Jump to content
  • News

    • Bruna Chieco
      Operadores de ransomware estão usando anúncios falsos maliciosos sobre atualizações do Microsoft Teams para infectar sistemas com backdoors que implantaram Cobalt Strike para comprometer o resto da rede. Segundo o BleepingComputer, os ataques têm como alvo organizações em vários setores, mas os recentes focaram no setor de educação nos Estados Unidos, que depende de soluções de videoconferência devido às restrições da Covid-19.
      Em um comunicado de segurança obtido pelo BleepingComputer, a Microsoft está alertando seus clientes sobre essas campanhas chamadas FakeUpdates, oferecendo recomendações para reduzir o impacto do ataque por meio de seu serviço Defender ATP. Os ataques foram de 2019 culminaram no ransomware DoppelPaymer, mas neste ano, as campanhas de malvertising envolvem o WastedLocker e mostram evolução técnica.
      Mais recentemente, os invasores exploraram a vulnerabilidade crítica ZeroLogon (CVE-2020-1472) para obter acesso de administrador à rede. Isso ocorreu por meio da estrutura JavaScript SocGholish, encontrada no início deste ano em dezenas de sites de jornais hackeados de propriedade da mesma empresa.
      Os anúncios falsos e maliciosos que atraem usuários desavisados a clicarem nele para instalar uma atualização foi possível a partir da alteração em resultados de mecanismos de pesquisa ou através de anúncios online maliciosos. Em pelo menos um ataque detectado pela Microsoft, os criminosos compraram um anúncio de mecanismo de busca que fez com que os principais resultados do Teams apontassem para um domínio sob seu controle.
      A Microsoft recomenda o uso de navegadores da web que podem filtrar e bloquear sites maliciosos (scam, phishing, malware e hosts de exploração), juntamente com o uso de senhas fortes e aleatórias para administradores locais. Limitar os privilégios de administrador a usuários essenciais e evitar contas de serviço em todo o domínio que tenham as mesmas permissões de um administrador também estão na lista de medidas que reduziriam o impacto de um ataque.
      Para minimizar a superfície de ataque, a Microsoft recomenda o bloqueio de arquivos executáveis que não atendam a critérios específicos ou que estejam fora de uma lista confiável mantida regularmente. Bloquear que o código JavaScript e VBScript baixe conteúdo executável também aumenta as defesas do ambiente.
       

    • Smartphones Android executando o Android 7.1 Nougat de 2016 ou anterior começarão a falhar ao tentar se conectar a sites protegidos por certificados Let's Encrypt Secure-Socket Layer (SSL)/Transport Layer Security (TLS) a partir de 1º de setembro de 2021. A Let's Encrypt é uma autoridade de certificação de código aberto popular e gratuita, protegendo mais de um bilhão de sites.
      O certificado original do Let's Encrypt, que dependia de uma assinatura cruzada da IdenTrust, "DST Root X3", expirará em 1º de setembro de 2021, segundo o ZDNet. A Let's Encrypt agora tem seu próprio certificado raiz, ISRG Root X1, e a maioria dos sistemas operacionais e navegadores podem funcionar com ele, o que não é o caso do Android. Quem estiver utilizando esses telefones mais antigos receberá uma mensagem de erro perguntando se ainda deseja acessar o site, talvez não conseguindo acessá-lo.  
      O ZDNet informa ainda que o Android tem um problema antigo e conhecido com as atualizações do sistema operacional, com muitos dispositivos no mundo executando versões desatualizadas. Quando há uma atualização para o Android, tanto o fabricante quanto a operadora de celular precisam incorporar essas mudanças em sua versão personalizada antes de enviá-las, mas alguns fabricantes decidem que o esforço não vale a pena. 
      Uma alternativa é instalar o Firefox Mobile, que atualmente suporta o Android 5.0. O Firefox é o único navegador da web que vem com sua própria lista de certificados raiz confiáveis. 

