro vendendo o acesso aos sistemas em leilões virtuais, algo que poderia ser usado para outros ataques cibernéticos, ainda mais perigosos para as vítimas.

E é bastante possível para os invasores usarem um sistema VoIP comprometido como um gateway para o resto da rede, abrindo a possibilidade de roubar credenciais ou implantar malware.

“Isso depende de como o servidor está configurado e conectado ao resto da rede corporativa. Se não for segmentado do resto da rede, os invasores podem se mover lateralmente”, acrescentou Middlemiss.

O relatório conclui:

“Encontramos vários players relevantes na área que publicaram postagens de vendas de informações, ferramentas e sites de exploração de sistemas VoIP em fóruns de cibercrime. […]

As descobertas iniciais foram tutoriais sobre como fazer a varredura, reunir informações em servidores relativos e usar scripts de exploração. As instruções simplificam o processo a um nível em que qualquer pessoa poderia hackear um sistema. Talvez, como resultado, pareça haver uma grande e crescente comunidade envolvida na invasão de serviços de VoIP.

Embora isso possa explicar a cadeia de infecção, ainda existem dúvidas sobre a motivação dos ataques. Uma análise mais aprofundada levou não apenas à descoberta de que os ataques aos servidores SIP ocorram em uma escala maior do que se pensava inicialmente, mas também que existe um modelo econômico profundo subjacente.”

Para se proteger, recomenda-se que as organizações alterem nomes de usuário e senhas padrão em dispositivos para que não possam ser explorados facilmente e, se possível, analise o faturamento de chamadas regularmente para destinos potencialmente suspeitos, volumes de tráfego ou padrões de chamada.

E o mais importante, as organizações devem aplicar os patches de segurança necessários para evitar que vulnerabilidades conhecidas sejam exploradas, assim que eles estiverem disponíveis.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e conheça nossas soluções

O Brasil é vítima de ataque ao STJ. Por outro lado, conduziu investigação contra fraudadores de investimentos e visa devolver 24 milhões de dólares aos prejudicados pelo golpe. Grupo Campari se vê combatendo ransomware e dezenas de milhares de dados pessoais estão nas mãos de criminosos.

O que você vai ler hoje:

• STJ é atingido por ciberataque e paralisa sua operações
• Grupo Campari é vítima de ransomware, mas se recusa a pagar por resgate dos dados
• Polícia Federal brasileira investiga fraude de investimentos em criptomoedas e apreende 24 milhões de dólares
• Mais de 23.000 bancos de dados hackeados estão disponíveis para download gratuito em fóruns de cibercrime

STJ é atingido por ciberataque e paralisa sua operações

O Superior Tribunal de Justiça (STJ) foi atingido por um ciberataque que paralisará suas operações por pelos menos uma semana.

O incidente foi detectado na terça-feira (3), durante várias sessões de julgamento que se desdobravam no Tribunal.

De acordo com o STJ, a causa foi um vírus encontrado na rede e, por precaução, os acessos à internet foram desconectados, o que levou ao cancelamento das sessões de julgamento. Todos os sistemas do Tribunal, incluindo e-mail e telefonia, ficaram indisponíveis.

O ministro do STJ, Humberto Martins, divulgou no dia 5/11 uma nota sobre o ocorrido, informando que o atentado não afetou as informações relativas aos processos judiciais em andamento. Segundo nota do ministro, a invasão bloqueou o acesso aos dados por meio de criptografia, mas havia backups no local.

Posteriormente, descobriu-se que o ataque também afetou os backups do Tribunal no que está sendo descrito como o pior incidente de segurança cibernética já registrado no Brasil.

Ao lado do Centro de Defesa Cibernética do Exército Brasileiro e do pool de fornecedores de tecnologia do STJ, que inclui empresas como a Microsoft, a instituição trabalha agora na recuperação do ambiente de sistemas.

Todas as sessões do STJ, que aconteciam virtualmente, também foram suspensas. De acordo com o Tribunal, apenas casos urgentes estão sendo tratados enquanto o grupo de trabalho de recuperação avança e a expectativa é que os sistemas retomem seu funcionamento no dia 10 de novembro.

A pedido do STJ, um inquérito da Polícia Federal foi iniciado e o presidente Jair Bolsonaro declarou, em sessão ao vivo no dia 5, que um resgate havia sido exigido pelos autores do ataque e que os responsáveis ​​pelo incidente já haviam sido encontrados.

No entanto, essa informação não havia sido confirmada pela polícia até o momento da publicação deste texto.

Grupo Campari é vítima de ransomware, mas se recusa a pagar por resgate dos dados

O Campari Group, famoso fornecedor italiano de bebidas por trás de marcas como Campari, Cinzano e Appleton, sofreu um ataque de ransomware que derrubou grande parte de sua rede de TI.

