Manufatura é o setor mais afetado por ransomware no Brasil
Relatório sobre ameaças de segurança na América Latina, publicado pela IBM, mostra que as empresas brasileiras do setor de manufatura estão sentindo o maior impacto dos ataques orquestrados por gangues de ransomware
Ransomware, comprometimento de e-mail corporativo (BEC) e coleta de credenciais paralisaram as empresas do setor na América Latina em 2021, sobrecarregando ainda mais as cadeias de suprimentos.
É o que descobriu o X-Force Threat Intelligence Index, da IBM, em um relatório exclusivo sobre ciberataques na LATAM. No Brasil, o ransomware foi o principal método de ataque usado pelos criminosos no ano passado, respondendo por 32% dos incidentes de segurança reportados no país.
Indústria de manufatura é a mais afetada no Brasil
Dentre os alvos, as indústrias de manufatura foram o setor mais atacado, representando 20% dos ataques de ransomware em 2021. Mas, segundo o estudo, esse dado reflete uma tendência global, pois os cibercriminosos encontraram uma vantagem incontestável no papel crítico que a manufatura exerce nas cadeias de suprimentos globais; com isso, é mais fácil pressionar as vítimas para pagar pelos resgates milionários.
Respondendo por 17% dos ataques de ransomware desse extrato, o setor de mineração é o segundo mais visado por gangues de ransomware no Brasil. Os segmentos de energia e varejo respondem por 15% dos ataques.
O relatório também revela que a vida útil média de um grupo de ransomware antes de deixar o negócio ou mudar de modus operandi gira em torno dos 17 meses. O REvil foi o tipo mais comum de ransomware, correspondendo a 50% dos ataques remediados na América Latina.
Além disso, os pesquisadores observaram que a taxa de ataques de comprometimento de e-mail comercial (BEC) é maior na América Latina do que em qualquer outra parte do mundo, acelerando de 0% em 2019 para 26% em 2021 no Brasil. Já as vulnerabilidades não-corrigidas possibilitaram 18% dos ataques em 2021.
O estudo também diz que a América Latina teve um aumento de 4% nos ataques cibernéticos em 2021, em relação ao ano anterior. A pesquisa sugere que Brasil, México e Peru foram os países mais atacados da região no ano passado.
Um relatório separado sobre ameaças cibernéticas, publicado pela SonicWall no início de fevereiro, registra que o Brasil está atrás apenas dos EUA, Alemanha e Reino Unido em ataques de ransomware. Com mais de 33 milhões de tentativas de intrusão em 2021, o país ficou em nono lugar no mesmo ranking do ano anterior, com 3,8 milhões de ataques de ransomware.
Gastos com segurança cibernética vão aumentar 10% em 2022
Em uma nota semelhante, de acordo com a empresa de análise IDC, os gastos gerais com segurança devem chegar a quase 5 bilhões de reais no Brasil em 2022 – um aumento de 10% em relação a 2020.
Desse total, os gastos com soluções de segurança chegarão a 4,5 bilhões de reais, com a segurança na nuvem se tornando uma área de foco para os tomadores de decisão no setor de TI.
E mais: a escassez de habilidades em segurança da informação é um dos problemas mais significativos enfrentados pelas organizações brasileiras, mencionado por 40% das empresas pesquisadas pelo IDC. 57% dos entrevistados disseram que vão contar com ajuda externa para gerenciar e operar ambientes com soluções modernas de cibersegurança devido à escassez de profissionais para impulsionar as equipes internas.
Por fim, de acordo com um estudo divulgado em dezembro de 2021 pela PwC, a grande maioria das empresas brasileiras planeja aumentar seus orçamentos de segurança cibernética em 2022. O estudo observou que o aumento de ataques cibernéticos contra organizações locais estava entre as principais preocupações dos tomadores de decisão.
O estudo ainda sugere que 45% das empresas brasileiras estimam um aumento de 10% ou mais nos investimentos em segurança de dados, ante 26% no mundo todo. Apenas 14% dos líderes brasileiros expressaram os mesmos níveis de preocupação em relação à segurança cibernética em 2020, contra 8% no mundo.
Em 2021, 50% das empresas pesquisadas pela PwC afirmaram ter alocado até 10% de seu orçamento de tecnologia para ações relacionadas à segurança.
Quer manter sua empresa segura? Conheça as soluções da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Novos grupos de cibercriminosos estão direcionando ataques à tecnologia industrial e operacional
Dois dos novos grupos são sofisticados o bastante para invadir redes ICS/OT diretamente, podendo comprometer infraestruturas industriais
Pesquisadores de cibersegurança descobriram três novos grupos de ameaças focados no setor industrial. Mais da metade de todos os ataques ao setor, porém, são obra de dois grupos conhecidos e altamente sofisticados.
As diferentes motivações para os ataques
Ataques cibernéticos que visam players industriais, infraestrutura crítica, serviços públicos, energia e afins geralmente não têm objetivo de ganhar dinheiro, e sim de roubar dados ou causar interrupções catastróficas como forma de ameaça ou para “impor respeito”. Os incidentes de ransomware vivenciados pelo oleoduto Colonial Pipeline e pela JBS, da indústria de alimentos, por exemplo, chamaram a atenção justamente para isso – o quanto conseguiam ser destrutivos e se espalhar, rapidamente, pelos setores essenciais dos Estados Unidos.
A Colonial Pipeline precisou interromper temporariamente o seu fornecimento de combustível por toda a costa leste dos EUA, causando pânico nos cidadãos da região, que temiam ficar sem gasolina. Já a JBS, um frigorífico global, pagou US$ 11 milhões pelo resgate de seus sistemas, o que, contudo, não foi o suficiente para impedir um aumento no preço das carnes e diminuição do abate de gado, devido à incerteza do mercado.
Com consequências tão catastróficas, que indivíduo ou empresa não morreria de medo de sofrer um ataque de ransomware?
Mas os ataques às indústrias, especialmente aqueles conduzidos por grupos de ameaças persistentes avançadas (APT), também podem ter natureza política.
Pouco antes da invasão da Ucrânia pela Rússia, a Rússia foi acusada mobilizar ataques cibernéticos à Ucrânia, incluindo um ataque distribuído de negação de serviço (DDoS) a sites do governo ucraniano. Os serviços financeiros no país também foram impactados, de acordo com a Ucrânia.
O Kremlin negou qualquer envolvimento, mas não foi a primeira vez em que uma denúncia desse tipo ocorreu: a Rússia também foi apontada como responsável por um ataque cibernético em 2015, que derrubou a rede elétrica da Ucrânia e interrompeu o fornecimento de energia no país.
Os ataques a Sistemas de Controle Industrial colocam setores críticos no centro do alvo
No quinto relatório Year In Review da norte-americana Dragos, que foca em ameaças do Sistema de Controle Industrial (ICS) e Tecnologia Operacional (OT), a empresa, especialista em segurança cibernética industrial, disse que foram descobertos três novos grupos “com a motivação clara de direcionar seus ataques para ICS/OT”.
A descoberta dá continuidade à pesquisa do ano anterior, que detalhou as façanhas de quatro outros grupos de cibercriminosos, apelidados de Stibnite, Talonite, Kamacite e Vanadinite.
Os três novos grupos descobertos pela Dragos são Kostovite, Petrovite e Erythrite.
Os grupos de cibercriminosos que ameaçam o setor industrial
A Dragos detalhou, em seu relatório, as diferenças entre as gangues:
Kostovite:
Em 2021, o grupo Kostovite visava uma importante organização de energia renovável. Os criminosos exploraram uma vulnerabilidade zero-day no software de acesso remoto Ivanti Connect Secure para obter acesso direto à infraestrutura da empresa, mover-se lateralmente e roubar dados. O Kostovite tem como alvo instalações na América do Norte e Austrália e, ao que tudo indica, tem relação com o UNC2630, um grupo de língua chinesa associado a 12 famílias de malware.
Petrovite:
Aparecendo pela primeira vez em 2019, a Petrovite frequentemente tem como alvo empresas de mineração e energia no Cazaquistão. O grupo invade os sistemas para reconhecimento de rede e roubo de dados.
Erythrite:
Já a gangue Erythrite, ativa desde 2020, geralmente tem como alvo organizações nos EUA e no Canadá. A lista de alvos é ampla e inclui petróleo e gás, manufatura, empresas de energia e um membro da Fortune 500.