    • O STJ, TJ-PE, dentre outros órgãos brasileiros foram atacados por um ransomware conhecido pelo nome RansomExx, antigamente conhecido por Defray777.
      O site O Bastidor conseguiu a ransom note que os atacantes deixaram nas máquinas afetadas:

      Fonte: O Bastidor
      O ransomware RansomExx é normalmente operado pelo grupo criminoso conhecido pelo nome Gold Dupoint, ativo pelo menos desde Novembro de 2018, que já atacou o Departamento de Transporte do Texas (TxDOT) em maio deste ano, dentre outras vítimas.
      É TTP (Tatics, Procedure and Techniques) conhecido do Gold Dupoint o uso de loaders, pequenos softwares maliciosos com a missão de lançarem um malware no sistema afetado sem serem detectados, especialmente o Vatet Loader, o que bate com o hash apresentado no comunicado emitido pelo CAIS RNP:
      SHA1 (notepad.exe) = 9df15f471083698b818575c381e49c914dee69de O arquivo é detectado por 30 dos 72 engines de antivírus presentes no VirusTotal e vários o detectam como "Vatet", incluindo a Microsoft, que costumar ser bem assertiva em suas detecções:

      Link: https://www.virustotal.com/gui/file/ea6c3b993d830319b08871945cf2726dd6d8e62e8fed8fc42bcb053c38c78748/detection
      Os órgãos competentes estão trabalhando arduamente para a mitigação do ataque. Até agora, vimos movimentos muito importantes que valem ser citados:
      O alerta em PDF publicado pelo CAIS RNP. Uma live do CAIS RNP que acontece hoje às 10h e às 14h (informações abaixo). Todo o trabalho da PF e outras instituições na resposta ao incidente. Ao passo que também vimos movimentos questionáveis:
      A tentativa de responsabilizar o técnico do firewall e/ou o home office pelo ataque. O atual presidente ao dizer que já se sabe quem é o hacker. Uma possível associação com o caso Mari Ferrer e hashtag #estuproculposo. O total silêncio do CERT.br.  
      Live do CAIS RNP
      (texto recebido via WhatsApp)
      Prezados,
      O CAIS alerta para um recente ataque massivo de ransomware a várias organizações públicas, que afetou sistemas Vmware e Windows, cifrando arquivos de discos rígidos, dispositivos móveis e unidades de rede de computadores e servidores.
      Indícios preliminares apontam que usuários maliciosos exploraram vulnerabilidades conhecidas - e já com patches de correção disponíveis - em plataformas de virtualização e sistemas operacionais amplamente utilizadas no mercado, que permitiram a escalada de privilégios, execução de códigos e consequente infecção por ransomware nos servidores. Além das organizações públicas que sofreram impacto já noticiadas, há a possibilidade da ameaça se estender às organizações de ensino superior no Brasil.
      Por isso, em decorrência desses graves incidentes de segurança ocorridos hoje 05/11/2020, o CAIS - Centro de Atendimento a Incidentes de Segurança da RNP, recomenda a leitura e aplicação das orientações contidas no documento presente na url[1], produzido pelo SERPRO, o qual contém as ações de prevenção contra execução desses ataques em particular. Adicionalmente, o CAIS promoverá duas sessões conversas técnicas com os clientes da RNP, visando aprofundar detalhes técnicos e esclarecer quaisquer dúvidas que possam surgir quanto à exploração das vulnerabilidades identificadas, assim como às contramedidas propostas.
      Link público: https://video.rnp.br/portal/transmission.action?idItem=94137 (10h e 14h).
       
      Documentos
      Atualização em 9/Nov: Os alertas estão sendo atualizados exclusivamente pelo CTIR Gov nesta página. Desta forma, removi os documentos daqui, já que é preferível que o download seja feito da fonte.
       
