Novas vulnerabilidades da Microsoft estão sendo exploradas por cibercriminosos. Violação de dados ameaça vazar desde registros psicoterapêuticos, na Finlândia, a informações financeiras, na Cingapura.

O que você vai ler hoje:

• Falha de segurança do Windows está sendo ativamente explorada por cibercriminosos
• Cidadãos finlandeses são vítimas de ransomware, que ameaça vazar informações “altamente sensíveis e confidenciais”
• E-mails universitários funcionam como “atalho” para invasão de redes corporativas nos EUA
• 1,1 milhão de contas comprometidas por falha de segurança em e-commerce

Falha de segurança do Windows está sendo ativamente explorada por cibercriminosos

A Microsoft confirmou, na última semana de outubro, que uma vulnerabilidade zero day não-corrigida no sistema operacional do Windows está sendo ativamente explorada por agentes cibercriminosos. A vulnerabilidade afeta todas as versões do Windows 7 ao Windows 10.

A empresa foi informada sobre a vulnerabilidade pela Project Zero do Google, uma unidade dedicada, formada pelos principais “caçadores de vulnerabilidades” do mundo, que rastreia bugs de segurança associados a zero day exploits.

Como o Project Zero identificou que o problema de segurança estava sendo explorado ativamente por invasores, a equipe deu à Microsoft um prazo de apenas sete dias para corrigi-lo antes da divulgação. A Microsoft não conseguiu lançar um patch de segurança dentro do prazo extremamente restritivo, e o Google publicou detalhes da vulnerabilidade, que agora pode ser rastreada como CVE-2020-17087.

O bug, em si, fica dentro do driver de criptografia do kernel do Windows, conhecido como cng.sys, e pode permitir que um invasor escale seus privilégios ao acessar uma máquina que utilize o sistema operacional da Microsoft.

Mas, embora a empresa tenha confirmado que o ataque relatado é real, ela também sugere que seu escopo é limitado e altamente direcionado. Ou seja, não se trata, por enquanto, de um exploit generalizado.

A Microsoft afirma não ter nenhuma evidência de exploits generalizados ameaçando seu sistema.

Além disso, argumenta que o ataque exige que outras vulnerabilidades sejam encadeadas para que uma exploração bem-sucedida aconteça. Uma das principais já foi corrigida: era uma vulnerabilidade baseada em navegador, CVE-2020-15999, que incluía o Chrome e Microsoft Edge. O Microsoft Edge foi atualizado em 22 de outubro, enquanto o Google Chrome foi atualizado em 20 de outubro. Contanto que seu navegador esteja atualizado, você está protegido.

Fora isso, de acordo com um porta-voz da Microsoft, em comunicado à Forbes, não há outras cadeias de ataque conhecidas explorando essa vulnerabilidade do Windows atualmente.

Cidadãos finlandeses são vítimas de ransomware, que ameaça vazar informações “altamente sensíveis e confidenciais”

Cerca de 1% da população finlandesa recebeu a seguinte ameaça nas últimas duas semanas:

“Seus registros psicoterapêuticos serão divulgados, a menos que você me pague €500 em criptomoeda em 48 horas”.

Isso porque vários indivíduos – aparentemente, sem quaisquer relações entre si – obtiveram acesso aos centros de psicoterapia da Vastaamo, rede hospitalar que trata cerca de 40.000 pacientes principalmente em Oulu e Tampere, na Finlândia.

Os hackers exploraram uma violação de segurança que se estendeu por entre fins de 2018 e início de 2019 e que parece não ter sido amplamente relatada às autoridades ou ao público em geral.

Esses registros psicoterapêuticos, profundamente íntimos, se tornaram munição para cibercriminosos chantagearem e, se bem-sucedidos, extraírem fundos da administração dos hospitais e de seus pacientes.

É o maior pedido de resgate dirigido a uma instalação médica, até o momento.

O pagamento de € 500 deve ser feito a uma carteira de criptomoeda exclusiva e os pacientes devem enviar um e-mail de confirmação para um endereço específico, a fim de não terem suas informações vazadas. Os hackers usaram um "provedor de depósito em criptomoeda" que envia notificações aos invasores assim que os fundos são recebidos, para manter o controle dos milhares de pagamentos desejados.

Nesse ínterim, as empresas de cibersegurança uniram forças com os provedores de análise de blockchain para rastrear e identificar os suspeitos. Uma investigação interna da rede hospitalar, que ainda está em andamento, constatou deficiências na segurança da informação; isso levou o Conselho de Administração a demitir o CEO da Vastaamo, Ville Tapio.

Outras medidas estão sendo tomadas para evitar que o ataque continue repercutindo, com danos ainda maiores.

E-mails universitários funcionam como “atalho” para invasão de redes corporativas nos EUA

Endereços de e-mail vinculados a domínios universitários são úteis por vários motivos, mas um tema recorrente nos últimos tempos tem sido a forma como eles funcionam como um “atalho” para ataques de phishing por meio de gateways de e-mail corporativos.

Isso porque os servidores de e-mails corporativos realizam verificações de autoridade dos e-mails recebidos, rejeitando qualquer domínio suspeito ou desconhecido.

Para os hackers, isso significa, então, sequestrar domínios com boa reputação. Uma pesquisa da empresa de segurança de e-mail INKY lança luz sobre essa tática e os domínios sendo explorados ​​pelo cibercrime.

Ao longo de 2020, a empresa filtrou 714 emails de phishing oriundos de domínios da Universidade de Oxford, 287 da Universidade de Stanford e 2.068 da Universidade de Purdue em Indiana, só nos Estados Unidos.

Considerando o grande número de e-mails originados desses domínios, no total, parece pouco. No entanto, estamos falando de apenas um provedor que protege um número relativamente pequeno de clientes corporativos, o que implica que esses e-mails são só a ponta de um iceberg muito maior.

Em um exemplo destacado pela pesquisa, a isca de phishing era uma mensagem do Microsoft 365 convidando o destinatário a acessar seus arquivos via soluções cloud, devido à quarentena. Essa tentativa de phishing foi detectada – o tema era muito óbvio – mas, se tivesse passado pela segurança, poderia parecer perfeitamente plausível a um indivíduo desavisado.

Uma rápida análise dos cabeçalhos de e-mail confirmou que a ação era resultado de uma invasão de conta e, ao que tudo indica, os invasores ainda são auxiliados pela capacidade de usar os servidores da universidade como retransmissores, enviando e-mails de localizações pouco suspeitas.

“Para evitar esse tipo de abuso, os servidores SMTP devem ser configurados para não aceitar e encaminhar e-mails de endereços IP não-locais para caixas de correio por usuários não-autenticados e não-autorizados", alertam os pesquisadores.

Além disso, estendem o alerta aos usuários, para que fiquem atentos a quaisquer indícios de e-mails suspeitos, mesmo se originados por domínios confiáveis.

1,1 milhão de contas comprometidas por falha de segurança em e-commerce

A plataforma de e-commerce RedMart, com sede em Cingapura, sofreu uma violação de dados que comprometeu os dados pessoais de 1,1 milhão de contas.

Um indivíduo, ainda não-identificado, alegou estar de posse do banco de dados envolvido na violação, que contém várias informações pessoais, como endereços de correspondência, senhas criptografadas e números parciais de cartão de crédito.

Na sexta-feira (30/10), os clientes do RedMart foram desconectados de suas contas e solicitados a redefinir suas senhas antes de logar novamente. Eles também foram informados de um "incidente de segurança de dados do RedMart" descoberto no dia anterior (29), como parte do "monitoramento proativo regular "realizado pela equipe de segurança cibernética da empresa.

Em sua nota aos clientes, a controladora da RedMart, Lazada, disse que a violação levou ao acesso não-autorizado de um "banco de dados exclusivo do RedMart" hospedado em um provedor de serviços terceirizado. Os dados desse sistema foram atualizados pela última vez em março de 2019 e continham informações pessoais que coincidem com os dados violados.

Em um FAQ publicado em seu site sobre o incidente de segurança, a Lazada disse que as informações do cartão de crédito dos clientes eram "totalmente seguras", pois a empresa não armazena nem o número completo do cartão, nem o CVV em seus sistemas.

"No entanto, recomendamos que você fique atento e monitore qualquer atividade incomum ou transações suspeitas em seus cartões de crédito", alertou, no comunicado oficial.

