Os hackers do hiper-destrutivo ransomware REvil sumiram. Isso é bom?

O grupo REvil é conhecido por lançar algumas das campanhas de ransomware mais onerosas para diversas empresas. Recentemente, eles desapareceram da Internet – mas isso não parece ser boa notícia.

A equipe de hackers por trás dos destrutivos ciberataques à indústria de alimentos e aos clientes do fornecedor de tecnologia Kaseya, ao que tudo indica, desapareceu da Internet. O grupo também é responsável pelos ataques mais custosos ao redor do mundo, sendo conhecidos por pedir milhões de dólares às empresas em troca da chave da descriptografia.

Fora do ar no início da manhã do dia 13 de julho, o darksite do grupo REvil, apelidado de “Happy Blog”, parece ser um indício que o grupo fará uma pausa em suas atividades.

Autores da Forbes fizeram repetidas tentativas de acessar a página do grupo, e falharam, recebendo um aviso que dizia que “a causa mais provável é que o onionsite está off-line”.

As outras páginas do REvil, incluindo a página que o grupo usa para pagamento de resgate, também estão inacessíveis, e seus representantes não aparecem em fóruns de hackers – outro canal frequentado pelo grupo – desde o final da semana anterior, de acordo com vários pesquisadores de segurança cibernética.

O desaparecimento do grupo REvil não necessariamente é uma boa notícia

Não há informações sobre o motivo pelo qual o REvil – que se acredita ter origem russa, mas opera fora do país – possa ter desaparecido. Pode ser devido a uma ação de aplicação da lei, embora nenhuma agência ainda tenha reivindicado o sucesso em derrubar o grupo.

O FBI não quis comentar o caso. No mês passado, o presidente Biden e o líder russo Vladimir Putin discutiram questões de segurança cibernética, incluindo a possibilidade de o Kremlin apoiar mais os esforços para conter os cibercriminosos que lançam ataques devastadores contra empresas dos EUA.

A equipe do REvil também pode ter se escondido devido à atenção dada a seus ataques recentes. Ou seus sites podem simplesmente ter caído devido a um problema técnico.

Como observa Brett Callow, rastreador de ransomware de uma empresa privada de segurança cibernética , o Happy Blog já caiu antes e voltou a funcionar, de modo que é “muito cedo para deduzir qualquer coisa a respeito”.

Em um caso semelhante e recente , os hackers do grupo de ransomware DarkSide desapareceram da Internet não muito depois de seu malware ter sido usado no enorme hack ao oleoduto da Colonial Pipeline, que levou ao fechamento de linhas de gás na costa leste dos Estados Unidos. Nesse caso, alguns dos os fundos entregues no resgate de 4 milhões de dólares, pagos em Bitcoin, foram recuperados pelo Departamento de Justiça.

Fora o hack à JBS, um dos maiores fornecedores de carne mundiais, que resultou em um pagamento de 11 milhões de dólares, o grupo causou grande impacto em um ataque que explorou uma vulnerabilidade zero-day que não havia sido corrigida em uma tecnologia feita pela Kaseya.

Visando a ferramenta, os hackers invadiram diversos clientes da Kaseya, bloqueando arquivos de até 1.500 empresas diferentes. Seu pedido de resgate e a liberação da chave para desbloquear as informações em todas as empresas afetadas chegou a 70 milhões de dólares, embora tenha caído para 50 milhões de dólares durante as negociações. Não está claro se algum pagamento foi feito.

Nos últimos meses, o REvil também hackeou: o fornecedor de energia renovável Invenergy, o fabricante de PCs, Acer, e o fornecedor da Apple, Quanta Computer.

Além disso, de acordo com dados da empresa de segurança cibernética Check Point, foram realizados, por semana, 15 ataques cibernéticos cuja autoria é associada à REvil ao longo dos últimos dois meses.

Se o grupo está apenas escondido para não chamar ainda mais a atenção, ou se está apenas fazendo uma pausa antes de seu próximo hiper-ataque, descobriremos em breve. O sumiço, contudo, dificilmente será motivo de celebração e de tranquilidade por parte das empresas, que devem continuar aderindo às medidas de segurança a fim de prevenir potenciais ataques.

Mantenha seu negócio protegido. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Empresas não são capazes de se proteger contra ransomware, mostra pesquisa

Não investir em soluções de segurança pode ser fatal para a maioria das empresas. Ainda assim, quase metade das organizações ao redor do mundo não conta com tecnologias para detectar, prevenir e mitigar ataques.

O que você vai ler hoje:

Quase metade das empresas não consegue se prevenir de ataques de ransomware por falta de tecnologias de segurança

Cerca de metade das empresas não têm tecnologia para prevenir ou detectar ataques de ransomware, de acordo com um novo relatório de pesquisadores de segurança cibernética.

Os resultados sugerem que muitas das organizações não contam com os recursos de segurança cibernética necessários para evitar ataques altamente prejudiciais aos negócios, como a capacidade de detectar, por exemplo, e-mails de phishing, comprometimento do protocolo de desktop remoto (RDP) ou outras técnicas comuns utilizadas por cibercriminosos em campanhas de ransomware.

O relatório também alerta que muitas organizações lutam para detectar atividades suspeitas associadas a ransomware e ataques que podem demonstrar evidências iniciais de que criminosos cibernéticos comprometeram a rede corporativa. Isso inclui não identificar movimentos laterais incomuns nas redes ou deixar de detectar usuários não-autorizados invadindo e obtendo acesso a documentos e dados corporativos.

Os cibercriminosos por trás dos ataques de ransomware estão acessando esses dados não apenas para criptografá-los e pedir milhões de dólares de resgate, mas também para roubá-los, efetivamente, usando a ameaça de divulgação dessas informações roubadas como uma forma de pressionar ainda mais as vítimas a pagar o valor abusivo a fim de obterem uma chave de descriptografia.

Além disso, a pesquisa sugere que menos da metade das organizações pode se recuperar rapidamente após um ataque de ransomware, e duas em cada cinco poderiam ter dificuldade para aprender com eficácia os processos de mitigação necessários para evitar ser vítima de um novo ataque de ransomware no futuro, mesmo depois de já ter sido vítima de criminosos cibernéticos.

Malware se aproveita de recursos do Office para infectar dispositivos de usuários

Documentos do Word e do Excel geralmente são programados para desativar avisos de macro do Office. Porém, esse recurso é justamente o que possibilita o malware bancário Zloader ser baixado nos sistemas de um usuário, sem que as ferramentas de segurança o sinalizem.

O ataque, de acordo com uma pesquisa publicada pela McAfee, combina as funções do Microsoft Office de ativação uma série de comandos que podem ser usados para automatizar uma tarefa repetida, e que podem ser executados durante a tarefa sem que seja emitido um aviso, para baixar uma carga útil de malware de modo que a ameaça não seja detectada.

O Zloader é um trojan bancário projetado para roubar credenciais e outras informações privadas de usuários de instituições financeiras específicas. O vetor de ataque inicial do malware são mensagens de phishing com anexos de documentos do Word que não contêm código malicioso. Assim, normalmente a ameaça não acionaria um gateway de e-mail ou antivírus para bloquear o ataque.

Mas, de forma ainda mais sofisticada, o malware se aproveita da técnica de ofuscação de macro, usando os campos de troca dinâmica de dados (DDE) do Microsoft Office Excel e o Visual Basic for Applications (VBA) baseado em Windows para lançar ataques contra sistemas que suportam esses formatos.