“O Erythrite executa envenenamento altamente eficaz de mecanismo de pesquisa e usa a implantação de malware para roubo de credenciais”, diz a Dragos. “Seu malware é lançado como parte de um ciclo de desenvolvimento rápido projetado para contornar a detecção endpoint. O Erythrite possui semelhanças, a nível técnico, com outro grupo rotulado por várias organizações de segurança de TI como Solarmarker.”
Dois dos grupos são altamente sofisticados
Kostovite e Erythrite demonstraram habilidades para conduzir invasões sofisticadas, “com foco em operações de acesso inicial e roubo de dados, em vez de interrupção”, informa a Dragos.
“[Esses] adversários estão dispostos a gastar tempo, esforço e recursos comprometendo e coletando informações de ambientes ICS/OT para utilização futura”, diz Dragos.
Os novos grupos em cena se juntam ao Lockbit 2.0 e ao Conti, responsáveis por 51% de todos os ataques de ransomware no setor de manufatura em 2021.
Além disso, de acordo com a empresa, o risco é ainda maior para o setor industrial porque a triagem de ameaças de OT é “incrivelmente difícil de se escalar”, pois 86% das ocorrências têm falta de visibilidade da rede.
Finalizando, o relatório alerta que mais de um terço dos avisos CVE também contêm dados imprecisos e erros quando se trata de ICS/OT, dificultando o desafio de corrigir vulnerabilidades emergentes corretamente. Além disso, 65% dos avisos para vulnerabilidades públicas tinham um patch disponível, mas nenhuma alternativa de mitigação.
Quer proteger sua empresa de ponta a ponta? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Nova variante da COVID é explorada em campanhas de phishing
À medida que a nova onda da COVID avança globalmente, ataques explorando medo e incerteza também aumentam.
O que você vai ler:
- Ransomware paralisa prisão no Novo México
- Vídeos do TikTok são usados para fraude no YouTube Shorts
- Ataque de ransomware derruba sistema do Departamento de Saúde do Estado de Maryland
- Omicron é tema de campanhas de phishing
Ransomware paralisa prisão no Novo México
No Novo México, um centro penitenciário teve suas atividades bloqueadas devido a um ataque direcionado de ransomware.
Conforme relatado pela Source NM, o Metropolitan Detention Center, no Condado de Bernalillo, sofreu uma paralisação em 5 de janeiro de 2022, depois de cibercriminosos se infiltrarem nos sistemas do Condado de Bernalillo e implantarem malware, que infectou sistemas do governo local, incluindo os utilizados para administrar a prisão.
Os detentos foram obrigados a permanecer em suas celas, pois o ataque de ransomware supostamente não apenas derrubou a internet da instituição, mas também afetou os servidores de gerenciamento de dados, redes de câmeras de segurança e as portas automáticas.
Os detentos tiveram que se comunicar apenas por meio de telefones públicos com os representantes do tribunal e advogados. Além disso, vários bancos de dados são suspeitos de terem sido corrompidos pelo ataque cibernético, incluindo um rastreador de incidentes que registra ocorrências internas, como brigas e atentados violentos.
Até o dia 12 de janeiro, um porta-voz da prisão disse que os serviços “ainda estavam sendo reparados”. O caso ilustra bem o tipo de consequência caótica que um ataque de ransomware pode provocar uma vez que atinge sistemas públicos.
Vídeos do TikTok são usados para fraude no YouTube Shorts
Fraudadores estão aproveitando ao máximo o lançamento do novo concorrente do TikTok, o YouTube Shorts, para alimentar bilhões de espectadores engajados com conteúdo roubado de outras plataformas. Os vídeos curtos e de entretenimento dinâmico, característicos do TikTok, estão sendo usados para promover sites para adultos, vender pílulas de dieta e produtos “milagrosos”, alertaram pesquisadores de segurança.
O YouTube Shorts ainda está na versão beta, mas isso acaba sendo positivo para os golpistas, que poderão realizar testes e migrar os conteúdos de maior sucesso para o universo do Google.
Um pesquisador de segurança particular, Satnam Narang, analisou 50 canais diferentes do YouTube e descobriu, em dezembro de 2021, que eles haviam acumulado 3,2 bilhões de visualizações em pelo menos 38.293 vídeos roubados de criadores do TikTok. Esses canais YouTube alcançam mais de 3 milhões de assinantes, acrescentou.
A estratégia mais comum que Narang encontrou foi usar vídeos muito populares do TikTok para fornecer links para sites adultos que executam programas afiliados no modelo pay-per-click.
Os espectadores do YouTube Shorts também receberam anúncios de produtos “milagrosos” – como pílulas de emagrecimento – associados a vídeos virais do TikTok.
Além disso, alguns perfis usavam vídeos populares como “hacks” para criar engajamento e aumentar o número de seguidores de determinada conta, prejudicando os criadores do conteúdo original.
Ataque de ransomware derruba sistema do Departamento de Saúde do Estado de Maryland
Autoridades de Maryland confirmaram, no começo de janeiro de 2022, que o Departamento de Saúde do Estado está lidando com um “ataque devastador de ransomware” que vem dificultando a operações de hospitais em meio a um aumento de casos de COVID-19 nos Estados Unidos.
Em um comunicado divulgado no dia 05/01, o diretor de segurança da informação de Maryland, Chip Stewart, disse que o ataque começou no dia 4 de dezembro e prejudicou a totalidade de seus sistemas.
“Não pagamos nenhuma demanda de extorsão, e minha recomendação – após consultar nossos fornecedores e autoridades estaduais e federais – continua sendo não pagarmos nenhuma demanda. No momento, não podemos falar sobre o motivo ou os motivos do responsável pela ameaça”, disse Stewart.
O estado iniciou seu plano de resposta a incidentes, notificando várias agências de segurança de Maryland, bem como agências federais, como o FBI e a CISA. Eles também trouxeram empresas externas de segurança cibernética para ajudar a conter os incidentes.
Além disso, de acordo com o jornal local Maryland Matters, o número de mortes por COVID-19 não foi relatado no estado por quase todo o mês de dezembro, e o estado não conseguiu emitir atestados de óbito por cerca de duas semanas. Ao falar com as autoridades de saúde e membros do sindicato sobre o ataque, o veículo descobriu que algumas pessoas em tratamento de HIV não conseguiam mais acessar os medicamentos diários de que precisavam e alguns hospitais não conseguiam acessar contas bancárias para cobrir o custo de necessidades básicas.
Outras autoridades de saúde disseram que muitos dos hospitais menores do estado foram forçados a voltar aos registros em papel. O acesso a bancos de dados críticos para doenças transmissíveis, relatórios de laboratório e muito mais ainda está inativo.
E por falar em COVID… Omicron é tema de campanhas de phishing
A empresa de segurança norte-americana Fortinet detectou uma campanha internacional para distribuição do malware RedLine por meio de notícias sobre a nova cepa da COVID-19, a Omicron. Os pesquisadores do FortiGuard Labs disseram que as pessoas por trás do malware estão tentando usar a pandemia para “roubar informações e credenciais”, que poderão ser vendidas na dark web, ou utilizadas para conseguir acesso inicial a uma rede.
O RedLine é um malware relativamente comum, que rouba todos os nomes de usuário e senhas que encontra em um sistema infectado. A Fortinet disse que a variante RedLine Stealer, neste caso, rouba credenciais armazenadas por aplicativos VPN.
“Nossa equipe encontrou recentemente um arquivo com um nome curioso, ‘Omicron Stats.exe’, que acabou sendo identificado como uma variante do malware RedLine Stealer. Embora não tenhamos conseguido apontar o vetor de infecção para essa variante específica, acreditamos que esteja sendo distribuído por e-mail”, disse a empresa em seu relatório, observando que o problema afeta sobretudo os usuários do Windows.
“O malware surgiu assim que o mundo começou a lidar com o aumento no número de pacientes com COVID, além do crescente medo e da incerteza que podem fazer com que as pessoas baixem a guarda. Isso pode ter levado os desenvolvedores do RedLine a usar a COVID como isca”, explicou Fortinet.
A Fortinet também observou que os hackers já tinham usado anteriormente e-mails com o tema da COVID para espalhar outras variantes do RedLine Stealer. Para se proteger, o recomendado é sempre prestar atenção a e-mails que possam parecer suspeitos e nunca clicar em um link ou baixar um arquivo de um remetente no qual você não confia.