Além disso, a Lazada disse que havia relatado "voluntariamente" o incidente de segurança à Comissão de Proteção de Dados Pessoais (PDPC) de Cingapura e que estava em contato com outras autoridades relevantes, incluindo a Força Policial de Cingapura.

De acordo com a Lei de Proteção de Dados Pessoais (PDPA) de Cingapura, espera-se que as organizações notifiquem as autoridades sobre uma suspeita de violação de segurança de dados se ela afetar mais de 500 pessoas ou quando "dano ou impacto significativo" para os indivíduos provavelmente ocorrerá devido à violação.

Eles também devem fazer isso no máximo 72 horas após a conclusão da avaliação da violação e não levar mais de 30 dias para concluir uma investigação sobre uma suspeita de violação de segurança de dados.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf!

Esses e muitos outros insights são de uma pesquisa recente com líderes de TI, realizada pela CensusWide.

• 73% das empresas com mais de 500 funcionários aceleraram seus planos de migração para a nuvem a fim de se adequar ao trabalho remoto por conta da pandemia do novo coronavírus
• 81% das empresas aceleraram seus processos de modernização de TI devido à pandemia
• 48% de todas as empresas pesquisadas aceleraram seus planos de migração para a nuvem e 49% aceleraram seus planos de modernização de TI por causa do COVID-19
• 32% das empresas de grande porte, com mais de 500 funcionários, estão implementando mais automação usando ferramentas baseadas em inteligência artificial este ano

O objetivo das análises realizados pelos pesquisadores é entender como a dinâmica de investimentos, operações e gastos em TI mudou nos últimos seis meses.

E, nesse aspecto, eles descobriram que quanto maior a empresa, mais importante é proteger o acesso remoto à infraestrutura crítica para as equipes de administração de TI, colocando o acesso remoto e a atualização das políticas e avisos de privacidade como as duas das maiores prioridades para as empresas hoje.

Os resultados da pesquisa

Os principais insights da pesquisa incluem:

83% das empresas de grande porte fizeram mudanças significativas em sua estrutura de cibersegurança

A grande maioria das empresas transformou a forma como aborda a segurança cibernética nos últimos seis meses, com 83% das empresas de grande porte investindo em soluções de segurança e liderando todas as organizações.

Mas isso não tira a relevância dos movimentos que pequenas e médias empresas também têm feito. Refletindo como muitas dessas empresas são orientadas digitalmente, os ajustes de segurança cibernética começam em organizações com 10 a 49 funcionários.

Além disso, 60% de todas as organizações ajustaram suas abordagens à segurança na nuvem como resultado de forças de trabalho distribuídas.

48% de todas as organizações tiveram que acelerar a migração para a nuvem devido à pandemia, com empresas maiores liderando o caminho

De acordo com o relatório, 73,5% das empresas com mais de 500 funcionários aceleraram os planos de migração para a nuvem para dar suporte aos novos arranjos de trabalho remoto de seus colaboradores, liderando as demais organizações e, de certa forma, estabelecendo o exemplo.

Essa descoberta reflete como grandes empresas se comprometeram com uma diretriz cloud-first este ano.

Também é consistente com outras pesquisas realizadas em 2020, que mostram o quanto soluções em nuvem conquistaram de vez o mundo corporativo, especialmente se tratando de grandes empreendimentos.

49% de todas as organizações e 81% das empresas de grande porte tiveram que acelerar seu processo de modernização de TI devido à pandemia

Para as maiores empresas, a modernização de TI equivale à digitalização de mais processos usando serviços nativos na nuvem (59%), mantendo a flexibilidade e investindo em segurança para uma força de trabalho parcialmente remota (57%) e revisitando e ajustando suas demandas de segurança cibernética (40%) que, até então, tendiam a perder espaço para “demandas mais urgentes”.

51% das empresas com 500 funcionários ou mais estão tornando o acesso remoto seguro sua maior prioridade interna

Em contrapartida, 27% dos líderes de TI de todas as organizações afirmam que fornecer acesso seguro e granular a equipes de administração de TI, a prestadores de serviços de TI terceirizados e a fornecedores do setor é a prioridade número dentro das empresas.

A pesquisa também descobriu que organizações com 250 a 500 funcionários têm maior probabilidade de adquirir ferramentas e aplicativos de segurança cibernética específicos para atender aos requisitos de conformidade.

O investimento em equipes de TI cresceu em pelo menos 34% das empresas

Os líderes de TI estão rapidamente usando as lições aprendidas com a pandemia como catapulta para fortalecer a transformação da nuvem e as estratégias de modernização de TI.

Um em cada três líderes de TI entrevistados (34%) disse que seus orçamentos aumentaram durante a pandemia, correspondendo a empresas de todos os portes.

Já em empresas de maior escala, com mais de 500 funcionários, 59% dos líderes de TI viram seus orçamentos aumentarem.

Outra boa notícia é que as organizações também estão preservando sua equipe de TI.

63% dos entrevistados viram pouco ou nenhum impacto em suas equipes, indicando que a maioria das organizações terá o orçamento e os recursos para manter ou, até, aumentar seus planos de investimento em segurança cibernética.

Já 25% dos líderes de TI indicaram que sua empresa planeja manter toda a sua força de trabalho completamente remota.

Diante desses dados, é encorajador ver os líderes de TI recebendo o suporte de que precisam para realizar suas iniciativas de segurança em nuvem e modernização de TI no próximo ano.

Afinal, com empresas de todos os tamanhos ao redor do mundo precisando se adaptar às novas condições de trabalho impostas pela pandemia, a proteção das infraestruturas em nuvem precisa ser uma prioridade.

Mantenha seus ambientes em nuvem protegidos. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Estratégias clássicas, novas ameaças: grupos de cibercriminosos continuam investindo em ataques conhecidos e fazendo vítimas. Governo dos EUA é um dos alvos principais, especialmente em tempos de eleição.

O que você vai ler hoje:

• Malware da Emotet cria alertas falsos de atualização do Microsoft Office para infectar dispositivos
• Ataques de phishing exploram a eleição dos EUA para tentar roubar dados bancários
• Governo dos Estados Unidos divulga que foi hackeado em outubro
• Novo trojan de acesso remoto pode ser controlado pelo Telegram para executar funções complexas de extração de dados pessoais

Malware da Emotet cria alertas falsos de atualização do Microsoft Office para infectar dispositivos

Os cibercriminosos que controlam uma das ramificações de malware mais conhecidas do mundo estão adotando uma nova abordagem para atrair potenciais vítimas.

A nova campanha de e-mail do grupo explora um alerta falso do Windows Update para iniciar o processo de infecção. Os e-mails maliciosos não mencionam nada sobre atualização no assunto ou no corpo da mensagem; eles seguem estratégias consolidadas em 2020 e se restringem a tópicos de tendência como o COVID-19 ou baits comprovados, como avisos de remessa, faturas e currículos falsos.

Só depois de abrir os documentos anexos é que as vítimas são confrontadas com a falsa notificação de atualização.

A essa altura, porém, o PC do usuário ainda não foi infectado. A funcionalidade avançada exigida pelo Emotet e outros tipos de malware não é ativada até que o botão de “habilitar edição” seja clicado manualmente.

Para persuadir os usuários a ignorar o aviso da Microsoft e desativar o modo de exibição protegido, os cibercriminosos contam com truques de engenharia social. A maioria dos usuários tende a ignorar avisos dependendo de quem seja o remetente do e-mail, ou muitas vezes nem se atenta aos alertas.

E é assim que os invasores acessam os dispositivos sem grandes dificuldades.

Por isso, vale lembrar que a Microsoft não notifica sobre atualizações do Office dessa forma. Geralmente, o aplicativo exibe uma barra amarela no topo da página, com os dizeres “atualizações disponíveis”.

Ataques de phishing exploram a eleição dos EUA para tentar roubar dados bancários

Com a proximidade da eleição presidencial dos EUA, grupos de spam têm se mobilizado de forma massiva para não perder o timing e explorar assuntos relacionados ao registro de eleitores para induzir as vítimas a acessarem sites falsos, que se passam por sites oficiais do governo, e forneçam dados pessoais diversos.

Essas campanhas começaram em setembro e seguem em atividade até hoje, enquanto as iscas (o assunto do e-mail) ainda são relevantes.