      Análise do loader
      Atualização em 11/Nov: Fizemos uma análise técnica inicial do loader, o primeiro estágio do malware que comprometeu a infraestrutura do STJ:
       
       

    • A desenvolvedora de jogos japonesa Capcom revelou que sofreu um ataque cibernético que está afetando suas operações de negócios, incluindo sistemas de e-mail, informou o BleepingComputer. Em um "aviso sobre problemas de rede", a empresa afirma que começou a ter problemas com seus servidores de arquivo e e-mail na manhã de 2 de novembro de 2020. Após determinar que foi um ataque cibernético, eles interromperam parte de sua rede corporativa para evitar que o ataque se propagasse.
      "No início da madrugada de 2 de novembro de 2020, algumas das redes do Grupo Capcom tiveram problemas que afetaram o acesso a certos sistemas, incluindo e-mail e servidores de arquivos. A empresa confirmou que isso se deve ao acesso não autorizado realizado por terceiros, que interrompeu algumas operações de suas redes internas a partir de 2 de novembro", diz o comunicado obtido pelo BleepingComputer
      Desde o ataque, a Capcom tem exibido avisos em seu site alertando os visitantes de que e-mails e solicitações de documentos não serão respondidos devido ao impacto nos sistemas da empresa. A Capcom diz ainda que sua investigação atual não detectou que nenhum dado de cliente tenha sido roubado. Mesmo assim, a empresa não confirma se seus dados corporativos foram exfiltrados durante o ataque.
      Embora a Capcom não tenha declarado que se trata de um ataque de ransomware, fontes disseram ao BleepingComputer que a Capcom sofreu um ataque pelo TrickBot em agosto, o que comumente leva a ataques do ransomware Ryuk ou Conti. A operação de ransomware REvil, ironicamente nomeada em homenagem a Resident Evil, declarou em uma entrevista recente que havia violado uma “grande empresa de jogos” e iria anunciar isso em breve, mas não se sabe se essa declaração está relacionada ao ciberataque da Capcom. 

    • Falhas no navegador Chrome, do Google, para desktop e navegadores baseados em Android foram corrigidos esta semana em um esforço para evitar que exploits conhecidos sejam usados por atacantes. Segundo o ThreatPost, dois boletins de segurança separados emitidos pelo Google avisaram que a empresa está ciente de relatórios de exploits, e o Project Zero do Google deu um passo além e afirmou que ambos os bugs estão sendo explorados ativamente.
      Em sua atualização do navegador Chrome para Windows, Mac e Linux, o Google disse que a versão 86.0.4240.183 corrige 10 vulnerabilidades. Rastreado como CVE-2020-16009, esse bug é o mais preocupante, com alta severidade e um dos dois com exploits ativos. A vulnerabilidade está ligada ao mecanismo de código aberto JavaScript e WebAssembly do Google, chamado V8. Em sua divulgação, a falha é descrita como uma "implementação inadequada no V8". Se explorado, o bug V8 pode ser usado para execução remota de código.
      Quanto ao navegador Chrome baseado no sistema operacional Android, também com um exploit ativo, o Google alertou que há um bug de escape do sandbox, rastreado como CVE-2020-16010. A vulnerabilidade é classificada como de alta gravidade. O Google disse que estava retendo os detalhes técnicos de ambos os bugs enquanto aguardava a distribuição de patches para os endpoints afetados. Embora a empresa tenha afirmado que existiam exploits publicamente conhecidos para ambos os bugs, isso não indica que qualquer um deles esteja sob ataque ativo. A nova versão do Chrome Android também inclui melhorias de estabilidade e desempenho, de acordo com a equipe do Google Chrome.

