Ataques a dispositivos IoT aumenta em mais de 100% no primeiro semestre de 2021

A primeira metade de 2021 viu 1,5 bilhão de ataques a dispositivos inteligentes, com invasores visando roubo de dados, mineração de criptomoedas ou criação de botnets

Nos primeiros seis meses de 2021, foi observado um crescimento de mais de 100% no número de ataques cibernéticos direcionados a dispositivos de Internet das Coisas (IoT, ou Internet of Things).

De acordo com uma análise realizada pela empresa de segurança Kaspersky, pesquisadores de cibersegurança detectaram mais de 1,5 bilhão de ataques IoT no primeiro semestre de 2021 – superando os 639 milhões do semestre anterior, o que é mais do que o dobro do volume de novos ataques em um espaço de apenas seis meses.

“Desde que os dispositivos IoT – de smartwatches a acessórios domésticos inteligentes – se tornaram uma parte essencial de nossa vida cotidiana, os cibercriminosos naturalmente voltaram sua atenção para esse setor”, explica Dan Demeter, especialista em segurança da Kaspersky. “Uma vez que o interesse dos usuários por dispositivos inteligentes aumentou, os ataques aumentaram paralelamente.”

Deve-se ressaltar que não é apenas uma preocupação com a segurança pessoal. Com milhões de colaboradores trabalhando de casa, em regimes híbridos ou remotos, os cibercriminosos estão visando recursos corporativos por meio de redes domésticas e dispositivos inteligentes domésticos, de acordo com pesquisadores. Afinal, eles sabem que as organizações ainda não se acostumaram com esse novo cenário, quando o assunto é segurança – ou a falta dela.

“Ao longo dos últimos 12 meses, a falta de preparação para detectar e solucionar incidentes de segurança tornou-se cada vez mais evidente, especialmente com o aumento do uso de dispositivos pessoais que se conectam a redes corporativas, a visibilidade reduzida de endpoints, asuperfície de ataque expandida e o aumento dos vetores de ataque”, disse um representante da Red Canary à imprensa norte-americana.

Ataques a dispositivos IoT: quais os riscos?

Outro ponto de preocupação é que o resultado dos ataques a dispositivos IoT também está evoluindo, de acordo com a Kaspersky: dispositivos infectados estão sendo usados ​​para roubar dados pessoais ou corporativos, minerar criptomoedas, além de basear ataques DDoS tradicionais nos quais os dispositivos são adicionados a um botnet.

Por exemplo, o botnet Lemon Duck tem como alvo dispositivos PC das vítimas para extração da moeda virtual Monero; além disso, utiliza recursos de autopropagação e uma estrutura modular que permite infectar sistemas adicionais para se tornarem parte do botnet também.

Ele tem pelo menos 12 vetores de infecção inicial diferentes – mais do que a maioria dos malwares – incluindo dispositivos IoT com senhas fracas ou padronizadas. Seus modus operandi consiste em tentativas de força bruta em credenciais telnet corporativas (telnet sendo o protocolo usado para acessar e gerenciar um dispositivo remotamente).

Facilitadores de ciberataques

Além de senhas fracas, que abrem caminho para que cibercriminosos comprometam mais facilmente os dispositivos de IoT, mais e mais vulnerabilidades estão surgindo, o que torna esses gadgets especialmente atraentes para os invasores.

A empresa observou que, mais do que nunca, um número crescente de explorações estão sendo transformadas em armas pelos cibercriminosos.

Recentemente, por exemplo, foi divulgado um conjunto de vulnerabilidades apelidado de BrakTooth, que afeta sistemas de Bluetooth implementados em circuitos de sistema em um chip (SoC) de mais de uma dúzia de fornecedores. Um dos bugs permite a execução de código em dispositivos inteligentes, descobriram pesquisadores, tornando-os vulneráveis para botnets e ladrões de dados armados com spyware.

Isso tem sérias implicações se tal ataque for aplicado a produtos domésticos inteligentes com Bluetoot, alertaram agentes de segurança.

Em agosto de 2021, pesquisadores da Claroty revelaram uma vulnerabilidade no Linphone SIP Protocol Stack da Belledonne Communications. O Linphone é um projeto de voz sobre IP (VoIP) de código aberto utilizado há 20 anos, que se apresenta como o primeiro aplicativo de código aberto a usar SIP no Linux. Essa vulnerabilidade também é uma porta aberta para cibercriminosos.

“Os dispositivos Enterprise IoT hoje são comumente conectados a dispositivos de voz e vídeo, como telefones, câmeras de vigilância, campainhas conectadas e outros sistemas de segurança”, explicaram os pesquisadores. “Quando esses protocolos SIP são comprometidos, um invasor pode ganhar uma posição estratégica em uma rede corporativa e ter acesso a toda a rede IoT. A vulnerabilidade pode ser explorada remotamente, não exigindo nenhuma ação da vítima – ou seja, empoderando ainda mais os invasores.”

Como manter dispositivos inteligentes protegidos contra ataques cibernéticos

“Algumas pessoas acreditam que não são importantes o suficiente para serem hackeadas, mas observamos como os ataques contra dispositivos inteligentes se intensificaram durante o ano passado, independentemente do alvo”, disse a Kaspersky. “E a maioria desses ataques é evitável.”

Para manter seus dispositivos seguros, a Kaspersky recomendou que os usuários implementem as seguintes práticas:

  • Instalar atualizações de firmware o mais rápido possível. Depois que uma vulnerabilidade é encontrada, ela pode ser corrigida por meio de patches disponibilizados pelas atualizações;
  • Sempre alterar as senhas pré-configuradas. Use senhas complicadas que incluam letras maiúsculas e minúsculas, números e símbolos, se possível;
  • Reinicializar um dispositivo assim que ele começar a agir estranhamente. Isso pode ajudar a eliminar o malware existente, mas vale se atentar para o fato de que não reduz o risco de ser infectado novamente;
  • Analisar e escolher soluções de segurança que ajudem a proteger os ecossistemas de IoT.

Quer manter seus dispositivos seguros? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Trabalho remoto cresce, mas segurança remota não acompanha, revela pesquisa

Uma nova pesquisa da Palo Alto Networks mostra os principais desafios de cibersegurança que empresas enfrentaram ao migrar para o modelo de trabalho remoto – e o que elas estão fazendo para conter os riscos à medida que regimes híbridos ganham cada vez mais espaço

Em março de 2020, no início da pandemia do COVID-19, quando a maior parte das organizações ao redor do mundo foram forçadas a mudar, abruptamente, para um modelo de trabalho remoto, muitas delas tiveram que adaptar seus recursos de rede e segurança rapidamente. A fim de não interromperem suas operações, muitas “cortaram caminho”, deixando algumas prioridades de lado e se sujeitando, conscientemente, a alguns riscos, a fim de não pararem.

Não surpreendentemente, essa mudança abrupta de comportamento teve diversas consequências negativas para as organizações.

Uma pesquisa recente, encomendada pela Palo Alto Networks, examinou os impactos dessas decisões estratégicas e o que as organizações estão fazendo, agora, enquanto desenvolvem planos de trabalho híbridos mais perenes – e seguros.