“Documentos maliciosos têm sido um ponto de entrada para a maioria das famílias de malware e esses ataques têm evoluído suas técnicas de infecção e ofuscação, não apenas se limitando a downloads diretos de carga útil, mas criando agentes dinâmicos para infectar dispositivos com essa carga útil”, escreveram os pesquisadores.

Em conclusão, eles sugerem que só é seguro ativar ações macros quando o documento recebido for de uma fonte confiável.

Empresas de petróleo e gás são vítimas de campanha direcionada, em andamento há mais de um ano

Está em andamento, há mais de um ano, uma campanha sofisticada que mira em grandes empresas do setor de petróleo e gás, descobriram pesquisadores. A campanha espalha cavalos de Troia de acesso remoto (RATs) comuns para fins de espionagem cibernética.

Embora a indústria de energia seja o alvo principal, a campanha também atingiu algumas organizações nos setores de TI, manufatura e mídia, disseram os responsáveis pela análise da campanha. Vítimas foram encontradas em todo o mundo, incluindo Alemanha, Emirados Árabes Unidos e EUA. Porém, empresas sul-coreanas parecem ser as principais vítimas.

“O ataque também tem como alvo fornecedores desse setor, o que pode indicar que este é apenas o primeiro estágio de uma campanha mais ampla”, observaram os pesquisadores em uma postagem. “No caso de uma violação bem-sucedida, por exemplo, o invasor pode usar uma conta de e-mail comprometida do destinatário para enviar e-mails de spear-phishing para empresas que trabalham com o fornecedor, usando a reputação do fornecedor para ir atrás de entidades mais lucrativas.”

Para iniciar o ataque, os criminosos enviam e-mails personalizados para os funcionários de cada empresa visada. Os endereços de e-mail do destinatário variam de endereços genéricos a pessoas específicas dentro das empresas, sugerindo que um trabalho estratégico de reconhecimento dos alvos está em andamento, em paralelo aos ataques mais generalizados.

Cada e-mail possui um anexo malicioso com um nome aparentemente complementar relacionado ao conteúdo do corpo do e-mail, de acordo com os pesquisadores. Esse anexo contém um malware .NET, que geralmente está dentro de um arquivo .IMG, .ISO ou .CAB.

Os arquivos são, no entanto, disfarçados como PDFs, usando extensões e ícones falsos a fim de parecerem menos suspeitos.

Pesquisador de segurança cria site que compila informações sobre ataques de Ransomware

Chamado de Ransomwhere, o site foi criado pelo pesquisador de segurança Jack Cable, que já trabalhou com a Agência de Segurança Cibernética e de Infraestrutura (CISA) como consultor de segurança para as eleições de 2020 nos EUA.

Ele também passou anos caçando bugs e trabalhando como um hacker whitehat para diversas empresas, a fim de ajudá-las a identificar e mitigar vulnerabilidades que poderiam servir de porta de entrada para ameaças.

Em uma entrevista ao site de tecnologia TechCrunch, Cable afirma que criou o Ransomwhere após ler um tweet da Diretora de Inteligência da Intel, Katie Nickels. Respondendo a uma pergunta sobre se a comunidade de segurança poderia estimar as perdas totais ligadas ao famoso malware TrickBot, Nickels observou que “ninguém conhece o impacto real” dessas ameaças. Ela ainda acrescentou que é difícil saber se ações específicas da vítima – como pagar, ou se recusar a pagar resgates – fazem diferença.

A ideia de Cable, portanto, foi criar um “banco de informações” que trouxesse justamente essa visibilidade.

Até o momento, a Ransomwhere rastreou mais de 56 milhões de dólares em pagamentos de resgate. Até o momento, a empresa Netwalker domina a tabela de empresas mais prejudicadas por ataques de ransomware, com mais de 520 pagamentos efetuados.

Por enquanto, os dados que alimentam Ransomwhere são crowdsourced, isto é, fornecidos pela comunidade. Para garantir a integridade dos dados, todos os relatórios devem incluir uma captura de tela do pedido de resgate para fins de verificação. Atualmente, Cable está verificando pessoalmente os envios, mas visa automatizar o processo em algum momento.

Quer manter sua empresa protegida contra as principais ameaças à segurança cibernética? Conheça nossas soluções e saiba como a Compugraf pode te ajudar!

Read more
No Comments

Vazamento de “segredos” de empresas causa prejuízo anual de 1,2 milhão de dólares

Pesquisa com colaboradores de TI e DevOps mostra que 60% dos entrevistados disseram que sua organização lidou com vazamento de dados importantes de infraestrutura pelo menos uma vez. Prejuízo médio anual é de 1,2 milhão de dólares.

A cada ano, empresas ao redor do mundo estão perdendo o equivalente a milhões de dólares em receita devido às vulnerabilidades em código de infraestrutura, credenciais e senhas de acesso, de acordo com pesquisadores de cibersegurança.

O relatório da 1Password, intitulado Hiding in Plain Sight, observa que, em média, as empresas perdem, anualmente, cerca de 1,2 milhão de dólares (equivalente a 6 milhões de reais, aproximadamente) devido a detalhes de sua infraestrutura que vazam ou são expostos online.

Esses detalhes são chamados de “segredos” pelos pesquisadores responsáveis pelo relatório, que descobriram que colaboradores de TI e Desenvolvedores de Operações (DevOps) deixam diversos desses segredos de infraestrutura, como tokens de API, chaves SSH e certificados privados, em arquivos de configuração ou junto ao código-fonte para facilitar o acesso e agilizar os processos – aumentando sua vulnerabilidade.

Segredos à mostra

O relatório combina análises dos pesquisadores da 1Password com uma pesquisa conduzida em abril de 2021 com 500 funcionários de TI e DevOps.

Para 10% dos entrevistados que já tiveram que lidar com vazamento de segredos, o ocorrido custou em torno de 5 milhões de dólares, em média, para suas empresas. Além disso, mais de 60% dos entrevistados disseram que suas organizações já lidaram com vazamento de segredos.

Mais do que o dinheiro perdido, 40% dos entrevistados disseram que suas organizações sofreram danos à reputação da marca e 29% disseram ter perdido clientes como consequência de alguns dos segredos que vazaram.

A pesquisa e a análise que a acompanha mostra que 65% dos colaboradores de TI e Desenvolvedores dizem que sua empresa tem mais de 500 segredos de infraestrutura. Outros 20% dizem que suas empresas têm mais segredos do que conseguem contar.

De modo geral, em média, os colaboradores precisam gastar cerca de 25 minutos todos os dias gerenciando esses segredos. Mais da metade afirma que esse número aumentou significativamente no último ano.

Gerenciamento

Mais de 61% dos colaboradores disseram que vários projetos tiveram que ser atrasados ​​porque a organização não conseguia gerenciar seus segredos com eficácia.

De forma ainda mais alarmante, 77% dos entrevistados disseram que ainda têm acesso parcial aos sistemas de um ex-empregador e 37% disseram que tinham acesso total aos sistemas, o que traz à tona uma das principais razões pelas quais segredos continuam a ser vazados.

Outro fator que contribui para o problema é o uso crescente de aplicativos em nuvem; 52% dos colaboradores de TI afirmam que o uso de apps em cloud dificulta o gerenciamento da infraestrutura e seus segredos.

