Ataques a dispositivos IoT aumenta em mais de 100% no primeiro semestre de 2021

A primeira metade de 2021 viu 1,5 bilhão de ataques a dispositivos inteligentes, com invasores visando roubo de dados, mineração de criptomoedas ou criação de botnets

Nos primeiros seis meses de 2021, foi observado um crescimento de mais de 100% no número de ataques cibernéticos direcionados a dispositivos de Internet das Coisas (IoT, ou Internet of Things).

De acordo com uma análise realizada pela empresa de segurança Kaspersky, pesquisadores de cibersegurança detectaram mais de 1,5 bilhão de ataques IoT no primeiro semestre de 2021 – superando os 639 milhões do semestre anterior, o que é mais do que o dobro do volume de novos ataques em um espaço de apenas seis meses.

“Desde que os dispositivos IoT – de smartwatches a acessórios domésticos inteligentes – se tornaram uma parte essencial de nossa vida cotidiana, os cibercriminosos naturalmente voltaram sua atenção para esse setor”, explica Dan Demeter, especialista em segurança da Kaspersky. “Uma vez que o interesse dos usuários por dispositivos inteligentes aumentou, os ataques aumentaram paralelamente.”

Deve-se ressaltar que não é apenas uma preocupação com a segurança pessoal. Com milhões de colaboradores trabalhando de casa, em regimes híbridos ou remotos, os cibercriminosos estão visando recursos corporativos por meio de redes domésticas e dispositivos inteligentes domésticos, de acordo com pesquisadores. Afinal, eles sabem que as organizações ainda não se acostumaram com esse novo cenário, quando o assunto é segurança – ou a falta dela.

“Ao longo dos últimos 12 meses, a falta de preparação para detectar e solucionar incidentes de segurança tornou-se cada vez mais evidente, especialmente com o aumento do uso de dispositivos pessoais que se conectam a redes corporativas, a visibilidade reduzida de endpoints, asuperfície de ataque expandida e o aumento dos vetores de ataque”, disse um representante da Red Canary à imprensa norte-americana.

Ataques a dispositivos IoT: quais os riscos?

Outro ponto de preocupação é que o resultado dos ataques a dispositivos IoT também está evoluindo, de acordo com a Kaspersky: dispositivos infectados estão sendo usados ​​para roubar dados pessoais ou corporativos, minerar criptomoedas, além de basear ataques DDoS tradicionais nos quais os dispositivos são adicionados a um botnet.

Por exemplo, o botnet Lemon Duck tem como alvo dispositivos PC das vítimas para extração da moeda virtual Monero; além disso, utiliza recursos de autopropagação e uma estrutura modular que permite infectar sistemas adicionais para se tornarem parte do botnet também.

Ele tem pelo menos 12 vetores de infecção inicial diferentes – mais do que a maioria dos malwares – incluindo dispositivos IoT com senhas fracas ou padronizadas. Seus modus operandi consiste em tentativas de força bruta em credenciais telnet corporativas (telnet sendo o protocolo usado para acessar e gerenciar um dispositivo remotamente).

Facilitadores de ciberataques

Além de senhas fracas, que abrem caminho para que cibercriminosos comprometam mais facilmente os dispositivos de IoT, mais e mais vulnerabilidades estão surgindo, o que torna esses gadgets especialmente atraentes para os invasores.

A empresa observou que, mais do que nunca, um número crescente de explorações estão sendo transformadas em armas pelos cibercriminosos.

Recentemente, por exemplo, foi divulgado um conjunto de vulnerabilidades apelidado de BrakTooth, que afeta sistemas de Bluetooth implementados em circuitos de sistema em um chip (SoC) de mais de uma dúzia de fornecedores. Um dos bugs permite a execução de código em dispositivos inteligentes, descobriram pesquisadores, tornando-os vulneráveis para botnets e ladrões de dados armados com spyware.

Isso tem sérias implicações se tal ataque for aplicado a produtos domésticos inteligentes com Bluetoot, alertaram agentes de segurança.

Em agosto de 2021, pesquisadores da Claroty revelaram uma vulnerabilidade no Linphone SIP Protocol Stack da Belledonne Communications. O Linphone é um projeto de voz sobre IP (VoIP) de código aberto utilizado há 20 anos, que se apresenta como o primeiro aplicativo de código aberto a usar SIP no Linux. Essa vulnerabilidade também é uma porta aberta para cibercriminosos.

“Os dispositivos Enterprise IoT hoje são comumente conectados a dispositivos de voz e vídeo, como telefones, câmeras de vigilância, campainhas conectadas e outros sistemas de segurança”, explicaram os pesquisadores. “Quando esses protocolos SIP são comprometidos, um invasor pode ganhar uma posição estratégica em uma rede corporativa e ter acesso a toda a rede IoT. A vulnerabilidade pode ser explorada remotamente, não exigindo nenhuma ação da vítima – ou seja, empoderando ainda mais os invasores.”

Como manter dispositivos inteligentes protegidos contra ataques cibernéticos

“Algumas pessoas acreditam que não são importantes o suficiente para serem hackeadas, mas observamos como os ataques contra dispositivos inteligentes se intensificaram durante o ano passado, independentemente do alvo”, disse a Kaspersky. “E a maioria desses ataques é evitável.”

Para manter seus dispositivos seguros, a Kaspersky recomendou que os usuários implementem as seguintes práticas:

  • Instalar atualizações de firmware o mais rápido possível. Depois que uma vulnerabilidade é encontrada, ela pode ser corrigida por meio de patches disponibilizados pelas atualizações;
  • Sempre alterar as senhas pré-configuradas. Use senhas complicadas que incluam letras maiúsculas e minúsculas, números e símbolos, se possível;
  • Reinicializar um dispositivo assim que ele começar a agir estranhamente. Isso pode ajudar a eliminar o malware existente, mas vale se atentar para o fato de que não reduz o risco de ser infectado novamente;
  • Analisar e escolher soluções de segurança que ajudem a proteger os ecossistemas de IoT.

Quer manter seus dispositivos seguros? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Maioria das empresas não é capaz de identificar um ataque realizado de dentro da própria organização, revela pesquisa

Diversas pesquisas recentes traçam um panorama das principais ameaças correntes em 2021, e alertam sobre onde empresas falham em se proteger.

O que você vai ler hoje:

Pesquisadores identificam o perfil da “vítima perfeita” para ataques de ransomware

Pesquisadores delinearam o perfil da “vítima perfeita” dos grupos de ransomware em atividade hoje, em um relatório publicado recentemente sobre listagens feitas por operadores de ransomware na dark web. Os resultados revelam que muitos desses grupos têm como alvo principal empresas dos EUA e/ou multinacionais com uma receita mínima anual acima de 100 milhões de dólares e que a principal estratégia adotada para isso é o “acesso inicial” – isto é, a compra de dados pessoais para tentativas de invasão por meio da infecção de dispositivos corporativos ou pessoais.

Aliás, o acesso inicial agora é um grande modelo de negócios na dark web. Grupos de ransomware como Blackmatter e Lockbit podem eliminar boa parte do trabalho braçal envolvido em um ataque cibernético comprando esses acessos, que incluem credenciais de trabalho ou o conhecimento de uma vulnerabilidade em um sistema corporativo.