A pesquisa entrevistou 3.000 pessoas, incluindo executivos de tecnologia e membros das equipes de rede, segurança e operações.

Modelo remoto sem segurança remota

De acordo com a pesquisa, até 61% dos entrevistados disseram que tiveram dificuldade em fornecer a segurança remota necessária para amparar recursos de trabalho, com os colaboradores operando de casa. Embora certamente não fosse o único desafio a ser enfrentado nos processos de adaptação, ela continua no topo da lista de problemas contínuos significativos para 51% dos entrevistados.

Além disso, de um quarto a um terço dos entrevistados ainda está lutando para fornecer uma experiência de usuário positiva e completa para seus colaboradores, com inúmeros contratempos de integração de ferramentas colaborativas e adequação de processos à realidade remota.

Por outro lado, no momento da pesquisa, mais de dois terços das organizações indicaram que entre 25% a 75% de sua força de trabalho ainda trabalhava remotamente.

44% das empresas esperam ter mais da metade de seus funcionários trabalhando remotamente ainda em 2022. Mais do que isso: cerca de 62% dos entrevistados estão em processo de otimização de sua força de trabalho híbrida, com 94% considerando algum tipo de força de trabalho híbrida nos próximos 12 meses.

Equipes de TI têm um desafio que foge de seu controle?

No início da pandemia, as equipes de TI adotaram abordagens diferentes para dar suporte ao trabalho remoto: a maioria (44%) dos entrevistados disse que suas organizações fizeram investimentos para melhorar o acesso remoto à rede, mas investiram relativamente pouco em segurança remota.

Outros 35% disseram que suas organizações investiram fortemente em recursos de acesso à rede e segurança. Já 21% disseram que suas organizações fizeram poucas mudanças na arquitetura de rede existente, ou na segurança remota.

Entre aqueles com atualizações mínimas em sua rede, 48% agora acreditam que sua rede não pode suportar as demandas atuais de trabalho remoto ou que sua rede remota não é sustentável. Em contrapartida, esse sentimento é compartilhado por apenas 21% daqueles que desenvolveram sua rede e 14% daqueles que desenvolveram sua rede e sua segurança remota.

Outro dado interessante é que 53% das organizações que priorizaram o acesso remoto ao invés da segurança estão agora expostas a um aumento significativo nos riscos de segurança de violações de políticas de uso não-verificadas e uso de aplicativos não-sancionados. Aqueles que fizeram alterações mínimas em seu acesso remoto, por outro lado, viram um aumento de 23% nos problemas de segurança.

“Como ocorre já há um tempo, quando as medidas de segurança se tornam um fardo – desacelerando os sistemas ou impedindo a produtividade e prejudicando a experiência do usuário – os colaboradores muitas vezes encontram formas criativas de evitá-las”, diz o relatório. “O trabalho remoto e o surgimento de aplicativos baseados em nuvem tornaram isso ainda mais fácil. A expansão do trabalho remoto abriu as portas para um aumento da carga de segurança e uma oportunidade maior de contornar soluções de proteção.”

O relatório sugere que fornecer aos colaboradores ferramentas eficazes de colaboração e produtividade abriria margem menor à busca por soluções alternativas de segurança. Organizações que carecem de ferramentas eficazes de colaboração remota afirmam que seus usuários têm mais de 8 vezes mais probabilidade de relatar altos níveis de evasão de segurança.

Além disso, a pesquisa mostra que 60% das organizações expandiram seus modelos de trabalho BYOD (bring your own device, ou “traga o seu próprio dispositivo”) para permitir que seus colaboradores trabalhem de ambientes corporativos ou residenciais em um mesmo dispositivo.

No entanto, como resultado, as organizações que permitem o aumento do uso de BYOD têm colaboradores 8 vezes mais propensos a ignorar, burlar ou desativar a segurança do que aquelas que restringem o BYOD.

Agora, à medida que as organizações estão avaliando um cenário de longo prazo, 74% das empresas afirmam que uma solução única de segurança remota de ponta a ponta melhoraria a postura de seus colaboradores.

Além disso, 71% das organizações esperam ter a segurança centralizada ,em sua maior parte ou totalmente, em sistemas cloud nos próximos 24 meses.

Acompanhe as principais notícias sobre segurança da informação: assine a newsletter da Compugraf e fique por dentro de nossas novidades!

Read more
No Comments

FBI alerta sobre novo grupo de ransomware que ameaça setor de saúde

Novo grupo de ransomware compromete sistemas de hospitais nos EUA e preocupa FBI

O FBI lançou um alerta a nível nacional sobre a ameaça de ransomware Hive, após o grupo derrubar a rede do Memorial Health System na metade de agosto.

O alerta explica que o Hive é um ransomware operado por afiliados, cuja atuação foi observada pela primeira vez em junho; a ameaça implementa “diversos mecanismos para comprometer redes de negócios, incluindo e-mails de phishing com anexos maliciosos, para obter acesso à rede, e Remote Desktop Protocol, para mover lateralmente, uma vez infiltrado”, explica o FBI.

Depois de comprometer a rede da vítima, os criminosos, munidos do ransomware, extraem dados e criptografam arquivos na rede. Em seguida, deixam uma nota de resgate em cada diretório afetado dentro do sistema da vítima, que fornece instruções sobre como comprar o software para descriptografar o sistema.

“A nota de resgate também ameaça vazar dados extraídos da vítima no site ‘HiveLeaks‘”, pontua a agência de segurança estadunidense.

O que está por trás do Hive

“O ransomware Hive busca processos relacionados a backups, antivírus / antispyware e cópia de arquivos e os encerra para facilitar a criptografia de arquivos. Os arquivos criptografados geralmente terminam com a extensão .hive.”

O alerta também explica como o ransomware corrompe sistemas e backups antes de direcionar as vítimas a um link do “departamento de vendas” do grupo, que pode ser acessado por meio de um navegador TOR. O link leva as vítimas a um chat ao vivo com as pessoas por trás do ataque, mas o FBI observou que algumas vítimas sequer precisaram entrar em contato – os próprios cibercriminosos foram atrás delas.

Além disso, a maioria das vítimas tem um prazo de pagamento que varia entre dois e seis dias, mas algumas conseguiram estender esse período por meio de negociação.

O grupo opera um “site de vazamento” próprio, que eles usam para intimidar as vítimas a pagar a quantia solicitada em troca da chave de descriptografia. O FBI incluiu, no alerta, indicadores de comprometimento de rede, um link para o local da divulgação de dados e uma amostra de uma nota de resgate enviada a uma vítima.

Setor de saúde em risco

Contudo, o que faz do Hive mais do que “apenas mais um ransomware”, é sua ameaça para o setor hospitalar. John Riggi, consultor sênior de cibersegurança da American Hospital Association, disse que o Hive é “especialmente preocupante” para organizações de saúde.

O grupo atacou pelo menos 28 organizações desse stor, até agora, incluindo o Memorial Health System, que foi atingido por um ataque de ransomware no dia 15 de agosto. A organização sem fins lucrativos administra vários hospitais, clínicas e centros de saúde em Ohio e West Virginia, nos Estados Unidos.

