Jump to content
    • Bruna Chieco
      O secretário-geral da Interpol, Jürgen Stock (foto), convocou agências policiais em todo o mundo para formar uma coalizão global com parceiros da indústria para prevenir uma potencial pandemia de ransomware. A intenção é interromper efetivamente o ransomware ao adotar a mesma colaboração internacional usada para combater o terrorismo, o tráfico humano ou grupos de máfia.
      Segundo comunicado da Interpol, a convocação para expandir a colaboração contra o ransomware foi feita a partir de uma preocupação com o crescimento exponencial desse tipo de ataque no ecossistema do crime cibernético mais amplo, já que criminosos estão mudando seu modelo de negócios para fornecer Ransomware-as-a-Service (ransomware como serviço).
      O Secretário-Geral da Interpol afirmou que os criminosos de ransomware estão continuamente adaptando suas táticas, operando sem fronteiras e quase com impunidade. “Assim como a pandemia, o ransomware está evoluindo para diferentes variantes, proporcionando altos lucros financeiros aos criminosos”, disse. Ele alertou ainda que o ransomware se tornou uma ameaça muito grande para qualquer entidade ou setor resolver sozinho, e a magnitude desse desafio exige urgentemente uma ação global unida, colocando a Interpol como facilitadora.
      O Fórum Econômico Mundial está atuando em parceria com a Interpol para moldar arquiteturas globais que apoiem essa colaboração e explorem maneiras de encorajar medidas responsáveis. “O ransomware está emergindo como o equivalente ao 'Velho Oeste' do espaço digital, onde qualquer pessoa, em qualquer ponto do tempo, pode se tornar uma vítima. Limitar o ransomware exige esforços coletivos de todos para melhorar a higiene cibernética em todos os setores, aumentar os custos e riscos para os cibercriminosos por meio de esforços disruptivos e reduzir a recompensa aos criminosos”, disse Tal Goldstein, chefe de estratégia do Centro de Segurança Cibernética do Fórum Econômico Mundial.
      (Crédito da imagem: Interpol)

    • Uma campanha sofisticada, ativa por pelo menos um ano, tem como alvo grandes empresas internacionais nos setores de energia, petróleo e gás e eletrônicos. Pesquisadores da Intezer descobriram o ataque, que também é direcionado a fornecedores de petróleo e gás, possivelmente indicando que esta é apenas a primeira fase de uma campanha mais ampla. 
      No caso de uma violação bem-sucedida, o invasor é capaz de usar a conta de e-mail comprometida para espalhar phishing em empresas que trabalham com o fornecedor, usando sua reputação estabelecida para ir atrás de entidades mais visadas.
      Segundo os pesquisadores, os atacantes usam e-mails falsificados e com erros de digitação para iniciar o ataque. A campanha se espalha por meio de e-mails de phishing feitos sob medida para os funcionários de cada empresa visada, e o conteúdo e o remetente dos e-mails parecem ser enviados por outra empresa no setor relevante, oferecendo uma parceria ou oportunidade de negócios. 
      Cada e-mail possui um anexo, geralmente um arquivo IMG, ISO ou CAB, que são formatos de arquivo comumente usados por invasores para evitar a detecção de verificadores antivírus baseados em e-mail. Ao abrir o anexo e clicar em um dos arquivos contidos, a vítima permite a execução de um um ladrão de informações.
      A Intezer descreveu o vetor de ataque, os motivos e táticas dos invasores usados na campanha. Leia mais (em inglês).

    • Um suposto cibercriminoso foi detido no Marrocos após investigação conjunta de dois anos pela Interpol, a polícia marroquina e o Group-IB por meio da Operação Lyrebird. O comunicado da Interpol afirma que o suspeito, agindo sob o nome de Dr. Hex, realizava atividades globais de phishing e fraudes, envolvendo inclusive cartão de crédito. Seus alvos seriam empresas de comunicação de língua francesa, bancos múltiplos e empresas multinacionais. 
      O Group-IB, fornecedor de soluções voltadas para a detecção e prevenção de ataques cibernéticos, disse que o suspeito estava envolvido em ataques a 134 sites que ocorreram entre 2009 e 2018.
      O suspeito teria ajudado a desenvolver kits de carding e phishing, que foram vendidos a outros indivíduos por meio de fóruns online para facilitar campanhas maliciosas semelhantes contra as vítimas.
       