A autenticação de dois fatores em qualquer plataformas que exija o acesso via login e senha também é fundamental.
Mantenha sua rede e seus dispositivos protegidos. Conheça as soluções de segurança da Compugraf!
- Published in Noticias
As maiores violações de dados e ataques cibernéticos de 2021
O número de ataques cibernéticos, à medida que a pandemia do novo coronavírus avançava. E 2022, não dá sinais de diminuir
Em 2021, milhares de novos incidentes de segurança cibernética foram registrados – e embora o roubo de criptomoedas e a perda de dados sejam ataques, hoje, considerados comuns, o ano de 2021 se destaca devido aos vários incidentes de alto perfil envolvendo ataques de ransomware, ataques à cadeia de suprimentos e exploração de vulnerabilidades críticas.
O Identity Theft Research Center (ITRC) relatou um aumento de 17% no número de violações de dados registradas durante 2021, em comparação com 2020. No entanto, ainda existe falta de transparência em torno da divulgação de incidentes de segurança – de modo que esta pode ser uma estimativa baixa.
De acordo com a IBM, o custo médio de uma violação de dados fecha o ano superando os 4 milhões de dólares, enquanto a Mimecast estima que a demanda média de ransomware cobrada de empresas americanas está acima dos 6 milhões. O recorde mundial para o maior pagamento, feito por uma seguradora este ano, agora é de 40 milhões de dólares.
Além disso, especialistas alertaram que problemas resultantes de vulnerabilidades de segurança pode persistir por anos, ainda como consequência do recente surgimento do Log4J. Isso também se aplica a vazamentos de dados, violações e furtos – cuja incidência provavelmente não vai diminuir em um futuro próximo.
E, para entender como o próximo ano deve se desenhar, vale recapitular alguns dos incidentes de segurança, ataques cibernéticos e violações de dados mais notáveis de 2021.
As maiores violações de dados e ataques cibernéticos de 2021, ao redor do mundo:
Janeiro:
- Livecoin: Após um suposto hack em dezembro, a criptomoeda Livecoin fechou suas portas e saiu do mercado em janeiro. O entreposto comercial russo alegou que os cibercriminosos conseguiram invadir e adulterar os valores das taxas de câmbio das criptomoedas, levando a prejuízos financeiros irreparáveis
- Microsoft Exchange Server: um dos incidentes de segurança cibernética mais catastróficos deste ano foi o comprometimento generalizado dos servidores Microsoft Exchange, causado por um conjunto de vulnerabilidades zero-day conhecidas coletivamente como ProxyLogon. A gigante de Redmond ficou ciente das falhas em janeiro e lançou patches de emergência em março; no entanto, o grupo de ameaças Hafnium juntou-se a outras gangues para direcionar, durante meses, uma série de ataques contra sistemas não-corrigidos. Acredita-se que dezenas de milhares de organizações tenham sido comprometidas
- MeetMindful: Dados de mais de dois milhões de usuários do aplicativo de relacionamento foram roubados e vazados por um grupo de hackers. As informações violadas incluíam desde nomes completos a tokens de conta do Facebook
Fevereiro:
- SITA: Fornecedora de TI para serviços de aviação em todo o mundo, a SITA relatou um incidente de segurança envolvendo servidores do SITA Passenger Service System, que levou à exposição de informações pessoais identificáveis pertencentes a passageiros de companhias aéreas
- ATFS: Um ataque de ransomware contra o processador de pagamentos ATFS forçou várias cidades dos EUA a enviar notificações de violação de dados. O grupo cibercriminoso que assumiu a responsabilidade, Cuba, alegou ter roubado uma ampla gama de informações financeiras em seu site de vazamento.
Março:
- Mimecast: devido ao ataque à cadeia de suprimentos da Solarwinds, divulgado em dezembro de 2020, a Mimecast se viu como destinatária de uma atualização maliciosa de software que comprometeu em larga escala os sistemas da empresa. A Mimecast disse que seu ambiente de produção foi comprometido, levando à exposição e roubo de repositórios de código-fonte. Além disso, os certificados emitidos pelo Mimecast e alguns conjuntos de dados de conexão do servidor do cliente também foram detectados na violação
- Tether: a organização de blockchain enfrentou uma demanda de extorsão que ameaçou vazar documentos que “prejudicariam profundamente o ecossistema Bitcoin”. A demanda, de aproximadamente 24 milhões de dólares, ou 500 Bitcoin (BTC), foi ignorada pela empresa
- CNA Financial: os funcionários da CNA Financial não conseguiram acessar os recursos corporativos de seu sistema e tiveram seu acesso bloqueado após um ataque de ransomware, que também envolveu o roubo de dados da empresa. A empresa teria pago um resgate de 40 milhões para recuperar o sistema
Abril:
- Facebook: um despejo de dados de informações pertencentes a mais de 550 milhões de usuários do Facebook foi publicado online. IDs do Facebook, nomes, datas de nascimento, gênero, localização e status de relacionamento foram incluídos nos registros, os quais o Facebook – agora conhecido como Meta – disse terem sido coletados em 2019
Maio:
- Colonial Pipeline: O oleoduto de combustível que conecta o oeste ao leste dos Estados Unidos foi atingido por um ransomware enviado pela conhecida gangue DarkSide. O ataque interrompeu a entrega de combustível a nível nacional. A empresa pagou o resgate de 5 milhões de dólares para recuperar seus sistemas
Junho:
- Volkswagen, Audi: as montadoras divulgaram uma violação de dados que afetou mais de 3,3 milhões de clientes e alguns compradores em potencial, a maioria com sede nos Estados Unidos. O responsável apontado foi um fornecedor, que, em tese, expôs esses dados em “algum momento” entre agosto de 2019 e maio de 2021
- JBS USA: Gigante internacional de frigoríficos, a empresa sofreu um ataque de ransomware, atribuído ao grupo de ransomware REvil. O impacto foi tão desastroso que a empresa optou por pagar um resgate de 11 milhões de dólares em troca de uma chave de descriptografia para restaurar o acesso aos seus sistemas
Julho:
- Kaseya: uma vulnerabilidade em uma plataforma desenvolvida pelo provedor de serviços de TI Kaseya foi explorada para atingir cerca de 800 a 1.500 clientes
Agosto:
- T-Mobile: Segundo relatos, nomes, endereços, CPFs, carteiras de habilitação, números IMEI e IMSI e informações de identidade dos clientes associados à empresa foram comprometidos. É possível que aproximadamente 50 milhões de clientes existentes e potenciais tenham sido impactados. Um jovem de 21 anos assumiu a responsabilidade pelo hack e afirmou ter roubado cerca de 106 GB de dados da gigante das telecomunicações
- Liquid: Mais de 97 milhões de dólares em criptomoedas foram roubados da bolsa de criptomoedas japonesa
- Lojas Renner: a gigante varejista sofreu um ataque de ransomware que interrompeu suas atividades. O resgate solicitado foi de 1 bilhão de dólares
Setembro:
- Cream Finance: A organização de finanças descentralizadas (DeFi) relatou uma perda de 34 milhões de dólares depois que uma vulnerabilidade foi explorada no sistema do projeto
- AP-HP: O sistema do hospital público de Paris, AP-HP, foi alvo de ciberataques que conseguiram roubar as informações pessoais de indivíduos que fizeram os testes COVID-19 em 2020
- Consultores Debt-IN: A empresa sul-africana de recuperação de dívidas disse que um ataque cibernético resultou em um incidente “significativo” que afetou as informações de clientes e funcionários. Nomes, detalhes de contato, salários e registros de emprego e dívidas são suspeitos de terem sido vazados
Outubro:
- Coinbase: A Coinbase enviou uma carta a cerca de 6.000 usuários após detectar uma campanha para obter acesso não-autorizado às contas de clientes e mover fundos de clientes para fora da plataforma Coinbase
- Neiman Marcus: Em outubro, a Neiman Marcus divulgou publicamente uma violação de dados ocorrida em maio de 2020. A intrusão só foi detectada em setembro de 2021 e incluiu a exposição e potencial roubo de mais de 3,1 milhões de cartões de pagamento pertencentes a clientes, embora a maioria seja considerada inválida
- Governo da Argentina: um hacker alegou ter comprometido o Registro Nacional de Pessoas do governo argentino, roubando dados de 45 milhões de residentes. O governo negou o relatório
Novembro:
- Panasonic: A gigante japonesa de tecnologia revelou que um ataque cibernético – uma violação de dados ocorrida de 22 de junho a 3 de novembro, com descoberta em 11 de novembro – comprometeu seus serviços e admitiu que as informações foram acessadas em um servidor de arquivos desprotegido
- Robinhood: A Robinhood – empresa do setor financeiro – revelou uma violação de dados que afetou cerca de cinco milhões de usuários de seu aplicativo. Endereços de e-mail, nomes, números de telefone e muito mais foram acessados por meio de um sistema de suporte ao cliente
Dezembro:
- ConecteSUS: O portal do Ministério da Saúde foi comprometido por um hack que paralisou os sistemas e derrubou o acesso de usuários cadastrados. Milhares de brasileiros ficaram sem poder acessar seus comprovantes de vacinação ou colher informações importantes a respeito da COVID-19 no país
- Log4j: uma vulnerabilidade zero-day na biblioteca Log4j Java, identificada como uma falha de execução remota de código (RCE), agora está sendo explorada ativamente ao redor do mundo. O bug é conhecido como Log4Shell e agora está sendo transformado em arma por diversos botnets
Aqui na Compugraf, nosso time de especialistas estuda constantemente novas formas de proteger clientes e parceiros e nossa missão continuará ao longo de 2022. Consulte nossas soluções de segurança e saiba como podemos te ajudar!
- Published in Noticias
Alibaba é multada em bilhões por não ter reportado vulnerabilidade do Log4J
Pesquisadores e especialistas de segurança aceleram o passo para acompanhar a rápida evolução dos ataques cibernéticos. Mas, enquanto isso, muitas empresas ainda são vítimas dos criminosos.
O que você vai ler:
- Criminosos usam Telegram para roubar criptomoeda de usuários
- Linux incentiva desenvolvedores a adotarem medidas mais seguras em 2022
- Alibaba é multada em bilhões de yuans por não noticiar o governo chinês sobre vulnerabilidade do Log4J
- Ransomware-as-a-service pode ser uma das principais ameaças de 2022
Criminosos usam Telegram para roubar criptomoeda de usuários
Cibercriminosos desenvolveram uma nova estratégia que têm como alvo as carteiras de criptomoeda de usuários do Telegram. Usando o infostealer Echelon, o esforço visa fraudar a identidade de usuários novos ou desavisados de um canal de discussão sobre criptomoeda do aplicativo de mensagens, descobriram os pesquisadores.
O malware usado na campanha tem como objetivo roubar credenciais de várias plataformas de mensagens e compartilhamento de arquivos, incluindo Discord, Edge, FileZilla, OpenVPN, Outlook e até mesmo o próprio Telegram, bem como de uma série de carteiras de criptomoeda, tais quais AtomicWallet, BitcoinCore, ByteCoin , Exodus, Jaxx e Monero.
A campanha usa uma estratégia conhecida como “spray and pray” (”espalha e reza”, em tradução livre).
“Considerando o malware e a maneira como foi postado, é provável que ele que não faça parte de uma campanha coordenada e estava simplesmente visando usuários ingênuos do canal”, de acordo com um relatório publicado a respeito do caso.
Os invasores usaram o identificador “Smokes Night” para distribuir o Echelon no canal, mas não está claro o quão bem-sucedido o ataque foi, descobriram os pesquisadores. “A postagem não parecia ser uma resposta a nenhuma das mensagens em torno do canal”, escreveram eles.
Outros usuários do canal não pareceram notar nada suspeito ou se envolver com a mensagem, eles disseram. No entanto, isso não significa que o malware não atingiu os dispositivos dos usuários, escreveram os pesquisadores.
Os recursos do malware incluem impressão digital do computador e a capacidade de tirar uma captura de tela da máquina da vítima, escreveram os pesquisadores. Além disso, a amostra retirada da campanha envia credenciais e outros dados roubados para um servidor de comando e controle usando um arquivo .ZIP compactado, informa o relatório.
Linux incentiva desenvolvedores a adotarem medidas mais seguras em 2022
Em 2022, é esperado que desenvolvedores deem um passo além para proteger seus softwares e a Linux, dona do sistema operacional mais utilizado por desenvolvedores ao redor do mundo, é a primeira a mobilizar novas diretrizes de segurança.
A empresa incentiva desenvolvedores a rastrearem seus programas em uma SBOM usando o formato Software Package Data Exchange (SPDX) da Linux Foundation. Em seguida, para garantir que o ódigo é realmente o que se afirma ser, é necessário autenticar e verificar a SBOM com serviços como o Codenotary Community Attestation Service.
Uma SBOM (acrônimo para Software Bill Of Materials, ou Lista de Materias de Software) especifica exatamente quais bibliotecas de software, rotinas e outros códigos foram usados em qualquer programa. Com isso em mãos, você pode examinar quais versões de componentes são usadas em um programa.
Os usuários, preocupados com desastres similares ao caso Solar Winds e com problemas de segurança, como o do log4j, exigirão essa preocupação por parte dos desenvolvedores em 2022 – sobretudo empresas, que são o principal alvo dos cibercriminosos.
David A. Wheeler, Diretor de Segurança da Cadeia de Abastecimento de Código Aberto da Linux Foundation, explicou que, usando SBOMs e compilações reproduzíveis verificadas, “você pode ter certeza do que está em seus programas”. Dessa forma, se uma falha de segurança for encontrada em um componente, o desenvolver pode simplesmente corrigi-la, em vez de passar horas pesquisando por qualquer código de problema possível antes de poder fazer alguma coisa.
Enquanto isso, os desenvolvedores Linux estão trabalhando para proteger ainda mais seu o sistema operacional, tornando a Rust Linux a segunda linguagem do sistema. Ao contrário da C, a linguagem principal do Linux, a Rust é muito mais segura, sobretudo no tratamento de erros de memória.
Alibaba é multada em bilhões de yuans por não noticiar o governo chinês sobre vulnerabilidade do Log4J
Em notícias recentes, a mídia chinesa relatou que a Alibaba Cloud – gigante da tecnologia e serviços de internet – está enfrentando uma ação dos reguladores do governo chinês após a empresa relatar a vulnerabilidade do Log4J ao Apache antes de acionar o Ministério da Indústria e Tecnologia da Informação (MIIT).
Chen Zhaojun, engenheiro de segurança da Alibaba Cloud, foi identificado pela Bloomberg News como a primeira pessoa a descobrir a vulnerabilidade Log4J e relatá-la ao Apache.
“Recentemente, depois de descobrir vulnerabilidades de segurança graves no componente Apache Log4j2, a Alibaba Cloud falhou em reportar às autoridades de telecomunicações em tempo hábil e não apoiou efetivamente o Ministério da Indústria e Tecnologia da Informação para conter ameaças de segurança cibernética e gerenciamento de vulnerabilidade”, disse um relatório da mídia local.
O governo chinês tem procurado lidar melhor com a segurança cibernética e a privacidade nos últimos meses, aprovando várias leis e emitindo avisos para grandes empresas sobre a necessidade de proteger os dados compartilhados fora da China.
A Alibaba foi atingida por uma multa recorde de 18,2 bilhões de yuans, e 33 outros aplicativos móveis enfrentaram críticas do MIIT por suas políticas de coleta de dados.
Ransomware-as-a-service pode ser uma das principais ameaças de 2022
A Agência da União Europeia para Cibersegurança (ENISA) disse que houve um aumento de 150% nos ataques de ransomware entre abril de 2020 e julho de 2021. E, de acordo com ela, estamos vivenciando a “era de ouro do ransomware”, em parte devido às várias opções de extorsão disponíveis para os criminosos.
Em 2022, é provável que essas ameaças, sobretudo aquelas que foram desenvolvidas a partir da ameaça principal, evoluam ainda mais.
O Ransomware-as-a-Service (RaaS), por exemplo, é uma indústria estabelecida dentro do negócio de ransomware, em que os operadores alugam ou oferecem assinaturas de suas criações de malware a outros criminosos por um preço mensal, por um percentual de quaisquer pagamentos de extorsão bem-sucedidos.
Considerando a natureza lucrativa do RaaS e a dificuldade de rastrear e processar os operadores, não deve ser surpresa que muitos especialistas em segurança acreditam que esse modelo de negócios continuará a florescer em 2022.
Além disso, uma tendência emergente documentada pela CrowdStrike é a realização de múltiplos ataques contra organizações, uma vez que tenham sido comprometidas com sucesso.
Eles também sugerem que podemos testemunhar mais métodos de extorsão se tornando comuns – como o lançamento de ataques de negação de serviço distribuída (DDoS) ou o assédio de clientes e parceiros, a fim de se obter credenciais de acesso inicial.
Mantenha sua empresa protegida contra as ameaças em 2022! Consulte as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
As cinco maiores tendências de segurança cibernética em 2022
O mundo hiper-conectado em que vivemos, sobretudo desde a pandemia global do novo coronavírus que, em março de 2020, forçou uma Transformação Digital acelerada, tem sido particularmente favorável para os cibercriminosos, que se aproveitaram dessa adaptação e da interconectividade para mobilizarem ataques ainda mais nocivos.
Nada ilustrou esse movimento tão bem quanto o caso da SolarWinds, descrito pelo presidente da Microsoft, Brad Smith, como o ataque cibernético mais sofisticado de todos os tempos, e cujas reverberações foram sentidas ao longo de todo o ano de 2021.
A natureza cada vez mais digital do nosso dia a dia representam oportunidades inéditas para phishers, hackers e criminosos cibernéticos em geral. E à medida que avançamos para 2022, não há, infelizmente, nenhum sinal de que esse risco vá diminuir.
Por outro lado, a cibersegurança se desenvolve a passos similares e novos desafios significam, também, novas soluções para manter usuários e dispositivos protegidos contra ameaças. Em sua coluna de cibersegurança, a Forbes elencou as principais tendências do setor em 2022, às quais empresas devem ficar atentas.
São elas:
Segurança cibernética baseada em Inteligência Artificial
Assim como é usada em serviços financeiros para a detecção de fraudes, a inteligência artificial (IA) pode ajudar a neutralizar o crime cibernético, identificando padrões de comportamento que indiquem que algo fora do comum possa estar ocorrendo. Essa aplicação pode ser feita em sistemas que precisam lidar com milhares de eventos ocorrendo a cada segundo, que é normalmente onde os cibercriminosos focam seus esforços.
É o poder de previsibilidade que tornam a IA tão útil aqui, e é por isso que mais e mais empresas estarão investindo nessas soluções à medida que avançamos em 2022.
Além disso, uma pesquisa da Capgemini descobriu recentemente que dois terços das empresas agora acreditam que a IA é necessária para identificar e combater ameaças críticas de segurança cibernética, e quase três quartos das empresas estão usando ou testando IA para essa finalidade.
Em contrapartida, os cibercriminosos também estão cientes dos benefícios da IA, e novas ameaças que usam tecnologias de machine learning para escapar das medidas de proteção da segurança cibernética estão surgindo. Isso torna a solução ainda mais essencial – pois é a maneira mais eficaz de neutralizar ataques cibernéticos movidos a IA.
A crescente ameaça do ransomware
De acordo com o UK National Cyber Security Center, houve três vezes mais ataques de ransomware no primeiro trimestre de 2021 do que em todo o ano de 2019 – e uma pesquisa da PwC sugere que 61% dos executivos de tecnologia esperam que esse número aumente em 2022. Mais uma vez, podemos associar isso ao crescimento da quantidade de atividades realizadas online e em ambientes digitais.
Ataques de ransomware normalmente envolvem a infecção de dispositivos com um vírus que bloqueia dados por trás de uma criptografia inquebrável e ameaça destruí-los, a menos que um resgate seja pago, geralmente na forma de criptomoeda não-rastreável. Alternativamente, os responsáveis pelo ataque podem ameaçar divulgar os dados publicamente, deixando a organização sujeita a enormes multas por conta das novas leis de proteção de dados.
O ransomware é normalmente implantado por meio de ataques de phishing – em que os funcionários de uma organização são induzidos a fornecer detalhes ou clicar em um link que baixa o ransomware (às vezes chamado de malware) em um computador.
No entanto, mais recentemente, uma infecção direta via dispositivos USB por pessoas que têm acesso físico às máquinas está se tornando cada vez mais comum. É preocupante que tenha havido um aumento nesses tipos de ataques direcionados a infraestruturas críticas, incluindo uma instalação de tratamento de água, que por um breve período ficou inoperável, de modo a colocar vidas em risco. Outros ataques de ransomware têm como alvo gasodutos e hospitais.
A educação é a forma mais eficaz de lidar com essa ameaça, com pesquisas mostrando que os funcionários que estão cientes dos perigos desse tipo de ataque têm oito vezes menos probabilidade de serem vítimas.
A Internet vulnerável das Coisas
O número de dispositivos conectados – conhecido como internet of Things (IoT) deve chegar a 18 bilhões até 2022. Uma consequência disso é um número muito maior de pontos de acesso em potencial para cibercriminosos que buscam obter acesso a sistemas digitais seguros.
Ataques que foram identificados no passado incluem hackers usando eletrodomésticos conectados, como geladeiras e cafeteiras, para obter acesso a redes e, a partir daí, acessar computadores ou telefones onde dados valiosos podem estar armazenado.
Além de mais difundida, em 2022 a IoT também vai se sofisticar. Muitas organizações estão agora envolvidas no desenvolvimento de “gêmeos digitais” – simulações digitais abrangentes de sistemas inteiros ou mesmo de empresas. Esses modelos são frequentemente conectados a sistemas operacionais para modelar os dados coletados por eles e podem oferecer um tesouro de dados e acesso aponta para aqueles com intenções maldosas.
Em 2022, é esperado que os ataques a dispositivos IoT continuem e até evoluam. E, mais uma vez, educação e conscientização são duas das ferramentas mais úteis quando se trata de proteção contra essas vulnerabilidades.
Qualquer estratégia de segurança cibernética deve sempre incluir uma auditoria completa de cada dispositivo que pode ser conectado ou ter acesso a uma rede e um entendimento completo de todas as vulnerabilidades que essa conexão possa representar.
Risco de segurança cibernética são um fator-chave nas decisões de parceria
Qualquer operação de segurança cibernética é tão segura quanto seu elo mais fraco, o que significa que as organizações cada vez mais têm enxergado cada elo da cadeia de suprimentos como uma vulnerabilidade potencial.
Isso é confirmado pela pesquisa da Gartner, que prevê que, até 2025, 60% das organizações usarão o risco de segurança cibernética como um “determinante primário” ao escolher com quem fechar negócio.
Regulamentação preventiva para a cibersegurança
Com o custo do crime cibernético para as economias globais definido para US $ 6 trilhões em 2021, esta não é uma situação sustentável. De acordo com a Security Magazine, 2022 deve ser o ano em que os reguladores darão um basta para controlar a situação. Uma consequência disso poderia ser uma expansão das penalidades que atualmente cobrem apenas violações e perdas para também cobrir vulnerabilidades e exposição a danos potenciais.
Outra consequência pode ser um número crescente de jurisdições aprovando leis relacionadas a pagamentos em resposta a ataques de ransomware. Observamos também um número crescente de obrigações legais entregues aos Diretores de Segurança da Informação, em linha com as responsabilidades dos Diretores Financeiros, na tentativa de limitar o impacto de furtos, perdas e violações de dados sobre os clientes.
Embora isso vá inevitavelmente aumentar a responsabilidade pela segurança da informação nas empresas, a longo prazo, será uma coisa boa. Hoje, mais do que nunca, construir a confiança do consumidor e de parceiros é essencial para organizações – e, sobretudo, ter noção de que a segurança cibernéticas, mais do que uma série de atividades preventivas, é um pensamento de gestão.
Mantenha sua empresa segura em 2022. Conheça as soluções da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
2021 se encerra com perdas de 7,7 bilhões de dólares só em roubo de criptomoeda
O ano se encerra, mas as ameaças à cibersegurança estão longe de parar. Só em roubo de criptomoeda, 2021 viu uma perda de 7,7 bilhões de dólares, enquanto novas gangues de ransomware surgem e lutam pelo topo da hierarquia de ciberataques.
O que você vai ler:
- Nova gangue de ransomware quer ocupar lugar do REvil como o grupo de ameaça mais expressivo da atualidade
- Nova cepa de ransomware é responsável por um aumento de 400% nos ataques a organizações governamentais
- 225 milhões de senhas são encontradas em diretório hacker na internet
- 2021 se encerra com perdas de 7,7 bilhões só em roubo de criptomoeda
Nova gangue de ransomware quer ocupar lugar do REvil como o grupo de ameaça mais expressivo da atualidade
Em alerta recente emitido pela Sophos Labs, foi divulgado que a AvosLocker, uma gangue de ransomware que surgiu em junho de 2021, está em busca de parceiros – isto é, corretores que vendem acesso a máquinas já hackeadas, conhecidos como “corretores de acesso” – na esperança de preencher a lacuna deixada pelo grupo REvil, que desapareceu também em 2021, sem nenhuma explicação.
Um dos principais recursos que o AvosLocker usa é a ferramenta de administração de TI remota AnyDesk, executando-a no Modo de Segurança do Windows. Esse recurso foi usado por grupos como o próprio REvil, Snatch e BlackMatter, como uma forma de desabilitar a segurança do Windows e das ferramentas de administração de TI.
Isso porque muitos produtos de segurança para endpoint não são executados no Modo de Segurança – uma configuração de diagnóstico especial na qual o Windows desativa a maioria dos drivers e software de terceiros e pode tornar inseguras as máquinas protegidas.
Além disso, os pesquisadores detectaram várias técnicas curiosas usadas pelo AvosLocker. Um componente do Linux, por exemplo, tem como alvo os servidores de hipervisor VMware ESXi, a fim de eliminar quaisquer máquinas virtuais (VMs) desses servidores e, em seguida, criptografar os arquivos VM. A Sophos está investigando como os invasores obtiveram as credenciais de administrador necessárias para habilitar o ESX Shell ou acessar o servidor.
Os invasores também usaram a ferramenta de gerenciamento de TI PDQ Deploy para enviar vários scripts de lote do Windows para as máquinas de destino, incluindo love.bat, update.bat e lock.bat. Em cerca de cinco segundos, esses scripts desabilitam produtos de segurança que podem ser executados no Modo de Segurança, desabilitam o Windows Defender e permitem que a ferramenta AnyDesk do invasor seja executada no Modo de Segurança. Eles também configuram uma nova conta com detalhes de login automático e, em seguida, se conectam ao controlador de domínio do destino para acessar e executar remotamente o executável do ransomware, update.exe.
Diante disso tudo, a Sophos adverte: “um Ransomware, especialmente quando carregado diretamente em um dispositivo (como tem sido o caso nessas instâncias do Avos Locker), é um problema difícil de resolver porque é necessário lidar não apenas com o ransomware, em si, mas com quaisquer mecanismos que os agentes de ameaça configuraram como uma porta para a rede-alvo. Nenhum alerta, portanto, deve ser tratado como de ‘baixa prioridade’ nessas circunstâncias”.
Nova cepa de ransomware é responsável por um aumento de 400% nos ataques a organizações governamentais
Relativamente novo, o ransomware Pysa foi a cepa dominante por trás da maioria dos ataques ocorridos em novembro de 2021, sendo responsável por um aumento de 400% nos ataques a organizações governamentais, de acordo com uma análise da empresa de segurança NCC Group.
Pysa é uma das gangues de ransomware que utiliza a tática de extorsão dupla para pressionar suas vítimas a pagarem, ameaçando vazar os dados criptografados caso elas não cedam à extorsão. O grupo foi autor do vazamento de 50 organizações comprometidas no fim de 2021.
No geral, em novembro, o número de ataques do grupo Pysa aumentou 50%, o que significa que ele ultrapassou o grupo Conti para se juntar ao grupo Lockbit nas duas versões mais comuns do malware. Conti e Lockbit têm sido as cepas dominantes desde agosto, de acordo com o NCC Group.
Mas um ponto tem chamado a atenção dos especialistas: inexplicavelmente, o Pysa vaza dados de alvos semanas ou meses depois de tentar extorqui-los.
O FBI começou a rastrear a atividade do grupo em março de 2020 em ataques de ransomware contra o governo, instituições, setores privados e de saúde. O grupo geralmente emprega técnicas de phishing a fim de obter credenciais para comprometer conexões de protocolo da área de trabalho remota (RDP). O Pysa visa organizações de alto valor no setor financeiro, governamental e de saúde, observa o NCC Group.
225 milhões de senhas são encontradas em diretório hacker na internet
A UK National Crime Agency (NCA) e a National Cyber Crime Unit (NCCU) descobriram um cachê contendo 225 milhões de e-mails e senhas roubados em dezembro de 2021. Os dados foram entregues o HaveIBeenPwned (HIBP), serviço gratuito para rastrear credenciais roubadas e/ou vazadas através de dados anteriores violações, que já conta com 613 milhões de senhas comprometidas.
“Durante a atividade operacional recente da NCA, a equipe Mitigation @ Scale da NCCU foi capaz de identificar uma grande quantidade de credenciais potencialmente comprometidas (e-mails e senhas associadas) em uma instalação de armazenamento em nuvem comprometida”, disse a NCA em um comunicado ao HIPB.
“Por meio da análise, ficou claro que essas credenciais eram um acúmulo de conjuntos de dados de violações conhecidas e desconhecidas. O fato de terem sido colocados em uma instalação de armazenamento em nuvem de uma empresa do Reino Unido por criminosos desconhecidos significava que as credenciais agora existiam no domínio público e poderiam ser acessado por terceiros para cometer mais fraudes ou crimes cibernéticos.”
O HIPB oferece uma página exclusiva para usuários verificarem se suas senhas e e-mails foram comprometidos em violações.
2021 se encerra com perdas de 7,7 bilhões só em roubo de criptomoeda
Golpistas e criminosos cibernéticos focados no roubo de criptomoeda arrecadaram 7,7 bilhões de dólares em criptomoedas de vítimas em 2021, marcando um aumento de 81% nas perdas em relação a 2020, de acordo com a empresa de análise de blockchain Chainalysis.
Cerca de 1,1 bilhão desse valor foi atribuído a um único esquema, que supostamente tinha como alvo a Rússia e a Ucrânia.
Por outro lado, o número de depósitos trackeados como golpes caiu de pouco menos de 10,7 milhões para 4,1 milhões, o que poderia significar que havia menos vítimas de golpes individuais – mas elas estão perdendo mais dinheiro.
Uma grande fonte de perdas crescentes de criptomoedas em 2021 foram as chamadas “puxadas de tapete”, onde os desenvolvedores de uma nova criptomoeda desaparecem e levam os fundos dos apoiadores com eles. Esses golpes representaram 37% de toda a receita de roubos de criptomoeda em 2021, totalizando US $ 2,8 bilhões – ante apenas 1% em 2020.
Sem surpresa, os golpes também aumentam de acordo com o aumento no valor de criptomoedas populares, como Ethereum e Bitcoin.
Por fim, a Chainalysis observa: “a lição mais importante é evitar novos tokens que não foram submetidos a uma auditoria de código. Auditorias de código são um processo por meio do qual uma empresa terceirizada analisa o código do contrato inteligente por trás de um novo token ou outro projeto DeFi, e confirma publicamente que as regras de governança do contrato são rígidas e não contêm mecanismos que permitiriam aos desenvolvedores fugir com os fundos dos investidores.”
Mantenha seu negócio seguro contra as mais distintas ameaças. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Ransomware será ainda pior em 2022, alertam especialistas
Enquanto 2021 vai se encerrando com ataques altamente sofisticados, as perspectivas para 2022 não melhoram.
O que você vai ler:
- Sites do governo brasileiro foram hackeados usando credenciais legítimas
- Exploit que explorava vulnerabilidade do iOS é “um dos mais sofisticados” que o time de segurança do Google já viu
- Microsoft anuncia criptografia de ponta a ponta para o Teams
- Ransomware em 2022 será “ainda pior”, alertam pesquisadores
Sites do governo brasileiro foram hackeados usando credenciais legítimas
Após a alta incidência de ataques cibernéticos contra órgãos do governo central no Brasil, investigações iniciais descobriram que criminosos estão usando credenciais de funcionários públicos para acessar sistemas.