Todos os casos cirúrgicos urgentes e exames de radiologia marcado para o dia 16 de agosto no hospital foram cancelados por conta do ataque. Além disso, os Departamentos de Emergência do Memorial Health System foram forçados a internar seus pacientes em hospitais vizinhos, se dispondo a continuar recebendo apenas pacientes que sofriam de acidentes vasculares cerebrais ou acidentes traumáticos. Qualquer outra pessoa que precisasse de ajuda era transportada para unidades hospitalares parceiras.

O FBI, a CISA e especialistas em segurança cibernética ajudaram o Memorial Health System a responder ao ataque.

Três dias depois, no entanto, o CEO do hospital admitiu que decidira pagar pelo resgate para receber as chaves de descriptografia.

“Concluímos um acordo e recebemos as chaves para desbloquear nossos servidores e começar a processar a recuperação. […] É uma boa notícia para nossa equipe termos recuperado nossas ferramentas. Trabalhamos com 800 servidores e mais de 3.000 dispositivos pessoais, que nossos médicos usam para atender seus pacientes. Por enquanto, manteremos apenas os serviços essenciais, mas, na próxima semana, devemos voltar aos serviços normais para atender a nossos pacientes com muito cuidado em face das adversidades”, comunicou ele.

Os sistemas do hospital desbloqueados no fim de semana subsequente ao ataque e o hospital afirma que não houve “indícios de que os dados de qualquer paciente ou funcionário tenham sido divulgados publicamente”.

Os responsáveis pelo Hive, porém, ainda são um mistério. O FBI desconfia de uma entidade do Leste Europeu que é “relativamente nova e sofisticada”, mas nenhum culpado foi apontado diretamente.

Mantenha seus sistemas protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos ajudar!

Read more
No Comments

Empresas ainda não têm recursos suficientes para combater ameaças de segurança

Empresas têm dificuldade em investir em recursos de segurança e profissionais sentem o impacto. Criminosos aproveitam brecha para trabalhar em ameaças mais complexas.

O que você vai ler hoje:

Soluções de segurança de empresas não são suficientes para proteger contra ameaças avançadas

A Agência da União Europeia para a Cibersegurança (European Union Agency for Cybersecurity, ou ENISA) analisou 24 ataques recentes realizados à cadeia de suprimentos de software e concluiu que um sistema de proteção robusto não é mais suficiente para manter empresas e fornecedores em segurança.

A análise se concentrou em ataques de ameaças persistentes avançadas (APTs) e observa que, embora o código, as explorações e o malware utilizados nos ataques não fossem considerados “avançados”, o planejamento, a preparação e a execução dos ataques eram bastante complexos. O relatório também observa que 11 dos ataques à cadeia de suprimentos foram conduzidos por grupos APT conhecidos.

“[…] uma organização pode ser vulnerável a um ataque à cadeia de suprimentos mesmo quando contam com defesas de qualidade, [pois] os invasores estão tentando explorar novas vias potenciais para se infiltrar em seus negócios”, pontua a ENISA.

Além disso, é esperado que os ataques à cadeia de suprimentos fiquem ainda piores: “é por isso que novas medidas de proteção para prevenir e mitigar possíveis ataques no futuro precisam ser introduzidas com urgência”.

A análise da ENISA ainda descobriu que os invasores se concentraram no código dos fornecedores em cerca de 66% dos incidentes relatados. A mesma proporção de fornecedores não estava ciente do ataque antes de sua divulgação.

“Isso mostra que as organizações devem concentrar seus esforços na validação de código e software de terceiros antes de usá-los, a fim de garantir que não sejam adulterados ou manipulados.”

Aos fornecedores, a agência recomenda:

  • garantir que a infraestrutura usada para projetar, desenvolver, fabricar e entregar produtos, componentes e serviços siga as práticas de segurança cibernética;
  • implementar um processo de desenvolvimento, manutenção e suporte de produto que seja consistente com os processos de seu desenvolvimento;
  • monitorar vulnerabilidades de segurança relatadas por fontes internas e externas, incluindo componentes de terceiros;
  • manter um inventário de ativos que inclua informações relevantes sobre os patches necessários, sempre que houver.

O relatório completo pode ser lido aqui.

Apple corrige falha crítica explorada por criminosos

A Apple corrigiu uma falha de dia zero no fim de julho. A vulnerabilidade foi encontrada nas duas plataformas da empresa – iOS e macOS – vinha sendo ativamente explorada, permitindo que cibercriminosos assumissem o sistema afetado.

A falha de corrupção de memória, rastreada como CVE-2021-30807, é encontrada na extensão IOMobileFrameBuffer que existe nos sistemas iOS e macOS, mas foi corrigida de acordo com a plataforma de dispositivo específica.

Explorar a CVE-2021-30807 permitiria que agentes da ameaça “executassem código arbitrário com privilégios de kernel”, disse a Apple na documentação que descreve as atualizações.

“A Apple está ciente de que esse problema pode ter sido explorado ativamente”, complementa a empresa.

Foram lançadas três atualizações para corrigir a vulnerabilidade em cada uma das plataformas: OS 14.7., IPadOS 14.7.1 e macOS Big Sur 11.5.1. Essas atualizações devem ser instaladas com urgência.

Profissionais de segurança estão sobrecarregados diante de falta de recursos

A falta de investimento faz com que equipes de segurança cibernética lutem para manter as redes corporativas seguras – e, diante do aumento do trabalho remoto e dos desafios de segurança adicionais, profissionais estão sentindo o impacto também em seu bem-estar.

Um estudo global de profissionais de segurança cibernética realizado pela Information Systems Security Association (ISSA) e pela empresa de análise da indústria Enterprise Strategy Group (ESG) adverte que essa falta de investimento, combinada com o desafio de cargas de trabalho adicionais, está resultando em uma escassez de habilidades que tem levado a lacunas empregatícias e alto desgaste entre profissionais de segurança da informação.

De acordo com o estudo, que entrevistou mais de 500 profissionais de segurança cibernética, 57% dizem que a falta de habilidades em segurança cibernética afetou a organização para a qual trabalham, enquanto pouco mais de 10% relataram um impacto significativo.

O efeito é um aumento da carga de trabalho para a equipe de segurança da informação, de acordo com 62% dos entrevistados. Isso teve um efeito indireto na saúde mental da equipe de segurança da informação, 38% dos quais afirmam ter experimentado o esgotamento como resultado de pressões de trabalho durante o que já foi um ano difícil.

Uma das razões pelas quais muitos funcionários da segurança cibernética têm lutado é o aumento repentino do trabalho remoto como resultado da pandemia global: 50% dos entrevistados dizem que isso levou a um aumento do estresse.

Por fim, quase quatro em cada dez (39%) dos profissionais de segurança cibernética dizem que sua organização está lutando para ocupar os cargos de segurança da computação em nuvem.

Diretório de chaves de criptografia ajuda a economizar 1 bilhão de dólares em multas de ransomware

No More Ransom, um repositório de descriptografadores de ransomware, ajudou mais de 6 milhões de vítimas a recuperar seus arquivos, mantendo quase um bilhão de euros fora das mãos de cibercriminosos, de acordo com um comunicado lançado recentemente.