    • Os analistas de malware do Doctor Web descobriram aplicativos maliciosos no Google Play que roubam logins e senhas de usuários do Facebook. Esses cavalos de Troia (trojans) foram espalhados como softwares inofensivos e instalados mais de 5.856.010 vezes, dizem os pesquisadores.
      Os aplicativos maliciosos foram detectados com os nomes Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.17 ou Android.PWS.Facebook.18, de acordo com a empresa. Todas são pequenas variações do mesmo código. No total, os especialistas descobriram 10 desses aplicativos de trojan, sendo que nove estavam disponíveis no Google Play. Veja abaixo quais são os apps:
      Software de edição de fotos Processing Photo. Ele é detectado pelo Dr.Web Anti-Virus como Android.PWS.Facebook.13 e foi espalhado pelo desenvolvedor chikumburahamilton, sendo instalado mais de 500 mil vezes; Aplicativos que permitiam limitações de acesso para usar outro software instalado em dispositivos Android: App Lock Keep do desenvolvedor Sheralaw Rence, App Lock Manager do desenvolvedor Implummet col e Lockit Master do desenvolvedor Enali mchicolo – todos detectados como Android.PWS.Facebook.13. Eles foram baixados pelo menos 50 mil, 10 e 5 mil vezes, respectivamente; Limpador de lixo do desenvolvedor SNT.rbcl – um utilitário para otimizar o desempenho do dispositivo Android. Ele foi baixado mais de 100 mil vezes. O Dr.Web o detecta como Android.PWS.Facebook.13.; Programas de astrologia Horoscope Daily do desenvolvedor HscopeDaily momo, e Horoscope Pi do desenvolvedor Talleyr Shauna, também detectados como Android.PWS.Facebook.13. O primeiro teve mais de 100 mil instalações, enquanto o último, mais de mil instalações; Programa de condicionamento físico chamado Inwell Fitness e detectado como Android.PWS.Facebook.14 do desenvolvedor Reuben Germaine. Possui mais de 100 mil instalações; Aplicativo de edição de imagens chamado PIP Photo foi divulgado pela desenvolvedora Lillians. Suas várias versões são detectadas como Android.PWS.Facebook.17 e Android.PWS.Facebook.18. Este aplicativo tem mais de 5 milhões de downloads. Após o relatório dos especialistas do Doctor Web ao Google, parte desses aplicativos maliciosos foi removida do Google Play.

    • O ataque cibernético da gangue de ransomware Revil a empresas da cadeia de suprimentos da companhia americana Kaseya pode ter atingido até 1,5 mil negócios. A informação foi fornecida pela própria Kaseya em comunicado divulgado nesta terça-feira, 6 de julho.
      O ataque coordenado ocorreu na última sexta-feira e afetou empresas usuárias do produto da Kaseya chamado VSA, que oferece uma série de funções típicas de administração remota. Saiba mais na edição do 0news desta segunda-feira.
      Segundo o comunicado da companhia, cerca de 800 mil a 1 milhão de pequenas empresas ou empresas locais são gerenciadas pelos clientes da Kaseya, e apenas cerca de 800 a 1,5 mil foram comprometidas. A Kaseya afirma ainda que respondeu rapidamente ao ataque de ransomware, mitigando o impacto.
      O comunicado conta que a Kaseya foi alertada sobre um possível ataque de fontes internas e externas no dia 2 de julho, fechando imediatamente o acesso ao software em questão, o que fez com que apenas aproximadamente 50 dos mais de 35 mil clientes da Kaseya fossem violados.
      Depois disso, uma equipe interna de resposta a incidentes, em parceria com especialistas do setor em investigações forenses, entrou em ação para determinar a natureza do ataque. Agências governamentais de segurança cibernética e de aplicação da lei, incluindo o FBI e a Agência de Segurança Cibernética e Infraestrutura (CISA), foram notificadas.
      A maioria dos clientes da Kaseya são provedores de serviços gerenciados, usando a tecnologia da companhia para gerenciar a infraestrutura de TI para empresas locais e pequenas com menos de 30 funcionários, como consultórios de dentistas, pequenos escritórios de contabilidade e restaurantes locais.“Nossas equipes globais estão trabalhando 24 horas por dia para colocar nossos clientes de volta em operação”, disse Fred Voccola, CEO da Kaseya, no comunicado. 
      (Imagem: Divulgação/Facebook)

