Os hackers do hiper-destrutivo ransomware REvil sumiram. Isso é bom?

O grupo REvil é conhecido por lançar algumas das campanhas de ransomware mais onerosas para diversas empresas. Recentemente, eles desapareceram da Internet – mas isso não parece ser boa notícia.

A equipe de hackers por trás dos destrutivos ciberataques à indústria de alimentos e aos clientes do fornecedor de tecnologia Kaseya, ao que tudo indica, desapareceu da Internet. O grupo também é responsável pelos ataques mais custosos ao redor do mundo, sendo conhecidos por pedir milhões de dólares às empresas em troca da chave da descriptografia.

Fora do ar no início da manhã do dia 13 de julho, o darksite do grupo REvil, apelidado de “Happy Blog”, parece ser um indício que o grupo fará uma pausa em suas atividades.

Autores da Forbes fizeram repetidas tentativas de acessar a página do grupo, e falharam, recebendo um aviso que dizia que “a causa mais provável é que o onionsite está off-line”.

As outras páginas do REvil, incluindo a página que o grupo usa para pagamento de resgate, também estão inacessíveis, e seus representantes não aparecem em fóruns de hackers – outro canal frequentado pelo grupo – desde o final da semana anterior, de acordo com vários pesquisadores de segurança cibernética.

O desaparecimento do grupo REvil não necessariamente é uma boa notícia

Não há informações sobre o motivo pelo qual o REvil – que se acredita ter origem russa, mas opera fora do país – possa ter desaparecido. Pode ser devido a uma ação de aplicação da lei, embora nenhuma agência ainda tenha reivindicado o sucesso em derrubar o grupo.

O FBI não quis comentar o caso. No mês passado, o presidente Biden e o líder russo Vladimir Putin discutiram questões de segurança cibernética, incluindo a possibilidade de o Kremlin apoiar mais os esforços para conter os cibercriminosos que lançam ataques devastadores contra empresas dos EUA.

A equipe do REvil também pode ter se escondido devido à atenção dada a seus ataques recentes. Ou seus sites podem simplesmente ter caído devido a um problema técnico.

Como observa Brett Callow, rastreador de ransomware de uma empresa privada de segurança cibernética , o Happy Blog já caiu antes e voltou a funcionar, de modo que é “muito cedo para deduzir qualquer coisa a respeito”.

Em um caso semelhante e recente , os hackers do grupo de ransomware DarkSide desapareceram da Internet não muito depois de seu malware ter sido usado no enorme hack ao oleoduto da Colonial Pipeline, que levou ao fechamento de linhas de gás na costa leste dos Estados Unidos. Nesse caso, alguns dos os fundos entregues no resgate de 4 milhões de dólares, pagos em Bitcoin, foram recuperados pelo Departamento de Justiça.

Fora o hack à JBS, um dos maiores fornecedores de carne mundiais, que resultou em um pagamento de 11 milhões de dólares, o grupo causou grande impacto em um ataque que explorou uma vulnerabilidade zero-day que não havia sido corrigida em uma tecnologia feita pela Kaseya.

Visando a ferramenta, os hackers invadiram diversos clientes da Kaseya, bloqueando arquivos de até 1.500 empresas diferentes. Seu pedido de resgate e a liberação da chave para desbloquear as informações em todas as empresas afetadas chegou a 70 milhões de dólares, embora tenha caído para 50 milhões de dólares durante as negociações. Não está claro se algum pagamento foi feito.

Nos últimos meses, o REvil também hackeou: o fornecedor de energia renovável Invenergy, o fabricante de PCs, Acer, e o fornecedor da Apple, Quanta Computer.

Além disso, de acordo com dados da empresa de segurança cibernética Check Point, foram realizados, por semana, 15 ataques cibernéticos cuja autoria é associada à REvil ao longo dos últimos dois meses.

Se o grupo está apenas escondido para não chamar ainda mais a atenção, ou se está apenas fazendo uma pausa antes de seu próximo hiper-ataque, descobriremos em breve. O sumiço, contudo, dificilmente será motivo de celebração e de tranquilidade por parte das empresas, que devem continuar aderindo às medidas de segurança a fim de prevenir potenciais ataques.

Mantenha seu negócio protegido. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

700 milhões de dados de usuários de LinkedIn estão vulneráveis

Conforme alguns países afrouxam as medidas de segurança para contenção da COVID-19, colaboradores retornam ao escritório abrindo brechas para ameaças. Em paralelo, usuários do LinkedIn tem 700 milhões de registros à venda – e vulneráveis – na dark web.

O que você vai ler hoje:

Desenvolvedora de soluções de TI sofre ataque de ransomware por vulnerabilidade em um de seus fornecedores

Kaseya, uma das principais desenvolvedoras de soluções de TI para MSPs (provedores de serviços gerenciados) e para o setor B2B, anunciou que foi vítima de um ataque cibernético no dia 2 de julho de 2021, durante o fim de semana do Dia da Independência dos Estados Unidos.

De acordo com as primeiras pesquisas, cibercriminosos realizaram um ataque de ransomware à cadeia de suprimentos, se aproveitando de uma vulnerabilidade no software VSA da Kaseya (que realiza análise vetorial de sinais para diagnosticar a qualidade de um sinal) com o objetivo de atingir diversos provedores de serviços gerenciados e seus clientes.

O ataque lembra o caso SolarWinds, no qual invasores foram capazes de comprometer o software de um fornecedor para enviar uma atualização maliciosa a milhares de clientes. No entanto, ainda não se sabe quão difundido será o incidente de ransomware da Kaseya – mas é provável que sua repercussão seja igualmente preocupante.

O responsável por anunciar o ataque foi o CEO da empresa, às 14h do dia 02 de julho, que declarou ter sido de vítima de “um ataque potencial contra o VSA, limitado a um pequeno número de clientes locais”. Contudo, por cautela, representantes da Kaseya pediram a seus clientes que desligassem imediatamente seus servidores VSA.

Em uma atualização de 5 de julho, a Kaseya disse que uma correção está sendo desenvolvida e que seria implantada primeiro em ambientes SaaS.

“Estamos desenvolvendo o novo patch para clientes locais, em paralelo com a restauração do Data Center SaaS”, disse a empresa, em comunicado oficial. “Estamos implantando em SaaS primeiro, pois controlamos todos os aspectos desse ambiente. Uma vez que o trabalho se prove bem-sucedido, a empresa vai publicar o cronograma de distribuição do patch para clientes locais e possíveis afetados.

Colaboradores voltam ao escritório – e levam ameaças consigo

A volta aos escritórios em países com medidas mais maleáveis de contenção do coronavírus, bem como a desinformação dos usuários a respeito das medidas de segurança da informação, criou um risco sem precedentes de ataques corporativos.

É o que mostra uma nova pesquisa da Armis, empresa de segurança localizada em Palo Alto, na Califórnia. De acordo com os resultados da pesquisa, as equipes de segurança têm muito trabalho pela frente, não só bloqueando os sistemas de suas organizações, mas também evitando que usuários sejam enganados por esquemas de phishing e abram as portas para ameaças ainda mais severas.

A Armis entrevistou 2.000 usuários finais nos EUA e descobriu que os perigos para a infraestrutura crítica, serviços públicos e para indústria de alimentos – ou seja, serviços essenciais – têm início na falta de conhecimento. Mais de 20% dos entrevistados não tinham ouvido falar de ataques em grande escala a seu setor e também não achavam que haveria quaisquer consequências de longo prazo para a cadeia de suprimentos após ataques diretamente associados a seus serviços, como foi o caso do ataque à JBS Foods ou à Colonial Pipeline.

Além disso, a pesquisa descobriu que 71% dos trabalhadores que voltam ao escritório planejam trazer importas documentos de dispositivos domésticos de volta para dispositivos corporativos – ou devem seguir usando dispositivos domésticos em ambientes corporativos -, enquanto 54% não acham que haja qualquer risco associado a isso.

Mas, infelizmente, o risco é real.

A Armis encomendou um relatório de outra empresa de segurança, que descobriu que, nos últimos dois anos, 63% das empresas de prestação de serviços de saúde foram violadas devido a um dispositivo IoT não-gerenciado. No entanto, mais de 60% dos funcionários da área de saúde pesquisados ​​não achavam que seus dispositivos pessoais representavam qualquer risco, e mais de um quarto das organizações não têm políticas em vigor que descrevam o uso apropriado de dispositivos pessoais em ambientes de negócio.