Afinal, se uma campanha de ransomware bem-sucedida pode resultar em pagamentos no valor de milhões de dólares, esse gasto se torna irrelevante para as gangues – permitindo que elas foquem em atacar mais alvos e desenvolver suas estratégias de extorsão.

O relatório também mostra que os alvos russos são rejeitados imediatamente, em geral, e outros são considerados “indesejados” – como aqueles localizados em países “em desenvolvimento”, provavelmente porque os pagamentos potenciais são baixos.

Aproximadamente metade dos operadores de ransomware, no entanto, rejeita ofertas de acesso a organizações no setor de saúde e educação, independentemente do país. Em alguns casos, entidades governamentais e organizações sem fins lucrativos também estão “fora do jogo” – um princípio ético compartilhado pela maioria dos grupos de ransomware, sobretudo após a pandemia do COVID-19.

Inep expõe dados pessoais de cerca de 5 milhões de brasileiros

Os dados pessoais de cerca de 5 milhões de estudantes brasileiros foram expostos indevidamente na web devido a um conjunto de falhas de configuração nos sistemas do Inep (Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira).

A falha foi identificada e divulgada por uma fonte anônima, que entrou em contato com a imprensa brasileira após descobrir a brecha no dia 28 de agosto.

De acordo com a fonte, o problema estava no sistema do Exame Nacional de Desempenho dos Estudantes (Enade), que, por sua vez, tem ligações diretas com o banco de dados do Exame Nacional do Ensino Médio (Enem). Dessa forma, era possível, a qualquer um que tivesse “conhecimentos básicos de programação”, segundo a fonte, consultar informações de estudantes que participaram de ambas as avaliações desde, aproximadamente, 1995.

O The Hack investigou com exclusividade o caso e informa que, dentre os dados vazados, havia endereços residenciais, informações diversas de contatos, nome do pai, fotos e curso de inscrição vazados.

A matéria completa detalha como a vulnerabilidade, que já foi parcialmente corrigida, podia ser acessada.

Pesquisadores de segurança alertam sobre conjunto de vulnerabilidades que afeta dispositivos Bluetooth

Pesquisadores de cibersegurança divulgaram um grupo de 16 vulnerabilidades distintas, chamadas, coletivamente, de BrakTooth, que afetam bilhões de dispositivos dependentes do Bluetooth Classic (BT) para comunicação.

De acordo com um artigo acadêmico publicado pela Universidade de Cingapura, os bugs são encontrados na pilha comercial privada do Bluetooth Classic, utilizada por pelo menos 1.400 componentes de chip embutidos, que podem conduzir a diferentes tipos de ataque – principalmente os de negação de serviço (DoS) por meio de falhas de firmware.

Um dos bugs também pode levar à execução arbitrária de código (ACE), que permite que um invasor execute qualquer comando em um um dispositivo violado.

A equipe analisou 13 peças de hardware BT, produzida por 11 fornecedores; até agora, 20 CVEs foram atribuídas a elas. Alguns dos bugs foram corrigidos, outros estão em processo de correção; mas, disseram os pesquisadores no artigo, “é altamente provável que muitos outros produtos (além das 1.400 peças observadas na lista) sejam afetados pelo BrakTooth”, incluindo sistemas em chips BT, módulos BT ou BT adicionais produtos finais.

Potencialmente, bilhões de dispositivos podem ser afetados em todo o mundo, disseram os pesquisadores.

O relatório compartilhou esta tabela dos 16 bugs identificados:

Fonte da imagem: Singapore University of Technology and Design

As vulnerabilidades do BlueTooth são particularmente preocupantes, dada a vastidão de seu impacto, e, infelizmente, não são tão incomuns.

A fim de auxiliar na mitigação do problema, os pesquisadores lançaram uma ferramenta de prova de conceito (PoC) do BrakTooth para fornecedores que produzem BT SoCs, módulos e produtos, por meio da qual eles podem verificar a vulnerabilidade de seus equipamentos.

A equipe também divulgou um portal exclusivo sobre o BrakTooth, aberto ao público, para compartilhamento da pesquisa.

Maioria das empresas não é capaz de identificar um ataque partindo de dentro da própria organização, revela pesquisa

A maioria das empresas luta para identificar indicadores iniciais que possam sugerir que um insider – termo atribuído a invasores localizados dentro das organizações – está planejando roubar dados ou realizar ataques cibernéticos às empresas.

As ameaças internas podem surgir de várias formas, desde colaboradores que planejam levar dados confidenciais consigo quando mudam de emprego, até aqueles que estão trabalhando ativamente com criminosos cibernéticos, abrindo caminho para um ataque de ransomware.

Em muitos desses casos, um insider que estiver se preparando para realizar um ataque seguirá um padrão definido de atividades, incluindo reconhecimento, evasão, agregação, ofuscação e exfiltração – todos os quais podem sugerir à organização de que algo está errado e que alguma movimentação criminosa está em andamento.

Leia mais sobre como criminosos se preparam para lançar um ataque cibernético

Mas as empresas estão lutando para detectar os principais indicadores de ameaça interna em cada um desses estágios por causa da falta de controles e práticas de monitoramento eficazes, de acordo com este relatório.

Na verdade, apenas um terço das empresas acredita que são eficazes em evitar que dados sejam roubados de sua organização.

Não só isso: mais da metade das empresas entrevistadas pela pesquisa cita a falta de experiência interna para lidar com ameaças, enquanto pouco menos da metade diz que há falta de orçamento, e a mudança para o trabalho remoto também tornou mais difícil mitigar os riscos de segurança cibernética.

A Compugraf pode te ajudar nessa missão, porém. Conheça nossas soluções de segurança da informação e saiba como se proteger!

Read more
No Comments

Trabalho remoto cresce, mas segurança remota não acompanha, revela pesquisa

Uma nova pesquisa da Palo Alto Networks mostra os principais desafios de cibersegurança que empresas enfrentaram ao migrar para o modelo de trabalho remoto – e o que elas estão fazendo para conter os riscos à medida que regimes híbridos ganham cada vez mais espaço

Em março de 2020, no início da pandemia do COVID-19, quando a maior parte das organizações ao redor do mundo foram forçadas a mudar, abruptamente, para um modelo de trabalho remoto, muitas delas tiveram que adaptar seus recursos de rede e segurança rapidamente. A fim de não interromperem suas operações, muitas “cortaram caminho”, deixando algumas prioridades de lado e se sujeitando, conscientemente, a alguns riscos, a fim de não pararem.

Não surpreendentemente, essa mudança abrupta de comportamento teve diversas consequências negativas para as organizações.

Uma pesquisa recente, encomendada pela Palo Alto Networks, examinou os impactos dessas decisões estratégicas e o que as organizações estão fazendo, agora, enquanto desenvolvem planos de trabalho híbridos mais perenes – e seguros.

A pesquisa entrevistou 3.000 pessoas, incluindo executivos de tecnologia e membros das equipes de rede, segurança e operações.

Modelo remoto sem segurança remota

De acordo com a pesquisa, até 61% dos entrevistados disseram que tiveram dificuldade em fornecer a segurança remota necessária para amparar recursos de trabalho, com os colaboradores operando de casa. Embora certamente não fosse o único desafio a ser enfrentado nos processos de adaptação, ela continua no topo da lista de problemas contínuos significativos para 51% dos entrevistados.

Além disso, de um quarto a um terço dos entrevistados ainda está lutando para fornecer uma experiência de usuário positiva e completa para seus colaboradores, com inúmeros contratempos de integração de ferramentas colaborativas e adequação de processos à realidade remota.

Por outro lado, no momento da pesquisa, mais de dois terços das organizações indicaram que entre 25% a 75% de sua força de trabalho ainda trabalhava remotamente.

44% das empresas esperam ter mais da metade de seus funcionários trabalhando remotamente ainda em 2022. Mais do que isso: cerca de 62% dos entrevistados estão em processo de otimização de sua força de trabalho híbrida, com 94% considerando algum tipo de força de trabalho híbrida nos próximos 12 meses.

Equipes de TI têm um desafio que foge de seu controle?

No início da pandemia, as equipes de TI adotaram abordagens diferentes para dar suporte ao trabalho remoto: a maioria (44%) dos entrevistados disse que suas organizações fizeram investimentos para melhorar o acesso remoto à rede, mas investiram relativamente pouco em segurança remota.

Outros 35% disseram que suas organizações investiram fortemente em recursos de acesso à rede e segurança. Já 21% disseram que suas organizações fizeram poucas mudanças na arquitetura de rede existente, ou na segurança remota.

Entre aqueles com atualizações mínimas em sua rede, 48% agora acreditam que sua rede não pode suportar as demandas atuais de trabalho remoto ou que sua rede remota não é sustentável. Em contrapartida, esse sentimento é compartilhado por apenas 21% daqueles que desenvolveram sua rede e 14% daqueles que desenvolveram sua rede e sua segurança remota.

Outro dado interessante é que 53% das organizações que priorizaram o acesso remoto ao invés da segurança estão agora expostas a um aumento significativo nos riscos de segurança de violações de políticas de uso não-verificadas e uso de aplicativos não-sancionados. Aqueles que fizeram alterações mínimas em seu acesso remoto, por outro lado, viram um aumento de 23% nos problemas de segurança.

“Como ocorre já há um tempo, quando as medidas de segurança se tornam um fardo – desacelerando os sistemas ou impedindo a produtividade e prejudicando a experiência do usuário – os colaboradores muitas vezes encontram formas criativas de evitá-las”, diz o relatório. “O trabalho remoto e o surgimento de aplicativos baseados em nuvem tornaram isso ainda mais fácil. A expansão do trabalho remoto abriu as portas para um aumento da carga de segurança e uma oportunidade maior de contornar soluções de proteção.”

O relatório sugere que fornecer aos colaboradores ferramentas eficazes de colaboração e produtividade abriria margem menor à busca por soluções alternativas de segurança. Organizações que carecem de ferramentas eficazes de colaboração remota afirmam que seus usuários têm mais de 8 vezes mais probabilidade de relatar altos níveis de evasão de segurança.

Além disso, a pesquisa mostra que 60% das organizações expandiram seus modelos de trabalho BYOD (bring your own device, ou “traga o seu próprio dispositivo”) para permitir que seus colaboradores trabalhem de ambientes corporativos ou residenciais em um mesmo dispositivo.

No entanto, como resultado, as organizações que permitem o aumento do uso de BYOD têm colaboradores 8 vezes mais propensos a ignorar, burlar ou desativar a segurança do que aquelas que restringem o BYOD.

Agora, à medida que as organizações estão avaliando um cenário de longo prazo, 74% das empresas afirmam que uma solução única de segurança remota de ponta a ponta melhoraria a postura de seus colaboradores.

Além disso, 71% das organizações esperam ter a segurança centralizada ,em sua maior parte ou totalmente, em sistemas cloud nos próximos 24 meses.

Acompanhe as principais notícias sobre segurança da informação: assine a newsletter da Compugraf e fique por dentro de nossas novidades!

Read more
No Comments

FBI alerta sobre novo grupo de ransomware que ameaça setor de saúde

Novo grupo de ransomware compromete sistemas de hospitais nos EUA e preocupa FBI

O FBI lançou um alerta a nível nacional sobre a ameaça de ransomware Hive, após o grupo derrubar a rede do Memorial Health System na metade de agosto.

O alerta explica que o Hive é um ransomware operado por afiliados, cuja atuação foi observada pela primeira vez em junho; a ameaça implementa “diversos mecanismos para comprometer redes de negócios, incluindo e-mails de phishing com anexos maliciosos, para obter acesso à rede, e Remote Desktop Protocol, para mover lateralmente, uma vez infiltrado”, explica o FBI.

Depois de comprometer a rede da vítima, os criminosos, munidos do ransomware, extraem dados e criptografam arquivos na rede. Em seguida, deixam uma nota de resgate em cada diretório afetado dentro do sistema da vítima, que fornece instruções sobre como comprar o software para descriptografar o sistema.

“A nota de resgate também ameaça vazar dados extraídos da vítima no site ‘HiveLeaks‘”, pontua a agência de segurança estadunidense.

O que está por trás do Hive

“O ransomware Hive busca processos relacionados a backups, antivírus / antispyware e cópia de arquivos e os encerra para facilitar a criptografia de arquivos. Os arquivos criptografados geralmente terminam com a extensão .hive.”

O alerta também explica como o ransomware corrompe sistemas e backups antes de direcionar as vítimas a um link do “departamento de vendas” do grupo, que pode ser acessado por meio de um navegador TOR. O link leva as vítimas a um chat ao vivo com as pessoas por trás do ataque, mas o FBI observou que algumas vítimas sequer precisaram entrar em contato – os próprios cibercriminosos foram atrás delas.

Além disso, a maioria das vítimas tem um prazo de pagamento que varia entre dois e seis dias, mas algumas conseguiram estender esse período por meio de negociação.

O grupo opera um “site de vazamento” próprio, que eles usam para intimidar as vítimas a pagar a quantia solicitada em troca da chave de descriptografia. O FBI incluiu, no alerta, indicadores de comprometimento de rede, um link para o local da divulgação de dados e uma amostra de uma nota de resgate enviada a uma vítima.

Setor de saúde em risco

Contudo, o que faz do Hive mais do que “apenas mais um ransomware”, é sua ameaça para o setor hospitalar. John Riggi, consultor sênior de cibersegurança da American Hospital Association, disse que o Hive é “especialmente preocupante” para organizações de saúde.

O grupo atacou pelo menos 28 organizações desse stor, até agora, incluindo o Memorial Health System, que foi atingido por um ataque de ransomware no dia 15 de agosto. A organização sem fins lucrativos administra vários hospitais, clínicas e centros de saúde em Ohio e West Virginia, nos Estados Unidos.

Todos os casos cirúrgicos urgentes e exames de radiologia marcado para o dia 16 de agosto no hospital foram cancelados por conta do ataque. Além disso, os Departamentos de Emergência do Memorial Health System foram forçados a internar seus pacientes em hospitais vizinhos, se dispondo a continuar recebendo apenas pacientes que sofriam de acidentes vasculares cerebrais ou acidentes traumáticos. Qualquer outra pessoa que precisasse de ajuda era transportada para unidades hospitalares parceiras.

O FBI, a CISA e especialistas em segurança cibernética ajudaram o Memorial Health System a responder ao ataque.

Três dias depois, no entanto, o CEO do hospital admitiu que decidira pagar pelo resgate para receber as chaves de descriptografia.

“Concluímos um acordo e recebemos as chaves para desbloquear nossos servidores e começar a processar a recuperação. […] É uma boa notícia para nossa equipe termos recuperado nossas ferramentas. Trabalhamos com 800 servidores e mais de 3.000 dispositivos pessoais, que nossos médicos usam para atender seus pacientes. Por enquanto, manteremos apenas os serviços essenciais, mas, na próxima semana, devemos voltar aos serviços normais para atender a nossos pacientes com muito cuidado em face das adversidades”, comunicou ele.

Os sistemas do hospital desbloqueados no fim de semana subsequente ao ataque e o hospital afirma que não houve “indícios de que os dados de qualquer paciente ou funcionário tenham sido divulgados publicamente”.

Os responsáveis pelo Hive, porém, ainda são um mistério. O FBI desconfia de uma entidade do Leste Europeu que é “relativamente nova e sofisticada”, mas nenhum culpado foi apontado diretamente.

Mantenha seus sistemas protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos ajudar!

Read more
No Comments

Campanha de phishing compromete compartilhamento de arquivos pelo SharePoint

Pesquisadores da Microsoft descobriram que cibercriminosos falsificam endereços de e-mail de remetentes de arquivos em uma campanha engenhosa que pode passar despercebida por sistemas de defesa nativos

Diversos cibercriminosos estão usando endereços de e-mail falsificados e iscas do Microsoft SharePoint em uma nova campanha de phishing que, de acordo com especialistas, se destacar por ser “mais sorrateira do que o normal”, uma vez que pode passar despercebida pelas proteções usuais e por sistemas de segurança nativos dos dispositivos (isto é, aqueles que já vêm pré-instalados).

O objetivo da campanha divulgada recentemente é enganar usuários do compartilhador de arquivos para que eles forneçam suas credenciais, que depois poderão ser aproveitadas em ataques mais graves, descobriram pesquisadores da Microsoft.

O grupo de agentes de segurança filiados ao Microsoft Security Intelligence descobriram, também, que a campanha visa sobretudopara organizações que usam o Microsoft Office 365. Detalhes foram revelados em um tweet no fim de julho.

Detalhes da campanha baseada em SharePoint

As falsificações características da campanha exibem endereços de remetentes que contêm nomes de usuário e domínios-alvo relevantes, de corporações visadas, bem como nomes de fachada “que imitam serviços legítimos para tentar escapar de filtros de segurança de e-mail”, disseram os pesquisadores.

Além disso, os cibercriminosos enviam e-mails que “se fazem passar pelos serviços do Sharepoint no nome de exibição e na mensagem enviada no corpo dos e-mails”, disseram os pesquisadores. “Esta campanha está ativa com vários temas sendo usados como bait”, eles tuitaram.

Por exemplo: o e-mail geralmente alerta um destinatário sobre uma solicitação de compartilhamento de arquivo de alguém que parece ser um colega de sua empresa, que pode ter perdido o arquivo em questão, e inclui um link para uma página de phishing. Para parecer autêntica, a mensagem indica que o arquivo contém algum tipo de conteúdo comercial legítimo, como relatórios de equipe, arquivos estratégicas ou planilhas orçamentárias, observaram os pesquisadores.

Se um usuário “morde a isca”, ele acaba sendo direcionado para uma segunda página, que exige que ele faça login no Office 365 com suas credenciais legítimas, completa a Microsoft.

Por que o SharePoint?

Devido ao seu amplo uso entre muitos clientes corporativos, a plataforma de colaboração do SharePoint é um alvo popular para os agentes de ameaças não é de hoje.

Mais do que isso, o serviço de compartilhamento de arquivos, quando combinado a estratégias de falsificação, é uma maneira particularmente eficaz de induzir as vítimas a revelar credenciais, observam agentes de segurança.

“Quando se trata de spoofing de e-mail, sistemas de segurança podem considerar que, se o e-mail recebido veio de uma entidade confiável, de um domínio considerado seguro, então o e-mail está ‘limpo’; mas, infelizmente, quaisquer links existentes no e-mail podem acabar infectando você com malware”, comentou uma especialista em cibersegurança em uma postagem sobre o tema.

Sinais suspeitos que colaboradores e executivos devem levar em consideração

Apesar da astúcia desta última campanha, existem alguns sinais bastante significativos de que os e-mails não são confiáveis, de acordo com a Microsoft.

Por um lado, os endereços do remetente original usam vários domínios de nível superior, incluindo o domínio com[.]com, que é popularmente usado por campanhas de phishing para spoofing e typosquatting, pesquisadores observaram no Twitter.

Outras pistas para a intenção maliciosa da campanha são encontradas no uso de URLs que levam as vítimas potenciais à página de phishing para inserir suas credenciais, pois os invasores usam dduas URLs com cabeçalhos HTTP malformados.

A URL de phishing principal é um recurso de armazenamento do Google que direciona para um domínio AppSpot exigindo que o usuário faça login “antes de finalmente servir outro domínio de conteúdo com uma página de phishing do Office 365”, disseram os pesquisadores.

A segunda URL usada na campanha é encontrada nas configurações de notificação. Ela leva a um site do SharePoint comprometido, “que os invasores usam para adicionar legitimidade ao ataque”, de acordo com a Microsoft.

Ambas as URLs exigem que vítimas em potencial façam login para avançar para a página final, “contornando muitos sistemas de proteção” no caminho, disseram os pesquisadores.

Por fim, os agentes de segurança forneceram uma string de consulta no GitHub, que pode ser executada através do Microsoft 365 Defender para sinalizar qualquer e-mail da campanha que pode ter passado por outros gateways.

Mantenha sua empresa segura e seus colaboradores protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Hacker rouba 600 milhões de dólares em um dos maiores roubos de criptomoeda já registrados

Um dos maiores roubos de criptomoeda já registrados vira negociação diplomática, com hacker devolvendo 1/3 do valor roubado. Mas as intenções eram boas mesmo?

Explorando uma vulnerabilidade para roubar 600 milhões de dólares de uma plataforma de financiamento de blockchain, um hacker ganhou as manchetes por arquitetar o que poderia ser um dos maiores roubos de criptomoeda já registrados até hoje.

As vítimas foram os fabricantes da Poly Network, uma “DeFi” – plataforma de finanças descentralizada – que funciona por meio de blockchains. No começo de agosto de 2021, representantes da empresa anunciaram que um invasor roubou cerca de 600 milhões de dólares em cripto, e apelaram ao criminosos ara que “devolvesse os ativos hackeados”.

“A quantia de dinheiro que você interpelou é a maior da história. A polícia de qualquer país vai considerar este um grande crime econômico e você será perseguido pelas autoridades nacionais e internacionais. Seria muito imprudente você fazer quaisquer transações futuras com essa quantia. O dinheiro roubado pertence a dezenas de milhares de membros da comunidade criptográfica. Você deve falar conosco para encontrar uma solução, disse a equipe da Poly Network, em comunicado.

A empresa oferece serviços em blockchain para Bitcoin, Ethereum, Neo, Ontology, Elrond, Ziliqa, Binance Smart Chain, Switcheo e Huobi ECO Chain, e listou três endereços para os quais os ativos foram transferidos.

Pouco depois do roubo e do comunicado emitido pelos profissionais da empresa, uma pequena quantia dos fundos foi devolvida. A Poly Network postou no Twitter uma mensagem incentivando que o hacker “fizesse a coisa certa” e disse que recebeu mais de 1 milhão de dólares de volta.

Um pouco depois, a empresa postou novamente dizendo: “Até agora, um valor total de $ 4.772.297.675 de ativos foram devolvidos pelo hacker”.

O invasor roubou cerca de $267 milhões em Ether, $252 milhões em Binance e $ 85 milhões em tokens USDC.

Mas o ataque sofreu ainda mais reviravoltas…

No dia 11 de agosto, uma nova notícia anunciou que o hacker “devolveu boa parte do valor roubado”, enviando de volta aproximadamente 260 milhões dos mais de 600 milhões de dólares em criptomoedas.

Esse valor corresponde a $1 milhão em Polygon e $3,3 milhões em Ethereum. APoly Network observou que ainda faltam $ 269 milhões em Ethereum, bem como $ 84 milhões em Polygon, que precisam ser devolvidos. A empresa atribuiu o ataque a uma vulnerabilidade explorada em transações contratuais.

Mais do que isso, a empresa agora alega que a exploração “não foi causada por um único criminoso”.

Além de devolver o dinheiro, o hacker incluiu, em uma comunicação atrelada às devolutivas, uma sessão de perguntas e respostas dividida em três partes, onde explicou alguns de seus motivos.

Em uma postagem compartilhada, o invasor disse que encontrou um bug no sistema da Poly Network e contemplou o que fazer a partir daí, eventualmente decidindo roubar o dinheiro disponível e transferi-lo para outra conta. O indivíduo – que pode estar respondendo por um grupo de criminosos – tentou pintar suas ações como altruístas e disse que estava tentando expor a vulnerabilidade antes que ela fosse explorada por “um insider”, isto é, um grupo ou indivíduo mal-intencionado.

O hacker ainda afirma estar completamente protegido porque usaram endereços de e-mail e IPs anônimos.

“Eu não queria causar pânico no mundo da criptografia. Então, optei por ignorar moedas de baixo valor agregado para que as pessoas não precisassem se preocupar com elas. Peguei moedas importantes (exceto a Shib) e não vendi qualquer um dos ativos”, disse o hacker.

Por fim, a declaração ainda diz que o invasor “quer ajudar a Poly Network com sua segurança”, dada a importância da empresa para a indústria de criptomoedas.

“A Poly Network é um sistema bem projetado e conseguirá gerenciar mais ativos”, disse a declaração. “A dor que sofreram é temporária, mas memorável”.

Como medida de contenção, a Poly Network pediu para que em trocas de blockchain e criptográficas afetadas como Binance, Tether, Uniswap, HuobiGlobal, OKEx, Circle Pay e BitGo para colocarem na lista negra quaisquer tokens provenientes desses endereços.

Mantenha sua empresa protegida. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Valor médio de resgate de ransomware cresce mais de 150% em um ano

Novas ameaças, vulnerabilidades não-corrigidas e evolução de estratégias de ransomware preocupam agentes de segurança. O que você vai ler hoje:

REvil saiu de cena, mas um novo ransomware já ocupa seu lugar

A gangue de ransomware REvil – também conhecida como Sodinokibi – saiu de cena em julho, logo depois de chamar a atenção do governo dos EUA com um ataque massivo de ransomware que afetou 1.500 organizações em todo o mundo.

Não se sabe se o REvil sumiu de vez, mas cibercriminosos adeptos de esquemas de ransomware não vão esperar para descobrir: eles estão migrando para outros fornecedores e, de acordo com análises feitas por pesquisadores de segurança cibernética, o ransomware LockBit se tornou a alternativa preferida de invasores.

Embora o LockBit não seja tão conhecido quanto algumas outras formas de ransomware, aqueles que o usam têm atingido seu objetivo e lucrado milhares de Bitcoins em pedidos de resgate.

Além disso, os pesquisadores observam que muitos dos que agora recorrem ao LockBit estão usando as mesmas táticas, ferramentas e procedimentos que usavam anteriormente, quando trabalhavam com o REvil.

Cibercriminosos usam extorsão quádrupla para fazer vítimas pagarem por resgates mais caros

O valor médio de resgate de ransomware aumentou 82% ao longo dos últimos anos, e agora está acima de meio milhão de dólares, de acordo com um relatório que analisa o impacto dessa ameaça no primeiro semestre de 2021.

Publicado pela Unidade 42 da Palo Alto Networks, em agosto deste ano, o relatório mostra que especialistas em cibersegurança associados à empresa identificaram e analisaram 121 incidentes de ransomware até agora em 2021 – um aumento de 64% nos ataques do ano passado para cá.

Além disso, alerta que o que ajudou a intensificar os pagamentos de extorsão é os cibercriminosos estarem investindo bastante o dinheiro em “operações de ransomware altamente lucrativas”, escalando de uma estratégia de extorsão dupla para uma extorsão quádrupla.

A extorsão dupla existe há mais de um ano e é quando os agentes da ameaça não só paralisam os sistemas e/ou dados da vítima, mas também ameaçam vazar os dados comprometidos ou usá-los em futuros ataques de spam se as vítimas se recusarem a pagar as demandas de extorsão.

Mas, durante a primeira metade de 2021, os pesquisadores observaram grupos de ransomware geralmente usando até quatro técnicas para fazer as vítimas pagarem:

  1. Criptografia: as vítimas pagam para recuperar o acesso a dados e sistemas de computador comprometidos;
  2. Roubo de dados: os hackers divulgam informações confidenciais se o resgate não for pago;
  3. DoS: gangues de ransomware lançam ataques DoS que bloqueiam os sites públicos da vítima;
  4. Assédio moral: os cibercriminosos entram em contato com clientes, parceiros, funcionários e mídia para informar que a organização foi hackeada.

Essas táticas “cada vez mais agressivas” inflaram resgates que já vinham se tornando cada vez mais custosos. No ano passado, o pagamento médio subiu 171%, para mais de 312 mil dólares. Durante o primeiro semestre deste ano, porém, esse valor disparou para um recorde de 570 mil dólares, em média.

Novo cavalo de Troia atinge usuários de Android e rouba contas de redes sociais

Um novo cavalo de Troia visando usuários do Android, que atende pelo codinome FlyTrap, atingiu pelo menos 140 países desde março de 2021 e atingiu mais de 10.000 vítimas por meio de sequestro de mídia social, lojas de aplicativos e aplicativos de sideload.

A evidência forense desse ataque ativo aponta para agentes de ameaça do Vietnã, que, ao que tudo indica, estão executando esta campanha de sequestro de sessão desde o primeiro trimestre do ano.

As ameaças foram inicialmente distribuídas por meio do Google Play e de lojas de aplicativos de terceiros. Uma empresa especializada em segurança cibernética relatou as descobertas ao Google, que verificou a pesquisa fornecida e removeu os aplicativos maliciosos da Google Play Store. No entanto, os aplicativos maliciosos ainda estão disponíveis em repositórios de aplicativos terceirizados.

O FlyTrap representa um risco para usuários ao sequestrar suas contas do Facebook por meio de um Trojan que infecta o dispositivo Android. As informações coletadas do dispositivo Android da vítima incluem:

  • ID do Facebook
  • Localização
  • Endereço de e-mail e endereço de IP
  • Cookie e tokens associados à conta do Facebook

Essas sessões sequestradas do Facebook podem ser usadas para espalhar o malware abusando da credibilidade social da vítima por meio de mensagens pessoais com links para o Trojan, bem como propagação de propaganda ou campanhas de desinformação usando os detalhes de geolocalização da vítima.

Novas vulnerabilidades em driver de impressão do Windows se somam a outras ainda não-corrigidas

Em junho, informações técnicas e uma exploração de prova de conceito (Proof of Concept, ou PoC) vazaram acidentalmente, detalhando uma vulnerabilidade não-corrigida do Windows que permite a execução remota de código por parte de invasores.

Apesar da necessidade de autenticação, a gravidade do problema é crítica, pois os agentes da ameaça podem usá-lo para assumir o controle de um servidor de domínio do Windows para implantar facilmente malware na rede de uma empresa.

O problema afeta o Windows Print Spooler e, devido à longa lista de bugs que afetaram esse componente ao longo dos anos, os pesquisadores que detalharam a vulnerabilidade o chamaram de PrintNightmare.

Agora, a Microsoft publicou um comunicado para outra vulnerabilidade zero-day do spooler de impressão do Windows, rastreada como CVE-2021-36958, que permite que invasores locais obtenham privilégios de sistema em um computador.

Esta vulnerabilidade usa a diretiva de registro CopyFile para copiar um arquivo DLL que abre um prompt de comando para o cliente junto com um driver de impressão quando o usuário se conecta a uma impressora. Embora as atualizações de segurança recentes da Microsoft tenham alterado o procedimento de instalação do novo driver de impressora para que ele exija privilégios de administrador, não é preciso inserir privilégios de administrador se o driver já estiver instalado em um dispositivo.

Além disso, a conexão com uma impressora remota ainda executará a diretiva CopyFile para usuários não-administradores. Este ponto fraco permite que a DLL do Delpy seja copiada para o usuário e executada para abrir um prompt de comando a nível de sistema.

A Microsoft ainda não lançou uma atualização de segurança para esta falha, mas afirma que é possível remover o vetor de ataque desabilitando o Spooler de Impressão.

Mas como desativar o spooler de impressão impedirá que seu dispositivo imprima qualquer coisa, um método mais eficaz é permitir que seu dispositivo instale apenas impressoras de servidores autorizados.

Essa restrição pode ser feita usando a política “Apontar e imprimir – servidores aprovados”, evitando que usuários não-administrativos instalem drivers de impressão usando essa configuração.

Quer manter sua empresa e seus colaboradores seguros? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Empresas ainda não têm recursos suficientes para combater ameaças de segurança

Empresas têm dificuldade em investir em recursos de segurança e profissionais sentem o impacto. Criminosos aproveitam brecha para trabalhar em ameaças mais complexas.

O que você vai ler hoje:

Soluções de segurança de empresas não são suficientes para proteger contra ameaças avançadas

A Agência da União Europeia para a Cibersegurança (European Union Agency for Cybersecurity, ou ENISA) analisou 24 ataques recentes realizados à cadeia de suprimentos de software e concluiu que um sistema de proteção robusto não é mais suficiente para manter empresas e fornecedores em segurança.

A análise se concentrou em ataques de ameaças persistentes avançadas (APTs) e observa que, embora o código, as explorações e o malware utilizados nos ataques não fossem considerados “avançados”, o planejamento, a preparação e a execução dos ataques eram bastante complexos. O relatório também observa que 11 dos ataques à cadeia de suprimentos foram conduzidos por grupos APT conhecidos.

“[…] uma organização pode ser vulnerável a um ataque à cadeia de suprimentos mesmo quando contam com defesas de qualidade, [pois] os invasores estão tentando explorar novas vias potenciais para se infiltrar em seus negócios”, pontua a ENISA.

Além disso, é esperado que os ataques à cadeia de suprimentos fiquem ainda piores: “é por isso que novas medidas de proteção para prevenir e mitigar possíveis ataques no futuro precisam ser introduzidas com urgência”.

A análise da ENISA ainda descobriu que os invasores se concentraram no código dos fornecedores em cerca de 66% dos incidentes relatados. A mesma proporção de fornecedores não estava ciente do ataque antes de sua divulgação.

“Isso mostra que as organizações devem concentrar seus esforços na validação de código e software de terceiros antes de usá-los, a fim de garantir que não sejam adulterados ou manipulados.”

Aos fornecedores, a agência recomenda:

  • garantir que a infraestrutura usada para projetar, desenvolver, fabricar e entregar produtos, componentes e serviços siga as práticas de segurança cibernética;
  • implementar um processo de desenvolvimento, manutenção e suporte de produto que seja consistente com os processos de seu desenvolvimento;
  • monitorar vulnerabilidades de segurança relatadas por fontes internas e externas, incluindo componentes de terceiros;
  • manter um inventário de ativos que inclua informações relevantes sobre os patches necessários, sempre que houver.

O relatório completo pode ser lido aqui.

Apple corrige falha crítica explorada por criminosos

A Apple corrigiu uma falha de dia zero no fim de julho. A vulnerabilidade foi encontrada nas duas plataformas da empresa – iOS e macOS – vinha sendo ativamente explorada, permitindo que cibercriminosos assumissem o sistema afetado.

A falha de corrupção de memória, rastreada como CVE-2021-30807, é encontrada na extensão IOMobileFrameBuffer que existe nos sistemas iOS e macOS, mas foi corrigida de acordo com a plataforma de dispositivo específica.

Explorar a CVE-2021-30807 permitiria que agentes da ameaça “executassem código arbitrário com privilégios de kernel”, disse a Apple na documentação que descreve as atualizações.

“A Apple está ciente de que esse problema pode ter sido explorado ativamente”, complementa a empresa.

Foram lançadas três atualizações para corrigir a vulnerabilidade em cada uma das plataformas: OS 14.7., IPadOS 14.7.1 e macOS Big Sur 11.5.1. Essas atualizações devem ser instaladas com urgência.

Profissionais de segurança estão sobrecarregados diante de falta de recursos

A falta de investimento faz com que equipes de segurança cibernética lutem para manter as redes corporativas seguras – e, diante do aumento do trabalho remoto e dos desafios de segurança adicionais, profissionais estão sentindo o impacto também em seu bem-estar.

Um estudo global de profissionais de segurança cibernética realizado pela Information Systems Security Association (ISSA) e pela empresa de análise da indústria Enterprise Strategy Group (ESG) adverte que essa falta de investimento, combinada com o desafio de cargas de trabalho adicionais, está resultando em uma escassez de habilidades que tem levado a lacunas empregatícias e alto desgaste entre profissionais de segurança da informação.

De acordo com o estudo, que entrevistou mais de 500 profissionais de segurança cibernética, 57% dizem que a falta de habilidades em segurança cibernética afetou a organização para a qual trabalham, enquanto pouco mais de 10% relataram um impacto significativo.

O efeito é um aumento da carga de trabalho para a equipe de segurança da informação, de acordo com 62% dos entrevistados. Isso teve um efeito indireto na saúde mental da equipe de segurança da informação, 38% dos quais afirmam ter experimentado o esgotamento como resultado de pressões de trabalho durante o que já foi um ano difícil.

Uma das razões pelas quais muitos funcionários da segurança cibernética têm lutado é o aumento repentino do trabalho remoto como resultado da pandemia global: 50% dos entrevistados dizem que isso levou a um aumento do estresse.

Por fim, quase quatro em cada dez (39%) dos profissionais de segurança cibernética dizem que sua organização está lutando para ocupar os cargos de segurança da computação em nuvem.

Diretório de chaves de criptografia ajuda a economizar 1 bilhão de dólares em multas de ransomware

No More Ransom, um repositório de descriptografadores de ransomware, ajudou mais de 6 milhões de vítimas a recuperar seus arquivos, mantendo quase um bilhão de euros fora das mãos de cibercriminosos, de acordo com um comunicado lançado recentemente.

Lançado há cinco anos, o No More Ransom é mantido por meio da cooperação entre o European Cybercrime Center e várias empresas de segurança cibernética, incluindo Kaspersky, Barracuda e AWS. Seu objetivo é evitar que as vítimas entreguem o dinheiro que ajuda a alimentar mais ataques de ransomware, de acordo com a Europol.

Em vez disso, o grupo direciona as vítimas para sua ferramenta, a Crypto Sheriff. Lá, as vítimas podem inserir o endereço URL, onion ou Bitcoin fornecido pelo invasor para pagar o resgate. A ferramenta pesquisa o banco de dados No More Ransom, que atualmente conta com 121 ferramentas para descriptografar 152 famílias de ransomware, de forma gratuita e disponível em 37 idiomas, de acordo com o grupo.

Mantenha sua empresa segura. Consulte as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Vazamento de “segredos” de empresas causa prejuízo anual de 1,2 milhão de dólares

Pesquisa com colaboradores de TI e DevOps mostra que 60% dos entrevistados disseram que sua organização lidou com vazamento de dados importantes de infraestrutura pelo menos uma vez. Prejuízo médio anual é de 1,2 milhão de dólares.

A cada ano, empresas ao redor do mundo estão perdendo o equivalente a milhões de dólares em receita devido às vulnerabilidades em código de infraestrutura, credenciais e senhas de acesso, de acordo com pesquisadores de cibersegurança.

O relatório da 1Password, intitulado Hiding in Plain Sight, observa que, em média, as empresas perdem, anualmente, cerca de 1,2 milhão de dólares (equivalente a 6 milhões de reais, aproximadamente) devido a detalhes de sua infraestrutura que vazam ou são expostos online.

Esses detalhes são chamados de “segredos” pelos pesquisadores responsáveis pelo relatório, que descobriram que colaboradores de TI e Desenvolvedores de Operações (DevOps) deixam diversos desses segredos de infraestrutura, como tokens de API, chaves SSH e certificados privados, em arquivos de configuração ou junto ao código-fonte para facilitar o acesso e agilizar os processos – aumentando sua vulnerabilidade.

Segredos à mostra

O relatório combina análises dos pesquisadores da 1Password com uma pesquisa conduzida em abril de 2021 com 500 funcionários de TI e DevOps.

Para 10% dos entrevistados que já tiveram que lidar com vazamento de segredos, o ocorrido custou em torno de 5 milhões de dólares, em média, para suas empresas. Além disso, mais de 60% dos entrevistados disseram que suas organizações já lidaram com vazamento de segredos.

Mais do que o dinheiro perdido, 40% dos entrevistados disseram que suas organizações sofreram danos à reputação da marca e 29% disseram ter perdido clientes como consequência de alguns dos segredos que vazaram.

A pesquisa e a análise que a acompanha mostra que 65% dos colaboradores de TI e Desenvolvedores dizem que sua empresa tem mais de 500 segredos de infraestrutura. Outros 20% dizem que suas empresas têm mais segredos do que conseguem contar.

De modo geral, em média, os colaboradores precisam gastar cerca de 25 minutos todos os dias gerenciando esses segredos. Mais da metade afirma que esse número aumentou significativamente no último ano.

Gerenciamento

Mais de 61% dos colaboradores disseram que vários projetos tiveram que ser atrasados ​​porque a organização não conseguia gerenciar seus segredos com eficácia.

De forma ainda mais alarmante, 77% dos entrevistados disseram que ainda têm acesso parcial aos sistemas de um ex-empregador e 37% disseram que tinham acesso total aos sistemas, o que traz à tona uma das principais razões pelas quais segredos continuam a ser vazados.

Outro fator que contribui para o problema é o uso crescente de aplicativos em nuvem; 52% dos colaboradores de TI afirmam que o uso de apps em cloud dificulta o gerenciamento da infraestrutura e seus segredos.

Mas eles também reconhecem parte da culpa, com 80% dos entrevistados dizendo que não fazem um bom trabalho no gerenciamento de segredos. Cerca de 25% também disseram que os segredos de sua organização estão em 10 ou mais locais, o que torna mais difícil o monitoramento de vulnerabilidades.

Os colaboradores, além disso, admitiram compartilhar informações sobre segredos da empresa em canais menos seguros, como e-mails (59%), ferramentas de integração (40%), planilhas/documentos compartilhados (36%) e mensagens de texto (26%).

Quase todos os entrevistados disseram que sua organização tem uma política de segredos, mas menos de 40% disseram que ela é aplicada, e o problema é particularmente preocupante entre os líderes de organizações.

Mais de 62% dos entrevistados disseram que os líderes de equipe, gerentes, VPs e outros ignoraram as regras de segurança após as atualizações ocorridas em função do COVID-19, colocando dados de alto nível em risco.

“Nossa pesquisa revela que os segredos estão crescendo, mas as equipes de TI e DevOps não estão atendendo a padrões rigorosos para protegê-los – e, no processo, estão colocando as organizações em risco de incorrer em custos enormes”, conclui o relatório.

O vazamento de segredos pode ser o passo inicial para graves ataques por parte de cibercriminosos, elevando ainda mais o prejuízo para as organizações. Se proteger a infraestrutura é fundamental para evitar estar vulnerável ao vazamento de segredos, assegurar que os responsáveis por esses segredos estão na mesma página é tão importante quanto.

A Compugraf oferece soluções completas para proteger a infraestrutura de sua empresa. Consulte nossos especialistas e saiba como podemos ajudar!

Read more
No Comments

700 milhões de dados de usuários de LinkedIn estão vulneráveis

Conforme alguns países afrouxam as medidas de segurança para contenção da COVID-19, colaboradores retornam ao escritório abrindo brechas para ameaças. Em paralelo, usuários do LinkedIn tem 700 milhões de registros à venda – e vulneráveis – na dark web.

O que você vai ler hoje:

Desenvolvedora de soluções de TI sofre ataque de ransomware por vulnerabilidade em um de seus fornecedores

Kaseya, uma das principais desenvolvedoras de soluções de TI para MSPs (provedores de serviços gerenciados) e para o setor B2B, anunciou que foi vítima de um ataque cibernético no dia 2 de julho de 2021, durante o fim de semana do Dia da Independência dos Estados Unidos.

De acordo com as primeiras pesquisas, cibercriminosos realizaram um ataque de ransomware à cadeia de suprimentos, se aproveitando de uma vulnerabilidade no software VSA da Kaseya (que realiza análise vetorial de sinais para diagnosticar a qualidade de um sinal) com o objetivo de atingir diversos provedores de serviços gerenciados e seus clientes.

O ataque lembra o caso SolarWinds, no qual invasores foram capazes de comprometer o software de um fornecedor para enviar uma atualização maliciosa a milhares de clientes. No entanto, ainda não se sabe quão difundido será o incidente de ransomware da Kaseya – mas é provável que sua repercussão seja igualmente preocupante.

O responsável por anunciar o ataque foi o CEO da empresa, às 14h do dia 02 de julho, que declarou ter sido de vítima de “um ataque potencial contra o VSA, limitado a um pequeno número de clientes locais”. Contudo, por cautela, representantes da Kaseya pediram a seus clientes que desligassem imediatamente seus servidores VSA.

Em uma atualização de 5 de julho, a Kaseya disse que uma correção está sendo desenvolvida e que seria implantada primeiro em ambientes SaaS.

“Estamos desenvolvendo o novo patch para clientes locais, em paralelo com a restauração do Data Center SaaS”, disse a empresa, em comunicado oficial. “Estamos implantando em SaaS primeiro, pois controlamos todos os aspectos desse ambiente. Uma vez que o trabalho se prove bem-sucedido, a empresa vai publicar o cronograma de distribuição do patch para clientes locais e possíveis afetados.

Colaboradores voltam ao escritório – e levam ameaças consigo

A volta aos escritórios em países com medidas mais maleáveis de contenção do coronavírus, bem como a desinformação dos usuários a respeito das medidas de segurança da informação, criou um risco sem precedentes de ataques corporativos.

É o que mostra uma nova pesquisa da Armis, empresa de segurança localizada em Palo Alto, na Califórnia. De acordo com os resultados da pesquisa, as equipes de segurança têm muito trabalho pela frente, não só bloqueando os sistemas de suas organizações, mas também evitando que usuários sejam enganados por esquemas de phishing e abram as portas para ameaças ainda mais severas.

A Armis entrevistou 2.000 usuários finais nos EUA e descobriu que os perigos para a infraestrutura crítica, serviços públicos e para indústria de alimentos – ou seja, serviços essenciais – têm início na falta de conhecimento. Mais de 20% dos entrevistados não tinham ouvido falar de ataques em grande escala a seu setor e também não achavam que haveria quaisquer consequências de longo prazo para a cadeia de suprimentos após ataques diretamente associados a seus serviços, como foi o caso do ataque à JBS Foods ou à Colonial Pipeline.

Além disso, a pesquisa descobriu que 71% dos trabalhadores que voltam ao escritório planejam trazer importas documentos de dispositivos domésticos de volta para dispositivos corporativos – ou devem seguir usando dispositivos domésticos em ambientes corporativos -, enquanto 54% não acham que haja qualquer risco associado a isso.

Mas, infelizmente, o risco é real.

A Armis encomendou um relatório de outra empresa de segurança, que descobriu que, nos últimos dois anos, 63% das empresas de prestação de serviços de saúde foram violadas devido a um dispositivo IoT não-gerenciado. No entanto, mais de 60% dos funcionários da área de saúde pesquisados ​​não achavam que seus dispositivos pessoais representavam qualquer risco, e mais de um quarto das organizações não têm políticas em vigor que descrevam o uso apropriado de dispositivos pessoais em ambientes de negócio.

O mais impressionante do estudo, porém, é que 82% dos entrevistados que planejam trazer seus dispositivos pessoais de volta ao trabalho são profissionais encarregados da segurança cibernética em suas corporações.

Existe uma grande defasagem na educação de colaboradores a respeito dos riscos de segurança e ela precisa ser corrigida o quanto antes, ou pode se tornar uma brecha de significativa e altamente custosa para as empresas.

Grupo de hackers se passa pelo presidente do Afeganistão para infectar dispositivos do alto escalão do país

Um grupo de hackers que se comunicam em chinês está realizando ataques cibernéticos contínuos contra o governo do Afeganistão, se passando pelo presidente do país.

Acredita-se que um grupo de ameaças persistentes avançadas (APT) denominado IndigoZebra seja o responsável. Os ciberataques já miraram em ex-repúblicas soviéticas, por exemplo, conforme observado pela equipe de pesquisa da Kaspersky.

Em e-mails forjados, os cibercriminosos fingem ser do gabinete do presidente afegão, Ashraf Ghani, e pedem uma revisão urgente das modificações em um documento relacionado a uma entrevista realizada durante suposta coletiva à imprensa. Os pesquisadores dizem que esses e-mails são enviados de caixas de entrada de e-mail comprometidas de vítimas de alto perfil que sofreram ataques anteriormente.

O arquivo que serve como isca é um arquivo protegido por senha denominado NSC Press conference.rar. Se a vítima abre o arquivo, ela recebe um executável do Windows (NSC Press conference.exe), que implanta um dropper de malware no dispositivo do usuário, bem como um backdoor que garante a continuidade do ataque.

O backdoor é capaz de fazer download e upload de arquivos, executar comandos emitidos por meio de um servidor de comando e controle (C2) e roubar dados.

Entidades de segurança dizem que, se confirmada a autoria do ataque, a APT em questão também é provavelmente a responsável por ataques que datam de 2014, nos quais entidades políticas no Quirguistão e no Uzbequistão foram alvo.

700 milhões de registros contendo dados de usuários do LinkedIn estão à venda na dark web

Uma postagem com 700 milhões de registros de usuários do LinkedIn apareceu em um popular fórum de hackers da dark web, revelam pesquisadores.

Analistas do Privacy Sharks encontraram os dados colocados à venda no RaidForums por um hacker que se autodenomina “GOD User TomLiner”. O anúncio, postado em 22 de junho de 2021, ainda inclui uma amostra de 1 milhão de registros como prova da “legitimidade” da oferta.

Os registros incluem nomes completos, gênero, endereços de e-mail, números de telefone e informações a respeito do setor em que os usuários atuam. Não está clara a origem dos dados – mas o scraping a partir de perfis públicos é uma fonte provável.

Essa foi a estratégia por trás da venda de 500 milhões de registros do LinkedIn em abril desse ano. Ele continha uma “agregação de dados de vários sites e empresas”, bem como “dados de perfil de membros visíveis ao público”, disse o LinkedIn na época.

Mas, de acordo com porta-vozes do LinkedIn, nenhuma violação de suas redes ocorreu desta vez.

“Embora ainda estejamos investigando esse problema, nossa análise inicial indica que o conjunto de dados inclui informações extraídas do LinkedIn, bem como informações obtidas de outras fontes”, diz o comunicado da empresa à imprensa. “Isso não foi uma violação de dados do LinkedIn e nossa investigação determinou que nenhum dado privado de membro do LinkedIn foi exposto. A coleta de dados do LinkedIn é uma violação de nossos Termos de Serviço e estamos constantemente trabalhando para garantir que a privacidade de nossos membros seja protegida.”

Existem mais 200 milhões de registros disponíveis desta vez, então é provável que novos dados tenham surgido e que seja mais do que uma “reaquecida” nos registros anteriores, concluem os pesquisadores. O que cibercriminosos farão em posse desses dados ainda não se sabe, mas já preocupa.

Quer manter seus dados seguros? Consulte as soluções de segurança da informação da Compugraf e saiba como podemos te ajudar!

Read more
No Comments