Mas eles também reconhecem parte da culpa, com 80% dos entrevistados dizendo que não fazem um bom trabalho no gerenciamento de segredos. Cerca de 25% também disseram que os segredos de sua organização estão em 10 ou mais locais, o que torna mais difícil o monitoramento de vulnerabilidades.

Os colaboradores, além disso, admitiram compartilhar informações sobre segredos da empresa em canais menos seguros, como e-mails (59%), ferramentas de integração (40%), planilhas/documentos compartilhados (36%) e mensagens de texto (26%).

Quase todos os entrevistados disseram que sua organização tem uma política de segredos, mas menos de 40% disseram que ela é aplicada, e o problema é particularmente preocupante entre os líderes de organizações.

Mais de 62% dos entrevistados disseram que os líderes de equipe, gerentes, VPs e outros ignoraram as regras de segurança após as atualizações ocorridas em função do COVID-19, colocando dados de alto nível em risco.

“Nossa pesquisa revela que os segredos estão crescendo, mas as equipes de TI e DevOps não estão atendendo a padrões rigorosos para protegê-los – e, no processo, estão colocando as organizações em risco de incorrer em custos enormes”, conclui o relatório.

O vazamento de segredos pode ser o passo inicial para graves ataques por parte de cibercriminosos, elevando ainda mais o prejuízo para as organizações. Se proteger a infraestrutura é fundamental para evitar estar vulnerável ao vazamento de segredos, assegurar que os responsáveis por esses segredos estão na mesma página é tão importante quanto.

A Compugraf oferece soluções completas para proteger a infraestrutura de sua empresa. Consulte nossos especialistas e saiba como podemos ajudar!

Read more
No Comments

Estudo mostra que setor industrial é o “alvo perfeito” para ataques de ransomware

A segurança de endpoints de Sistemas de Controle Industrial se tornou ainda mais importante à medida que a intersecção sistemas de TI e de TO se expande. Com isso, pesquisadores de segurança compartilham os principais alertas a que empresas do setor industrial devem prestar atenção – como o aumento nos ataques de ransomware a esses sistemas, por exemplo.

O uso de Sistemas de Controle Industrial (Industrial Control Systems, ou ICS) torna as operações de distintos setores industriais mais eficientes. Esses sistemas são baseados na intersecção entre sistemas de Tecnologia da Informação (TI) e de Tecnologia Operacional (TO), o que, por um lado, favorece a agilidade e a eficácia desses sistemas, mas, por outro, torna soluções de ICS excepcionalmente suscetíveis a ameaças cibernéticas.

Proteger esses sistemas é vital para se prevenir de ataques de alta gravidade no setor industrial, e um dos componentes que melhor devem ser protegidos contra ameaças são os terminais de controle.

Esse é o alerta feito por um relatório de pesquisadores de segurança cibernética intitulado “ICS endpoints as starting points for threats”, publicado no fim de junho de 2021. Como mote, o estudo adverte que o ransomware é “uma ameaça preocupante e em rápida evolução para terminais de ICS ao redor do mundo”, sobretudo devido a um aumento significativo nas ocorrências desse tipo de ataque durante o ano de 2020.

Por que o setor industrial é o “alvo perfeito” para ataques de ransomware?

O grande motivador por trás de qualquer ataque de ransomware é relativamente simples: ganhar muito dinheiro, rápido.

Com isso em mente, cibercriminosos sabem que atacar sistemas de controle industrial, usados ​​para operar fábricas e ambientes de manufatura, que dependem de atividade ininterrupta, oferece boas chances de retorno – isto é, altas quantias e uma predisposição para realizar o pagamento pelo resgate muito maior. Afinal, quanto mais tempo sem poder operar, maior é a catástrofe para o setor industrial e seus favorecidos.

Imagine, por exemplo, se uma gangue sequestra a operação de fornecimento de água e energia para grandes cidades. Quanto tempo essas indústrias podem ficar inoperantes até que o abastecimento hidráulico e de luz seja comprometido em larga escala? E o que pode significar – econômica e socialmente – uma população inteira ficar sem água e sem energia? É a receita para o caos, certo?

Sendo assim, a vítima de um ataque desse tipo pode tomar a decisão de ceder às demandas absurdas de resgates cibernéticos, pagando valores exorbitantes para não correr o risco de causar um desastre.

Exemplos recentes de campanhas de ransomware bem-sucedidas – como o ataque contra a JBS, da indústria alimentícia – mostram o quão lucrativa essa estratégia pode ser: os cibercriminosos, que utilizaram o ransomware REvil, lucraram 11 milhões de dólares em bitcoin com o ataque.

Enquanto isso, o ataque contra o oleoduto da Colonial Pipeline, nos Estados Unidos, mostrou como um ataque de ransomware contra o setor industrial pode ter consequências em larga escala para a população, já que o fornecimento de gasolina para grande parte do nordeste do país foi interrompido por conta da ocorrência.

As campanhas miram em Sistemas de Controle Industrial de diferentes formas e se valendo de diferentes tipos de ransomware. Estas, porém, são as principais família creditadas em ataques:

Fonte: 2020 REPORT: ICS ENDPOINTS AS STARTING POINTS FOR THREATS

Famílias de ransomware responsáveis por ataques a Sistemas de Controle Industrial

  • Ryuk – 19.8%
  • Nefilim – 14.6%
  • Sodinokibi – 13.5%
  • Lockbit – 10.4%
  • Cryptesla – 7.3%
  • Bitpaymer – 5.2%
  • Egregor – 4.2%
  • Locky – 4.2%
  • Medusalocker – 3.1%
  • Blocker – 2.1%
  • Crypcrypmod – 2.1%
  • Cryptwall – 2.1%
  • Doppelpaymer – 2.1%
  • Ledif – 2.1%
  • Netwalker – 2.1%
  • Coldlock – 1%
  • Conti – 1%
  • Exx – 1%
  • Wannacrypt – 1%
  • Zeppelin – 1%

Apenas quatro famílias são responsáveis por mais da metade de todos os ataques de ransomware, segundo o relatório.

Como se proteger de ciberataques

Para ajudar a proteger os endpoints de ICS contra ataques de ransomware e outros ciberataques, o relatório oferece algumas recomendações.

Assegurar que os sistemas contam com todas as atualizações de segurança é prioridade – algo que os pesquisadores reconhecem como um processo “tedioso”, mas necessário. Investindo em que as redes sejam corrigidas com as atualizações de segurança mais recentes, os criminosos não poderão explorar vulnerabilidades conhecidas que poderiam ser a porta de entrada para ameaças mais graves, como sequestro de dados.

Se o patch não for uma opção, a rede deve ser segmentada para isolar os Sistemas de Controle Industrial vulneráveis dos sistemas conectados à internet.

Também é recomendado que as redes ICS sejam protegidas com combinações fortes de nome de usuário e senha. A aplicação de autenticação multifator em toda a rede também pode ajudar a protegê-la contra invasões.

Mantenha os sistemas da sua empresa protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Brasil sofre mais de 3 bilhões de tentativas de ciberataques só no primeiro trimestre de 2021

Ameaças de malware se espalham de diferentes formas por dispositivos ao redor do mundo e continuam representando um dos principais inimigos da segurança cibernética.