Lançado há cinco anos, o No More Ransom é mantido por meio da cooperação entre o European Cybercrime Center e várias empresas de segurança cibernética, incluindo Kaspersky, Barracuda e AWS. Seu objetivo é evitar que as vítimas entreguem o dinheiro que ajuda a alimentar mais ataques de ransomware, de acordo com a Europol.

Em vez disso, o grupo direciona as vítimas para sua ferramenta, a Crypto Sheriff. Lá, as vítimas podem inserir o endereço URL, onion ou Bitcoin fornecido pelo invasor para pagar o resgate. A ferramenta pesquisa o banco de dados No More Ransom, que atualmente conta com 121 ferramentas para descriptografar 152 famílias de ransomware, de forma gratuita e disponível em 37 idiomas, de acordo com o grupo.

Mantenha sua empresa segura. Consulte as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Os hackers do hiper-destrutivo ransomware REvil sumiram. Isso é bom?

O grupo REvil é conhecido por lançar algumas das campanhas de ransomware mais onerosas para diversas empresas. Recentemente, eles desapareceram da Internet – mas isso não parece ser boa notícia.

A equipe de hackers por trás dos destrutivos ciberataques à indústria de alimentos e aos clientes do fornecedor de tecnologia Kaseya, ao que tudo indica, desapareceu da Internet. O grupo também é responsável pelos ataques mais custosos ao redor do mundo, sendo conhecidos por pedir milhões de dólares às empresas em troca da chave da descriptografia.

Fora do ar no início da manhã do dia 13 de julho, o darksite do grupo REvil, apelidado de “Happy Blog”, parece ser um indício que o grupo fará uma pausa em suas atividades.

Autores da Forbes fizeram repetidas tentativas de acessar a página do grupo, e falharam, recebendo um aviso que dizia que “a causa mais provável é que o onionsite está off-line”.

As outras páginas do REvil, incluindo a página que o grupo usa para pagamento de resgate, também estão inacessíveis, e seus representantes não aparecem em fóruns de hackers – outro canal frequentado pelo grupo – desde o final da semana anterior, de acordo com vários pesquisadores de segurança cibernética.

O desaparecimento do grupo REvil não necessariamente é uma boa notícia

Não há informações sobre o motivo pelo qual o REvil – que se acredita ter origem russa, mas opera fora do país – possa ter desaparecido. Pode ser devido a uma ação de aplicação da lei, embora nenhuma agência ainda tenha reivindicado o sucesso em derrubar o grupo.

O FBI não quis comentar o caso. No mês passado, o presidente Biden e o líder russo Vladimir Putin discutiram questões de segurança cibernética, incluindo a possibilidade de o Kremlin apoiar mais os esforços para conter os cibercriminosos que lançam ataques devastadores contra empresas dos EUA.

A equipe do REvil também pode ter se escondido devido à atenção dada a seus ataques recentes. Ou seus sites podem simplesmente ter caído devido a um problema técnico.

Como observa Brett Callow, rastreador de ransomware de uma empresa privada de segurança cibernética , o Happy Blog já caiu antes e voltou a funcionar, de modo que é “muito cedo para deduzir qualquer coisa a respeito”.

Em um caso semelhante e recente , os hackers do grupo de ransomware DarkSide desapareceram da Internet não muito depois de seu malware ter sido usado no enorme hack ao oleoduto da Colonial Pipeline, que levou ao fechamento de linhas de gás na costa leste dos Estados Unidos. Nesse caso, alguns dos os fundos entregues no resgate de 4 milhões de dólares, pagos em Bitcoin, foram recuperados pelo Departamento de Justiça.

Fora o hack à JBS, um dos maiores fornecedores de carne mundiais, que resultou em um pagamento de 11 milhões de dólares, o grupo causou grande impacto em um ataque que explorou uma vulnerabilidade zero-day que não havia sido corrigida em uma tecnologia feita pela Kaseya.

Visando a ferramenta, os hackers invadiram diversos clientes da Kaseya, bloqueando arquivos de até 1.500 empresas diferentes. Seu pedido de resgate e a liberação da chave para desbloquear as informações em todas as empresas afetadas chegou a 70 milhões de dólares, embora tenha caído para 50 milhões de dólares durante as negociações. Não está claro se algum pagamento foi feito.

Nos últimos meses, o REvil também hackeou: o fornecedor de energia renovável Invenergy, o fabricante de PCs, Acer, e o fornecedor da Apple, Quanta Computer.

Além disso, de acordo com dados da empresa de segurança cibernética Check Point, foram realizados, por semana, 15 ataques cibernéticos cuja autoria é associada à REvil ao longo dos últimos dois meses.

Se o grupo está apenas escondido para não chamar ainda mais a atenção, ou se está apenas fazendo uma pausa antes de seu próximo hiper-ataque, descobriremos em breve. O sumiço, contudo, dificilmente será motivo de celebração e de tranquilidade por parte das empresas, que devem continuar aderindo às medidas de segurança a fim de prevenir potenciais ataques.

Mantenha seu negócio protegido. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Empresas não são capazes de se proteger contra ransomware, mostra pesquisa

Não investir em soluções de segurança pode ser fatal para a maioria das empresas. Ainda assim, quase metade das organizações ao redor do mundo não conta com tecnologias para detectar, prevenir e mitigar ataques.

O que você vai ler hoje:

Quase metade das empresas não consegue se prevenir de ataques de ransomware por falta de tecnologias de segurança

Cerca de metade das empresas não têm tecnologia para prevenir ou detectar ataques de ransomware, de acordo com um novo relatório de pesquisadores de segurança cibernética.

Os resultados sugerem que muitas das organizações não contam com os recursos de segurança cibernética necessários para evitar ataques altamente prejudiciais aos negócios, como a capacidade de detectar, por exemplo, e-mails de phishing, comprometimento do protocolo de desktop remoto (RDP) ou outras técnicas comuns utilizadas por cibercriminosos em campanhas de ransomware.

O relatório também alerta que muitas organizações lutam para detectar atividades suspeitas associadas a ransomware e ataques que podem demonstrar evidências iniciais de que criminosos cibernéticos comprometeram a rede corporativa. Isso inclui não identificar movimentos laterais incomuns nas redes ou deixar de detectar usuários não-autorizados invadindo e obtendo acesso a documentos e dados corporativos.

Os cibercriminosos por trás dos ataques de ransomware estão acessando esses dados não apenas para criptografá-los e pedir milhões de dólares de resgate, mas também para roubá-los, efetivamente, usando a ameaça de divulgação dessas informações roubadas como uma forma de pressionar ainda mais as vítimas a pagar o valor abusivo a fim de obterem uma chave de descriptografia.

Além disso, a pesquisa sugere que menos da metade das organizações pode se recuperar rapidamente após um ataque de ransomware, e duas em cada cinco poderiam ter dificuldade para aprender com eficácia os processos de mitigação necessários para evitar ser vítima de um novo ataque de ransomware no futuro, mesmo depois de já ter sido vítima de criminosos cibernéticos.

Malware se aproveita de recursos do Office para infectar dispositivos de usuários

Documentos do Word e do Excel geralmente são programados para desativar avisos de macro do Office. Porém, esse recurso é justamente o que possibilita o malware bancário Zloader ser baixado nos sistemas de um usuário, sem que as ferramentas de segurança o sinalizem.

O ataque, de acordo com uma pesquisa publicada pela McAfee, combina as funções do Microsoft Office de ativação uma série de comandos que podem ser usados para automatizar uma tarefa repetida, e que podem ser executados durante a tarefa sem que seja emitido um aviso, para baixar uma carga útil de malware de modo que a ameaça não seja detectada.

O Zloader é um trojan bancário projetado para roubar credenciais e outras informações privadas de usuários de instituições financeiras específicas. O vetor de ataque inicial do malware são mensagens de phishing com anexos de documentos do Word que não contêm código malicioso. Assim, normalmente a ameaça não acionaria um gateway de e-mail ou antivírus para bloquear o ataque.

Mas, de forma ainda mais sofisticada, o malware se aproveita da técnica de ofuscação de macro, usando os campos de troca dinâmica de dados (DDE) do Microsoft Office Excel e o Visual Basic for Applications (VBA) baseado em Windows para lançar ataques contra sistemas que suportam esses formatos.

“Documentos maliciosos têm sido um ponto de entrada para a maioria das famílias de malware e esses ataques têm evoluído suas técnicas de infecção e ofuscação, não apenas se limitando a downloads diretos de carga útil, mas criando agentes dinâmicos para infectar dispositivos com essa carga útil”, escreveram os pesquisadores.

Em conclusão, eles sugerem que só é seguro ativar ações macros quando o documento recebido for de uma fonte confiável.

Empresas de petróleo e gás são vítimas de campanha direcionada, em andamento há mais de um ano

Está em andamento, há mais de um ano, uma campanha sofisticada que mira em grandes empresas do setor de petróleo e gás, descobriram pesquisadores. A campanha espalha cavalos de Troia de acesso remoto (RATs) comuns para fins de espionagem cibernética.

Embora a indústria de energia seja o alvo principal, a campanha também atingiu algumas organizações nos setores de TI, manufatura e mídia, disseram os responsáveis pela análise da campanha. Vítimas foram encontradas em todo o mundo, incluindo Alemanha, Emirados Árabes Unidos e EUA. Porém, empresas sul-coreanas parecem ser as principais vítimas.

“O ataque também tem como alvo fornecedores desse setor, o que pode indicar que este é apenas o primeiro estágio de uma campanha mais ampla”, observaram os pesquisadores em uma postagem. “No caso de uma violação bem-sucedida, por exemplo, o invasor pode usar uma conta de e-mail comprometida do destinatário para enviar e-mails de spear-phishing para empresas que trabalham com o fornecedor, usando a reputação do fornecedor para ir atrás de entidades mais lucrativas.”

Para iniciar o ataque, os criminosos enviam e-mails personalizados para os funcionários de cada empresa visada. Os endereços de e-mail do destinatário variam de endereços genéricos a pessoas específicas dentro das empresas, sugerindo que um trabalho estratégico de reconhecimento dos alvos está em andamento, em paralelo aos ataques mais generalizados.

Cada e-mail possui um anexo malicioso com um nome aparentemente complementar relacionado ao conteúdo do corpo do e-mail, de acordo com os pesquisadores. Esse anexo contém um malware .NET, que geralmente está dentro de um arquivo .IMG, .ISO ou .CAB.

Os arquivos são, no entanto, disfarçados como PDFs, usando extensões e ícones falsos a fim de parecerem menos suspeitos.

Pesquisador de segurança cria site que compila informações sobre ataques de Ransomware

Chamado de Ransomwhere, o site foi criado pelo pesquisador de segurança Jack Cable, que já trabalhou com a Agência de Segurança Cibernética e de Infraestrutura (CISA) como consultor de segurança para as eleições de 2020 nos EUA.

Ele também passou anos caçando bugs e trabalhando como um hacker whitehat para diversas empresas, a fim de ajudá-las a identificar e mitigar vulnerabilidades que poderiam servir de porta de entrada para ameaças.

Em uma entrevista ao site de tecnologia TechCrunch, Cable afirma que criou o Ransomwhere após ler um tweet da Diretora de Inteligência da Intel, Katie Nickels. Respondendo a uma pergunta sobre se a comunidade de segurança poderia estimar as perdas totais ligadas ao famoso malware TrickBot, Nickels observou que “ninguém conhece o impacto real” dessas ameaças. Ela ainda acrescentou que é difícil saber se ações específicas da vítima – como pagar, ou se recusar a pagar resgates – fazem diferença.

A ideia de Cable, portanto, foi criar um “banco de informações” que trouxesse justamente essa visibilidade.

Até o momento, a Ransomwhere rastreou mais de 56 milhões de dólares em pagamentos de resgate. Até o momento, a empresa Netwalker domina a tabela de empresas mais prejudicadas por ataques de ransomware, com mais de 520 pagamentos efetuados.

Por enquanto, os dados que alimentam Ransomwhere são crowdsourced, isto é, fornecidos pela comunidade. Para garantir a integridade dos dados, todos os relatórios devem incluir uma captura de tela do pedido de resgate para fins de verificação. Atualmente, Cable está verificando pessoalmente os envios, mas visa automatizar o processo em algum momento.

Quer manter sua empresa protegida contra as principais ameaças à segurança cibernética? Conheça nossas soluções e saiba como a Compugraf pode te ajudar!

Read more
No Comments

Vazamento de “segredos” de empresas causa prejuízo anual de 1,2 milhão de dólares

Pesquisa com colaboradores de TI e DevOps mostra que 60% dos entrevistados disseram que sua organização lidou com vazamento de dados importantes de infraestrutura pelo menos uma vez. Prejuízo médio anual é de 1,2 milhão de dólares.

A cada ano, empresas ao redor do mundo estão perdendo o equivalente a milhões de dólares em receita devido às vulnerabilidades em código de infraestrutura, credenciais e senhas de acesso, de acordo com pesquisadores de cibersegurança.

O relatório da 1Password, intitulado Hiding in Plain Sight, observa que, em média, as empresas perdem, anualmente, cerca de 1,2 milhão de dólares (equivalente a 6 milhões de reais, aproximadamente) devido a detalhes de sua infraestrutura que vazam ou são expostos online.

Esses detalhes são chamados de “segredos” pelos pesquisadores responsáveis pelo relatório, que descobriram que colaboradores de TI e Desenvolvedores de Operações (DevOps) deixam diversos desses segredos de infraestrutura, como tokens de API, chaves SSH e certificados privados, em arquivos de configuração ou junto ao código-fonte para facilitar o acesso e agilizar os processos – aumentando sua vulnerabilidade.

Segredos à mostra

O relatório combina análises dos pesquisadores da 1Password com uma pesquisa conduzida em abril de 2021 com 500 funcionários de TI e DevOps.

Para 10% dos entrevistados que já tiveram que lidar com vazamento de segredos, o ocorrido custou em torno de 5 milhões de dólares, em média, para suas empresas. Além disso, mais de 60% dos entrevistados disseram que suas organizações já lidaram com vazamento de segredos.

Mais do que o dinheiro perdido, 40% dos entrevistados disseram que suas organizações sofreram danos à reputação da marca e 29% disseram ter perdido clientes como consequência de alguns dos segredos que vazaram.

A pesquisa e a análise que a acompanha mostra que 65% dos colaboradores de TI e Desenvolvedores dizem que sua empresa tem mais de 500 segredos de infraestrutura. Outros 20% dizem que suas empresas têm mais segredos do que conseguem contar.

De modo geral, em média, os colaboradores precisam gastar cerca de 25 minutos todos os dias gerenciando esses segredos. Mais da metade afirma que esse número aumentou significativamente no último ano.

Gerenciamento

Mais de 61% dos colaboradores disseram que vários projetos tiveram que ser atrasados ​​porque a organização não conseguia gerenciar seus segredos com eficácia.

De forma ainda mais alarmante, 77% dos entrevistados disseram que ainda têm acesso parcial aos sistemas de um ex-empregador e 37% disseram que tinham acesso total aos sistemas, o que traz à tona uma das principais razões pelas quais segredos continuam a ser vazados.

Outro fator que contribui para o problema é o uso crescente de aplicativos em nuvem; 52% dos colaboradores de TI afirmam que o uso de apps em cloud dificulta o gerenciamento da infraestrutura e seus segredos.

Mas eles também reconhecem parte da culpa, com 80% dos entrevistados dizendo que não fazem um bom trabalho no gerenciamento de segredos. Cerca de 25% também disseram que os segredos de sua organização estão em 10 ou mais locais, o que torna mais difícil o monitoramento de vulnerabilidades.

Os colaboradores, além disso, admitiram compartilhar informações sobre segredos da empresa em canais menos seguros, como e-mails (59%), ferramentas de integração (40%), planilhas/documentos compartilhados (36%) e mensagens de texto (26%).

Quase todos os entrevistados disseram que sua organização tem uma política de segredos, mas menos de 40% disseram que ela é aplicada, e o problema é particularmente preocupante entre os líderes de organizações.

Mais de 62% dos entrevistados disseram que os líderes de equipe, gerentes, VPs e outros ignoraram as regras de segurança após as atualizações ocorridas em função do COVID-19, colocando dados de alto nível em risco.

“Nossa pesquisa revela que os segredos estão crescendo, mas as equipes de TI e DevOps não estão atendendo a padrões rigorosos para protegê-los – e, no processo, estão colocando as organizações em risco de incorrer em custos enormes”, conclui o relatório.

O vazamento de segredos pode ser o passo inicial para graves ataques por parte de cibercriminosos, elevando ainda mais o prejuízo para as organizações. Se proteger a infraestrutura é fundamental para evitar estar vulnerável ao vazamento de segredos, assegurar que os responsáveis por esses segredos estão na mesma página é tão importante quanto.

A Compugraf oferece soluções completas para proteger a infraestrutura de sua empresa. Consulte nossos especialistas e saiba como podemos ajudar!

Read more
No Comments

Estudo mostra que setor industrial é o “alvo perfeito” para ataques de ransomware

A segurança de endpoints de Sistemas de Controle Industrial se tornou ainda mais importante à medida que a intersecção sistemas de TI e de TO se expande. Com isso, pesquisadores de segurança compartilham os principais alertas a que empresas do setor industrial devem prestar atenção – como o aumento nos ataques de ransomware a esses sistemas, por exemplo.

O uso de Sistemas de Controle Industrial (Industrial Control Systems, ou ICS) torna as operações de distintos setores industriais mais eficientes. Esses sistemas são baseados na intersecção entre sistemas de Tecnologia da Informação (TI) e de Tecnologia Operacional (TO), o que, por um lado, favorece a agilidade e a eficácia desses sistemas, mas, por outro, torna soluções de ICS excepcionalmente suscetíveis a ameaças cibernéticas.

Proteger esses sistemas é vital para se prevenir de ataques de alta gravidade no setor industrial, e um dos componentes que melhor devem ser protegidos contra ameaças são os terminais de controle.

Esse é o alerta feito por um relatório de pesquisadores de segurança cibernética intitulado “ICS endpoints as starting points for threats”, publicado no fim de junho de 2021. Como mote, o estudo adverte que o ransomware é “uma ameaça preocupante e em rápida evolução para terminais de ICS ao redor do mundo”, sobretudo devido a um aumento significativo nas ocorrências desse tipo de ataque durante o ano de 2020.

Por que o setor industrial é o “alvo perfeito” para ataques de ransomware?

O grande motivador por trás de qualquer ataque de ransomware é relativamente simples: ganhar muito dinheiro, rápido.

Com isso em mente, cibercriminosos sabem que atacar sistemas de controle industrial, usados ​​para operar fábricas e ambientes de manufatura, que dependem de atividade ininterrupta, oferece boas chances de retorno – isto é, altas quantias e uma predisposição para realizar o pagamento pelo resgate muito maior. Afinal, quanto mais tempo sem poder operar, maior é a catástrofe para o setor industrial e seus favorecidos.

Imagine, por exemplo, se uma gangue sequestra a operação de fornecimento de água e energia para grandes cidades. Quanto tempo essas indústrias podem ficar inoperantes até que o abastecimento hidráulico e de luz seja comprometido em larga escala? E o que pode significar – econômica e socialmente – uma população inteira ficar sem água e sem energia? É a receita para o caos, certo?

Sendo assim, a vítima de um ataque desse tipo pode tomar a decisão de ceder às demandas absurdas de resgates cibernéticos, pagando valores exorbitantes para não correr o risco de causar um desastre.

Exemplos recentes de campanhas de ransomware bem-sucedidas – como o ataque contra a JBS, da indústria alimentícia – mostram o quão lucrativa essa estratégia pode ser: os cibercriminosos, que utilizaram o ransomware REvil, lucraram 11 milhões de dólares em bitcoin com o ataque.

Enquanto isso, o ataque contra o oleoduto da Colonial Pipeline, nos Estados Unidos, mostrou como um ataque de ransomware contra o setor industrial pode ter consequências em larga escala para a população, já que o fornecimento de gasolina para grande parte do nordeste do país foi interrompido por conta da ocorrência.

As campanhas miram em Sistemas de Controle Industrial de diferentes formas e se valendo de diferentes tipos de ransomware. Estas, porém, são as principais família creditadas em ataques:

Fonte: 2020 REPORT: ICS ENDPOINTS AS STARTING POINTS FOR THREATS

Famílias de ransomware responsáveis por ataques a Sistemas de Controle Industrial

  • Ryuk – 19.8%
  • Nefilim – 14.6%
  • Sodinokibi – 13.5%
  • Lockbit – 10.4%
  • Cryptesla – 7.3%
  • Bitpaymer – 5.2%
  • Egregor – 4.2%
  • Locky – 4.2%
  • Medusalocker – 3.1%
  • Blocker – 2.1%
  • Crypcrypmod – 2.1%
  • Cryptwall – 2.1%
  • Doppelpaymer – 2.1%
  • Ledif – 2.1%
  • Netwalker – 2.1%
  • Coldlock – 1%
  • Conti – 1%
  • Exx – 1%
  • Wannacrypt – 1%
  • Zeppelin – 1%

Apenas quatro famílias são responsáveis por mais da metade de todos os ataques de ransomware, segundo o relatório.

Como se proteger de ciberataques

Para ajudar a proteger os endpoints de ICS contra ataques de ransomware e outros ciberataques, o relatório oferece algumas recomendações.

Assegurar que os sistemas contam com todas as atualizações de segurança é prioridade – algo que os pesquisadores reconhecem como um processo “tedioso”, mas necessário. Investindo em que as redes sejam corrigidas com as atualizações de segurança mais recentes, os criminosos não poderão explorar vulnerabilidades conhecidas que poderiam ser a porta de entrada para ameaças mais graves, como sequestro de dados.

Se o patch não for uma opção, a rede deve ser segmentada para isolar os Sistemas de Controle Industrial vulneráveis dos sistemas conectados à internet.

Também é recomendado que as redes ICS sejam protegidas com combinações fortes de nome de usuário e senha. A aplicação de autenticação multifator em toda a rede também pode ajudar a protegê-la contra invasões.

Mantenha os sistemas da sua empresa protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Brasil sofre mais de 3 bilhões de tentativas de ciberataques só no primeiro trimestre de 2021

Ameaças de malware se espalham de diferentes formas por dispositivos ao redor do mundo e continuam representando um dos principais inimigos da segurança cibernética.

O que você vai ler hoje:

30 milhões de dispositivos Dell sofrem com vulnerabilidades de alta gravidade

Quatro vulnerabilidades de alta gravidade podem permitir que invasores realizem execução arbitrária de código em ambientes de pré-inicialização de alguns dispositivos Dell, descobriram, recentemente, pesquisadores de cibersegurança.

Tais ameaças afetam cerca de 30 milhões de endpoints da Dell em todo o mundo.

Ao todo, são 129 modelos de laptops, tablets e desktops vulneráveis aos bugs – incluindo dispositivos corporativos e de uso pessoal protegidos pelo padrão de segurança da Dell, que visa assegurar que um dispositivo seja inicializado apenas por softwares confiáveis. As ameaças permitem que cibercriminosos contornem essas proteções, controlem o processo de inicialização do dispositivo e subvertam o sistema operacional e os controles de segurança de camadas superiores.

Atualmente, a pontuação desses bugs no Common Vulnerability Scoring System (CVSS, que avalia a gravidade das vulnerabilidades de segurança) acumula 8,3 de um total de 10 pontos.

Trata-se de mais um indicativo de como cibercriminosos podem transformar soluções de segurança em armas, uma vez que as ameaças, na verdade, exploram processos de atualização remota que visam tornar o mais fácil possível para clientes Dell manterem seu firmware atualizado.

Porém, como pontuam os pesquisadores, em relatório, “a combinação da capacidade de exploração remota com altos privilégios provavelmente tornará a funcionalidade de atualização remota um alvo atraente para invasores no futuro”.

Ataques à indústria de games cresce mais de 300% em 2020

Os ataques à indústria de videogames dispararam durante a pandemia, com ataques a aplicativos da web crescendo impressionantes 340% ao longo de 2020.

De acordo com o relatório “Gaming in a Pandemic”, são mais de 240 milhões de ataques só no ano passado – e um aumento de 415% nos ataques a aplicativos da web na indústria de jogos desde 2018.

Além disso, ataques de preenchimento de credenciais cresceram 224% durante a pandemia.

Um dos principais motivos para esse “boom” no setor é o dinheiro. De acordo com uma análise citada no relatório, o mercado global de games deve atingir US$ 175 bilhões de faturamento em 2021 – uma fonte altamente rentável para diversos tipos de ameaças, seja contra empresas ou usuários de jogos online.

Outro motivo que favorece os ataques é a maior adesão a jogos online durante a pandemia, e a vulnerabilidade crescente de dispositivos pessoais ou corporativos em função do modelo de trabalho remoto.

Campanhas direcionadas que visam explorar essa combinação de fatores já fizeram vítimas entre usuários da Steam e do Discord, por exemplo. Mas os ataques a plataformas de gaming promete ser ainda mais rentável, uma vez que as transações financeiras para aquisição de skins ou recursos para melhorias dentro dos jogos, por exemplo, é muito incentivada e comum entre os jogadores.

Malware de mineração usa modo de segurança do Windows para infectar dispositivos

Pesquisadores descobriram uma variedade de malware de mineração de criptomoedas que explora o modo de segurança do Windows durante os ataques.

Apelidado de Crackonosh, a ameaça se espalha por meio de softwares pirateados e crackeados, frequentemente encontrados em torrents, fóruns e sites na dark web.

O Crackonosh está em circulação pelo menos desde junho de 2018, de acordo com especialistas em segurança: a vítima executa um arquivo que acredita ser uma versão crackeada de um software legítimo e o malware é implantado no dispositivo.

A cadeia de infecção começa com a queda de um instalador e um script que modifica o registro do Windows para permitir que o principal executável do malware seja executado no modo de segurança. Em seguida, o sistema infectado é configurado para inicializar no modo de segurança na próxima inicialização do sistema.

“Enquanto o sistema Windows está em modo de segurança, o software antivírus não funciona”, dizem os pesquisadores. O Crackonosh, então, uma vez instalado, verificará a existência de antivírus e tentará desativá-los ou excluí-los. Depois, os arquivos do sistema de log são apagados para cobrir os rastros da ameaça.

Aproximadamente 1.000 dispositivos estão sendo atingidos a cada dia e mais de 222.000 máquinas foram infectadas em todo o mundo. No geral, pesquisadores acreditam que o Crackonosh tenha gerado pelo menos 2 milhões de dólares para seus operadores, com mais de 9.000 moedas XMR sendo mineradas até o momento.

Brasil sofreu mais de 3 bilhões de tentativas de ciberataques só no começo de 2021

O Brasil sofreu mais de 3,2 bilhões de tentativas de ataques cibernéticos só no primeiro trimestre de 2021, de acordo com uma pesquisa realizada por uma desenvolvedora de soluções de segurança da informação.

Além disso, o país lidera o ranking de ameaças sofridas na América Latina, segundo o relatório “Threat Intelligence Insider”.

No começo de 2021, mostram os pesquisadores, houve um aumento significativo na distribuição de malwares via web, muito provavelmente por conta do aumento do uso de redes sociais como plataformas de campanhas de malware e de phishing. O WhatsApp e o Facebook também foram dois aplicativos altamente afetados pelo aumento de ameaças, que geralmente têm início na distribuição de phishing, antes de evoluir para disseminação de malware.

Outro dado identificado pelo estudo é que, durante o primeiro trimestre, foram feitas diversas tentativas de execução de código remoto a roteadores e redes domésticas.

