Jump to content
    • Bruna Chieco
      Uma versão falsa do aplicativo de desktop remoto AnyDesk contendo um cavalo de Troia (trojan) apareceu em meio aos anúncios dos resultados de pesquisa do Google. A empresa de segurança CrowdStrike descobriu que a campanha está ativa desde abril e aparentemente superou a própria propaganda oficial do AnyDesk no Google.
      "O uso malicioso do Google Ads é uma maneira eficaz e inteligente de obter implantação em massa de shells, pois fornece ao agente da ameaça a capacidade de escolher livremente seus alvos de interesse", diz a empresa de segurança. "Além de direcionar ferramentas como AnyDesk ou outras ferramentas administrativas, o ator da ameaça pode direcionar usuários privilegiados/administrativos de uma maneira única". 
      Por esse motivo, a equipe CrowdStrike notificou o Google sobre a atividade observada para que tomassem medidas contra a campanha de malvertising – anúncio publicitário online geralmente usado para espalhar malware na Internet – e, aparentemente, o Google rapidamente tomou as medidas adequadas, já que o anúncio não está mais sendo veiculado, segundo a empresa.
      Os criminosos por trás do anúncio malicioso conseguiram, antes de serem descobertos, evitar o policiamento de triagem anti-malvertising do Google. Como resultado, 40% daqueles que clicaram no anúncio começaram a instalar o malware, sendo que 20% dessas instalações incluíam “atividades práticas no teclado”, de acordo com o relatório publicado pela CrowdStrike.
      Os pesquisadores dizem ainda que as vítimas que baixaram o programa foram induzidas a executar um binário chamado AnyDeskSetup.exe. Depois de executado, o malware tenta iniciar um script do PowerShell. O arquivo executável falso foi assinado por "Digital IT Consultants Plus Inc.", em vez dos criadores legítimos "philandro Software GmbH".
      A CrowdStrike informa que sua equipe de inteligência continua investigando e, no momento, não atribui essa atividade a um agente de ameaça ou vínculo específico. No entanto, dada a popularidade do AnyDesk, essa pode ser uma campanha generalizada que afeta uma ampla gama de clientes. 

    • A multinacional brasileira JBS Foods sofreu um ataque cibernético que interrompeu sua produção na Austrália e nos Estados Unidos. A JBS Foods é uma empresa líder em alimentos e a maior produtora de carne do mundo, presente em 15 países e com mais de 250 mil colaboradores atuando em cerca de 400 unidades produtivas e escritórios comerciais globalmente. 
      O CEO da JBS Austrália, Brent Eastwood, confirmou o ataque nesta segunda-feira, 31 de maio, de acordo com o site Beef Central. Eastwood não soube dizer quanto tempo a paralisação australiana poderia durar, no entanto, afirmou que as operações de processamento seriam impossíveis sem o acesso normal aos sistemas de TI e Internet. 
      A JBS USA também enviou comunicado informando que foi alvo de um ataque organizado de segurança cibernética, afetando alguns dos servidores que suportam seus sistemas de TI norte-americanos e australianos. "A empresa tomou medidas imediatas, suspendendo todos os sistemas afetados, notificando as autoridades e ativando a rede global da empresa de profissionais de TI e especialistas terceirizados para resolver a situação", diz o comunicado. Os servidores de backup da empresa não foram afetados e ela diz que está trabalhando ativamente com uma empresa de Resposta a Incidentes para restaurar seus sistemas o mais rápido possível.
      A empresa diz ainda que não tem conhecimento de nenhuma evidência neste momento de que dados de clientes, fornecedores ou funcionários tenham sido comprometidos ou utilizados indevidamente como resultado da situação. "A resolução do incidente levará tempo, o que pode atrasar certas transações com clientes e fornecedores", informa o comunicado da JBS USA.
      Até o momento não há informações sobre a natureza do ataque cibernético, mas com base na escolha dos invasores de atingir os sistemas da empresa no fim de semana, o BleepingComputer afirma que há uma grande chance de que um ransomware esteja envolvido.
      Ciberataque não afeta JBS Brasil – O Mente Binária entrou em contato com a JBS Brasil por meio de sua assessoria de imprensa, que informou estar ciente do ocorrido nas operações da Austrália e dos Estados Unidos, ambas sob o guarda-chuva da JBS USA, e reforçando que o ciberataque não afetou as operações na América do Sul e no Brasil, que estão funcionando normalmente.
       
      (Crédito da Imagem: JBS)

    • Pesquisadores da NordPass analisaram dados de violações públicas que afetaram empresas da Fortune 500 – lista que contém as 500 maiores corporações dos Estados Unidos – e descobriram que o maior facilitador dessas invasões é o uso de senhas fracas. Os dados analisados incluíram 15.603.438 violações e em 17 setores diferentes, e a lista de senhas foi compilada em parceria com uma empresa terceirizada, especializada em pesquisa de violação de dados.
      Entre as descobertas da empresa estão a frequência com que as senhas dessas empresas aparecem em violações de dados; qual o percentual de senhas exclusivas no setor; e quais são as principais senhas. 
      Os pesquisadores apontam que 20% das senhas eram o nome exato da empresa ou sua variação, sendo que o setor de hospitalidade – hospedagem, serviço de alimentação e bebidas – detém a maioria desse tipo de senhas. “Password” ("senha", em inglês) também é uma das senhas mais populares em todas as indústrias mapeadas pela NordPass na pesquisa.
      Senhas com números sequenciais, como "123456", também são bem comuns em todos os setores, aponta a pesquisa. "As empresas e seus funcionários têm o dever de proteger os dados de seus clientes. Uma senha fraca de um funcionário poderia colocar em risco toda a empresa se um invasor usasse a senha violada para obter acesso a dados confidenciais”, disse Chad Hammond, especialista em segurança da NordPass, em comunicado à imprensa.
      A pesquisa também mostra o número de número de violações de dados que afetam cada setor, sendo que bens e consumo é a categoria com maior número de invasões, totalizado 942.289 violações. Os setores de finanças, telecomunicações, automotivo, aeroespacial, transporte e logística e hospitalidade também figuram entre os mais invadidos.

    • Um cibercriminoso russo suspeito de comandar uma plataforma conhecida como Deer.io foi condenado a 30 meses (2 anos e meio) de prisão. Segundo o Departamento de Justiça dos Estados Unidos, a Deer.io permitia que criminosos adquirissem acesso a vitrines para venderem seus produtos ou serviços criminosos. Aparentemente, havia mais de 24 mil lojas ativas com vendas superiores a US$ 17 milhões. 
      Segundo o Cyber Scoop, Kirill Victorovich Firsov foi preso pela primeira vez no ano passado e se declarou culpado das acusações em janeiro deste ano. Firsov foi acusado de administrar o site Deer.io, que hospedava lojas de outros cibercriminosos, desde 2013. Muitas das transações envolveram nomes, endereços, números de telefone e números do seguro social de cidadãos americanos. 
      A plataforma foi derrubada pelo FBI em 2020, em uma operação que envolveu a compra de aproximadamente 1,1 contas da loja por menos de U$ 20 em Bitcoin. Assim que o pagamento foi concluído, o FBI obteve acesso às contas, incluindo o nome de usuário e a senha de cada uma. 
      O ZDNet informa também que, na sentença, o promotor afirmou que Firsov sabia que o Deer.io estava vendendo contas roubadas e falsificadas, porque ele construiu a plataforma, que incluía uma série de ícones para empresas sediadas nos Estados Unidos. Mesmo vendendo contas roubadas, o Deer.io não foi mantido em sigilo e não exigiu nenhuma senha especial para acesso.

    • Os computadores quânticos, se amadurecerem o suficiente, serão capazes de quebrar grande parte da criptografia atual, revelando comunicações privadas, dados de empresas e segredos militares. Segundo reportagem do CNet, os computadores quânticos atuais são muito primitivos para isso, mas os dados recolhidos agora ainda podem ser sensíveis quando eles se tornarem mais poderosos.
      Os computadores quânticos do futuro também poderão quebrar as assinaturas digitais que garantem a integridade das atualizações de aplicativos, navegadores, sistemas operacionais e outros softwares, abrindo um caminho para ataques de malware.
      Para o algoritmo de criptografia RSA de hoje, um computador convencional precisaria de cerca de 300 trilhões de anos para quebrar as comunicações protegidas com uma chave digital de 2.048 bits. Mas um computador quântico alimentado por 4.099 qubits precisaria de apenas 10 segundos.
      Essa é uma vulnerabilidade potencial da qual a indústria de computação está ciente, afirma a reportagem, sendo que algumas empresas estão em uma força-tarefa para criar, testar e adotar novos algoritmos de criptografia impermeáveis aos computadores quânticos. Algumas dessas empresas, incluindo IBM e Thales, já começaram a oferecer produtos protegidos pela chamada criptografia pós-quântica, diz o CNet.
      A criptografia quantum-safe será utilizada em laptops, telefones, navegadores da web e outros produtos atualizados, mas o problema mesmo será aplicá-la em empresas, governos e serviços de computação em nuvem, que devem projetar e instalar a tecnologia, promovendo uma mudança muito complexa. 
      Empresas estão desenvolvendo computadores quânticos – Na Google I/O, conferência de programadores organizada anualmente pelo Google, realizada este mês, a empresa informou que um novo centro de computação quântica será criado com o objetivo de construir um computador quântico até 2029. Outras empresas de tecnologia, como Honeywell, IBM, Intel e a Microsoft também estão na corrida para construir os primeiros computadores quânticos. 
      Enquanto isso, o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos está liderando o esforço global para encontrar algoritmos de criptografia pós-quântica que sejam rápidos e confiáveis. Até o momento, o trabalho se concentra em duas tarefas de criptografia: troca de chaves digitais e adição de assinaturas digitais.
      Os algoritmos de criptografia exigem um exame minucioso antes que possam ser confiáveis para proteger senhas, números de cartão de crédito, registros financeiros e outras informações confidenciais. 
      A transição quântica é mais difícil do que algumas atualizações de criptografia anteriores. Um dos problemas é os tamanhos das chaves digitais, que provavelmente serão maiores, exigindo mais memória para processá-los. Alterar algoritmos não será uma troca simples. Especialistas recomendam que seja feita uma abordagem híbrida que protege duplamente os dados com criptografia de segurança convencional e pós-quântica. 
      (Imagem: IBM Q System One, primeiro computador quântico comercial de 20 qubits. Crédito da imagem: IBM)

    • A Apple disponibilizou o macOS Big Sur 11.4, e a recomendação é que os usuários de MacBook façam uma atualização o mais rápido possível. Isso porque um malware que faz capturas de tela secretamente foi detectado explorando uma séria falha na segurança do macOS.
      A falha pode ser explorada para gravação de vídeo ou acesso a arquivos, tornando a correção mais urgente. A descoberta foi feita pela empresa de segurança cibernética Jamf durante a pesquisa sobre o malware XCSSET, descoberto pela Trend Micro em 2020. 
      "Descobrimos que esse desvio está sendo explorado ativamente durante a análise adicional do malware XCSSET, após notar um aumento significativo de variantes detectadas por aí. A equipe de detecção observou que, uma vez instalado no sistema da vítima, o XCSSET estava usando esse desvio especificamente com o objetivo de tirar capturas de tela da área de trabalho do usuário sem exigir permissões adicionais", diz a empresa.
      A Jamf destaca que o malware foi escrito em AppleScript, uma linguagem de script desenvolvida pela Apple, facilitando o controle sobre aplicativos Mac. Na maior parte do tempo, o autor do malware aproveita AppleScripts em sua cadeia de ataque devido à facilidade com que lida com muitos comandos bash, até mesmo baixando e/ou executando scripts Python, tentando sempre ofuscar suas intenções usando várias linguagens de script.
      A empresa traz mais detalhes de como funciona o malware, e alerta para que usuários atualizem seus sistemas, já que a Apple corrigiu recentemente esse problema, evitando que o XCSSET abuse dessa vulnerabilidade no futuro.

    • Os desenvolvedores do ransomware Zeppelin retomaram suas atividades após um período de silêncio de alguns meses. Segundo o BleepingComputer, uma variante recente do malware foi disponibilizada em um fórum clandestino no final do mês passado e descoberta pela empresa de prevenção de ameaças e perdas Advanced Intel (AdvIntel).
      O ransomware Zeppelin também é conhecido como Buran e tem sua origem na família Vega/VegaLocker, um ransomware como serviço baseado em Delphi observado em fóruns de hackers de língua russa em 2019. A cepa Zeppelin é vendida em fóruns clandestinos, permitindo que os compradores decidam como querem usar o malware.
      Isso contrasta com as operações de ransomware como serviço clássicas, em que os desenvolvedores geralmente procuram parceiros para invadir a rede da vítima, roubar dados e implantar o malware de criptografia de arquivo, dividindo os resgates pagos.
      Os desenvolvedores anunciaram uma atualização para o ransomware junto com uma nova rodada de vendas pelo valor de US$ 2,3 mil por núcleo construído. Após a atualização, os desenvolvedores do Zeppelin lançaram a nova variante com poucas mudanças em termos de recursos, aumentando a estabilidade da criptografia.
      Características do Zeppelin – Segundo a AdvIntel, o Zeppelin é uma das poucas operações de ransomware no mercado que não adota o modelo como serviço puro. Os desenvolvedores trabalham supostamente em um escopo de operações mais amplo com parceiros próximos que compraram o malware.
      A empresa de segurança alerta que o Zeppelin pode dificultar o combate à ameaça do ransomware, pois o acesso ao malware permite que outros desenvolvedores roubem recursos de seus produtos. Ela afirma ainda que os usuários do Zeppelin são compradores individuais que não complicam seus ataques e contam com vetores de ataque iniciais comuns.
      Além disso, os operadores do Zeppelin não têm um site de vazamento, como a maioria dos grupos de ransomware como serviço. Eles se concentram em criptografar os dados, mas não em roubá-los. Assim, a AdvIntel pontua que o ransomware Zeppelin é preocupante, pois os ataques com essa cepa podem ser difíceis de detectar, especialmente quando novos downloaders são usados.

×
×
  • Create New...