O que você vai ler hoje:

30 milhões de dispositivos Dell sofrem com vulnerabilidades de alta gravidade

Quatro vulnerabilidades de alta gravidade podem permitir que invasores realizem execução arbitrária de código em ambientes de pré-inicialização de alguns dispositivos Dell, descobriram, recentemente, pesquisadores de cibersegurança.

Tais ameaças afetam cerca de 30 milhões de endpoints da Dell em todo o mundo.

Ao todo, são 129 modelos de laptops, tablets e desktops vulneráveis aos bugs – incluindo dispositivos corporativos e de uso pessoal protegidos pelo padrão de segurança da Dell, que visa assegurar que um dispositivo seja inicializado apenas por softwares confiáveis. As ameaças permitem que cibercriminosos contornem essas proteções, controlem o processo de inicialização do dispositivo e subvertam o sistema operacional e os controles de segurança de camadas superiores.

Atualmente, a pontuação desses bugs no Common Vulnerability Scoring System (CVSS, que avalia a gravidade das vulnerabilidades de segurança) acumula 8,3 de um total de 10 pontos.

Trata-se de mais um indicativo de como cibercriminosos podem transformar soluções de segurança em armas, uma vez que as ameaças, na verdade, exploram processos de atualização remota que visam tornar o mais fácil possível para clientes Dell manterem seu firmware atualizado.

Porém, como pontuam os pesquisadores, em relatório, “a combinação da capacidade de exploração remota com altos privilégios provavelmente tornará a funcionalidade de atualização remota um alvo atraente para invasores no futuro”.

Ataques à indústria de games cresce mais de 300% em 2020

Os ataques à indústria de videogames dispararam durante a pandemia, com ataques a aplicativos da web crescendo impressionantes 340% ao longo de 2020.

De acordo com o relatório “Gaming in a Pandemic”, são mais de 240 milhões de ataques só no ano passado – e um aumento de 415% nos ataques a aplicativos da web na indústria de jogos desde 2018.

Além disso, ataques de preenchimento de credenciais cresceram 224% durante a pandemia.

Um dos principais motivos para esse “boom” no setor é o dinheiro. De acordo com uma análise citada no relatório, o mercado global de games deve atingir US$ 175 bilhões de faturamento em 2021 – uma fonte altamente rentável para diversos tipos de ameaças, seja contra empresas ou usuários de jogos online.

Outro motivo que favorece os ataques é a maior adesão a jogos online durante a pandemia, e a vulnerabilidade crescente de dispositivos pessoais ou corporativos em função do modelo de trabalho remoto.

Campanhas direcionadas que visam explorar essa combinação de fatores já fizeram vítimas entre usuários da Steam e do Discord, por exemplo. Mas os ataques a plataformas de gaming promete ser ainda mais rentável, uma vez que as transações financeiras para aquisição de skins ou recursos para melhorias dentro dos jogos, por exemplo, é muito incentivada e comum entre os jogadores.

Malware de mineração usa modo de segurança do Windows para infectar dispositivos

Pesquisadores descobriram uma variedade de malware de mineração de criptomoedas que explora o modo de segurança do Windows durante os ataques.

Apelidado de Crackonosh, a ameaça se espalha por meio de softwares pirateados e crackeados, frequentemente encontrados em torrents, fóruns e sites na dark web.

O Crackonosh está em circulação pelo menos desde junho de 2018, de acordo com especialistas em segurança: a vítima executa um arquivo que acredita ser uma versão crackeada de um software legítimo e o malware é implantado no dispositivo.

A cadeia de infecção começa com a queda de um instalador e um script que modifica o registro do Windows para permitir que o principal executável do malware seja executado no modo de segurança. Em seguida, o sistema infectado é configurado para inicializar no modo de segurança na próxima inicialização do sistema.

“Enquanto o sistema Windows está em modo de segurança, o software antivírus não funciona”, dizem os pesquisadores. O Crackonosh, então, uma vez instalado, verificará a existência de antivírus e tentará desativá-los ou excluí-los. Depois, os arquivos do sistema de log são apagados para cobrir os rastros da ameaça.

Aproximadamente 1.000 dispositivos estão sendo atingidos a cada dia e mais de 222.000 máquinas foram infectadas em todo o mundo. No geral, pesquisadores acreditam que o Crackonosh tenha gerado pelo menos 2 milhões de dólares para seus operadores, com mais de 9.000 moedas XMR sendo mineradas até o momento.

Brasil sofreu mais de 3 bilhões de tentativas de ciberataques só no começo de 2021

O Brasil sofreu mais de 3,2 bilhões de tentativas de ataques cibernéticos só no primeiro trimestre de 2021, de acordo com uma pesquisa realizada por uma desenvolvedora de soluções de segurança da informação.

Além disso, o país lidera o ranking de ameaças sofridas na América Latina, segundo o relatório “Threat Intelligence Insider”.

No começo de 2021, mostram os pesquisadores, houve um aumento significativo na distribuição de malwares via web, muito provavelmente por conta do aumento do uso de redes sociais como plataformas de campanhas de malware e de phishing. O WhatsApp e o Facebook também foram dois aplicativos altamente afetados pelo aumento de ameaças, que geralmente têm início na distribuição de phishing, antes de evoluir para disseminação de malware.

Outro dado identificado pelo estudo é que, durante o primeiro trimestre, foram feitas diversas tentativas de execução de código remoto a roteadores e redes domésticas.

Essas ameaças são reflexo direto da adoção de um modelo de trabalho remoto, por conta da pandemia, que deixa dispositivos pessoais e corporativos excepcionalmente vulneráveis.

Quer manter sua empresa e seus colaboradores seguros? Conheça as soluções da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Malware personalizado e desconhecido rouba bilhões dados

Um ameaça de malware personalizada e sem nome resultou no roubo massivo de dados de arquivos, credenciais, cookies e muito mais. Pesquisadores encontraram os dados coletados em um banco na nuvem e tentam rastrear os responsáveis prováveis.

Pesquisadores de cibersegurança descobriram um banco de dados contendo 1,2 TB de dados roubados. Os dados foram retirados de cerca de 3,2 milhões de computadores que utilizam o sistema operacional Windows e a extração se deu ao longo de dois anos, por um malware personalizado desconhecido, dizem os especialistas.

As informações roubadas incluem 6,6 milhões de arquivos, 26 milhões de credenciais e 2 bilhões de cookies – com 400 milhões dos últimos cookies ainda válidos no momento da descoberta do banco de dados.

O malware

De acordo com pesquisadores de cibersegurança, a ameaça é um malware furtivo e ainda sem nome, que se espalhou entre 2018 e 2020 por meio de versões crackeadas e infectadas com trojan do Adobe Photoshop, além de jogos pirateados e ferramentas de cracking do Windows. Porém, é improvável que os operadores fossem muito experientes na hora de extrair esses dados e realizar campanhas de colheita, pontuam.

“A verdade é que qualquer pessoa pode colocar as mãos em um malware personalizado. É barato, customizável e pode ser encontrado em toda a web ”, disseram os especialistas, ao divulgar a análise. Eles também comentam que existem anúncios rolando na Dark Web para esses vírus, revelando um mercado muito mais profundo e complexo. “Por exemplo, qualquer pessoa pode obter seu próprio malware personalizado e até aulas sobre como usar os dados roubados por apenas US $ 100. E quando se fala em customização, significa, literalmente, customização: os anunciantes prometem ter capacidade de criar um vírus para atacar praticamente qualquer aplicativo que o comprador precisar.”

A localização do banco de dados foi revelada acidentalmente por um grupo de hackers, ainda de acordo com os pesquisadores. O provedor de nuvem que hospeda os dados foi notificado para que o banco possa ser removido, e um consultor de segurança da web subiu os endereços de e-mail comprometidos ao seu famoso repositório HaveIBeenPwned, para que as pessoas possam verificar se foram afetadas pelo malware.

“Este incidente foi sinalizado como ‘sensível’, por isso não pode ser pesquisado publicamente”, explicou o consultor.

Milhões de arquivos roubados

Foram milhões de credenciais de login roubadas, incluindo acessos para redes sociais, marketplaces, e-mails pessoais e sites de jogos, alertam os pesquisadores. E, se os usuários não tem o hábito de atualizar suas credenciais periodicamente, muitas delas podem continuar ativas – e vulneráveis.

Os pesquisadores também descobriram que o malware armazenou 6 milhões de arquivos no front-end. Dentre eles, havia 3 milhões de arquivos de texto, mais de 1 milhão de arquivos de imagem e mais de 600.000 arquivos Word e .PDF, junto a outros tipos de arquivos menos comumente utilizados.

“Mais de 50% dos arquivos roubados eram arquivos de texto”, de acordo com a análise. “É provável que grande parte desse dossiê contenha logs de software”.

Outro ponto preocupante tem a ver com hábitos pouco seguros de usuários. “Também é alarmante que algumas pessoas usam até o Bloco de Notas para guardar suas senhas, notas pessoais e outras informações confidenciais”, comentam os especialistas.

Além disso, o malware roubou 696 mil .PNG e 224 mil arquivos de imagem .JPG, fez uma captura de tela depois de infectar o computador e também tirou uma foto usando a webcam do dispositivo.

Porta para ataques mais complexos e mais graves

“O acesso a cookies ajuda os hackers a construírem uma imagem mais precisa dos hábitos e interesses dos usuários-alvo”, contam os pesquisadores. “Em alguns casos, os cookies podem até dar acesso às contas da pessoa, caso ela tenha o hábito de se manter logada em sites frequentes”.

Mas, dependendo de quão experiente for o invasor, os cookies podem abrir portas para ataques ainda mais graves. “[Por exemplo], os cookies de compras online são usados ​​para armazenar dados do carrinho de compras enquanto o usuário navega em uma loja. No entanto, eles podem ser usados ​​para sequestrar a sessão de um comprador, possibilitando a um hacker invadir sua conta e ter acesso a seu endereço residencial e detalhes de cartão de crédito, que podem estar armazenados na loja online”.

A equipe de pesquisa descobriu que foram roubados cookies de e-commerces, sites de jogos, plataformas de compartilhamento de arquivos, plataformas de streaming de vídeo e redes sociais.

Além disso, os ciberataques que se beneficiaram desse malware parecem ter feito bom uso do vírus para atingir soluções específicas, em campanhas direcionadas. O banco de dados contém uma série de credenciais, dados de preenchimento automático e informações de pagamento roubadas de 48 aplicativos e “a pesquisa mostra que o malware visava principalmente navegadores da web, para roubar a grande maioria dos dados”, de acordo com a análise.

Os 10 principais aplicativos-alvo foram os seguintes:

  • Google Chrome (19,4 milhões de registros)
  • Mozilla FireFox (3,3 milhões de registros)
  • Opera (2 milhões de registros)
  • Internet Explorer / Microsoft Edge (1,3 milhões de registros)
  • Chromium (1 milhão de registros)
  • CocCoc (451.962 registros)
  • Outlook (111.732 registros)
  • Navegador Yandex (79.530 registros)
  • Tocha (57.427 registros)
  • Thunderbird (42.057 registros)

Como se proteger contra malwares personalizados

Infelizmente, o malware personalizado é difícil de combater quando um dispositivo é infectado, disseram os pesquisadores, porque, como se trata de uma nova ameaça, o antivírus não consegue reconhecê-lo de imediato. Portanto, a prevenção é a melhor abordagem.

Estas são as práticas recomendadas para manter seus usuários e dispositivos seguros:

  • Não confie 100% nos navegadores da Web, pois eles, sozinhos, não asseguram a proteção dados confidenciais. Use gerenciadores de senha para proteger suas credenciais e informações de preenchimento automático;
  • Malwares não podem acessar arquivos criptografados, então esta pode ser uma boa prática para proteger dados sensíveis;
  • Alguns cookies são válidos por dias, enquanto outros não expiram antes de um ano. Por isso, faça da limpeza de cookies um hábito mensal;
  • Baixe apenas softwares diretamente do site do desenvolvedor ou de fontes conhecidas e confiáveis;
  • Todo malware é reconhecido eventualmente. Certifique-se de que seu antivírus esteja sempre atualizado para não ser vítima de uma ameaça antiga!

A Compugraf oferece diferentes soluções de segurança para sua empresa, protegendo seu negócio de ponta a ponta. Converse com nossos especialistas e saiba como podemos te ajudar!

Read more
No Comments

O resgate não compensa: por que pagar para recuperar dados não é uma saída viável para vítimas de ransomware

Existem muitos motivos pelos quais especialistas em segurança aconselham empresas a não pagar pelo resgate para recuperar dados criptografados após um ataque de ransomware. Por exemplo: desembolsar milhões de dólares para voltar a ter controle sobre os dados violados pode parecer a atitude mais indicada, mas, ao mesmo tempo, é justamente essa disposição para o pagamento de valores exorbitantes que estimula os ataques por parte de gangues de ransomware e outros cibercriminosos.

E, recentemente, pesquisadores descobriram mais um motivo – particularmente atraente para os criminosos – com o qual as vítimas de alto escalão tiveram de lidar recentemente: o processo de descriptografar os dados pode ser tão difícil e lento que acaba não oferecendo um caminho prático para a recuperação efetiva desses dados.

Conforme relatado em um post da Bleeping Computer, vítimas recentes de dois grandes ataques de ransomware aprenderam essa lição da forma mais difícil.

Um deles foi o hack que interrompeu as atividades da Colonial Pipeline – oleoduto dos Estados Unidos – no início de maio. A Colonial recebeu um descriptografador depois de concordar – e pagar – um resgate estimado em 4,4 milhões de dólares, na esperança de que o pagamento proporcionasse um atalho para a retomada de suas operações e o retorno à normalidade.

Mas, quando a empresa acionou o descriptografador para restaurar os dados comprometidos, chegou a uma conclusão nada feliz: o aplicativo de descriptografia fornecido pelos invasores da Colonial era tão lento que a empresa conluiu que a restauração manual dos backups seria necessária e mais efetiva.

No segundo incidente mapeado pela Bleeping Computer, o ransomware Conti, que infectou o Health Service Executive, um órgão irlandês que “oferece saúde pública e serviços sociais a todos que vivem na Irlanda”, gerou repercussão semelhante.

Percebendo que havia atingido um provedor de serviços de saúde, e seguindo uma espécie de “código de ética” entre cibercriminosos, onde acordou-se que, durante a pandemia, instituições de saúde seriam poupadas de ciberataques diversos, a gangue ofereceu um descriptografador sem nenhum custo.