    • Organizações estão perdendo milhões de dólares em receita a cada ano devido ao vazamento de códigos de infraestrutura, credenciais e tokens. Um relatório da 1Password aponta que o gerenciamento deficiente desses segredos está tornando mais fácil para os invasores encontrarem seu caminho e, depois que eles entram, ter recompensas grandes. As empresas que experimentaram vazamento de segredos, resultando em prejuízos financeiros, perderam em média US$ 1,2 milhão em receita, diz o estudo.
      O levantamento feito com 500 empresas de TI e DevOps sobre como lidam com os segredos que alimentam sua infraestrutura digital diz ainda que quatro em cada cinco empresas não estão gerenciando bem seus segredos, o que as deixa vulneráveis a ataques. Por conta disso, 60% das empresas pesquisadas experimentaram vazamento de segredos de algum tipo. Além disso, mais de três em cada quatro funcionários de TI e DevOps ainda têm acesso aos segredos de infraestrutura de seu antigo empregador. 
      A falta de foco na segurança é uma decorrência do aumento do ritmo de entrega de software e a busca por cronogramas acelerados, diz o estudo, o que faz com que os desenvolvedores geralmente sejam forçados a escolher entre velocidade e segurança, deixando os segredos de infraestrutura, como tokens de API, chaves SSH e certificados privados em arquivos de configuração ou próximos ao código-fonte para fácil acesso. Quanto mais fácil for para os desenvolvedores acessar esses segredos, mais fácil será também para os invasores acessá-los.
      Cerca de 80% das empresas pesquisadas admitem não gerenciar bem seus segredos, e 52% dos funcionários de TI e DevOps admitem que a explosão dos aplicativos em nuvem tornou o gerenciamento de segredos mais difícil. Na falta de uma solução ou estrutura de gerenciamento de segredos dedicada, eles precisam lidar com os segredos de maneira aleatória e ad hoc, gastando cerca de 25 minutos por dia apenas no gerenciamento de segredos a um custo coletivo de US$ 8,5 bilhões por ano.

    • A gangue Babuk parece ter voltado ao antigo hábito de criptografar redes corporativas. Segundo o BleepingComputer, os criminosos tinham anunciado sua saída do negócio em abril, mas estão atualmente usando uma nova versão de seu malware de criptografia de arquivos e mudaram a operação para um novo site de vazamento.
      O grupo de ransomware Babuk ficou conhecido no início do ano, mas alega que seus ataques começaram em meados de outubro de 2020, visando empresas em todo o mundo e exigindo resgates entre $ 60 mil e $ 85 mil em Bitcoin. 
      Uma das vítimas mais divulgadas é o Departamento de Polícia Metropolitana (MPD) de Washinton DC. O BleepingComputer diz que esse ataque provavelmente levou a gangue a anunciar sua aposentadoria do negócio de ransomware apenas para adotar outro modelo de extorsão que não incluía criptografia.
      A gangue também anunciou planos de lançar seu malware para que outros cibercriminosos pudessem iniciar uma operação de ransomware como serviço, e acabou publicando seu construtor, uma ferramenta que gera ransomware personalizado. O pesquisador de segurança Kevin Beaumont o encontrou no VirusTotal e compartilhou as informações para ajudar a comunidade de segurança na detecção e descriptografia.

×
×
  • Create New...