Essas ameaças são reflexo direto da adoção de um modelo de trabalho remoto, por conta da pandemia, que deixa dispositivos pessoais e corporativos excepcionalmente vulneráveis.

Quer manter sua empresa e seus colaboradores seguros? Conheça as soluções da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Malware personalizado e desconhecido rouba bilhões dados

Um ameaça de malware personalizada e sem nome resultou no roubo massivo de dados de arquivos, credenciais, cookies e muito mais. Pesquisadores encontraram os dados coletados em um banco na nuvem e tentam rastrear os responsáveis prováveis.

Pesquisadores de cibersegurança descobriram um banco de dados contendo 1,2 TB de dados roubados. Os dados foram retirados de cerca de 3,2 milhões de computadores que utilizam o sistema operacional Windows e a extração se deu ao longo de dois anos, por um malware personalizado desconhecido, dizem os especialistas.

As informações roubadas incluem 6,6 milhões de arquivos, 26 milhões de credenciais e 2 bilhões de cookies – com 400 milhões dos últimos cookies ainda válidos no momento da descoberta do banco de dados.

O malware

De acordo com pesquisadores de cibersegurança, a ameaça é um malware furtivo e ainda sem nome, que se espalhou entre 2018 e 2020 por meio de versões crackeadas e infectadas com trojan do Adobe Photoshop, além de jogos pirateados e ferramentas de cracking do Windows. Porém, é improvável que os operadores fossem muito experientes na hora de extrair esses dados e realizar campanhas de colheita, pontuam.

“A verdade é que qualquer pessoa pode colocar as mãos em um malware personalizado. É barato, customizável e pode ser encontrado em toda a web ”, disseram os especialistas, ao divulgar a análise. Eles também comentam que existem anúncios rolando na Dark Web para esses vírus, revelando um mercado muito mais profundo e complexo. “Por exemplo, qualquer pessoa pode obter seu próprio malware personalizado e até aulas sobre como usar os dados roubados por apenas US $ 100. E quando se fala em customização, significa, literalmente, customização: os anunciantes prometem ter capacidade de criar um vírus para atacar praticamente qualquer aplicativo que o comprador precisar.”

A localização do banco de dados foi revelada acidentalmente por um grupo de hackers, ainda de acordo com os pesquisadores. O provedor de nuvem que hospeda os dados foi notificado para que o banco possa ser removido, e um consultor de segurança da web subiu os endereços de e-mail comprometidos ao seu famoso repositório HaveIBeenPwned, para que as pessoas possam verificar se foram afetadas pelo malware.

“Este incidente foi sinalizado como ‘sensível’, por isso não pode ser pesquisado publicamente”, explicou o consultor.

Milhões de arquivos roubados

Foram milhões de credenciais de login roubadas, incluindo acessos para redes sociais, marketplaces, e-mails pessoais e sites de jogos, alertam os pesquisadores. E, se os usuários não tem o hábito de atualizar suas credenciais periodicamente, muitas delas podem continuar ativas – e vulneráveis.

Os pesquisadores também descobriram que o malware armazenou 6 milhões de arquivos no front-end. Dentre eles, havia 3 milhões de arquivos de texto, mais de 1 milhão de arquivos de imagem e mais de 600.000 arquivos Word e .PDF, junto a outros tipos de arquivos menos comumente utilizados.

“Mais de 50% dos arquivos roubados eram arquivos de texto”, de acordo com a análise. “É provável que grande parte desse dossiê contenha logs de software”.

Outro ponto preocupante tem a ver com hábitos pouco seguros de usuários. “Também é alarmante que algumas pessoas usam até o Bloco de Notas para guardar suas senhas, notas pessoais e outras informações confidenciais”, comentam os especialistas.

Além disso, o malware roubou 696 mil .PNG e 224 mil arquivos de imagem .JPG, fez uma captura de tela depois de infectar o computador e também tirou uma foto usando a webcam do dispositivo.

Porta para ataques mais complexos e mais graves

“O acesso a cookies ajuda os hackers a construírem uma imagem mais precisa dos hábitos e interesses dos usuários-alvo”, contam os pesquisadores. “Em alguns casos, os cookies podem até dar acesso às contas da pessoa, caso ela tenha o hábito de se manter logada em sites frequentes”.

Mas, dependendo de quão experiente for o invasor, os cookies podem abrir portas para ataques ainda mais graves. “[Por exemplo], os cookies de compras online são usados ​​para armazenar dados do carrinho de compras enquanto o usuário navega em uma loja. No entanto, eles podem ser usados ​​para sequestrar a sessão de um comprador, possibilitando a um hacker invadir sua conta e ter acesso a seu endereço residencial e detalhes de cartão de crédito, que podem estar armazenados na loja online”.

A equipe de pesquisa descobriu que foram roubados cookies de e-commerces, sites de jogos, plataformas de compartilhamento de arquivos, plataformas de streaming de vídeo e redes sociais.

Além disso, os ciberataques que se beneficiaram desse malware parecem ter feito bom uso do vírus para atingir soluções específicas, em campanhas direcionadas. O banco de dados contém uma série de credenciais, dados de preenchimento automático e informações de pagamento roubadas de 48 aplicativos e “a pesquisa mostra que o malware visava principalmente navegadores da web, para roubar a grande maioria dos dados”, de acordo com a análise.

Os 10 principais aplicativos-alvo foram os seguintes:

  • Google Chrome (19,4 milhões de registros)
  • Mozilla FireFox (3,3 milhões de registros)
  • Opera (2 milhões de registros)
  • Internet Explorer / Microsoft Edge (1,3 milhões de registros)
  • Chromium (1 milhão de registros)
  • CocCoc (451.962 registros)
  • Outlook (111.732 registros)
  • Navegador Yandex (79.530 registros)
  • Tocha (57.427 registros)
  • Thunderbird (42.057 registros)

Como se proteger contra malwares personalizados

Infelizmente, o malware personalizado é difícil de combater quando um dispositivo é infectado, disseram os pesquisadores, porque, como se trata de uma nova ameaça, o antivírus não consegue reconhecê-lo de imediato. Portanto, a prevenção é a melhor abordagem.

Estas são as práticas recomendadas para manter seus usuários e dispositivos seguros:

  • Não confie 100% nos navegadores da Web, pois eles, sozinhos, não asseguram a proteção dados confidenciais. Use gerenciadores de senha para proteger suas credenciais e informações de preenchimento automático;
  • Malwares não podem acessar arquivos criptografados, então esta pode ser uma boa prática para proteger dados sensíveis;
  • Alguns cookies são válidos por dias, enquanto outros não expiram antes de um ano. Por isso, faça da limpeza de cookies um hábito mensal;
  • Baixe apenas softwares diretamente do site do desenvolvedor ou de fontes conhecidas e confiáveis;
  • Todo malware é reconhecido eventualmente. Certifique-se de que seu antivírus esteja sempre atualizado para não ser vítima de uma ameaça antiga!

A Compugraf oferece diferentes soluções de segurança para sua empresa, protegendo seu negócio de ponta a ponta. Converse com nossos especialistas e saiba como podemos te ajudar!

Read more
No Comments