Quando o HSE testou o descriptografador, no entanto, descobriu que era lento demais para ser usado. Para auxiliar a instituição a retomar suas atividades, a Emsisoft, fornecedora de soluções de segurança com sede na Nova Zelândia, desenvolveu seu próprio descriptografador personalizado, que supostamente funcionava duas vezes mais rápido – e lançou uma arma de combate a essa ameaça crescente.

Como as gangues de ransomware devem responder

Um dos principais motivos pelos quais o ransomware se transformou em um empreendimento criminoso de valor estimado em um bilhão de dólares é que as gangues de ransomware administram suas operações como empresas – isto é, com logística de negócios multinacionais.

Por exemplo, os criminosos entenderam que era fundamental que o software de descriptografia funcionasse conforme prometido – caso contrário, suas vítimas teriam muito pouca motivação para pagar os valores gritantes.

Eles frequentemente se ofereciam para descriptografar uma seleção de arquivos essenciais sem nenhum custo, para provar que podiam entregar o que prometiam e ganhar a confiança das vítimas.

Analisando o histórico dessa transações, no entanto, os descriptografadores estão longe de serem perfeitos. Alguns não davam conta de arquivos muito grandes, outros do grande número de arquivos criptografados. E teve ainda os que causaram tal estrago que tornaram os dados das vítimas irrecuperáveis.

Mas, com as vítimas começando a perceber que a solução de se apoiar nos descriptografadores das gangues de ransomware não aceleram, necessariamente, a recuperação dos dados comprometidos e a normalização de suas atividades, as gangues de ransomware podem muito bem resolver que melhorias são necessárias, a fim de se assegurar que continuarão operando.

A ascensão dos ataques de extorsão

Porém, o ransomware ascendeu ao status de negócio. E, portanto, no fim das contas, cabe a eles decidir como manterão seus empreendimentos lucrativos.

Os cibercriminosos podem, por um lado, não se sentir compelidos a gastar tempo ou energia em seus decodificadores. Afinal, o poder de barganha de uma ameaça de vazamento de dados sensíveis é inegável.

Além disso, a maioria das gangues de ransomware já consolidadas, hoje, contrata uma apólice de seguro quando violam a rede de uma vítima, para não correr o risco de perderem esse poder de barganha.

Outro ponto que vai contra a ideia de que pagar pelo resgate é o melhor caminho é que, em vez de simplesmente criptografar os dados, eles também podem subi-los furtivamente em seus próprios servidores. Uma vez nas mãos dos criminosos, esses dados podem ser vazados seletivamente para extorquir a vítima. Alguns extorsionários estão inclusive usando dados roubados para extorquir clientes ou fornecedores da vítima – como ocorreu com a Apple, após invasores sequestrarem os dados de um de seus principais fabricantes.

Sim, os criminosos prometem destruir os dados se as demandas forem atendidas, mas que garantia real as vítimas têm de que nenhuma cópia foi feita ou de que os arquivos sensíveis foram realmente excluídos com segurança – e que ninguém, nunca mais, terá acesso a eles?

A conta não fecha. No fim, faz muito mais sentido investir proativamente para se preparar para esses ataques e evitar surpresas e danos graves. Invista em um sistema de backup confiável e seguro. Não economize nas defesas de perímetro e endpoint. Tenha um plano completo de resposta a incidentes. Supervisione todas as superfícies de ataque. E, sobretudo, não subestime o poder que cibercriminosos têm de ultrapassar mesmo as camadas de segurança mais robustas. Todo o cuidado é pouco.

Quer saber como a Compugraf pode ajudar sua empresa e seus colaboradores a não serem vítimas de ataques como ransomware, phishing e outros? Consulte nossas soluções de segurança ou entre em contato! Nossos especialistas certamente poderão te ajudar!

Read more
No Comments

Ataques ao redor do mundo atiçam tensões entre EUA e China

Ataques ao redor do mundo se tornam cada vez mais ousados, atiçando tensões geopolíticas.

O que você vai ler hoje:

3,3 milhões de clientes da Volkswagen têm seus dados expostos online

Uma violação de dados massiva afetou mais de 3,3 milhões de clientes da Volkswagen, alertou a empresa em comunicado oficial, recentemente. A maioria dos indivíduos afetados são proprietários ou interessados no modelo Audi e estão localizados no Canadá e nos Estados Unidos.

A notícia foi divulgada no dia 11 de junho, em nota onde a montadora revela que uma compilação de dados, usados ​​para fins de vendas e marketing entre 2014 e 2019, foi exposta online e ficou desprotegida em algum momento entre agosto de 2019 e maio de 2021. O cronograma exato não foi estabelecido pela empresa.

No dia 10 de março, tanto a Audi quanto a Volkswagen foram alertadas de que “um terceiro não-autorizado” poderia ter acessado essas informações expostas. A Volkswagen diz que nomes e sobrenomes, endereços pessoais e/ou comerciais, e-mails e números de telefone podem ter sido expostos na violação, juntamente com informações sobre veículos comprados e alugados, como números de identificação, marcas, modelos, ano de fabricação e cores.

A Reuters relata que os órgãos de regulação foram informados de que a maioria dos registros está relacionada apenas a números de telefone e endereços de e-mail; no entanto, cerca de 90.000 clientes e potenciais clientes nos EUA podem ter dados de elegibilidade de compra e aluguel comprometidos, como dados de carteira de motorista, datas de nascimento, números de conta bancária e dados de identificação fiscal.

Os indivíduos cujos dados confidenciais foram expostos terão a possibilidade de fazer monitoramento de crédito gratuito por meio de um código de inscrição, oferecido pela Volkswagen. A empresa ainda diz que qualquer pessoa notificada, mas que não receba esse código, não teve informações consideradas confidenciais comprometidas, mas deve ficar alerta para e-mails de phishing ou spam.

Por fim, a Volkswagen afirma que especialistas externos em segurança cibernética foram chamados para investigar o incidente e que as autoridades pertinentes de ambos os países afetados foram devidamente notificadas.

Grupo de criminosos usa técnicas de SEO para atrair mais vítimas para sites maliciosos

Um grupo de cibercriminosos, responsáveis pelo malware conhecido como SolarMarker, está usando documentos em PDF trabalhados com palavras-chave para otimização de mecanismos de busca (SEO), a fim de levar potenciais vítimas a baixar o malware em um site malicioso que se apresenta como uma janela do Google Drive. Eles usam as palavras-chave para aparecer em posições de relevância nas buscas do Google e forjar legitimidade.

De acordo com a Microsoft, o SolarMarker é um malware backdoor que rouba dados e credenciais dos navegadores. Os invasores hospedavam páginas no Google Sites para gerar iscas de downloads maliciosos. Os sites ofereciam downloads gratuitos de documentos diversos e frequentemente eram bem classificados nos resultados de pesquisa – uma técnica antiga, chamada de “envenenamento de SEO”. Além disso, a Microsoft descobriu que os criminosos aderiram ao Amazon Web Services (AWS) e ao serviço de criação de websites Strikingly, além do Google Sites, para parecerem legítimos.

“Quando baixados e abertos, os PDFs infectados solicitam que os usuários baixem um arquivo .doc ou uma versão .pdf das informações desejadas. Os usuários que clicam nos links são redirecionados por uma série de sites, com URLs como .site, .tk e .ga“, disseram os pesquisadores.