Nesse sentido, as iscas dessas campanhas são relativamente simples e exploram o medo dos cidadãos dos EUA de que seu pedido de registro de eleitor possa ter falhado.

Usando linhas como "os detalhes do formulário de registro eleitoral não puderam ser confirmados" e "a secretaria do condado não conseguiu confirmar seu registro eleitoral", os usuários são atraídos para páginas falsas que solicita “um novo preenchimento do formulário de registro eleitoral”.

Se os usuários não perceberem a URL incorreta, eles acabarão fornecendo seus dados pessoais a um grupo de criminosos. Os dados geralmente coletados por meio desses formulários são:

• Nome
• Data de nascimento
• Endereço de correio
• Endereço de e-mail
• Número da Segurança Social (SSN)
• Informações da carteira de habilitação

Mas em um relatório de acompanhamento publicado na quinta-feira (22), a empresa de cibersegurança Proofpoint mostra que o grupo mudou suas táticas nos últimos dias.

Com o período pré-eleitoral chegando ao fim, os cibercriminosos se tornaram mais ousados. Além de solicitar informações de identificação pessoal específicas para formulários de registro de eleitores, o grupo agora expandiu seu escopo para incluir novos campos que também solicitam:

• Banco onde o usuário tenha conta-corrente
• Número da conta do banco
• Número de roteamento da conta bancária
• ID / nome de usuário do banco
• Senha da conta bancária
• Senhas de contas de e-mail
• Número de identificação do veículo (VIN)

Para acalmar os temores, os spammers afirmam que essas informações extras são necessárias para que os usuários possam reivindicar um "estímulo do governo".

Não se sabe ao certo quantos eleitores já caíram no golpe, mas, se os cibercriminosos estão insistindo neste tipo de ataque, é porque têm obtido algum retorno.

Governo dos Estados Unidos divulga que foi hackeado em outubro

Funcionários do governo estadunidense divulgaram os hacks sofridos pelos sistemas oficiais dos EUA em um comunicado conjunto de segurança, que foi publicado pela Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA) e o Federal Bureau of Investigation (FBI).

As autoridades americanas identificaram o grupo de hackers russo responsável pelos ataques como Energetic Bear, um codinome usado pela indústria de segurança cibernética. Outros nomes para o mesmo grupo também incluem TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti e Koala.

Também disseram que o grupo tem tido como alvo dezenas de redes governamentais estaduais, locais, territoriais e tribais (SLTT) desde fevereiro de 2020, no mínimo.

Além disso, as duas agências disseram que o Energetic Bear "comprometeu com sucesso a infraestrutura de rede e, em 1º de outubro de 2020, exfiltrou dados de pelo menos dois servidores do governo".

De acordo com o comunicado técnico, os hackers russos usaram vulnerabilidades publicamente conhecidas para violar o equipamento de rede, migrar para redes internas, elevar privilégios e roubar dados confidenciais.

Os dispositivos direcionados incluíram gateways de acesso Citrix (CVE-2019-19781), servidores de e-mail Microsoft Exchange (CVE-2020-0688), agentes de e-mail Exim (CVE 2019-10149) e Fortinet SSL VPNs (CVE-2018-13379).

Em situações em que os ataques foram bem-sucedidos, a CISA e o FBI disseram que os hackers tentaram extrair arquivos como:

• Configurações e senhas de rede confidenciais.
• Procedimentos operacionais padrão (SOP), como a inscrição na autenticação multifator (MFA).
• Instruções de TI, como solicitar redefinições de senha.
• Fornecedores e informações de compra.
• Impressão de crachás de acesso.

O Energetic Bear é o mesmo grupo de hackers que orquestrou o ataque ao aeroporto de San Francisco anteriormente este ano.

Novo trojan de acesso remoto pode ser controlado pelo Telegram para executar funções complexas de extração de dados pessoais

Um grupo de pesquisadores de cibersegurança descobriu um novo trojan de acesso remoto (RAT), que vem sendo divulgado em fóruns de hackers clandestinos, que se comunicam em russo.

Chamado de T-RAT, o malware está disponível por apenas 45 dólares e seu principal argumento de venda é a capacidade de controlar os sistemas infectados por meio de um canal do Telegram, em vez de um painel de administração hospedado na web.

Seu autor afirma que isso dá aos compradores acesso mais rápido e fácil aos computadores infectados de qualquer local, permitindo que os agentes de ameaças ativem recursos de roubo de dados assim que a vítima for infectada e antes de que a presença do RAT seja identificada.

Para isso, o canal no Telegram suporta 98 ​​comandos que, quando digitados na janela principal de chat, permitem ao proprietário da RAT recuperar senhas e cookies do navegador, navegar no sistema de arquivos da vítima e pesquisar dados confidenciais, implantar um keylogger, gravar áudio pelo microfone, fazer capturas de tela da área de trabalho da vítima, tirar fotos via webcam e recuperar o conteúdo da área de transferência.

Além disso, o RAT também pode executar comandos de terminal (CMD e PowerShell), bloquear o acesso a certos sites (como antivírus e sites de suporte técnico), eliminar processos (software de segurança e depuração) e até mesmo desabilitar a barra de tarefas e o gerenciador de tarefas.

Mas o uso do Telegram como sistema de comando e controle não é tanta novidade; o aplicativo tem sido uma tendência nos últimos anos, e o T-RAT não é o primeiro RAT a implementar tal modelo.

Ameaças anterior incluem RATAttack (removido do GitHub em 2017, direcionado ao Windows), HeroRAT (direcionado a usuários de Android), TeleRAT (usado contra iranianos, mirando em usuários de Android), IRRAT (direcionado a usuários de Android), RAT-via-Telegram (disponível no GitHub, direcionado ao Windows) e Telegram-RAT (disponível no GitHub, direcionado ao Windows).

Mantenha sua rede e seus dispositivos seguros. Entre em contato com a assessoria de especialistas da Compugraf e veja como podemos te ajudar!

Os invasores se voltaram a setores que ganharam caráter de urgência diante da pandemia do COVID-19 – como saúde, e-commerces e serviços educacionais online – e se aproveitam da transição massiva para ambientes digitais arquitetando ataques complexos, de alto rendimento, projetados para subjugar empresas e derrubá-las rapidamente.

“A primeira metade de 2020 testemunhou uma mudança radical na metodologia de ataque DDoS para ataques complexos de múltiplos vetores mais curtos, mais rápidos e mais difíceis de atingir”, afirma Richard Hummel, líder de inteligência de ameaças da Netscout, fornecedora de produtos de gerenciamento de desempenho de aplicativos e redes, que conduziu uma análise sobre a evolução de ataques DDoS ao longo da pandemia.

E, da mesma forma que ocorreu com outros ataques este ano, é esperado que os ataque DDoS se tornem ainda mais frequentes e complexos.

“Os cibercriminosos aumentaram o escopo dos ataques, mirando contra plataformas e serviços online cruciais em um mundo cada vez mais digital, como comércio eletrônico, educação, serviços financeiros e saúde.

Não importa o alvo, adversário ou tática usada, é fundamental que os defensores e profissionais de segurança permaneçam vigilantes nesses dias desafiadores para proteger a infraestrutura crítica que conecta e caracteriza o mundo moderno”, prossegue Hummel.

Ataques recorde de DDoS em plataformas e serviços online

Mais de 929.000 ataques DDoS ocorreram em maio, representando o maior número de ataques já visto em um mês até hoje.

No primeiro semestre de 2020, ocorreram 4,83 milhões de ataques DDoS, um aumento de 15% em relação ao ano passado.

No entanto, a frequência de ataques DDoS aumentou 25% ao redor do mundo durante os meses de lockdown da pandemia, que ocorreu entre março e junho na maioria dos países.

Malfeitores focados em ataques mais curtos e complexos

Ataques superdimensionados, com mais de 15 vetores, aumentaram 2.851% desde 2017, enquanto a duração média do ataque caiu 51% em relação ao mesmo período do ano passado.

Além disso, os ataques de vetor único diminuíram em 43%, enquanto a taxa de transferência do ataque aumentou 31%, chegando a 407 Mpps.

O aumento na complexidade e velocidade do ataque, juntamente com a diminuição na sua duração, dá às equipes de segurança menos tempo para defender suas organizações desses ataques cada vez mais sofisticados.