    • Quase dois terços das vulnerabilidades em redes corporativas envolvem falhas com mais de dois anos que não foram corrigidas, apesar das correções estarem disponíveis. A análise da Bitdefender, divulgada pelo ZDNet, aponta que 64% de todas as vulnerabilidades não corrigidas relatadas durante o primeiro semestre de 2020 envolvem bugs conhecidos que datam de 2018 ou anos anteriores, o que significa que as organizações estão em risco de falhas que alguém deveria ter corrigido há muito tempo. A falta de patch coloca empresas em risco de ataques que poderiam ser facilmente evitados se as atualizações de segurança fossem aplicadas.
      O relatório diz ainda que a grande maioria das organizações têm vulnerabilidades não corrigidas que foram identificadas entre 2002 e 2018. Apesar da aplicação de patches ser um trabalho demorado, tedioso e pouco recompensador, para os criminosos cibernéticos as vulnerabilidades não corrigidas fornecem uma maneira simples de implantar ataques e malware. Por isso, empresas e usuários são encorajados a aplicar patches de segurança aos sistemas operacionais e software o mais rápido possível, embora os números do Relatório do Cenário de Ameaças Empresariais 2020 da Bitdefender sugiram que algumas organizações ainda demoram a aplicá-los.
      O relatório aponta ainda que 93,10% dos fatores de risco humanos envolvem funcionários usando senhas antigas para contas; 87,31% de todos os erros de configuração envolvem ter o serviço WinRM habilitado; 46,84% de todos os ataques em nível de rede relatados envolvem explorações SMB; 41,63% de todos os ataques em nível de rede relatados envolvem tentativas de força bruta em RDP e FTP; entre outros dados importantes, como o fato de que houve um aumento de 46% em incidentes suspeitos de Internet das Coisas (IoT) em residências durante a primeira metade de 2020; e que 4 em cada 10 e-mails com o tópico coronavírus são fraude, phishing ou malware.
      Acesse aqui o relatório completo, em inglês.
       

    • No último sábado o Altieres Rohr, colunista do G1, noticiou que o brasileiro Andres Alonso Bie Perez, de 14 anos, foi premiado com 25 mil dólares por encontrar e reportar uma falha no Facebook em um dos programas de bug bounty. Certamente é uma notícia e tanto e atualmente poucos assuntos recebem tanta atenção na área de segurança quanto a busca por vulnerabilidades em troca de pagamentos em programas similares. Não é de se espantar, já que os valores dos prêmios parecem ser muito mais atraentes do que os salários oferecidos no Brasil, mesmo para profissionais de tecnologia já estabelecidos.
      O que será que fez Andres ganhar uma quantia dessas? Seria sorte? Seriam os "cursos hacker"? Talvez horas e horas no YouTube assistindo "hackers"? Eu tenho um palpite: não é nenhum desses. Na própria notícia o Altieres nos conta que Andres é medalhista de prata na OBI (Olimpíada Brasileira de Informática) em 2020, competição esta que abrange o Brasil inteiro onde os melhores algoritmos para os problemas apresentados são premiados. Ou seja, Andres é um programador - e dos bons!
      Para participar da OBI, é preciso estar na escola estudando. Ou seja, Andres leva a escola a sério.
      Do G1:  O adolescente já pretendia dedicar um tempo para procurar falhas e participar do programa de "bug bounty" do Facebook, mas a descoberta que rendeu a ele o prêmio aconteceu enquanto criava um aplicativo de celular. "Naquele momento, eu não estava procurando", revela.
      Ou seja, Andres estava programando, criando um aplicativo, quando encontrou a falha. Andres sabe programar e, novamente, repito, sabe bem.
      Em resumo, para os que sonham ganharem milhares de reais em programas de bug bounty, recomendo fortemente que fuja dos cursos hacker, saia da Internet e vá programar. Grude em seus professores, invista em bons livros, se torne um programador de verdade. Não existe bom profissional de segurança da informação sem bases sólidas em computação. Ponto. Esqueça a falação e a zueira... Nada disso te ensina a pensar como um programador, muito menos como um hacker.
      Recursos não faltam. Eis alguns:
      OBI - Estude Conceitos de programação Programação Moderna em C Muito importante usar sua escola/universidade, seus professores, grupos de estudos, amigos, livros e, principalmente, sua consciência, afinal você com certeza sabe quando sabe e sabe quando não sabe.

×
×
  • Create New...