O ataque ocorreu no domingo, 1º de novembro, e está vinculado à gangue de ransomware RagnarLocker, que agora está tentando extorquir a empresa atrás de um valor de resgate para descriptografar seus arquivos.

Não só isso: o grupo também está ameaçando liberar arquivos que roubou da rede da Campari se a empresa não pagar o resgate exigido em uma semana após a invasão inicial. O prazo venceu dia 8 de novembro, domingo.

Em uma janela de chat disponível para as vítimas do RagnarLocker, um representante da Campari não respondeu à gangue do ransomware. O pedido de resgate está definido atualmente em US$ 15 milhões.

A Campari também disse que detectou a intrusão assim que ocorreu e imediatamente agiu para isolar os sistemas afetados, e que o incidente não deve ter nenhum impacto significativo em seus resultados financeiros.

No entanto, cinco dias após o ataque, os sites, servidores de e-mail e linhas de telefone da Campari ainda estavam fora do ar.

Polícia Federal brasileira investiga fraude de investimentos em criptomoedas e apreende 24 milhões de dólares

Autoridades brasileiras e estadunidenses apreenderam 24 milhões de dólares em criptomoedas conectadas a um esquema online que supostamente fraudou “dezenas de milhares” de investidores.

A pedido do governo do Brasil, as forças de segurança dos EUA participaram da “Operação Egypto”, uma investigação federal brasileira sobre a suspeita de fraude, declarou o Departamento de Justiça dos EUA (DoJ) na quarta-feira (4).

O esforço colaborativo, realizado no âmbito do tratado de Assistência Jurídica Mútua em Matéria Criminal, localizou o suspeito Marcos Antonio Fagundes, que está sendo acusado de operação de instituição financeira sem autorização legal, gestão fraudulenta de instituição financeira, apropriação indébita, lavagem de dinheiro e a violação da lei de valores mobiliários.

Os promotores alegam que entre agosto de 2017 e maio de 2019, Fagundes e parceiros criminosos usaram a internet para encontrar e prospectar investidores, convencendo-os a investir em novas “oportunidades” financeiras.

As vítimas do suposto golpe abririam mão de fundos em moeda brasileira ou criptomoeda, acreditando que o investimento seria direcionado para empresas controladas por Fagundes e seus associados.

Essas empresas, dizem as autoridades, deveriam investir em ativos virtuais. No entanto, apenas uma “quantidade muito pequena” dos fundos foi usada para esse fim – enquanto o restante foi para os bolsos dos supostos fraudadores.

Depois que o tribunal brasileiro emitiu uma ordem de apreensão de qualquer criptomoeda detida por Fagundes nos Estados Unidos, US$ 24 milhões foram recuperados.

A investigação ainda está em andamento. No entanto, as autoridades brasileiras, o FBI e outras partes pretendem manter a criptomoeda como parte de futuros procedimentos de confisco para tentar compensar os investidores envolvidos, até certo nível.

Mais de 23.000 bancos de dados hackeados estão disponíveis para download gratuito em fóruns de cibercrime

Mais de 23.000 bancos de dados hackeados foram disponibilizados para download em vários fóruns de hackers e canais do Telegram, no que os analistas da inteligência de ameaças estão chamando de “o maior vazamento do tipo já visto na história”.

O acervo de dados teria se originado no Cit0Day.in, um serviço privado, que coletava bancos de dados hackeados e, em seguida, fornecia acesso a nomes de usuário, e-mails, endereços e até mesmo senhas em texto não-criptografado para outros hackers por uma taxa diária ou mensal.

No entanto, o Cit0day caiu em 14 de setembro, quando o domínio principal do site exibiu um aviso de apreensão do FBI e do DOJ.

Diante disso, rumores começaram a circular, em fóruns de hackers, de que um indivíduo conhecido como Xrenovi4, o criador do site Cit0day, pode ter sido preso.

Mas, embora não esteja claro se Xrenovi4 vazou os dados ou se os dados foram hackeados por uma gangue rival, os bancos de dados hackeados do Cit0day foram oferecidos, em sua totalidade, para download gratuito em um fórum conhecido para hackers que se comunicam em russo no mês passado.

No total, 23.618 bancos de dados hackeados estavam disponíveis para download por meio do portal de hospedagem de arquivos MEGA. O link ficou ativo por apenas algumas horas antes de ser removido após uma denúncia de abuso.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Bots maliciosos se tornaram mais complexos e mais custosos, afetando maioria das empresas ao redor do mundo

96% dos representantes de e-commerce ao redor do mundo dizem que bons bots são fundamentais para o sucesso de sua organização. Mas 80% dos comércios eletrônicos alegam terem perdido receita por conta de bots ruins.

Além disso, 81% dos e-commerces frequentemente ou muito frequentemente enfrentam problemas relacionados a bots maliciosos, e 80% dizem que houve um aumento na perda financeira dentro de sua organização por conta de ataques mais complexos e sofisticados a bots de e-commerce.

Finalmente, uma em cada quatro organizações diz que um único ataque de bot lhes custou 500.000 dólares ou mais no ano passado, e duas em cada três dizem que um único ataque lhes custou 100.000 dólares ou mais, dentre prejuízos e gastos com correções de segurança.

Essas e muitas outras informações estão no relatório Bot Landscape & Impact Report 2020, publicado no início de novembro.

A metodologia do relatório é baseada em entrevistas com colaboradores de varejo online e comércio eletrônico, com funções em tempo integral relacionadas à prevenção de fraude, experiência do cliente, pagamentos e gerenciamento de e-commerce.

As descobertas, conduzidas pela Kount, empresa de segurança do comércio eletrônico, trazem à luz novos insights sobre a amplitude da ameaça que diferentes tipos de bots maliciosos representam, bem como sobre o estado de mitigação e gerenciamento de bots.

Bots maliciosos visam todos os pontos da jornada do cliente

De acordo com o relatório, bots maliciosos são programados visando todos os pontos da jornada do cliente, com a maior enfoque na tentativa de violação das sessões de criação de conta e login dos usuários.

A pesquisa também descobriu que a sofisticação desses bots maliciosos está crescendo rapidamente.

É comum, por exemplo, encontrar bots projetados para ataques de força bruta ou de empilhamento de credenciais, teste automatizado de cartão de crédito para identificar cartões de crédito roubados utilizáveis, análise de conteúdo para vantagem competitiva e bots sociais projetados para enganar usuários.

Além disso, os bots mal-intencionados estão sendo usados para lançar ataques distribuídos de negação de serviço (DDoS) a fim de interromper ou derrubar de vez um site ou serviço digital.

Ataques de bots podem levar horas para serem detectados

Ataques de bots maliciosos podem levar horas para serem detectados e interrompidos. Mas, sobretudo, custam caro.

Uma em cada quatro empresas relata que um único ataque de bot malicioso custou à sua organização mais de US$ 500.000, por exemplo, dentre prejuízos com o ataque e gastos com cibersegurança corretiva.

Outro dado preocupante é que a maioria das organizações pesquisadas (58%) relatou mais de 50 ataques de bot nos últimos doze meses, com cerca de um terço dos ataques levando mais de seis horas para serem detectados e interrompidos.

Das empresas que sofreram ataques, dois terços dizem que um único ataque custou US$ 100.000 ou mais em receita perdida.

Os prejuízos vão além da perda financeira

Isso porque ataques de bot não só impedem as organizações de gerar receita, mas também de cuidar dos clientes e enviar pedidos, criando um caos que pode sair muito mais caro do que o ataque, em si, para os e-commerces.

Além disso, bots maliciosos podem travar sites, roubar informações dos clientes e criar contas falsas. Em alguns casos, foi relatado, inclusive, o congelamento de estoques por conta de ataques direcionados.

No todo, os bots acabam custando milhões de dólares por ano a todas as organizações, tornando esta área de segurança cibernética uma alta prioridade para muitos CISOs e CIOs em indústrias orientadas para o digital, incluindo varejo online e e-commerce.

Os bots estão cada vez mais complexos

Quase 90% das organizações dizem que bots maliciosos estão se mostrando cada vez mais difíceis de identificar e destruir.

Isso porque as soluções de segurança cibernética atuais nem sempre são eficazes na criação da resposta adaptativa necessária para identificar e erradicar bots maliciosos de redes corporativas.

Firewalls de acesso à web, redes de distribuição de conteúdo e fornecedores de bot dedicados têm funcionalidade básica para controlar bots, mas podem faltar funcionalidades essenciais necessárias para empresas de comércio eletrônico, como uma abordagem baseada em eventos para identificar tentativas de ataques de bots maliciosos, bem como distinguir bots bons, bots ruins e bots questionáveis.

Além disso, as equipes de TI, infraestrutura e segurança cibernética são responsáveis pelo problema de resolução de bots maliciosos na maioria das organizações pesquisadas.

E, como os bots maliciosos afetam a receita se forem bem-sucedidos, a responsabilidade de erradicá-los geralmente é compartilhada entre os departamentos.

Por isso, soluções completas de segurança, que permitam uma visão 360º das superfícies de ataque de uma organização e sejam capazes de antever – e, naturalmente, prevenir – quaisquer tentativas de ataques fazem a diferença na hora de assegurar a proteção dos diferentes pontos de vulnerabilidade de um e-commerce.

Saiba como manter o seu varejo seguro.

Consulte a assessoria de especialistas da Compugraf e proteja sua empresa!