Como esses ataques costumam ocorrer

Mais cedo este mês, o provedor de serviços Cloudfare, que oferece registro de domínios e proteção para websites, enviou um e-mail para toda a sua base de clientes alertando a respeito de um aumento na quantidade de ataques de ransom associados a ataques de DDoS.

De acordo com o e-mail, entidades autodenominadas Fancy Bear, Cozy Bear e Lazarus estão ameaçando lançar ataques DDoS contra sites corporativos e infraestrutura de rede, a menos que um resgate seja pago antes de um determinado prazo.

Antes da nota de resgate, porém, um pequeno ataque DDoS é lançado como forma de demonstração. Trata-se, tipicamente, de um ataque de reflexão UDP usando uma variedade de protocolos e durando cerca de 30 minutos (ou menos).

A nota de resgate costuma ser enviada para e-mail genéricos corporativos, como “suporte@…”, “comercial@…”, “financeiro@…” e por aí vai, e segue este modelo:

"Nós somos a Fancy Bear e escolhemos a [nome da empresa] como alvo para nosso próximo ataque DDoS.

Toda a sua rede estará sujeita a um ataque DDoS a partir de segunda-feira (em 6 dias). (Não estamos blefando, e, para provar, iniciaremos um pequeno ataque imediato a alguns de seus IPs, que durará 30 minutos.”

Organizações e indivíduos arcam com o custo dos ataques cibernéticos

Para determinar o impacto que os ataques DDoS têm no tráfego global da Internet, a Equipe de Engenharia de Segurança e Resposta (ASERT) da Netscout ATLAS desenvolveu o Coeficiente de Ataque DDoS (DAC).

Ele representa a quantidade de tráfego de ataque DDoS que atravessa a Internet em uma determinada região ou país, durante o período de um minuto.

Se nenhum tráfego puder ser atribuído a DDoS, a quantidade computada seria zero.

Porém, o DAC identificou a taxa de transferência regional superior de 877 Mpps na região Ásia-Pacífico e uma largura de banda superior a 2,8 Tbps na Europa, Oriente Médio e África.

O DAC é importante, pois os cibercriminosos não pagam pela largura de banda.

Isso significa que, de certa forma, todas as organizações e indivíduos conectados à Internet ao redor do mundo pagam uma “taxa de DDoS” que alimenta esses cibercriminosos.

Mantenha sua rede protegida

As melhores formas de se defender mudam de acordo os tipos de ataque.

Por isso, é importante contar com uma política de segurança da informação que possua protocolos e controles pré-definidos para lidar com cada tipo de invasão.

O ideal é o direcionamento de uma ação de defesa para cada camada de um ataque DDoS.

Confira como funciona um ataque DDoS aqui.

E saiba mais sobre como manter sua empresa segura entrando em contato com a assessoria de especialistas da Compugraf.

Hackers se organizam para ataques altamente direcionados. Por outro lado, empresas se unem em coalizões de cibersegurança e derrubam algumas das maiores ameaças do mundo.

O que você vai ler hoje:

• Google remove 240 games maliciosos da Play Store
• Sites falsos da Amazon exploram Prime Day na tentativa de roubar credenciais de pagamento
• Coalizão formada pela Microsoft e parceiros derruba uma das maiores botnets de malware do mundo
• Grupo mercenário de hackers desenvolve ataques extremamente personalizados a alvos ao redor do mundo

Google remove 240 games maliciosos da Play Store

Pesquisadores de segurança revelaram que 240 aplicativos maliciosos têm bombardeado os usuários do Android com anúncios irrelevantes e suspeitos.

Apelidados de RAINBOWMIX, em homenagem aos jogos retros disponíveis uns anos atrás, os aplicativos mapeados pela campanha parecem, a princípio, legítimos, visto que funcionam como deveriam, apesar da qualidade seja ruim.

Muitos deles são emuladores Nintendo (NES), extraídos de fontes legítimas, ou jogos de baixa qualidade, disse a equipe da White Ops responsável pela pesquisa. Os próprios anúncios também parecem ser legítimos – parecem vir de aplicativos e serviços confiáveis, como o Chrome ou YouTube.

Isso permitiu que os fraudadores contornassem certos protocolos de segurança e se mantivessem sob o radar, levando a milhões de downloads e impressões de anúncios por dia no pico da campanha.

E para evitar serem detectados pelo sistema de segurança da Play Store, os fraudadores usaram um software chamado “empacotador” (packer) – que comprime os arquivos utilizados, de modo que a carga final parece menor, e, em seguida, “desempacota” seu código malicioso em momentos oportunos.

Para isso, o RAINBOWMIX rastreava quando os usuários ligavam e desligavam a tela, para determinar o melhor momento para exibir um anúncio, garantindo que a impressão contasse e também que um anúncio não fosse renderizado quando a tela estivesse desligada.

Desde a descoberta, o Google excluiu todos os aplicativos de sua loja.

“Tínhamos detectado anteriormente a maioria dos aplicativos em questão e elogiamos a White Ops por compartilhar suas descobertas, que pudemos confirmar de forma independente”, declarou um porta-voz da empresa à Forbes.

“Quando encontramos violações da política, tomamos medidas, e o Google continua a fazer investimentos significativos para proteger nossos usuários e suas experiências.”

Sites falsos da Amazon exploram Prime Day na tentativa de roubar credenciais de pagamento

De acordo com um grupo de pesquisadores da Check Point, a Amazon removeu um número excepcionalmente alto de domínios maliciosos projetados para imitar o marketplace dias antes de seu “saldão online” que deve movimentar milhões mundialmente, o Prime Day.

Esses domínios maliciosos tentam imitar a gigante do comércio eletrônico incluindo as palavras “Amazon” e “Prime” em seus sites e URLs, na tentativa de enganar os consumidores para que forneçam seus dados pessoais.

Para se ter uma ideia da rápida movimentação dos cibercriminosos, nos últimos 30 dias, por exemplo, houve um aumento de 21% no número de registros de domínios que contêm a palavra “Amazon”, afirmam os pesquisadores, sendo 28% deles maliciosos e 10%, suspeitos.

Além disso, o número de domínios registrados contendo as palavras “Amazon” e “Prime” dobrou no último mês, e 20% desses domínios são maliciosos.

“Este ano, vimos um aumento significativo no interesse de hackers na Amazon. No primeiro trimestre, a Amazon representou apenas 1% de todos os ataques de phishing associados a marcas. No segundo trimestre, porém, a Amazon chegou ao topo das marcas mais copiadas por hackers, ao lado do Google”, disse Maya Levine, engenheira de segurança da Check Point.

“Espera-se que essa tendência continue, durante e após o Amazon Prime Day. Os compradores devem ser especialmente cautelosos ao navegar em sites fraudulentos. Nossa pesquisa indica que os navegadores da web foram visados ​​em 61% de todos os ataques de phishing no segundo trimestre.”

Coalizão formada pela Microsoft e parceiros derruba uma das maiores botnets de malware do mundo

Uma coalizão de empresas de tecnologia anunciou hoje um esforço coordenado para derrubar a infraestrutura de back-end do botnet de malware TrickBot.

As empresas e organizações que participaram da derrubada incluíram a equipe Defender da Microsoft, FS-ISAC, ESET, Black Lotus Labs da Lumen, NTT e a divisão de segurança cibernética da Broadcom, Symantec.

Em uma estratégia conjunta que durou meses, todos os participantes realizaram investigações aprofundadas sobre a infraestrutura de back-end de servidores e módulos de malware do TrickBot.

Foram mais de 125.000 amostras de malware coletadas. Em seguida, os membros da coalizão se demoraram analisando seu conteúdo e extraindo e mapeando informações sobre o funcionamento interno do malware, incluindo todos os servidores que o botnet usou para controlar computadores infectados e servir módulos adicionais.

Com essas informações em mãos, a Microsoft foi ao tribunal em outubro de 2020 e pediu a um juiz que lhe concedesse controle sobre os servidores TrickBot.

“Diante das evidências, o tribunal concedeu aprovação para a Microsoft e nossos parceiros desabilitarem os endereços de IP, tornarem o conteúdo armazenado nos servidores de comando e controle inacessíveis, suspender todos os serviços para os operadores de botnet e bloquear qualquer esforço dos operadores TrickBot para comprar ou alugar servidores adicionais “, disse a Microsoft em um comunicado à imprensa.