O mais impressionante do estudo, porém, é que 82% dos entrevistados que planejam trazer seus dispositivos pessoais de volta ao trabalho são profissionais encarregados da segurança cibernética em suas corporações.

Existe uma grande defasagem na educação de colaboradores a respeito dos riscos de segurança e ela precisa ser corrigida o quanto antes, ou pode se tornar uma brecha de significativa e altamente custosa para as empresas.

Grupo de hackers se passa pelo presidente do Afeganistão para infectar dispositivos do alto escalão do país

Um grupo de hackers que se comunicam em chinês está realizando ataques cibernéticos contínuos contra o governo do Afeganistão, se passando pelo presidente do país.

Acredita-se que um grupo de ameaças persistentes avançadas (APT) denominado IndigoZebra seja o responsável. Os ciberataques já miraram em ex-repúblicas soviéticas, por exemplo, conforme observado pela equipe de pesquisa da Kaspersky.

Em e-mails forjados, os cibercriminosos fingem ser do gabinete do presidente afegão, Ashraf Ghani, e pedem uma revisão urgente das modificações em um documento relacionado a uma entrevista realizada durante suposta coletiva à imprensa. Os pesquisadores dizem que esses e-mails são enviados de caixas de entrada de e-mail comprometidas de vítimas de alto perfil que sofreram ataques anteriormente.

O arquivo que serve como isca é um arquivo protegido por senha denominado NSC Press conference.rar. Se a vítima abre o arquivo, ela recebe um executável do Windows (NSC Press conference.exe), que implanta um dropper de malware no dispositivo do usuário, bem como um backdoor que garante a continuidade do ataque.

O backdoor é capaz de fazer download e upload de arquivos, executar comandos emitidos por meio de um servidor de comando e controle (C2) e roubar dados.

Entidades de segurança dizem que, se confirmada a autoria do ataque, a APT em questão também é provavelmente a responsável por ataques que datam de 2014, nos quais entidades políticas no Quirguistão e no Uzbequistão foram alvo.

700 milhões de registros contendo dados de usuários do LinkedIn estão à venda na dark web

Uma postagem com 700 milhões de registros de usuários do LinkedIn apareceu em um popular fórum de hackers da dark web, revelam pesquisadores.

Analistas do Privacy Sharks encontraram os dados colocados à venda no RaidForums por um hacker que se autodenomina “GOD User TomLiner”. O anúncio, postado em 22 de junho de 2021, ainda inclui uma amostra de 1 milhão de registros como prova da “legitimidade” da oferta.

Os registros incluem nomes completos, gênero, endereços de e-mail, números de telefone e informações a respeito do setor em que os usuários atuam. Não está clara a origem dos dados – mas o scraping a partir de perfis públicos é uma fonte provável.

Essa foi a estratégia por trás da venda de 500 milhões de registros do LinkedIn em abril desse ano. Ele continha uma “agregação de dados de vários sites e empresas”, bem como “dados de perfil de membros visíveis ao público”, disse o LinkedIn na época.

Mas, de acordo com porta-vozes do LinkedIn, nenhuma violação de suas redes ocorreu desta vez.

“Embora ainda estejamos investigando esse problema, nossa análise inicial indica que o conjunto de dados inclui informações extraídas do LinkedIn, bem como informações obtidas de outras fontes”, diz o comunicado da empresa à imprensa. “Isso não foi uma violação de dados do LinkedIn e nossa investigação determinou que nenhum dado privado de membro do LinkedIn foi exposto. A coleta de dados do LinkedIn é uma violação de nossos Termos de Serviço e estamos constantemente trabalhando para garantir que a privacidade de nossos membros seja protegida.”

Existem mais 200 milhões de registros disponíveis desta vez, então é provável que novos dados tenham surgido e que seja mais do que uma “reaquecida” nos registros anteriores, concluem os pesquisadores. O que cibercriminosos farão em posse desses dados ainda não se sabe, mas já preocupa.

Quer manter seus dados seguros? Consulte as soluções de segurança da informação da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Brasil sofre mais de 3 bilhões de tentativas de ciberataques só no primeiro trimestre de 2021

Ameaças de malware se espalham de diferentes formas por dispositivos ao redor do mundo e continuam representando um dos principais inimigos da segurança cibernética.

O que você vai ler hoje:

30 milhões de dispositivos Dell sofrem com vulnerabilidades de alta gravidade

Quatro vulnerabilidades de alta gravidade podem permitir que invasores realizem execução arbitrária de código em ambientes de pré-inicialização de alguns dispositivos Dell, descobriram, recentemente, pesquisadores de cibersegurança.

Tais ameaças afetam cerca de 30 milhões de endpoints da Dell em todo o mundo.

Ao todo, são 129 modelos de laptops, tablets e desktops vulneráveis aos bugs – incluindo dispositivos corporativos e de uso pessoal protegidos pelo padrão de segurança da Dell, que visa assegurar que um dispositivo seja inicializado apenas por softwares confiáveis. As ameaças permitem que cibercriminosos contornem essas proteções, controlem o processo de inicialização do dispositivo e subvertam o sistema operacional e os controles de segurança de camadas superiores.

Atualmente, a pontuação desses bugs no Common Vulnerability Scoring System (CVSS, que avalia a gravidade das vulnerabilidades de segurança) acumula 8,3 de um total de 10 pontos.

Trata-se de mais um indicativo de como cibercriminosos podem transformar soluções de segurança em armas, uma vez que as ameaças, na verdade, exploram processos de atualização remota que visam tornar o mais fácil possível para clientes Dell manterem seu firmware atualizado.

Porém, como pontuam os pesquisadores, em relatório, “a combinação da capacidade de exploração remota com altos privilégios provavelmente tornará a funcionalidade de atualização remota um alvo atraente para invasores no futuro”.

Ataques à indústria de games cresce mais de 300% em 2020

Os ataques à indústria de videogames dispararam durante a pandemia, com ataques a aplicativos da web crescendo impressionantes 340% ao longo de 2020.

De acordo com o relatório “Gaming in a Pandemic”, são mais de 240 milhões de ataques só no ano passado – e um aumento de 415% nos ataques a aplicativos da web na indústria de jogos desde 2018.

Além disso, ataques de preenchimento de credenciais cresceram 224% durante a pandemia.

Um dos principais motivos para esse “boom” no setor é o dinheiro. De acordo com uma análise citada no relatório, o mercado global de games deve atingir US$ 175 bilhões de faturamento em 2021 – uma fonte altamente rentável para diversos tipos de ameaças, seja contra empresas ou usuários de jogos online.

Outro motivo que favorece os ataques é a maior adesão a jogos online durante a pandemia, e a vulnerabilidade crescente de dispositivos pessoais ou corporativos em função do modelo de trabalho remoto.

Campanhas direcionadas que visam explorar essa combinação de fatores já fizeram vítimas entre usuários da Steam e do Discord, por exemplo. Mas os ataques a plataformas de gaming promete ser ainda mais rentável, uma vez que as transações financeiras para aquisição de skins ou recursos para melhorias dentro dos jogos, por exemplo, é muito incentivada e comum entre os jogadores.

Malware de mineração usa modo de segurança do Windows para infectar dispositivos

Pesquisadores descobriram uma variedade de malware de mineração de criptomoedas que explora o modo de segurança do Windows durante os ataques.

Apelidado de Crackonosh, a ameaça se espalha por meio de softwares pirateados e crackeados, frequentemente encontrados em torrents, fóruns e sites na dark web.

O Crackonosh está em circulação pelo menos desde junho de 2018, de acordo com especialistas em segurança: a vítima executa um arquivo que acredita ser uma versão crackeada de um software legítimo e o malware é implantado no dispositivo.

A cadeia de infecção começa com a queda de um instalador e um script que modifica o registro do Windows para permitir que o principal executável do malware seja executado no modo de segurança. Em seguida, o sistema infectado é configurado para inicializar no modo de segurança na próxima inicialização do sistema.

“Enquanto o sistema Windows está em modo de segurança, o software antivírus não funciona”, dizem os pesquisadores. O Crackonosh, então, uma vez instalado, verificará a existência de antivírus e tentará desativá-los ou excluí-los. Depois, os arquivos do sistema de log são apagados para cobrir os rastros da ameaça.

Aproximadamente 1.000 dispositivos estão sendo atingidos a cada dia e mais de 222.000 máquinas foram infectadas em todo o mundo. No geral, pesquisadores acreditam que o Crackonosh tenha gerado pelo menos 2 milhões de dólares para seus operadores, com mais de 9.000 moedas XMR sendo mineradas até o momento.

Brasil sofreu mais de 3 bilhões de tentativas de ciberataques só no começo de 2021

O Brasil sofreu mais de 3,2 bilhões de tentativas de ataques cibernéticos só no primeiro trimestre de 2021, de acordo com uma pesquisa realizada por uma desenvolvedora de soluções de segurança da informação.

Além disso, o país lidera o ranking de ameaças sofridas na América Latina, segundo o relatório “Threat Intelligence Insider”.

No começo de 2021, mostram os pesquisadores, houve um aumento significativo na distribuição de malwares via web, muito provavelmente por conta do aumento do uso de redes sociais como plataformas de campanhas de malware e de phishing. O WhatsApp e o Facebook também foram dois aplicativos altamente afetados pelo aumento de ameaças, que geralmente têm início na distribuição de phishing, antes de evoluir para disseminação de malware.

Outro dado identificado pelo estudo é que, durante o primeiro trimestre, foram feitas diversas tentativas de execução de código remoto a roteadores e redes domésticas.

Essas ameaças são reflexo direto da adoção de um modelo de trabalho remoto, por conta da pandemia, que deixa dispositivos pessoais e corporativos excepcionalmente vulneráveis.

Quer manter sua empresa e seus colaboradores seguros? Conheça as soluções da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Malware personalizado e desconhecido rouba bilhões dados

Um ameaça de malware personalizada e sem nome resultou no roubo massivo de dados de arquivos, credenciais, cookies e muito mais. Pesquisadores encontraram os dados coletados em um banco na nuvem e tentam rastrear os responsáveis prováveis.

Pesquisadores de cibersegurança descobriram um banco de dados contendo 1,2 TB de dados roubados. Os dados foram retirados de cerca de 3,2 milhões de computadores que utilizam o sistema operacional Windows e a extração se deu ao longo de dois anos, por um malware personalizado desconhecido, dizem os especialistas.

As informações roubadas incluem 6,6 milhões de arquivos, 26 milhões de credenciais e 2 bilhões de cookies – com 400 milhões dos últimos cookies ainda válidos no momento da descoberta do banco de dados.

O malware

De acordo com pesquisadores de cibersegurança, a ameaça é um malware furtivo e ainda sem nome, que se espalhou entre 2018 e 2020 por meio de versões crackeadas e infectadas com trojan do Adobe Photoshop, além de jogos pirateados e ferramentas de cracking do Windows. Porém, é improvável que os operadores fossem muito experientes na hora de extrair esses dados e realizar campanhas de colheita, pontuam.

“A verdade é que qualquer pessoa pode colocar as mãos em um malware personalizado. É barato, customizável e pode ser encontrado em toda a web ”, disseram os especialistas, ao divulgar a análise. Eles também comentam que existem anúncios rolando na Dark Web para esses vírus, revelando um mercado muito mais profundo e complexo. “Por exemplo, qualquer pessoa pode obter seu próprio malware personalizado e até aulas sobre como usar os dados roubados por apenas US $ 100. E quando se fala em customização, significa, literalmente, customização: os anunciantes prometem ter capacidade de criar um vírus para atacar praticamente qualquer aplicativo que o comprador precisar.”

A localização do banco de dados foi revelada acidentalmente por um grupo de hackers, ainda de acordo com os pesquisadores. O provedor de nuvem que hospeda os dados foi notificado para que o banco possa ser removido, e um consultor de segurança da web subiu os endereços de e-mail comprometidos ao seu famoso repositório HaveIBeenPwned, para que as pessoas possam verificar se foram afetadas pelo malware.

“Este incidente foi sinalizado como ‘sensível’, por isso não pode ser pesquisado publicamente”, explicou o consultor.

Milhões de arquivos roubados

Foram milhões de credenciais de login roubadas, incluindo acessos para redes sociais, marketplaces, e-mails pessoais e sites de jogos, alertam os pesquisadores. E, se os usuários não tem o hábito de atualizar suas credenciais periodicamente, muitas delas podem continuar ativas – e vulneráveis.

Os pesquisadores também descobriram que o malware armazenou 6 milhões de arquivos no front-end. Dentre eles, havia 3 milhões de arquivos de texto, mais de 1 milhão de arquivos de imagem e mais de 600.000 arquivos Word e .PDF, junto a outros tipos de arquivos menos comumente utilizados.

“Mais de 50% dos arquivos roubados eram arquivos de texto”, de acordo com a análise. “É provável que grande parte desse dossiê contenha logs de software”.

Outro ponto preocupante tem a ver com hábitos pouco seguros de usuários. “Também é alarmante que algumas pessoas usam até o Bloco de Notas para guardar suas senhas, notas pessoais e outras informações confidenciais”, comentam os especialistas.

Além disso, o malware roubou 696 mil .PNG e 224 mil arquivos de imagem .JPG, fez uma captura de tela depois de infectar o computador e também tirou uma foto usando a webcam do dispositivo.

Porta para ataques mais complexos e mais graves

“O acesso a cookies ajuda os hackers a construírem uma imagem mais precisa dos hábitos e interesses dos usuários-alvo”, contam os pesquisadores. “Em alguns casos, os cookies podem até dar acesso às contas da pessoa, caso ela tenha o hábito de se manter logada em sites frequentes”.

Mas, dependendo de quão experiente for o invasor, os cookies podem abrir portas para ataques ainda mais graves. “[Por exemplo], os cookies de compras online são usados ​​para armazenar dados do carrinho de compras enquanto o usuário navega em uma loja. No entanto, eles podem ser usados ​​para sequestrar a sessão de um comprador, possibilitando a um hacker invadir sua conta e ter acesso a seu endereço residencial e detalhes de cartão de crédito, que podem estar armazenados na loja online”.

A equipe de pesquisa descobriu que foram roubados cookies de e-commerces, sites de jogos, plataformas de compartilhamento de arquivos, plataformas de streaming de vídeo e redes sociais.

Além disso, os ciberataques que se beneficiaram desse malware parecem ter feito bom uso do vírus para atingir soluções específicas, em campanhas direcionadas. O banco de dados contém uma série de credenciais, dados de preenchimento automático e informações de pagamento roubadas de 48 aplicativos e “a pesquisa mostra que o malware visava principalmente navegadores da web, para roubar a grande maioria dos dados”, de acordo com a análise.

Os 10 principais aplicativos-alvo foram os seguintes:

  • Google Chrome (19,4 milhões de registros)
  • Mozilla FireFox (3,3 milhões de registros)
  • Opera (2 milhões de registros)
  • Internet Explorer / Microsoft Edge (1,3 milhões de registros)
  • Chromium (1 milhão de registros)
  • CocCoc (451.962 registros)
  • Outlook (111.732 registros)
  • Navegador Yandex (79.530 registros)
  • Tocha (57.427 registros)
  • Thunderbird (42.057 registros)

Como se proteger contra malwares personalizados

Infelizmente, o malware personalizado é difícil de combater quando um dispositivo é infectado, disseram os pesquisadores, porque, como se trata de uma nova ameaça, o antivírus não consegue reconhecê-lo de imediato. Portanto, a prevenção é a melhor abordagem.

Estas são as práticas recomendadas para manter seus usuários e dispositivos seguros:

  • Não confie 100% nos navegadores da Web, pois eles, sozinhos, não asseguram a proteção dados confidenciais. Use gerenciadores de senha para proteger suas credenciais e informações de preenchimento automático;
  • Malwares não podem acessar arquivos criptografados, então esta pode ser uma boa prática para proteger dados sensíveis;
  • Alguns cookies são válidos por dias, enquanto outros não expiram antes de um ano. Por isso, faça da limpeza de cookies um hábito mensal;
  • Baixe apenas softwares diretamente do site do desenvolvedor ou de fontes conhecidas e confiáveis;
  • Todo malware é reconhecido eventualmente. Certifique-se de que seu antivírus esteja sempre atualizado para não ser vítima de uma ameaça antiga!

A Compugraf oferece diferentes soluções de segurança para sua empresa, protegendo seu negócio de ponta a ponta. Converse com nossos especialistas e saiba como podemos te ajudar!

Read more
No Comments