Após vários redirecionamentos, os usuários chegam a um site controlado pelo grupo, que imita o Google Drive, e são solicitados a baixar o arquivo infectado. Uma vez no dispositivo, o malware pode roubar uma série de informações relevantes do usuário, bem como abrir as portas para ameaças ainda mais graves.

Ataque a fornecedor de empresa de serviços nucleares preocupa os Estados Unidos

Em maio deste ano, a Sol Oriens, uma empresa terceirizada do Departamento de Energia dos EUA (DOE), que trabalha com armas nucleares junto à Administração de Segurança Nuclear Nacional (NNSA), foi atingida por um ataque cibernético que, segundo especialistas, partiu da gangue de ransomware-as-a-service REvil.

Em aviso oficial, a empresa notifica:

“Em maio de 2021, tomamos conhecimento de um incidente de segurança cibernética que afetou nosso ambiente de rede. A investigação está em andamento, mas recentemente determinamos que um indivíduo não-autorizado extraiu determinados documentos de nossos sistemas. Esses documentos estão atualmente sob revisão e estamos trabalhando com uma empresa forense de tecnologia terceirizada para determinar o escopo dos dados que podem estar envolvidos no incidente. Não temos nenhuma indicação atual de que este incidente envolve informações classificadas de clientes ou informações críticas relacionadas à segurança. Assim que a investigação for concluída, temos o compromisso de notificar as pessoas e entidades cujas informações possam ter sido afetadas.”

Mas, pelo menos por enquanto, os dados parecem benignos: eles supostamente mostram o que alguns pesquisadores descreveram como uma planilha da folha de pagamento da empresa, datando de setembro de 2020 e contendo nomes de funcionários, números de previdência social e dados de pagamento. Há também um registro de contratos da empresa e parte de um memorando que descreve os planos de treinamento de trabalhadores.

Sendo assim, se a REvil – ou qualquer gangue que se mostre responsável pelo ataque – colocou as mãos em informações confidenciais sobre armas nucleares, ainda não foi descoberto.

A REvil é conhecida tanto por ataques audaciosos às maiores organizações do mundo quanto por resgates astronômicos pelos seus ataques. Em abril, a gangue pressionou a Apple poucas horas antes do lançamento de seu novo produto, exigindo uma taxa de extorsão excepcional de 50 milhões de dólares. O ataque original foi lançado contra a Quanta, uma fabricante de eletrônicos da Global Fortune 500, que tem a Apple entre seus clientes e que era contratada para montar produtos da gigante da tecnologia, como o Apple Watch, Macbook Air e Pro e o ThinkPad.

Não seria nenhuma surpresa o grupo estar por trás de um ataque potencialmente apocalíptico, portanto. Contudo, muitas outras gangues têm utilizado ransomware-as-a-service como parte de seus escopos de ataque – o que poderia inclusive funcionar como uma cortina de fumaça para REvil -, por isso, investigações mais aprofundadas precisarão ser feitas para detectar o culpado e, claro, prevenir eventuais novos ataques.

Maior ataque da história à indústria aérea compromete 4,5 milhões de passageiros ao redor do mundo

Um ataque homérico à SITA, provedor global de TI para 90% da indústria aérea mundial, vem lentamente se posicionando como o maior ataque à cadeia de suprimentos da história na indústria de transportes aéreos.

A SITA anunciou o ataque em março deste ano. Logo depois, a Singapore Airlines e a Malaysia Airlines foram as primeiras companhias aéreas a divulgar que os dados pessoais de seus clientes haviam sido expostos.

De lá para cá, a enorme violação de dados já afetou 4,5 milhões de passageiros e está sendo atribuída a um grupo de hackers apoiado pelo governo chinês, chamado APT41. Analistas de segurança estão alertando as companhias aéreas para tentar localizar qualquer vestígio da campanha escondido em suas redes.

O grupo APT41 é conhecido por realizar atividades de espionagem cibernética financiadas pelo Estado Chinês, bem como por crimes cibernéticos financeiros ao redor do mundo. O Departamento de Justiça dos Estados Unidos alegou, no ano passado, que o grupo “facilitou o roubo de código-fonte, certificados de assinatura de código de software, dados de contas de clientes e informações comerciais valiosas”, o que por sua vez “facilitou outros esquemas criminais, incluindo ransomware e criptojacking” em mais de 100 empresas nos Estados Unidos e no exterior, iincluindo empresas de desenvolvimento de software, fabricantes de hardware de computador, provedores de telecomunicação, organizações sem fins lucrativos, universidades, políticos e ativistas.

No entanto, o culpado ainda não foi confirmado e as investigações continuam ao redor do mundo para detectar o epicentro deste que caminha para se tornar um dos maiores ataques à cadeia de suprimentos de que se tem registro até hoje.

Quer manter sua empresa protegida contra ransomware e outras ameaças à segurança? Conheça as soluções da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Brasil aprova legislação mais rígida para combater o cibercrime

Cibercriminosos podem pegar até 8 anos de prisão, de acordo com a legislação atualizada

O governo brasileiro aprovou uma nova legislação introduzindo medidas mais duras contra fraudes e crimes perpetrados em ambientes digitais.

De acordo com a atualização da Lei nº 14.155, sancionada no dia 27 de maio de 2021, o Código Penal Brasileiro foi alterado para incluir penas mais severas em relação a invasão de dispositivos, furtos e má conduta em ambientes de mídia digital, bem como crimes cometidos com informações prestadas por indivíduo que foi induzido erroneamente por meio de e-mails fraudulentos, redes sociais ou contatos via telefone.

Conforme consta na lei, a sanção de 27 de maio “altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal), para tornar mais graves os crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet”.

Os crimes que fazem parte do escopo da nova legislação incluem a clonagem de aplicativos de mensagens como WhatsApp e Telegram – por meio dos quais criminosos podem, por exemplo, solicitar dinheiro aos contatos da vítima – e phishing – que fornecem links falsos e anexos maliciosos, bem como são a porta de entrada, muitas vazes, para ataques ainda mais graves.

O Brasil é líder mundial em ataques de phishing, com um em cada cinco usuários de Internet no país tendo sido alvo desse tipo de ataque pelo menos uma vez em 2020.

A lei atualizada estabelece sentenças e multas, com aumento da duração da pena de prisão caso a vítima sofra danos econômicos por crimes relativos à invasão de dispositivos eletrônicos, como smartphones e computadores, com o objetivo de obter, adulterar ou destruir informações sem o consentimento de usuários, ou com o objetivo de instalar software para obter uma vantagem ilícita.

“Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita, [implica em] […] pena de reclusão, de 4 (quatro) a 8 (oito) anos, e multa, se o furto mediante fraude é cometido por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo.

Além disso, a lei atualizada também se refere ao furto por fraude por meio de dispositivos eletrônicos, com ou sem violação dos mecanismos de segurança em vigor, pelo uso de software malicioso, ou por qualquer outro meio fraudulento.

O que muda na lei

De acordo com a legislação recentemente sancionada, as sentenças para cibercriminosos podem chegar a até 8 anos, contra os 4 anteriores, além das multas, com as punições aumentando se os crimes forem cometidos por meio de infraestrutura de servidores com sede fora do Brasil, ou se a vítima for idosa ou vulnerável.

A introdução de penas mais duras para os cibercriminosos no Brasil segue outra legislação aprovada em março, que criminaliza a perseguição online e em ambientes físicos. A pena para essas práticas, que pode ser ampliada por meio das redes sociais, é a pena de prisão que pode variar de 6 meses a 2 anos, além de multa.