A descoberta está entre uma série de alertas e recomendações do Gabinete de Segurança Institucional (GSI) da presidência. Lançado inicialmente no dia 8 de dezembro e revisado no dia 14 de dezembro, o alerta é direcionado a gestores de segurança de todo o governo federal.
“Algumas intrusões ocorreram usando credenciais legítimas”, observou o documento, acrescentando que isso significava que os invasores não precisaram realizar nenhuma ação para acessar os privilégios do sistema.
A publicação e subsequente edição do alerta do GSI surge ao passo que Ministério da Saúde do Brasil se esforça para restabelecer seus sistemas após um grande ataque de ransomware, que ocorreu no dia 10 de dezembro. Sistemas como o ConecteSUS, que contém dados e certificados de vacinação COVID-19, permanecem indisponíveis.
Além de notificar o centro de prevenção e resposta a ataques cibernéticos do governo, as instruções relacionadas à segurança incluem o fortalecimento do uso de ferramentas de autenticação multifator para todos os administradores de sistema em nuvem.
O escritório de segurança também recomendou a reavaliação das políticas de backup, bem como a solicitação, aos provedores de nuvem, que alterem as senhas mestras e implementem camadas de segurança adicionais para mitigar o risco de que cibercriminosos utilizem senhas de privilégio.
Além disso, os gestores de segurança devem controlar as configurações de acesso aos metadados em ambientes de nuvem, observou o GSI, e iniciar campanhas internas para fazer com que a equipe altere suas senhas para alternativas mais fortes periodicamente.
Exploit que explorava vulnerabilidade do iOS é “um dos mais sofisticados” que o time de segurança do Google já viu
Em novembro, o Departamento de Comércio dos EUA adicionou o NSO Group à sua “lista de personas non-gratas“, banindo-o de grande parte dos mercados dos EUA devido a evidências de que a empresa fornecia spyware a governos estrangeiros, que utilizavam o recurso para atingir funcionários do governo americano, jornalistas, empresários, ativistas, acadêmicos e trabalhadores da embaixada norte-americana.
No final de novembro, a Apple entrou com um pedido de liminar permanente proibindo a NSO de usar qualquer um de seus softwares, serviços ou dispositivos.
Agora, o Project Zero (GPZ) do Google analisou um exploit “zero-click” relativamente novo do NSO, para versões iOS 14.7.1 e anteriores, e o considerou “um dos exploits mais sofisticados que eles já viram”.
O exploit cria um ambiente de computador emulado e “desconhecido” dentro de um componente do iOS criado para processar GIFs e que normalmente não oferece suporte a recursos de script. Essa exploração, no entanto, permite que um invasor execute código semelhante ao JavaScript nesse componente para gravar informações em locais arbitrários de memória – e hackear remotamente um iPhone.
Isso significa que uma vítima pode ser alvo de ataque tão somente por meio de seu número de telefone ou nome de usuário da AppleID, observa o relatório. Mesmo usuários mais consciente das medidas de segurança que devem ser adotadas podem virar reféns desse tipo de ataque.
A Apple lançou um patch para corrigir a vulnerabilidade, mas, ainda assim, a sofisticação do exploit é preocupante.
Microsoft anuncia criptografia de ponta a ponta para o Teams
A Microsoft anunciou no dia 16 de dezembro que está lançando a criptografia ponta a ponta (E2EE) para chamadas individuais no Microsoft Teams, o aplicativo de vídeochamda da empresa.
De acordo com a postagem do blog da Microsoft, os administradores terão a opção de habilitar e controlar esse recurso para suas organizações assim que receberem a atualização. Por padrão, o E2EE não estará disponível para todos os usuários de uma empresa. Depois que a TI configurar a política e ativá-la para usuários selecionados, esses usuários ainda precisarão ativar esse recurso nas configurações do Teams. A TI poderá desativar esse recurso quando necessário.
Além disso, representantes da Microsoft alertaram que, ao usar o E2EE for Teams, alguns recursos ficarão indisponíveis. Isso inclui a gravação de reunião, legendas e transcrição ao vivo e adicionar participantes para fazer uma chamada em grupo. Se algum dos recursos indisponíveis for necessário, os usuários precisarão desligar o E2EE.
O recurso de chamada do E2EE Teams está disponível na versão mais recente do desktop Teams para Windows ou Mac, disseram.
Ransomware em 2022 será “ainda pior”, alertam pesquisadores
O ransomware é agora a principal ameaça para as empresas e, com o último ano considerado a “era de ouro” para as operadoras dessa ameaça, especialistas em segurança cibernética acreditam que a atividade chegará a novos patamares no futuro próximo.
De acordo com uma análise de atividades em fóruns da dark web, a vítima de ransomware “perfeita” em 2022 terá uma receita anual mínima de 100 milhões de dólares (nos EUA) e será vulnerável a ataques via Remote Desktop Protocol (RDP) e VPN.
Além disso, a análise pontua que a infecção por ransomware não é mais o objetivo final de um ataque cibernético. Em vez disso, famílias de malware – como WannaCry, NotPetya, Ryuk, Cerber e Cryptolocker – podem evoluir para componentes de ataques, como já têm feito ao longo de 2021.
Outro ponto que deve continuar em alta quando o assunto é ransomware são as chamadas táticas de “extorsão dupla”, nos quais as vítimas têm seus sistemas criptografados e, além da nota de extorsão, para aumentar a pressão, os grupos roubam e ameaçam publicar ou vender dados corporativos antes de liberar a chave de descriptografia.
A Agência da União Europeia para Cibersegurança (ENISA) disse que houve um aumento de 150% nos ataques de ransomware entre abril de 2020 e julho de 2021. De acordo com a agência, estamos vivenciando a “era de ouro do ransomware”, em parte devido às múltiplas opções de monetização. A tendência certamente continuará – e talvez se expandirá – em 2022.
Mantenha sua empresa protegida. Conheça as soluções de segurança da Compugraf!
- Published in Noticias
Gangues de ransomware visam derrubar ações de empresas na Bolsa de Valores
O FBI alerta sobre uma nova tática de extorsão: ameaçar derrubar os preços das ações de empresas de capital aberto para fazer com que as vítimas paguem o resgate
Gangues de ransomware estão se concentrando em empresas de capital aberto, ameaçando exposição financeira a fim de persuadir as empresas a realizarem o pagamento de resgate, alertou o FBI.
Em um alerta emitido esta semana [disponível aqui], a agência disse que a atividade cibecriminosa, ao longo do ano passado mostra uma tendência de mirar em empresas que se aproximam de “eventos financeiros significativos e urgentes”, como relatórios de lucros trimestrais e registros obrigatórios da SEC, ofertas públicas iniciais, atividades de M&A, lançamento de IPO e assim por diante. A ideia é aumentar os parafusos de extorsão, ameaçando vazar informações roubadas relevantes para esses eventos se a vítima não pagar.
“Eventos iminentes que podem afetar o valor das ações da vítima, como anúncios [ou] fusões e aquisições, incentivam os agentes de ransomware a direcionar uma rede ou ajustar seu cronograma para extorsão”, observaram os agentes de segurança.
Ações na bolsa de valores são alavancas para o resgate
No ano passado, o ator de ransomware que atende pelo apelido de “Unkown” (que se acredita ser um ex-líder do grupo REvil) pareceu arquitetar a abordagem, sugerindo, no fórum de hackers Exploit Russian, que uma boa maneira de influenciar os alvos a ceder ao resgate é referenciando sua presença corporativa na bolsa de valores NASDAQ.
Logo, alguns estavam seguindo o conselho: “Seguindo esta postagem, atores de ransomware não-identificados, que negociavam pagamento com uma vítima durante um evento de ransomware em março de 2020, declararam, na nota de resgate: ‘notamos que você tem ações. Se você não considerar a negociação, vazaremos os seus dados para o NASDAQ [sic] e veremos o que vai [sic] acontecer com suas ações’”, informa o alerta do FBI.
Também no ano passado, pelo menos três empresas americanas de capital aberto ativamente envolvidas em negociações de M&A foram atingidas por ransomware. Além disso, uma análise técnica do trojan de acesso remoto Pyxie (que atua como um implante de primeiro estágio que eventualmente entrega o ransomware Defray777 / RansomEXX) revelou várias pesquisas de palavras-chave relacionadas a movimentações financeiras relevantes, disse o FBI.