Esforços estão sendo feitos em conjunto com provedores de serviços de Internet (ISPs) e equipes de prontidão de emergência de computadores (CERTs) em todo o mundo para notificar todos os usuários infectados.

De acordo com os membros da coalizão, o botnet TrickBot havia infectado mais de um milhão de computadores no momento de sua queda. Alguns desses sistemas infectados também incluem dispositivos da Internet das Coisas (IoT).

Grupo mercenário de hackers desenvolve ataques extremamente personalizados a alvos ao redor do mundo

Autointitulado Bahamut, um grupo mercenário de hackers tem realizado extensas operações em todo o mundo, se valendo de ataques multifacetados, que foram recentemente detalhados por pesquisadores de segurança cibernética da BlackBerry.

As campanhas parecem estar em operação desde pelo menos 2016.

“O grupo não é apenas responsável por uma variedade de casos não resolvidos que atormentaram os pesquisadores por anos. Nós também descobrimos que o Bahamut está por trás de uma série de campanhas de phishing e coleta de credenciais extremamente direcionadas e elaboradas, centenas de novas amostras de malware do Windows, zero-day exploits, táticas de evasão de antivírus forense e muito mais.”

Em alguns casos, o Bahamut é conhecido por monitorar seus alvos por um ano ou mais antes de finalmente chegar ao que eles consideram o melhor momento para ataque.

E uma das estratégias pelas quais o grupo tem comprometido suas vítimas é por meio de uma rede de sites, aplicativos e até mesmo personas inteiras meticulosamente elaboradas. Tudo isso é projetado para se adaptar a alvos em potencial, a fim de obter uma noção mais clara das notícias em que eles estão interessados ​​- e nas quais poderiam clicar – a fim de, eventualmente, realizar um ataque de phishing ou malware.

Mas além de malware e engenharia social, o Bahamut também emprega o uso de aplicativos móveis maliciosos para usuários de iPhone e Android, projetados de forma personalizada para atrair certos grupos e usuários de um determinado idioma.

Ao instalar um dos aplicativos maliciosos – a lista completa é detalhada no relatório oficial da BlackBerry – o usuário está instalando uma porta dos fundos em seu dispositivo que os invasores podem usar para monitorar todas as atividades das vítimas, como a capacidade de ler seus mensagens, ouvir suas chamadas, monitorar sua localização e outras atividades de espionagem.

Divulgando suas descobertas, a BlackBerry espera ser capaz de ajudar a conter a atividade do grupo. Porém, é preciso estar alerta, pois a melhor forma de combatê-lo é evitando que eles tenham acessos às vulnerabilidades das redes corporativas de seus potenciais alvos.

Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Vulnerabilidades na cadeia de suprimentos são uma alternativa fácil e, na maioria das vezes, eficaz para cibercriminosos, mesmo nas empresas mais seguras.

Mais de 80% das empresas sofreram uma violação de dados devido a vulnerabilidades de segurança em suas cadeias de suprimentos, uma vez que cibercriminosos têm se aproveitado da segurança frágil de fornecedores menores como meio de obter acesso às redes de grandes organizações.

Os dados são de uma pesquisa realizada pela empresa de segurança cibernética BlueVoyant.

Nos resultados, compartilhados recentemente, o grupo de pesquisadores descobriu que as empresas têm uma média de 1.013 fornecedores em seu ecossistema de suprimentos – e que 82% de todas as organizações já sofreram alguma violação de dados nos últimos 12 meses devido à fragilidade da segurança cibernética nessa cadeia de abastecimento.

Mas, apesar do risco representado por essas vulnerabilidades de segurança – que, como se pode ver, é preocupantemente alto -, um terço das organizações têm pouca ou nenhuma noção se hackers invadiram em sua cadeia de suprimentos, o que significa que elas podem não saber que foram vítimas de um incidente até ser tarde demais.

Fornecedores são uma alternativa para penetrar nas empresas mais seguras

Uma das principais razões para esse tipo de ataque é que as grandes empresas provavelmente são muito mais protegidas do que as pequenas. Logo, grupos de cibercriminosos estão cada vez mais se voltando para os fornecedores dessas organizações como um meio alternativo de se infiltrar em sua rede corporativa.

E o pior: muitas vezes passando completamente despercebidos.

"Geralmente as pessoas pensam, ‘bem, quais são os nossos fornecedores mais importantes?’ e, inevitavelmente, terminam listando os dez principais, sendo alguns dos maiores nomes do mundo, como os provedores de nuvem. Mas não é daí que vem a ameaça", disse Robert Hannigan – presidente da BlueVoyant International, que conduziu a pesquisa.

“É muito mais provável que a ameaça venha de uma empresa muito menor, da qual você nunca ouviu falar, mas que está conectada à sua rede e é responsável por uma parte pouco significativa, mas necessária, da sua operação”, completou.

Um exemplo disso aconteceu em 2017, quando o NotPetya – o ciberataque mais devastador da história – infectou organizações em todo o mundo.

Aparentemente, o malware começou a se espalhar usando o mecanismo de atualização de um software sequestrado da Linkos Group, uma empresa ucraniana de recursos contábeis que prestava serviços para uma série de empresas dos mais diferentes países.

"Quem teria pensado, na época do NotPetya, que a atualização de um software de contabilidade causaria prejuízos e desestruturaria empresas ao redor do mundo. Especialmente porque não se tratava de um fornecedor importante para nenhuma das empresas que foram atingidas, mas causou enormes danos e interrupções", disse Hannigan.

Mas, embora não devamos ignorar a dimensão do NotPetya, é preciso ter em mente que o caso é uma exceção. Outros ataques contra a cadeia de suprimentos são muito mais sutis, com cibercriminosos se infiltrando no fornecedor via malwares ou e-mails de phishing e se apropriando de contas de usuário – que eles usam como porta de entrada para violar a organização de maior interesse, especialmente se já houver uma relação de confiança entre a empresa e seus fornecedores.

Esse foi o caso quando uma empresa de serviços públicos sofreu uma violação de dados após criminosos cibernéticos se infiltrarem em sua rede por meio de um escritório de advocacia, comprometendo a conta de um colaborador do escritório e usando essa conta para ter acesso à empresa.

"O que o invasor fez foi comprometer a caixa de entrada de alguém nesta empresa específica e, como o invasor estava usando a identidade de uma pessoa real e sua caixa de entrada real, a proteção normal contra e-mails de phishing não funcionou, porque é apenas um e-mail de um pessoa normal de confiança. Infelizmente, e não tinha como saberem disso, era um invasor ", explicou Hannigan.

Conscientizar também é parte da prevenção

Um dos principais motivos pelos quais as vulnerabilidades da cadeia de suprimentos podem passar despercebidas é porque, muitas vezes, não está claro quem é o responsável pelo gerenciamento de riscos quando se trata de relacionamentos com fornecedores terceirizados.

Mesmo que se saiba que um fornecedor pode ter vulnerabilidades, resolver o problema pode ser muito mais complexo e talvez nunca aconteça, pois não há uma pessoa ou equipe dedicada, responsável por este fornecedor em específico.

"Até hoje, nunca conheci um CISO que não soubesse que existe um enorme ecossistema para entender e proteger. Mas encontrar uma maneira de fazer isso é um desafio. Mesmo as maiores organizações têm uma equipe limitada para lidar com o risco cibernético e há um limite para o que eles podem fazer. Você não pode esperar que uma equipe pequena gerencie os riscos de 10.000 fornecedores", comenta Hannigan.

Para gerenciar melhor o risco representado pelas vulnerabilidades da sua cadeia de suprimentos, o relatório recomenda que as organizações devem decidir quem é o proprietário do risco cibernético de terceiros, a fim de adotar uma estratégia eficaz para gerenciá-lo, bem como melhorar a visibilidade de toda o ecossistema de fornecedores.

O relatório também recomendou que as organizações podem e devem alertar e ajudar terceirizados a lidar com vulnerabilidades em potencial – pois isso também é uma forma de se proteger.

"Os criminosos não desistem, simplesmente; eles só procuram formas mais fáceis de entrar. É inevitável que, quando os perímetros das empresas forem melhor defendidos, os criminosos comecem a procurar alternativas mais vulneráveis – e a cadeia de suprimentos é uma forma óbvia e, na maioria das vezes, eficaz de fazer isso”, finaliza Hannigan.

O relatório completo você pode ler aqui.

