Jump to content
  • News

    • Leandro Fróes
      Depois de muita espera a NSA anunciou oficialmente a inclusão de um debugger no Guidra na sua versão 10.0. Depois de muita discussão sobre esta possibilidade o time de desenvolvimento do framework lançou uma release beta da versão 10.0 ontem!
      Neste momento o debugger suporta analisar aplicações em userland e consegue debuggar tanto binários Windows quanto Linux (utilizando o gdb neste caso). Para quem quer começar logo de cara o Guidra disponibiliza um tutorial de início rápido em Help -> Guidra Functionality -> Debugger -> Getting Started:

      Existem várias formas de iniciar o debugger, desde clicando com o Botão direito -> Open With -> Debugger até direto da sua Project Window do Guidra clicando no ícone de "bug" debaixo de "Tool Chest", como mostrado abaixo:

      Uma vez que a ferramenta é inicializada você deve importar o arquivo a ser depurado para a ferramenta. Uma das formas de fazer isto é simplesmente o arrastando da Project Window. Uma fez carregado podemos ver a cara do mais novo debugger do Guidra:

      Algumas das funcionalidades são: debugging remoto utilizando GDB e windbg, rodar o debugger direto no programa do qual você está analizando estaticamente e tracing de memória.
      Além disso ele também conta com as funcionalidades básicas de um debugger como utilização de breakpoints, listagem de regiões de memória mapeadas, estados dos registradores e uma interface de linha de comando própria.
      Todas as funcionalidades listadas aqui possuem sua própria View, isto é, sua própria janela dentro da ferramenta:


      Vale lembrar que esta release está em sua versão beta e tem como objetivo principal coletar o feedback da comunidade. Caso queira dar uma testada e/ou dar um feedback pra galera do Guidra basta baixar a release clicando no botão abaixo 😉.


    • A multinacional japonesa Fujifilm confirmou oficialmente que sofreu um ataque de ransomware no início desta semana, interrompendo as operações de negócios. A empresa publicou em seu site um comunicado atualizado em 3 de junho de 2021 informando que o ataque ocorreu no dia 1º deste mês.
      "Em 1º de junho, a Fujifilm Corporation em Tóquio tomou conhecimento da possibilidade de um ataque de ransomware. Por excesso de cautela, a Fujifilm Corporation imediatamente tomou a medida preventiva de desligar sua rede e servidores em todas as regiões", diz o aviso.
      Após uma investigação inicial, a empresa diz não haver evidências de qualquer impacto na rede ou em quaisquer servidores ou outros equipamentos ou sistemas de rede na região das Américas, incluindo e-mail, e que não detectou nenhuma perda, destruição, alteração ou uso não autorizado de dados de sistemas nesta região. "Dessa forma, colocamos a rede, os servidores e os sistemas eletrônicos das Américas novamente online em 3 de junho", informou. "Esperamos que nossos negócios na região das Américas estejam totalmente operacionais em 4 de junho", complementa o comunicado.
      Em conversas com funcionários da Fujifilm, o BleepingComputer soube anteriormente que o problema já era conhecido internamente como um ataque causado por ransomware e que a empresa foi forçada a derrubar partes de sua rede em todo o mundo. A interrupção da rede impediu o acesso ao e-mail, ao sistema de faturamento e a um sistema de relatórios. Não se sabe se a Fujifilm pagou o resgate.

    • Com o crescimento da indústria de videogames, os atacantes voltaram suas atenções para esse universo, com diversos sites e fóruns clandestinos compartilhando ferramentas ilegais que exploram uma maneira de trapacear nos jogos. Uma reportagem da Vice conta sobre como as trapaças são consideradas pela indústria de games uma espiral negativa que pode matar um jogo. 
      Elas fazem com que os jogadores saiam dos jogos, especialmente os gratuitos, onde os jogadores são mais propensos a comprar itens para continuar jogando, prejudicando os resultados financeiros dos editores. 
      Muitos desenvolvedores de jogos têm equipes anti-cheat dedicadas que tentam detectar e banir trapaceiros e tentar corrigir as vulnerabilidades que eles estavam explorando. Apesar dos esforços dos criadores de jogos, trapacear ainda é um problema em jogos online, porque os jogadores estão dispostos a pagar pelos cheats, alimentando uma indústria lucrativa. "Existem desenvolvedores de trapaça que conhecemos que ganham mais de US$ 2 milhões por mês", disse o funcionário de uma empresa de videogames com conhecimento de organizações trapaceiras à Vice. 
      Segundo a reportagem, 7 anos atrás, um desenvolvedor de truques alegou que estava ganhando US$ 1,25 milhão por ano; mais recentemente, um hacker revelou que por 20 anos viveu trapaceando e explorando vulnerabilidades em jogos. As empresas de videogames processaram vários fabricantes de truques, reivindicando milhões de dólares em perdas e, em alguns desses processos, os juízes condenaram os fabricantes de cheats a pagarem milhões.
      Membros de grupos de cheats são presos – Desenvolver e vender cheats na China é considerado crime de hacking. No ano passado, as autoridades condenaram cinco homens a seis a nove meses de prisão por desenvolver e vender fraudes do Peacekeeper Elite (nome do jogo PUBG Mobile na China). No início deste ano, um homem foi condenado a 3 anos de prisão e multa de 100 mil yuans chineses (cerca de US$ 15 mil) por desenvolver e vender cheats para Knives Out, outro jogo mobile. 
      O Chicken Drumstick, um grupo de trapaça de games que ganhou mais de US$ 70 milhões apenas vendendo cheats para o jogo PUBG Mobile, também foi desmantelado em uma operação da polícia chinesa que trabalhava em uma investigação junto à Tencent, empresa de tecnologia chinesa e editora do PUBG Mobile. 
      Isso fez com que a operação que continha cerca de 600 mil usuários ativos por mês fosse encerrada, sendo que o principal desenvolvedor dos cheats literalmente destruiu seus discos para evitar ser pego.

    • Uma versão falsa do aplicativo de desktop remoto AnyDesk contendo um cavalo de Troia (trojan) apareceu em meio aos anúncios dos resultados de pesquisa do Google. A empresa de segurança CrowdStrike descobriu que a campanha está ativa desde abril e aparentemente superou a própria propaganda oficial do AnyDesk no Google.
      "O uso malicioso do Google Ads é uma maneira eficaz e inteligente de obter implantação em massa de shells, pois fornece ao agente da ameaça a capacidade de escolher livremente seus alvos de interesse", diz a empresa de segurança. "Além de direcionar ferramentas como AnyDesk ou outras ferramentas administrativas, o ator da ameaça pode direcionar usuários privilegiados/administrativos de uma maneira única". 
      Por esse motivo, a equipe CrowdStrike notificou o Google sobre a atividade observada para que tomassem medidas contra a campanha de malvertising – anúncio publicitário online geralmente usado para espalhar malware na Internet – e, aparentemente, o Google rapidamente tomou as medidas adequadas, já que o anúncio não está mais sendo veiculado, segundo a empresa.
      Os criminosos por trás do anúncio malicioso conseguiram, antes de serem descobertos, evitar o policiamento de triagem anti-malvertising do Google. Como resultado, 40% daqueles que clicaram no anúncio começaram a instalar o malware, sendo que 20% dessas instalações incluíam “atividades práticas no teclado”, de acordo com o relatório publicado pela CrowdStrike.
      Os pesquisadores dizem ainda que as vítimas que baixaram o programa foram induzidas a executar um binário chamado AnyDeskSetup.exe. Depois de executado, o malware tenta iniciar um script do PowerShell. O arquivo executável falso foi assinado por "Digital IT Consultants Plus Inc.", em vez dos criadores legítimos "philandro Software GmbH".
      A CrowdStrike informa que sua equipe de inteligência continua investigando e, no momento, não atribui essa atividade a um agente de ameaça ou vínculo específico. No entanto, dada a popularidade do AnyDesk, essa pode ser uma campanha generalizada que afeta uma ampla gama de clientes. 

    • A multinacional brasileira JBS Foods sofreu um ataque cibernético que interrompeu sua produção na Austrália e nos Estados Unidos. A JBS Foods é uma empresa líder em alimentos e a maior produtora de carne do mundo, presente em 15 países e com mais de 250 mil colaboradores atuando em cerca de 400 unidades produtivas e escritórios comerciais globalmente. 
      O CEO da JBS Austrália, Brent Eastwood, confirmou o ataque nesta segunda-feira, 31 de maio, de acordo com o site Beef Central. Eastwood não soube dizer quanto tempo a paralisação australiana poderia durar, no entanto, afirmou que as operações de processamento seriam impossíveis sem o acesso normal aos sistemas de TI e Internet. 
      A JBS USA também enviou comunicado informando que foi alvo de um ataque organizado de segurança cibernética, afetando alguns dos servidores que suportam seus sistemas de TI norte-americanos e australianos. "A empresa tomou medidas imediatas, suspendendo todos os sistemas afetados, notificando as autoridades e ativando a rede global da empresa de profissionais de TI e especialistas terceirizados para resolver a situação", diz o comunicado. Os servidores de backup da empresa não foram afetados e ela diz que está trabalhando ativamente com uma empresa de Resposta a Incidentes para restaurar seus sistemas o mais rápido possível.
      A empresa diz ainda que não tem conhecimento de nenhuma evidência neste momento de que dados de clientes, fornecedores ou funcionários tenham sido comprometidos ou utilizados indevidamente como resultado da situação. "A resolução do incidente levará tempo, o que pode atrasar certas transações com clientes e fornecedores", informa o comunicado da JBS USA.
      Até o momento não há informações sobre a natureza do ataque cibernético, mas com base na escolha dos invasores de atingir os sistemas da empresa no fim de semana, o BleepingComputer afirma que há uma grande chance de que um ransomware esteja envolvido.
      Ciberataque não afeta JBS Brasil – O Mente Binária entrou em contato com a JBS Brasil por meio de sua assessoria de imprensa, que informou estar ciente do ocorrido nas operações da Austrália e dos Estados Unidos, ambas sob o guarda-chuva da JBS USA, e reforçando que o ciberataque não afetou as operações na América do Sul e no Brasil, que estão funcionando normalmente.
       
      (Crédito da Imagem: JBS)

    • Pesquisadores da NordPass analisaram dados de violações públicas que afetaram empresas da Fortune 500 – lista que contém as 500 maiores corporações dos Estados Unidos – e descobriram que o maior facilitador dessas invasões é o uso de senhas fracas. Os dados analisados incluíram 15.603.438 violações e em 17 setores diferentes, e a lista de senhas foi compilada em parceria com uma empresa terceirizada, especializada em pesquisa de violação de dados.
      Entre as descobertas da empresa estão a frequência com que as senhas dessas empresas aparecem em violações de dados; qual o percentual de senhas exclusivas no setor; e quais são as principais senhas. 
      Os pesquisadores apontam que 20% das senhas eram o nome exato da empresa ou sua variação, sendo que o setor de hospitalidade – hospedagem, serviço de alimentação e bebidas – detém a maioria desse tipo de senhas. “Password” ("senha", em inglês) também é uma das senhas mais populares em todas as indústrias mapeadas pela NordPass na pesquisa.
      Senhas com números sequenciais, como "123456", também são bem comuns em todos os setores, aponta a pesquisa. "As empresas e seus funcionários têm o dever de proteger os dados de seus clientes. Uma senha fraca de um funcionário poderia colocar em risco toda a empresa se um invasor usasse a senha violada para obter acesso a dados confidenciais”, disse Chad Hammond, especialista em segurança da NordPass, em comunicado à imprensa.
      A pesquisa também mostra o número de número de violações de dados que afetam cada setor, sendo que bens e consumo é a categoria com maior número de invasões, totalizado 942.289 violações. Os setores de finanças, telecomunicações, automotivo, aeroespacial, transporte e logística e hospitalidade também figuram entre os mais invadidos.

    • Um cibercriminoso russo suspeito de comandar uma plataforma conhecida como Deer.io foi condenado a 30 meses (2 anos e meio) de prisão. Segundo o Departamento de Justiça dos Estados Unidos, a Deer.io permitia que criminosos adquirissem acesso a vitrines para venderem seus produtos ou serviços criminosos. Aparentemente, havia mais de 24 mil lojas ativas com vendas superiores a US$ 17 milhões. 
      Segundo o Cyber Scoop, Kirill Victorovich Firsov foi preso pela primeira vez no ano passado e se declarou culpado das acusações em janeiro deste ano. Firsov foi acusado de administrar o site Deer.io, que hospedava lojas de outros cibercriminosos, desde 2013. Muitas das transações envolveram nomes, endereços, números de telefone e números do seguro social de cidadãos americanos. 
      A plataforma foi derrubada pelo FBI em 2020, em uma operação que envolveu a compra de aproximadamente 1,1 contas da loja por menos de U$ 20 em Bitcoin. Assim que o pagamento foi concluído, o FBI obteve acesso às contas, incluindo o nome de usuário e a senha de cada uma. 
      O ZDNet informa também que, na sentença, o promotor afirmou que Firsov sabia que o Deer.io estava vendendo contas roubadas e falsificadas, porque ele construiu a plataforma, que incluía uma série de ícones para empresas sediadas nos Estados Unidos. Mesmo vendendo contas roubadas, o Deer.io não foi mantido em sigilo e não exigiu nenhuma senha especial para acesso.

×
×
  • Create New...