Isso incluiu o “10-Q,” referindo-se a um relatório trimestral que deve ser submetido por todas as empresas de capital aberto, divulgando informações relevantes sobre finanças; “10-SB”, que é um formulário usado para registrar os títulos de pequenas empresas que desejam negociar nas bolsas dos EUA; e “N-CSR”, um formulário que deve ser preenchido no prazo de 10 dias após a emissão de relatórios anuais e semestrais da empresa aos acionistas. Outras palavras-chave incluem NASDAQ, MarketWired e Newswire.
Em abril, a gangue de ransomware DarkSide postou um plano para usar o preço das ações das vítimas como uma forma de extorsão, de acordo com o FBI, e se ofereceu para ensinar a outros grupos como fazer a mesma coisa .
A mensagem dizia: “Agora nossa equipe e parceiros criptografam muitas empresas que estão negociando na NASDAQ e em outras bolsas de valores. Caso a empresa se recuse a pagar, estamos prontos para prestar informações antes da publicação, para que seja possível ganhar na redução do preço das ações. Escreva-nos em ‘Contacte-nos’ e iremos fornecer-lhe informações detalhadas.”
Bill Lawrence, CISO da SecurityGate, uma empresa de segurança, observou que as empresas agora devem estar em alerta máximo ao abrir o capital, executar fusões ou aquisições ou passar por outros eventos financeiros significativos – e devem controlar rigidamente as informações, incluindo informações públicas.
“As empresas devem manter a guarda alta especialmente durante esses tipos de eventos e usar testadores de invasão de terceiros e avaliações de risco completas para tentar encontrar as lacunas de segurança e os tipos de dados que seriam úteis para os criminosos”, observou. “Eles devem sempre garantir que suas informações públicas sejam controladas com cuidado, enquanto dados financeiros confidenciais ou outros são criptografados e armazenados em outro local seguro. A autenticação de dois e vários fatores pode ajudar a proteger contas vulneráveis ”.
Além disso, a ação preventiva mais importante que qualquer empresa pode fazer é investir em uma equipe de segurança cibernética, sugerem especialistas
Evolução das táticas de extorsão de ransomware
O direcionamento de informações especificamente prejudiciais ao preço das ações não é a única tendência emergente de ransomware. Na semana passada, o FBI disse que o grupo de cibercriminosos Hello Kitty (também conhecido como FiveHands) acrescentou a ameaça de ataques distribuídos de negação de serviço (DDoS) ao seu mix de táticas de persuasão.
“Os criminosos da Hello Kitty pressionam agressivamente as vítimas, normalmente usando a técnica de extorsão dupla”, alertou o FBI, referindo-se ao golpe duplo de criptografar arquivos e extrair informações para tornar públicas se os resgates não forem pagos. Ele acrescentou: “em alguns casos, se a vítima não responder rapidamente ou não pagar o resgate, os atores da ameaça irão lançar um ataque [DDoS] no site da vítima.”
A Hello Kitty é conhecida por atingir o CD Projekt Red, desenvolvedor de jogos por trás do “Cyberpunk 2077”, com um ataque ransomware no início deste ano. Normalmente, a gangue adapta suas demandas de resgate aos alvos e é conhecido por usar credenciais comprometidas ou vulnerabilidades conhecidas (corrigidas) em produtos SonicWall para acesso inicial a redes corporativas.
Quer manter sua empresa protegida dessa e de outras ameaças? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Serviços industriais estão no topo da lista de alvos de ransomware
As gangues de ransomware estão atacando fortemente o setor industrial. Aumento da concorrência, porém, faz com que cibercriminosos expandam seu escopo de ataque
As empresas de bens e serviços industriais ainda são o alvo mais popular de ameaças de ransomware, mas os cibercriminosos estão cada vez mais diversificando as organizações vitimadas pelos ataques, muito por conta da alta concorrência no mercado do cibercrime.
O ransomware se tornou um grande problema de segurança cibernética de uns tempos para cá. Nesse tipo de ataque, cibercriminosos se infiltram nas redes e criptografam servidores e arquivos antes de exigir o pagamento do resgate – muitas vezes no valor de milhões de dólares, em criptomoedas; caso a vítima pague, os grupos liberam a chave de descriptografia – que, como já noticiamos, quase nunca é uma boa saída.
Em um número significativo de casos, a vítima cederá às demandas e pagará o resgate. Isso pode se dar por inúmeros fatores: porque elas não têm backups, porque os criminosos ameaçam vazar dados roubados se não receberem o dinheiro ou, simplesmente, porque a vítima percebe que pagar o resgate é o meio mais rápido de restaurar a rede.
No entanto, na realidade, mesmo com a chave de descriptografia correta, os serviços podem permanecer interrompidos ou comprometidos muitos meses após o evento.
A indústria é a vítima perfeita para as gangues de ransomware
Em uma análise de centenas de ataques de ransomware relatados entre julho e setembro deste ano, pesquisadores de segurança cibernética descobriram que bens e serviços industriais foi o setor mais comumente atacado, tendo sido responsável por quase o dobro do número de incidentes que afetaram o segundo setor mais afetado – tecnologia.
Em 2021 tivemos um claro exemplo do porquê esse setor é tão estratégico para os cibercriminosos. Um dos ataques de ransomware mais significativos deste ano afetou um dos principais oleodutos do mundo, a Colonial Pipeline, que conecta o leste e o oeste dos EUA. A empresa foi vítima do ransomware DarkSide.
O ataque cibernético levou à escassez de gás em grande parte da costa leste dos Estados Unidos e as pessoas correram para estocar gás. A empresa acabou pagando um resgate de milhões de dólares para restaurar a rede.
Ambientes industriais são um alvo popular para criminosos cibernéticos porque se um produto ou serviço não puder ser produzido ou entregue, isso afetará não só os clientes, mas a economia inteira de uma cidade, país ou até mesmo continente. Sendo assim, muitas empresas optam por pagar para que os serviços voltem a funcionar rapidamente.
“As empresas do setor de bens industriais e serviços são comumente visadas devido à sua sensibilidade a interrupções prolongadas; os fabricantes geralmente precisam trabalhar 24 horas por dia, 7 dias por semana”, disse Chris Morgan, analista sênior de inteligência contra ameaças cibernéticas da empresa responsável pela pesquisa.
“Mesmo a menor das interrupções pode impactar significativamente a cadeia de suprimentos do destino. Muitas empresas neste setor – e em outros setores, como construção e agricultura – dependem de tecnologia para fornecer automação. Sem esta tecnologia, a produtividade é paralisada.”
Além disso, os ambientes industriais geralmente funcionam com tecnologias favoráveis às gangues de ransomware, que vai desde a dependência de softwares antigos e desatualizados até dispositivos e sensores IOT, que podem ser explorados por criminosos cibernéticos para acessar uma rede global.
Mas as empresas podem tomar medidas para evitarem ser vítimas de ataques cibernéticos, como a aplicação de atualizações de segurança em tempo hábil e a aplicação autenticação multifatorial.
Diversificando os alvos
Embora os ambientes industriais continuem sendo o principal alvo dos ataques de ransomware, houve uma redução no número de ataques contra as indústrias durante o último trimestre, à medida que os cibercriminosos diversificaram seus alvos.
A pesquisa indica que a indústria de tecnologia foi a segunda mais visada durante o período do relatório. O ataque mais significativo neste setor, nos últimos meses, foi contra a Kaseya, uma fornecedora de soluções de TI, alvo de um ataque à cadeia de suprimentos que afetou milhares de empresas em todo o mundo.
Outros alvos comuns de ransomware incluem empresas de construção, serviços financeiros e jurídicos, bem como empresas de alimentos e bebidas. Todas possuem sistemas vitais ou dados que os criminosos podem aproveitar para coagir as vítimas a pagar o resgate.
Os pesquisadores alertam que a expansão dos setores visados pode ser devido ao surgimento de novos grupos de ransomware e ao aumento da competição entre as gangues. “A diversificação de alvos provavelmente vem naturalmente como resultado do mercado de ransomware se tornando mais saturado”, disseram. “Com mais grupos precisando de mais vítimas para atingir, novos setores entrarão na linha de fogo de este tipo de atividade.”
Mantenha sua empresa protegida contra qualquer tipo de ataque. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias