Com ou sem vulnerabilidades, empresas são alvos de ataques diversificados e altamente paralisantes. Gigabyte é a vítima mais recente de um ataque de ransomware.
O que você vai ler:
- Criminosos vendem dados de acesso inicial de empresas de transporte e logística globais
- Vulnerabilidade da Apple possibilitava ataques de malware a usuários de macOS
- Apps maliciosos para Android são usados para distribuir malware
- Rede da Gigabyte é invadida e milhares de dados altamente confidenciais são vazados
Criminosos vendem dados de acesso inicial de empresas de transporte e logística globais
Cibercriminosos estão vendendo dados de acesso inicial das redes dos principais representantes da cadeia de suprimentos global, alertam pesquisadores.
A análise foi publicada no fim de outubro e reflete sobre as tendências atuais do mercado negro da deepweb, revelando exemplos de corretores de acesso inicial (IABs) que oferecem acesso a empresas de transporte e logística internacional terrestres, marítimas e aéreas.
O acesso é normalmente obtido por meio de vulnerabilidades no Remote Desktop Protocol (RDP), redes virtuais privadas (VPN), configurações incorretas, roubo de credenciais e ataques de força bruta.
Uma crise de segurança cibernética em uma dessas empresas de logística e transporte pode ter um impacto calamitoso na economia de consumo global, dizem os pesquisadores.
Há vários casos dignos de nota, tanto de IABs já conhecidos quanto de novos no mercado. Em julho, dois traders alegaram ter garantido o acesso às redes de uma empresa de navegação japonesa, além de ter roubado credenciais de colaboradores. O caso, depois, foi ampliado para mais de 50 organizações.
“O setor de logística é constantemente visado e as ramificações de um ataque cibernético podem ter um efeito-cascata paralisante na economia global […] É extremamente necessário que as equipes de segurança no setor de transporte marítimo monitorem e rastreiem adversários, suas ferramentas e seus comportamentos maliciosos, para impedir ataques. Abordar vulnerabilidades de forma proativa em tempos de alerta máximo evita mais estresse nas operações de negócios”, concluem os pesquisadores.
Vulnerabilidade da Apple possibilitava ataques de malware a usuários de macOS
A Apple corrigiu uma falha de segurança no macOS que pesquisadores da Microsoft descobriram abrir margem para que se instalasse um driver malicioso do kernel, também conhecido como “rootkit”.
A falha residia na proteção de integridade do sistema do macOS (SIP) e possibilitava que um invasor em potencial instalasse uma interface de hardware que permitia “sobrescrever arquivos de sistema ou instalar malware persistente e indetectável”.
A SIP, também conhecido como “rootless”, bloqueia o sistema desde a raiz usando a sandbox da Apple para proteger o macOS. Ele contém várias variáveis baseadas em memória que não são modificadas no modo de não-recuperação. Mas a SIP pode ser desligada após a inicialização no modo de recuperação, permitindo que um invasor ignore as proteções.
“Uma das restrições mais notáveis da SIP é a do sistema de arquivos. Essa condição é especialmente importante para hackers e agentes mal-intencionados, já que a quantidade de danos que alguém pode causar aos componentes críticos de um dispositivo é diretamente baseada em sua capacidade de gravar dados irrestritos no disco.”
A falha que a Microsoft encontrou nas restrições SIP da Apple estava relacionada às atualizações do sistema, que exigem acesso irrestrito a diretórios protegidos por SIP. A Apple introduziu um conjunto específico de diretrizes que contornam as verificações SIP e informa que já corrigiu a falha, rastreada como CVE-2021-30892.
Apps maliciosos para Android são usados para distribuir malware
Cibercriminosos estão usando aplicativos maliciosos de Android para enganar usuários e fazer com que se inscrevam em um falso serviço de assinatura de premium via SMS, o que resulta em grandes cobranças em suas contas telefônicas.
Essencialmente, a campanha – que parece ter começado em maio e está em andamento desde então – é composta por pelo menos 151 aplicativos que, em um período ou outro, já estiveram disponíveis na Google Play Store; coletivamente, eles foram baixados mais de 10,5 milhões de vezes.
De lá para cá, o Google removeu os apps denunciados, mas provavelmente há outros que ainda passam despercebidos. Aliás, a Play Store tem sido persistentemente atormentada por aplicativos falsos que espalham malware.
Todas as ofertas são “essencialmente cópias do mesmo aplicativo falso usado para espalhar a campanha de SMS premium”, explicam os pesquisadores que analisaram a campanha.
Embora os aplicativos sejam anunciados por meio de perfis que parecem legítimos, uma investigação mais detalhista aponta para indícios suspeitos. Por exemplo, eles tendem a incluir declarações de política de privacidade genéricas e apresentam perfis básicos de desenvolvedor, incluindo endereços de e-mail genéricos, bem como várias análises negativas que os identificam como fraudulentos.
Rede da Gigabyte é invadida e milhares de dados altamente confidenciais são vazados
A Gigabyte, conhecida gigante da tecnologia, supostamente sofreu uma grave violação de rede. Uma amostra de seus arquivos foi postada no site onion da AvosLocker, gangue de cibercriminosos, e parece conter detalhes confidenciais sobre negócios com empresas terceirizadas e informações pessoais de seus funcionários.
O vazamento foi divulgado pelo grupo de ransomware, responsável pela violação, em 20 de outubro. Eles ameaçaram vazar ainda amais dados se a empresa taiwanesa se recusasse a negociar.
Até agora, não houve uma resposta da Gigabyte. No entanto, como os documentos de amostra contêm muitas informações confidenciais, incluindo senhas e currículos candidatos, o vazamento é altamente preocupante para a empresa.
AvosLocker é bastante conhecido no cibercrime por vender dados de grandes corporações – o que se repete neste caso.
O arquivo .zip postado como um “preview” no site do grupo contém 14,9 MB de dados roubados, que incluem:
- Detalhes de cartão de crédito (datados de 2014)
- Informações de senha e nome de usuário
- Detalhes da folha de pagamento dos funcionários
- Contratos de RH
- 10 documentos PDF em um arquivo denominado “Passaportes”
- Informações sobre mais de 1.500 candidatos a vagas na empresa, incluindo nome completo, currículos e aplicações
- Uma pasta chamada “Mailchimp” contendo informações do banco de dados da conta GSM e que pode incluir endereços de e-mail
- Uma pasta zip contendo um documento NDA e informações sobre uma negociação com a Barracuda Networks no valor de 100 mil dólares
- Dados de empresas parceiras, como Blizzard, Black Magic, Intel, Kingston, Amazon e BestBuy
- Um arquivo .txt denominado “Tree” contendo 133.352 linhas de nomes de pastas e arquivos roubados na violaçã
- Despesas de viagens, como “Havaí 2019”, incluindo dados sobre o dinheiro gasto em bebidas, deslocamento e restaurantes
- Imagens de eventos da empresa, incluindo festas de Natal, festas de Halloween e aniversário de colaboradores
Os dados vazados contêm arquivos que datam desde maio de 2021. Isso indica que se trata de um vazamento recente com novos dados. Não só isso, mas a data dos arquivos significa que alguns dos dados de identificação pessoal (como informações dos entrevistados, senha e credenciais de nome de usuário, etc.) podem estar atualizados e, portanto, correm o risco de serem comprometidos.
Mantenha os dados da sua empresa protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