Mantenha todas as superfícies de ataque da sua empresa segura. Entre em contato com os especialistas da Compugraf!

Malwares continuam evoluindo, mas erros humanos e de empresas ainda são alguns dos principais responsáveis por incidentes graves de segurança.

O que você vai ler hoje:

• Google remove da Play Store 17 aplicativos para Android infectados com malware
• Airbnb pode se ver responsável por um grave incidente de segurança de vazamento de dados
• Novo malware Alien faz de tudo e mais um pouco com seus dispositivos
• O melhor jeito de combater ataques de ransomware ainda é, simplesmente, não deixar que eles aconteçam

Google remove da Play Store 17 aplicativos para Android infectados com malware

Esta semana, o Google removeu 17 aplicativos para Android da Play Store infectados com o malware Joker (também conhecido como Bread), de acordo com pesquisadores de segurança da Zscaler.

O Joker é um spyware projetado para roubar mensagens SMS, listas de contatos e informações de dispositivos, junto com a inscrição da vítima em serviços premium de protocolo de aplicativos sem fio (WAP).

Os 17 aplicativos maliciosos haviam surgido na Play Store este mês baixados mais de 120.000 vezes até serem detectados.

Eram eles:

• All Good PDF Scanner
• Mint Leaf Message-Your Private Message
• Unique Keyboard – Fancy Fonts & Free Emoticons
• Tangram App Lock
• Direct Messenger
• Private SMS
• One Sentence Translator – Multifunctional Translator
• Style Photo Collage
• Meticulous Scanner
• Desire Translate
• Talent Photo Editor – Blur focus
• Care Message
• Part Message
• Paper Doc Scanner
• Blue Scanner
• Hummingbird PDF Converter – Photo to PDF

Seguindo seus procedimentos internos, o Google removeu os aplicativos da Play Store e usou o serviço Play Protect para desabilitar os aplicativos em dispositivos infectados, mas os usuários ainda precisam remover os aplicativos de seus dispositivos manualmente.

Essa recente remoção também marca a terceira ação da equipe de segurança do Google contra um lote de aplicativos infectados pelo Joker nos últimos meses.

No início do mês, o Google removeu seis desses aplicativos após eles terem sido detectados e denunciados por outros pesquisadores de segurança.

Antes disso, em julho, a empresa removeu outro lote de aplicativos infectados, que estava ativo desde março e conseguiu infectar milhões de dispositivos.

Airbnb pode se ver responsável por um grave incidente de segurança de vazamento de dados

A empresa de hospedagem Airbnb pode ser responsável por um grave incidente de segurança, já que seus hosts relataram, na semana passada, que conseguem acessar inadvertidamente caixas de entrada privadas que não estão associadas às suas contas.

Na quinta-feira, os anfitriões do Airbnb inundaram o fórum Reddit para questionar o súbito aparecimento de caixas de entrada que não pertencem a eles quando fizeram login na plataforma.

Por meio de screenshots de uma dessas “caixas de entrada compartilhadas”, um usuário denunciou o ocorrido, alegando não ter "nenhuma associação com essas pessoas ou com seus apartamentos".

Embora nenhuma conta de hóspedes, até o momento, tenha relatado problemas semelhantes, os anfitriões podem ver os endereços de outras pessoas, bem como demais informações pessoais – como os códigos necessários para acessar uma propriedade -, o que significa que os problemas da caixa de entrada do Airbnb podem ser considerados um incidente de segurança extremamente grave, uma vez que compromete a segurança residencial de seus usuários.

Várias capturas de tela enviadas ao Imgur também mostram que dados como nomes completos, fotos de perfil, ganhos com reservas, número de reservas em um período de 30 dias e visualizações de propriedades podem ser acessados indevidamente por essas caixas de entrada compartilhadas.

Em nota oficial, o Airbnb disse que um "problema técnico" ocorreu às 9h30 do dia 25 de setembro e foi identificado dentro de uma hora, impactando as plataformas de desktop e acessos via navegador, mas não o aplicativo móvel do Airbnb.

O problema foi resolvido às 12h30. Embora o acesso inadvertido tenha sido concedido a alguns usuários, o Airbnb diz que eles não foram capazes de modificar nenhum dos dados vazados:

"Na quinta-feira, um problema técnico resultou em um pequeno grupo de usuários visualizando inadvertidamente quantidades limitadas de informações de contas de outros usuários", informou a empresa. "Corrigimos o problema rapidamente e estamos implementando controles adicionais para garantir que isso não aconteça novamente. Não acreditamos que nenhuma informação pessoal foi usada indevidamente e em nenhum momento as informações de pagamento foram comprometidas."

Novo malware Alien faz de tudo e mais um pouco com seus dispositivos

Pesquisadores de segurança descobriram e analisaram uma nova variedade de malware Android, caracterizado por uma ampla gama de recursos que permitem roubar as credenciais de 226 aplicativos.

Chamado de “Alien”, este novo trojan está ativo desde o início do ano e foi ofertado como um Malware-as-a-Service (MaaS) em fóruns de hackers clandestinos.

Em um relatório compartilhado esta semana com veículos de comunicação, os pesquisadores de segurança do ThreatFabric investigaram profundamente as postagens de um desses fóruns clandestinos, bem como as amostras do Alien para entender a evolução, truques e demais recursos do malware.

E, de acordo com os pesquisadores, o Alien não chega a ser uma novidade, mas sim uma nova versão baseada no código-fonte de uma gangue rival de malware chamada Cerberus.

De acordo com o ThreatFabric, a Cerberus morreu porque a equipe de segurança do Google encontrou uma maneira de detectar e limpar dispositivos infectados. Mas mesmo que o Alien tenha sido baseado em uma versão mais antiga de Cerberus, ele não parece ter esse problema, e seu MaaS vem justamente para preencher o vazio deixado pela gangue rival.

Além disso, os pesquisadores dizem que o Alien é ainda mais avançado do que o Cerberus, já que ele faz parte de uma nova geração de Trojans bancários para Android que também integraram recursos de acesso remoto em seus códigos-base.

Isso torna o Alien uma mistura excepcionalmente perigosa para os dispositivos infectados.

O malware não só pode mostrar telas de login falsas e coletar senhas para vários aplicativos e serviços, como também pode conceder aos hackers acesso a dispositivos para usar essas credenciais ou até mesmo realizar outras ações.

Atualmente, de acordo com ThreatFabric, o malware conta com os seguintes recursos:

• Pode sobrepor o conteúdo de outros aplicativos (recurso usado para coletar credenciais de login via phishing)
• Registrar o que está sendo digitado no teclado dos dispositivos
• Fornecer acesso remoto a um dispositivo após a instalação de uma instância TeamViewer
• Coletar, enviar ou encaminhar mensagens SMS
• Roubar lista de contatos
• Coletar detalhes de dispositivos e listas de aplicativos
• Coletar dados de geolocalização
• Fazer pedidos USSD
• Encaminhar chamadas
• Instalar e iniciar outros aplicativos
• Iniciar navegadores em páginas específicas
• Bloquear a tela (um recurso semelhante ao ransomware)
• Mostrar notificações sniff no dispositivo
• Roubar códigos 2FA gerados por aplicativos autenticadores

O malware é majoritariamente distribuído por sites de phishing via uma páginas falsas para “download de atualizações de software” ou com atualizações fakes sobre o coronavírus (um golpe comum no momento).

Outro método de proliferação do malware ao qual se deve estar atento é via SMS, pois, uma vez que infectado, é possível que o ALien colete a lista de contatos do dispositivos, que será reutilizada para espalhar a campanha de malware, alertam os pesquisadores.

O melhor jeito de combater ataques de ransomware ainda é, simplesmente, não deixar que eles aconteçam

Este ano, houve um aumento incomparável no número de ataques de ransomware, onde cibercriminosos não apenas criptografam as redes das vítimas e exigem um pagamento de seis dígitos em bitcoin para devolver os arquivos sequestrados, mas também ameaçam publicar informações corporativas confidenciais e outros dados roubados se a vítima não pagar o resgate.

Por outro lado, estão surgindo iniciativas como o projeto No More Ransom da Europol, que tenta combater esses criminosos oferecendo recursos gratuitos de descriptografia para centenas de famílias diferentes de ransomware – projeto que estima-se ter impedido que mais de quatro milhões de vítimas precisassem pagar pelo resgate.

Contudo, os mesmos responsáveis pela iniciativa ainda alertam que a melhor maneira de se proteger contra o dano potencial de um ataque de ransomware é garantir que as organizações, empresas e indivíduos tenham as medidas de segurança cibernética necessárias para se prevenir do ransomware antes de qualquer coisa.

O principal conselho é fazer o backup dos seus dados e mantê-los offline. Também é essencial que todos os sistemas operacionais e antivírus estejam devidamente atualizados e que as equipes de TI implementem qualquer patch disponível o mais rápido possível para mitigar quaisquer vulnerabilidades.

Também é importante que as organizações ensinem seus colaboradores a detectarem um ataque cibernético em potencial, para que não corram o risco de serem ludibriados, uma vez que são eles a superfície de ataque mais vulnerável.

Conte com a Compugraf para manter sua empresa segura. Entre em contato com nosso time de especialistas!

As principais notícias da semana

Se por um lado, por mais prejudiciais que sejam, ciberataques nunca foram considerados violentos por não apresentarem risco real à vida dos usuários, por outro essa realidade parece estar mudando.

Na Alemanha, registrou-se a primeira morte associada a um ataque de ransomware, que pode ser tratada como assassinato. Seria a abertura de um capítulo completamente novo na história da cibersegurança.

Enquanto isso, ataques de ransomware menos nocivos, mas ainda preocupantes, crescem no setor da Educação, e o Google se mobiliza para auxiliar vítimas a se prevenirem de malwares.

O que você vai ler hoje:

• Ataques de ransomware são um desafio para universidades ao redor do mundo
• Ainda na Educação, segurança de endpoints é principal fator de risco
• O Google agora escaneia arquivos suspeitos para você
• Primeira morte associada à ransomware é registrada na Alemanha

Ataques de ransomware são um desafio para universidades ao redor do mundo

O número de ataques de ransomware a universidades tem aumentado vertiginosamente desde o começo do ano, forçando as instituições acadêmicas a se manterem atualizadas sobre as melhores soluções de segurança para garantir que suas redes sejam resistentes o suficiente para prevenir e combater estes ataques, casos eles ocorram.

Recentemente, o Reino Unido emitiu um alerta às instituições de ensino ao redor do mundo, após equipes de segurança nacional observarem um aumento preocupante de ataques de ransomware a universidades em agosto.

Em alguns desses casos, os hackers não só exigiram um resgate significativo das vítimas, que deveria ser pago em bitcoin, mas também ameaçaram vazar dados pessoais roubados de seus alunos se o pagamento não fosse realizado.

Alguns dos vetores de infecção de ataque mais comuns incluem Protocolos de Desktop Remoto (RDP), e-mails de phishing e software e hardware vulneráveis ​​devido à falta de patches de segurança.

Por isso, a mitigação contra ataques de ransomware que as universidades estão sendo instadas a adotar incluem um gerenciamento completo de vulnerabilidades e patching nos softwares utilizados para ensino, proteção de serviços RDP com autenticação multifator, instalação de softwares antivírus e garantia de que funcionários e alunos estejam cientes dos riscos inerentes aos e-mails de phishing.

Também é recomendado que as universidades tenham backups offline atualizados e testados, de modo que, se os sistemas forem criptografados por um ataque de ransomware, eles possam ser restaurados sem que seja necessário pagar resgate a criminosos cibernéticos.

Ainda na Educação, segurança de endpoints é principal fator de risco

A crescente lacuna nas estratégias de segurança cibernética da educação hoje é mais grave na segurança de endpoints.

Visibilidade limitada dos dispositivos, picos de gerenciamento remoto e uso de aplicativos colaborativos, bem como atrasos na correção de vulnerabilidades críticas, estão colocando alunos e funcionários em risco elevado.

Esses e muitos outros insights são do Absolute Software's Distance Learning's Impact on Education IT Report, publicado esta semana. O relatório é baseado em dados anônimos de milhões de dispositivos ativos em aproximadamente 10.000 escolas.

De acordo com o relatório, o uso de aplicativos de gerenciamento remoto e colaboração em escolas de ensino fundamental e médio aumentou 87% e 141%, respectivamente, entre janeiro e maio de 2020.

A pesquisa também revela que 41% das equipes de TI das escolas disseram que rastrear dispositivos perdidos é um desafio significativo e, desde janeiro, houve um aumento de 205% no número de novos dispositivos conectados pela primeira vez à Internet, à medida que as escolas aumentaram seu inventário para dar suporte ao ensino à distância em 2020.

Além disso, a lacuna cada vez maior na segurança de endpoint, impulsionada pela rápida transformação digital que está acontecendo na educação hoje, coloca os professores na posição de helpdesk com muita frequência.

90% dos professores relatam que passam mais tempo resolvendo problemas de tecnologia e 7 em cada 10 estão tendo que sacrificar o tempo de ensino para resolver problemas técnicos.

Todos esses pontos poderiam ser evitados, ou minimizados, com melhores estratégias de segurança para endpoint a nível de dispositivo.

O Google agora escaneia arquivos suspeitos para você

O Google adicionou um novo recurso hoje ao APP, seu programa de segurança destinado a usuários de alto risco, como jornalistas, organizações políticas e ativistas.

A partir de hoje, os usuários do APP que navegam na web com o Chrome podem enviar arquivos suspeitos recém-baixados para os servidores do Google e fazer a varredura em busca de malware.

O recurso é a adição mais recente ao Programa de Proteção Avançada do Google, que vem evoluindo conforme mais e mais nos tornamos dependentes de auxílios para identificação e controle de ameaças antes de que elas, de fato, ocorram.

Com isso em mente, a partir do ano passado, o Google começou a mostrar avisos aos usuários do APP quando eles baixavam arquivos que pareciam ser maliciosos usando o Chrome.

Já essa semana, o Google disse que atualizou este aviso para adicionar uma opção que permite que os usuários do APP façam o upload do arquivo baixado para os servidores do Google, a fim de que ele seja verificado pelo Google Safe Browsing, usando suas técnicas internas de análise estática e dinâmica.

O novo recurso é ideal para usuários que não têm dinheiro para comprar um programa antivírus, como ativistas com baixa renda ou que vivem em países sancionados nos EUA, onde alguns fornecedores de segurança podem não estar presentes.

E para que os usuários do APP aproveitem as vantagens desse novo recurso, basta usarem o Chrome como seu navegador e fazer login com sua conta do Google protegida pelo APP.

Primeira morte associada à ransomware é registrada na Alemanha

As autoridades alemãs estão investigando a morte de um paciente após um ataque de ransomware a um hospital em Duesseldorf.

Identificada apenas como uma mulher que precisava de atendimento médico urgente, a paciente morreu após ter sido redirecionada para um hospital na cidade de Wuppertal, a mais de 30km de seu destino inicial, o Hospital Universitário de Duesseldorf, onde seria recebida pelo pronto-socorro.

Porém, o hospital que originalmente a receberia estava lidando com um ataque de ransomware que atingiu sua rede e infectou mais de 30 servidores internos no dia 10 de setembro, impossibilitando-o de recebê-la.

O incidente marca a primeira morte humana relatada indiretamente causada por um ataque de ransomware.

O caso está sendo investigada pelas autoridades alemãs. Se o ataque de ransomware e o tempo de inatividade do hospital forem considerados culpados pela morte da mulher, a polícia alemã disse que planeja transformar sua investigação em um caso de assassinato.

De acordo com a agência de notícias alemã RTL, a gangue de ransomware responsável pelo ataque retirou seu pedido de resgate depois que a polícia alemã entrou em contato. O hospital já recebeu uma descriptografia e está restaurando seus sistemas.

Um dia antes, o BSI havia emitido um aviso inesperado, pedindo às empresas alemãs que atualizassem seus gateways de rede Citrix para a vulnerabilidade CVE-2019-19871, um conhecido ponto de entrada para cibercriminosos.

A Associated Press também informou hoje que todo o ataque de ransomware à rede do hospital parece ter sido um acidente, com a nota de resgate sendo dirigida à universidade local (Duesseldorf Heinrich Heine University), e não ao hospital, que era apenas parte da rede maior.

Ou seja, um efeito colateral, que acabou chegando longe demais.

Saiba como manter sua empresa protegida de ameaças. Consulte a assessoria de especialistas da Compugraf.

Alguns pontos que nos ajudam a concluir isso:

• O crescimento vertiginoso do trabalho remoto está tornando a segurança de endpoints uma urgência para todas as organizações.
• Estratégias de implantação que priorizam a nuvem (cloud-first solutions) dominam as inovações do Hype Cycle for Endpoint Security da Gartner este ano.
• Soluções de Zero Trust Security (ZTNA) estão ganhando adesão em empresas que já perceberam que a identidade de seus colaboradores é o novo perímetro de segurança de seus negócios.
• Em 2024, pelo menos 40% das empresas terão elaborado estratégias para adoção do Secure Access Service Edge (SASE), contrapondo a estatística de menos de 1% de adesão no final do ano de 2018.

Esses e muitos outros novos insights são do Gartner Hype Cycle for Endpoint Security de 2020, ecoado no recente anúncio, também da Gartner, de que desdobramento da modalidade BYOD (bring your own device) transformará a segurança das empresas nos próximos cinco anos.

A definição de Hype Cycles (ciclo de tendências) da Gartner é composta por cinco fases do ciclo de vida de uma tecnologia e determina para onde os holofotes da cibersegurança estarão voltados ao longo dos próximos meses e/ou anos.

Existem 20 tecnologias no Hype Cycle for Endpoint Security deste ano. A proliferação de ataques a endpoints, o crescimento acelerado do trabalho remoto, a “pandemia do ransomware” e os frequentes ataques de phishing estão, como contrapartida ao prejuízo provocado pelo cibercrime, criando novas oportunidades para pesquisadores e fornecedores do ramo de cibersegurança acelerarem, também, inovações para prevenção e combate a ameaças.

Nesse cenário, a nuvem se tornou a plataforma preferida das organizações que adotam medidas de segurança de endpoint, conforme evidenciado pelas muitas referências do Hype Cycle a estratégias de implantação cloud-first.

O gráfico abaixo ilustra essa tendência:

O que há de novo nas soluções de segurança para endpoint e o que esperar para os próximos anos

A seguir, compartilhamos os principais assuntos com os quais sua empresa deve se preocupar nos próximos meses:

Colaboradores trabalhando de seus dispositivos pessoais são a superfície de ataque mais vulnerável das empresas

Cinco tecnologias estão no Hype Cycle pela primeira vez, reflexo do aceleramento provocado pelo trabalho remoto e a severidade e sofisticação dos ataques a endpoints.

São elas:

• Unified Endpoint Security
• Extended Detection and Response
• Business E-Mail Compromise Protection
• BYOPC Security
• Secure Access Service Edge (SASE)

Durante todo o isolamento social gerado pela pandemia do novo coronavírus, diversas organizações ao redor do mundo têm lutando para equipar suas forças de trabalho remotas com sistemas, dispositivos e smartphones corporativos. Por outro lado, muitas delas demandam que os colaboradores usem seus próprios dispositivos.

O modelo “traga o seu PC” (BYOPC, acrônimo de bring your own PC) se tornou tal via de regra que o termo vem substituindo o BYOD no Hype Cycle e pesquisas de cibersegurança afora.

O BYOPC é uma das superfícies de ameaça mais vulneráveis das empresas hoje. O número de colaboradores que acessam dados e aplicativos valiosos de seus próprios dispositivos, muitas vezes sem proteção nenhuma, será a grande preocupação dos próximos anos.

Investimento em soluções unificadas continua crescendo

Detecção e resposta estendidas (Extended detection and response, ou XDR) está no Hype Cycle pela primeira vez, refletindo uma tendência de consolidação dos gastos atuais com fornecedores no ramo de segurança cibernética.

A Gartner define o termo XDR como uma ferramenta de detecção e resposta de ameaças e resposta a incidentes específica de um fornecedor, que unifica vários produtos de segurança em um sistema único de operações de segurança.

A XDR e seu potencial para reduzir o custo total e a complexidade das infraestruturas de segurança cibernética na empresas é um tema constantemente debatido ao longo deste ano. Os fornecedores de XDR afirmam que seus portfólios integrados de aplicativos de detecção e resposta oferecem maior precisão e uma prevenção mais assertiva do que os sistemas autônomos.

É necessário reforçar a cerca em torno dos e-mails corporativos

A prevenção do comprometimento de e-mails corporativos (Business email compromise, ou BEC) também é figurinha inédita no Hype Cycle.

Os ataques de phishing custaram às empresas 1,8 bilhão de dólares em 2019, de acordo com o FBI, enfatizando a necessidade de melhor segurança nessa área, em específico.

E, visando justamente isso, a BEC pode ser definida como uma série de soluções que detectam e filtram e-mails maliciosos, onde criminosos se fazem passar por parceiros comerciais para desviar fundos ou dados das empresas-alvo.

Muitos desses ataques têm foco em executivos C-level, que veem suas identidades fraudadas por cibercriminosos na expectativa de desviar milhares de dólares para contas externas.

Faturas fraudulentas, aliás, foram responsáveis ​​por 39% dos ataques de phishing visando empresas em 2018, representando não só um risco interno para as organizações, mas também um risco para a reputação de seus executivos.

Dashboards unificados será o diferencial para equipes de TI

Unified Endpoint Security (UES) é outra tendência presente no Hype Cycle, e vem sendo impulsionada pela demanda das equipes de TI por um único dashboard para todos os eventos de segurança cibernética.

Sobre isso, a Gartner observa que os fornecedores de sucesso no setor de UES serão aqueles que demonstrarem ganhos de produtividade significativos na integração de segurança e operações, bem como aqueles que processarem rapidamente grandes quantidades de dados para detectar ameaças anteriormente desconhecidas.

CIOs e CISOs estão procurando uma maneira de integrar o UES e o Unified Endpoint Management (UEM), para que suas equipes possam ter um console único e abrangente em tempo real de todos os dispositivos que forneça alertas sobre quaisquer eventos de segurança.

O objetivo é ajustar as políticas de segurança em todos os dispositivos.

Integrar para conquistar: a nova ordem

Já o Unified Endpoint Management (UEM) está se expandindo rapidamente além do gerenciamento de PCs e dispositivos móveis para fornecer maiores insights de análises de endpoint e integração mais profunda no Gerenciamento de Identidade e Acesso (Identity and Access Management, ou IAM).

Os muitos benefícios do UEM, incluindo a simplificação de atualizações contínuas do sistema operacional em várias plataformas móveis, permitindo o gerenciamento de dispositivos independentemente da conexão e tendo uma arquitetura capaz de suportar uma ampla gama de dispositivos e sistemas operacionais, são o motivo pelo qual as empresas estão procurando expandir sua adoção de soluções com esse perfil.

Outro grande benefício mencionado pelas empresas é a automação de patches, políticas e gerenciamento de configurações baseados na Internet.

Além disso, os líderes da UEM se diferenciam por suas soluções de segurança adicionais integradas à plataforma UEM, incluindo autenticação multifator sem senha (Zero Sign-On) e defesa móvel contra ameaças (MTD).

O MTD, especialmente, é notório entre os clientes que precisam validar dispositivos em escala, estabelecer o contexto do usuário, verificar conexões de rede e, em seguida, detectar e corrigir ameaças. Ou seja, soluções completas, que simplifiquem a construção de uma rede de segurança com diversas camadas, serão prioridade das organizações em ascensão.

Soluções focais perdem espaço para proteções multifatoriais e unificadas

Por fim, dez tecnologias foram removidas ou substituídas no Hype Cycle porque, de acordo com a Gartner, evoluíram para recursos mais amplos ou se transformaram em ferramentas que vão além da segurança.

As dez tecnologias incluem navegadores protegidos, DLP para dispositivos móveis, detecção e resposta gerenciadas, análise de comportamento de usuários e entidades, segurança de IoT, plataformas de colaboração de conteúdo, identidade móvel, autenticação de usuário, ambientes confiáveis ​​e BYOD, que foi substituído por BYOPC.

De certo modo, o que dá para apreender dessas tendências e do novo ciclo que começamos a desbravar é uma consciência cada vez maior, por parte das empresas, a respeito das muitas camadas envolvidas na segurança de suas redes, dispositivos e colaboradores.

Por isso, é fundamental contar com parceiros que entendam dessa complexidade e assegurem que todas as superfícies de ataque estejam amparadas e protegidas.

Conte com os especialistas da Compugraf nessa missão. Entre em contato conosco e conheça nossas soluções!