Essas sanções também complementam um movimento mais assertivo do país rumo à conscientização sobre cibersegurança. O Brasil aloca apenas 10% de seu orçamento de TI para proteção de suas redes corporativas, e menos de 1/3 das organizações investe em equipes de segurança.

Ainda há passos largos a serem dados, mas, aos poucos, vamos caminhando.

Quer manter sua empresa protegida? Conheça as soluções da Compugraf, nós podemos te ajudar!

Read more
No Comments

Empresas brasileiras ainda são altamente vulneráveis quando o assunto é cibersegurança

Brasil ainda tem muito a evoluir na cibersegurança. Enquanto isso, ciberataques se reiventam ao redor do mundo durante a pandemia.

O que você vai ler hoje:

Menos de ⅓ das organizações brasileiras investe em equipes de segurança

Menos de um terço das organizações brasileiras conta com equipes de segurança, embora a maioria delas frequentemente sofra ataques cibernéticos, de acordo com nova pesquisa do Instituto Datafolha, encomendada pela Mastercard.

57% das empresas de educação, serviços financeiros, seguros, tecnologia e telecomunicações, saúde e varejo são alvo de cibercriminosos com frequência, mostram as análises. Por outro lado, descobriu-se que apenas 32% das organizações pesquisadas têm equipes dedicadas à segurança cibernética.

Embora 80% dos entrevistados afirmem que as questões de segurança digital são importantes para eles e a maioria tenha algum tipo de plano de contingência para lidar com ataques cibernéticos em potencial, a segurança não está entre as prioridades orçamentárias para 39% dos entrevistados.

Serviços financeiros, seguros, tecnologia e telecomunicações estão entre os segmentos mais preparados para lidar com ciberataques, em termos de prontidão e infraestrutura de cibersegurança. Por outro lado, os setores de educação e saúde são os mais vulneráveis e as áreas mais suscetíveis a ataques de hackers são o departamento financeiro das organizações e bancos de dados de clientes.

A pesquisa entrevistou 351 tomadores de decisão no Brasil em fevereiro de 2021.

Ela ecoa as conclusões de outro estudo sobre as percepções do risco de segurança cibernética na América Latina desde o início da pandemia do Covid-19, realizado pela Marsh em nome da Microsoft.

De acordo com esse estudo, a maioria das empresas brasileiras não aumentou seus investimentos em segurança da informação e cibersegurança desde o início da pandemia, em março de 2020. Isso apesar do aumento das ameaças, observaram os pesquisadores, ressaltando que a maioria das empresas brasileiras investe apenas 10% ou menos de seu orçamento de TI nessa área.

Golpes de phishing usam outros ciberataques para atrair vítimas

Criminosos estão explorando a notoriedade de outros ataques para alavancar campanhas de phishing, de acordo com as descobertas de uma empresa de segurança cibernética.

Um exemplo é o uso de notícias sobre o ataque de ransomware ao oleoduto da Colonial Pipeline, ocorrido nos EUA no mês passado.

É comum que invasores usem notícias amplamente difundidas para fazer as pessoas clicarem em e-mails e links maliciosos, e pesquisadores de segurança de uma empresa privada disseram ter recebido vários e-mails de helpdesk sobre mensagens suspeitas enviadas para seus clientes, onde se discutia o ataque de ransomware ao Colonial Pipeline e pediam para baixar “atualizações do sistema de ransomware”, a fim de proteger a organização de um ataque semelhante.

Os links maliciosos levavam os usuários a sites com nomes convincentes – ms-sysupdate.com e selectedpatch.com – ambos recém-criados e registrados pelo NameCheap. O mesmo domínio que enviou os e-mails também controlava os links maliciosos.

Além disso, os criminosos por trás do ataque fizeram com que os sites falsos parecessem ainda mais convincentes, aplicando logotipo e imagens das empresas-alvo na landing page maliciosa. Por fim, um botão de download na página baixava um arquivo “Cobalt Strike” no computador do usuário, intitulado Ransomware_Update.exe.

Além de capitalizar em cima do medo legítimo de um ataque de ransomware, os invasores faziam com que os e-mails e sites falsos parecessem ter vindo da própria empresa do usuário, o que lhes dava um ar de legitimidade, alertando para o fato de que mais e mais os ataques estão se sofisticando, explorando as mais diversas vulnerabilidades e usando outros ataques como alavancas.

Ataques de fraude bancária crescem 159% na pandemia

A plataforma de monitoramento de crimes financeiros Feedzai anunciou, este mês, os resultados de seu mais recente relatório sobre cibercrime, analisando 12 bilhões de transações globais de janeiro a março deste ano, a fim de identificar as últimas fraudes e tendências de consumo de clientes bancários.

Os ataques de fraude bancária aumentaram 159% no ano passado, e a aplicação de golpes por telefone teve um aumento de 728%. Mais de 90% dos ataques de fraude ocorreram online.

Os saltos seguem uma lógica pós-pandêmica. Com o fim do isolamento em alguns locais, as pessoas estão começando a gastar mais dinheiro dentro e fora de seus países. O período coberto pelo relatório viu um aumento de 410% nas transações internacionais, por exemplo. Os volumes de transações estão voltando aos níveis pré-pandêmicos, e a fraude acompanha o movimento.

Concomitantemente, uma maior dependência de serviços digitais durante a pandemia colocou os consumidores em maior risco de fraude cibernética e telefônica. De acordo com o relatório, o banco é o principal canal para os fraudadores.

Finalmente, dispositivos Android apresentam 1,9 vezes mais fraudes do que os dispositivos iOS, apesar de responderem por ¼ do volume de transações financeiras. O relatório sugere que o controle mais rígido da Apple sobre os aplicativos na App Store torna mais difícil para os fraudadores se infiltrarem na plataforma, de modo que a Play Store é um ambiente mais propício para fraudes de apps bancários e outros.

Polícia asiática intercepta 83 milhões de dólares que iriam para cibercriminosos

A repressão ao cibercrime financeiro em todo o continente asiático resultou na interceptação de 83 milhões de dólares enviados por vítimas a grupos criminosos.

A Interpol anunciou no começo de junho que a Operação Haechi-i, que se desdobrou entre setembro de 2020 e março de 2021, se concentrou no combate à fraude de investimentos, golpes românticos, lavagem de dinheiro ligada a jogos de azar online e ilegais, exploração sexual online e phishing de voz.

Faturas foram solicitadas e os dados bancários foram sigilosamente alterados para contas bancárias pertencentes aos cibercriminosos. Aproximadamente 7 milhões de dólares pagos por vítimas desses fraudadores foram encaminhados para contas na Indonésia e Hong Kong.

A Interpol conseguiu interceptar e congelar cerca de metade dos fundos roubados, mas a investigação ainda está em andamento.

O cibercrime financeiro, conduzido por meio de plataformas e serviços online, é um problema global que requer colaboração internacional. A Operação Haechi-i contou com a ajuda de policiais especializados no Camboja, China, Indonésia, Coréia do Sul, Laos, Filipinas, Cingapura, Tailândia e Vietnã. Além disso, é a primeira operação planejada para os próximos três anos pelas autoridades policiais no sudeste da Ásia para combater o cibercrime financeiro no continente.

Proteja sua empresa: conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments