Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Fernando Mercês
      O STJ, TJ-PE, dentre outros órgãos brasileiros foram atacados por um ransomware conhecido pelo nome RansomExx, antigamente conhecido por Defray777.
      O site O Bastidor conseguiu a ransom note que os atacantes deixaram nas máquinas afetadas:

      Fonte: O Bastidor
      O ransomware RansomExx é normalmente operado pelo grupo criminoso conhecido pelo nome Gold Dupoint, ativo pelo menos desde Novembro de 2018, que já atacou o Departamento de Transporte do Texas (TxDOT) em maio deste ano, dentre outras vítimas.
      É TTP (Tatics, Procedure and Techniques) conhecido do Gold Dupoint o uso de loaders, pequenos softwares maliciosos com a missão de lançarem um malware no sistema afetado sem serem detectados, especialmente o Vatet Loader, o que bate com o hash apresentado no comunicado emitido pelo CAIS RNP:
      SHA1 (notepad.exe) = 9df15f471083698b818575c381e49c914dee69de O arquivo é detectado por 30 dos 72 engines de antivírus presentes no VirusTotal e vários o detectam como "Vatet", incluindo a Microsoft, que costumar ser bem assertiva em suas detecções:

      Link: https://www.virustotal.com/gui/file/ea6c3b993d830319b08871945cf2726dd6d8e62e8fed8fc42bcb053c38c78748/detection
      Os órgãos competentes estão trabalhando arduamente para a mitigação do ataque. Até agora, vimos movimentos muito importantes que valem ser citados:
      O alerta em PDF publicado pelo CAIS RNP. Uma live do CAIS RNP que acontece hoje às 10h e às 14h (informações abaixo). Todo o trabalho da PF e outras instituições na resposta ao incidente. Ao passo que também vimos movimentos questionáveis:
      A tentativa de responsabilizar o técnico do firewall e/ou o home office pelo ataque. O atual presidente ao dizer que já se sabe quem é o hacker. Uma possível associação com o caso Mari Ferrer e hashtag #estuproculposo. O total silêncio do CERT.br.  
      Live do CAIS RNP
      (texto recebido via WhatsApp)
      Prezados,
      O CAIS alerta para um recente ataque massivo de ransomware a várias organizações públicas, que afetou sistemas Vmware e Windows, cifrando arquivos de discos rígidos, dispositivos móveis e unidades de rede de computadores e servidores.
      Indícios preliminares apontam que usuários maliciosos exploraram vulnerabilidades conhecidas - e já com patches de correção disponíveis - em plataformas de virtualização e sistemas operacionais amplamente utilizadas no mercado, que permitiram a escalada de privilégios, execução de códigos e consequente infecção por ransomware nos servidores. Além das organizações públicas que sofreram impacto já noticiadas, há a possibilidade da ameaça se estender às organizações de ensino superior no Brasil.
      Por isso, em decorrência desses graves incidentes de segurança ocorridos hoje 05/11/2020, o CAIS - Centro de Atendimento a Incidentes de Segurança da RNP, recomenda a leitura e aplicação das orientações contidas no documento presente na url[1], produzido pelo SERPRO, o qual contém as ações de prevenção contra execução desses ataques em particular. Adicionalmente, o CAIS promoverá duas sessões conversas técnicas com os clientes da RNP, visando aprofundar detalhes técnicos e esclarecer quaisquer dúvidas que possam surgir quanto à exploração das vulnerabilidades identificadas, assim como às contramedidas propostas.
      Link público: https://video.rnp.br/portal/transmission.action?idItem=94137 (10h e 14h).
       
      Documentos
      Atualização em 9/Nov: Os alertas estão sendo atualizados exclusivamente pelo CTIR Gov nesta página. Desta forma, removi os documentos daqui, já que é preferível que o download seja feito da fonte.
       
      Análise do loader
      Atualização em 11/Nov: Fizemos uma análise técnica inicial do loader, o primeiro estágio do malware que comprometeu a infraestrutura do STJ:
       
       
    • A desenvolvedora de jogos japonesa Capcom revelou que sofreu um ataque cibernético que está afetando suas operações de negócios, incluindo sistemas de e-mail, informou o BleepingComputer. Em um "aviso sobre problemas de rede", a empresa afirma que começou a ter problemas com seus servidores de arquivo e e-mail na manhã de 2 de novembro de 2020. Após determinar que foi um ataque cibernético, eles interromperam parte de sua rede corporativa para evitar que o ataque se propagasse.
      "No início da madrugada de 2 de novembro de 2020, algumas das redes do Grupo Capcom tiveram problemas que afetaram o acesso a certos sistemas, incluindo e-mail e servidores de arquivos. A empresa confirmou que isso se deve ao acesso não autorizado realizado por terceiros, que interrompeu algumas operações de suas redes internas a partir de 2 de novembro", diz o comunicado obtido pelo BleepingComputer
      Desde o ataque, a Capcom tem exibido avisos em seu site alertando os visitantes de que e-mails e solicitações de documentos não serão respondidos devido ao impacto nos sistemas da empresa. A Capcom diz ainda que sua investigação atual não detectou que nenhum dado de cliente tenha sido roubado. Mesmo assim, a empresa não confirma se seus dados corporativos foram exfiltrados durante o ataque.
      Embora a Capcom não tenha declarado que se trata de um ataque de ransomware, fontes disseram ao BleepingComputer que a Capcom sofreu um ataque pelo TrickBot em agosto, o que comumente leva a ataques do ransomware Ryuk ou Conti. A operação de ransomware REvil, ironicamente nomeada em homenagem a Resident Evil, declarou em uma entrevista recente que havia violado uma “grande empresa de jogos” e iria anunciar isso em breve, mas não se sabe se essa declaração está relacionada ao ciberataque da Capcom. 
    • Falhas no navegador Chrome, do Google, para desktop e navegadores baseados em Android foram corrigidos esta semana em um esforço para evitar que exploits conhecidos sejam usados por atacantes. Segundo o ThreatPost, dois boletins de segurança separados emitidos pelo Google avisaram que a empresa está ciente de relatórios de exploits, e o Project Zero do Google deu um passo além e afirmou que ambos os bugs estão sendo explorados ativamente.
      Em sua atualização do navegador Chrome para Windows, Mac e Linux, o Google disse que a versão 86.0.4240.183 corrige 10 vulnerabilidades. Rastreado como CVE-2020-16009, esse bug é o mais preocupante, com alta severidade e um dos dois com exploits ativos. A vulnerabilidade está ligada ao mecanismo de código aberto JavaScript e WebAssembly do Google, chamado V8. Em sua divulgação, a falha é descrita como uma "implementação inadequada no V8". Se explorado, o bug V8 pode ser usado para execução remota de código.
      Quanto ao navegador Chrome baseado no sistema operacional Android, também com um exploit ativo, o Google alertou que há um bug de escape do sandbox, rastreado como CVE-2020-16010. A vulnerabilidade é classificada como de alta gravidade. O Google disse que estava retendo os detalhes técnicos de ambos os bugs enquanto aguardava a distribuição de patches para os endpoints afetados. Embora a empresa tenha afirmado que existiam exploits publicamente conhecidos para ambos os bugs, isso não indica que qualquer um deles esteja sob ataque ativo. A nova versão do Chrome Android também inclui melhorias de estabilidade e desempenho, de acordo com a equipe do Google Chrome.
    • Quase dois terços das vulnerabilidades em redes corporativas envolvem falhas com mais de dois anos que não foram corrigidas, apesar das correções estarem disponíveis. A análise da Bitdefender, divulgada pelo ZDNet, aponta que 64% de todas as vulnerabilidades não corrigidas relatadas durante o primeiro semestre de 2020 envolvem bugs conhecidos que datam de 2018 ou anos anteriores, o que significa que as organizações estão em risco de falhas que alguém deveria ter corrigido há muito tempo. A falta de patch coloca empresas em risco de ataques que poderiam ser facilmente evitados se as atualizações de segurança fossem aplicadas.
      O relatório diz ainda que a grande maioria das organizações têm vulnerabilidades não corrigidas que foram identificadas entre 2002 e 2018. Apesar da aplicação de patches ser um trabalho demorado, tedioso e pouco recompensador, para os criminosos cibernéticos as vulnerabilidades não corrigidas fornecem uma maneira simples de implantar ataques e malware. Por isso, empresas e usuários são encorajados a aplicar patches de segurança aos sistemas operacionais e software o mais rápido possível, embora os números do Relatório do Cenário de Ameaças Empresariais 2020 da Bitdefender sugiram que algumas organizações ainda demoram a aplicá-los.
      O relatório aponta ainda que 93,10% dos fatores de risco humanos envolvem funcionários usando senhas antigas para contas; 87,31% de todos os erros de configuração envolvem ter o serviço WinRM habilitado; 46,84% de todos os ataques em nível de rede relatados envolvem explorações SMB; 41,63% de todos os ataques em nível de rede relatados envolvem tentativas de força bruta em RDP e FTP; entre outros dados importantes, como o fato de que houve um aumento de 46% em incidentes suspeitos de Internet das Coisas (IoT) em residências durante a primeira metade de 2020; e que 4 em cada 10 e-mails com o tópico coronavírus são fraude, phishing ou malware.
      Acesse aqui o relatório completo, em inglês.
       
    • No último sábado o Altieres Rohr, colunista do G1, noticiou que o brasileiro Andres Alonso Bie Perez, de 14 anos, foi premiado com 25 mil dólares por encontrar e reportar uma falha no Facebook em um dos programas de bug bounty. Certamente é uma notícia e tanto e atualmente poucos assuntos recebem tanta atenção na área de segurança quanto a busca por vulnerabilidades em troca de pagamentos em programas similares. Não é de se espantar, já que os valores dos prêmios parecem ser muito mais atraentes do que os salários oferecidos no Brasil, mesmo para profissionais de tecnologia já estabelecidos.
      O que será que fez Andres ganhar uma quantia dessas? Seria sorte? Seriam os "cursos hacker"? Talvez horas e horas no YouTube assistindo "hackers"? Eu tenho um palpite: não é nenhum desses. Na própria notícia o Altieres nos conta que Andres é medalhista de prata na OBI (Olimpíada Brasileira de Informática) em 2020, competição esta que abrange o Brasil inteiro onde os melhores algoritmos para os problemas apresentados são premiados. Ou seja, Andres é um programador - e dos bons!
      Para participar da OBI, é preciso estar na escola estudando. Ou seja, Andres leva a escola a sério.
      Do G1:  O adolescente já pretendia dedicar um tempo para procurar falhas e participar do programa de "bug bounty" do Facebook, mas a descoberta que rendeu a ele o prêmio aconteceu enquanto criava um aplicativo de celular. "Naquele momento, eu não estava procurando", revela.
      Ou seja, Andres estava programando, criando um aplicativo, quando encontrou a falha. Andres sabe programar e, novamente, repito, sabe bem.
      Em resumo, para os que sonham ganharem milhares de reais em programas de bug bounty, recomendo fortemente que fuja dos cursos hacker, saia da Internet e vá programar. Grude em seus professores, invista em bons livros, se torne um programador de verdade. Não existe bom profissional de segurança da informação sem bases sólidas em computação. Ponto. Esqueça a falação e a zueira... Nada disso te ensina a pensar como um programador, muito menos como um hacker.
      Recursos não faltam. Eis alguns:
      OBI - Estude Conceitos de programação Programação Moderna em C Muito importante usar sua escola/universidade, seus professores, grupos de estudos, amigos, livros e, principalmente, sua consciência, afinal você com certeza sabe quando sabe e sabe quando não sabe.
    • A gangue responsável pelos ataques com o ransomware Maze está encerrando suas operações, segundo informações divulgadas pelo BleepingComputer. O ransomware Maze começou a operar em maio de 2019, tornando-se mais ativo em novembro, quando a operação ficou focada em mídia, revolucionando os ataques de ransomware ao introduzir uma tática de extorsão dupla.
      Além de roubar os arquivos e depois os criptografar, os atacantes passaram a informar a mídia sobre os roubos de dados das companhias, ameaçando-as de divulgação pública caso não houvesse pagamento do resgate. Em alguns casos, como o da companhia americana Allied Universal, o resgate não foi pago e o Maze divulgou os dados roubados.
      Logo depois, o Maze lançou o site Maze News usado para publicar dados de vítimas não pagantes e emitir "comunicados à imprensa" para jornalistas que acompanham suas atividades. Essa técnica de extorsão dupla foi rapidamente adotada por outras grandes operações de ransomware, incluindo REvil, Clop e DoppelPaymer, que lançaram seus próprios sites de vazamento de dados. 
      Durante a onda de crimes cibernéticos de um ano e meio, o Maze foi responsável por ataques a vítimas como a Southwire, a cidade de Pensacola, a Canon, a LG Electronics, a Xerox e outros. Mas segundo o BleepingComputer, o Maze começou a fechar suas operações seis semanas atrás. "No início do mês passado, o BleepingComputer começou a ouvir rumores de que o Maze estava se preparando para encerrar suas operações de ransomware de maneira semelhante ao GandCrab em 2019", diz a reportagem.
      O fechamento das operações foi confirmado posteriormente, quando o BleepingComputer foi contatado por um atacante envolvido no ataque de ransomware da Barnes & Noble, que informou que o Maze estava em processo de encerramento, parando de criptografar novas vítimas em setembro de 2020, e tentando obter os últimos pagamentos de resgate. Esta semana, o Maze começou a remover vítimas da lista de seu site de vazamento de dados, o que indica que o desligamento da operação do ransomware é iminente.
      O BleepingComputer entrou em contato com o Maze para perguntar se eles irão liberar suas chaves quando encerrarem suas operações, mas não obteve resposta. Além disso, há indícios de que muitos afiliados do Maze mudaram para uma nova operação de ransomware chamada Egregor, que começou a operar em meados de setembro, assim que o Maze começou a encerrar sua operação. ?
    • A Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA), o FBI e o Departamento de Saúde e Serviços Humanos (HHS) emitiram um comunicado conjunto descrevendo as táticas, técnicas e procedimentos usados por cibercriminosos contra alvos no setor de saúde e saúde pública para infectar sistemas com o ransomware Ryuk. Segundo o comunicado, as informações são confiáveis sobre uma ameaça crescente e iminente de crime cibernético em hospitais e provedores de saúde dos Estados Unidos. 
      Eles destacam que desde 2016, a empresa cibercriminosa por trás do malware Trickbot continuou a desenvolver novas funcionalidades e ferramentas, aumentando a facilidade, velocidade e lucratividade da vitimização. O que começou como um cavalo de Troia (trojan) bancário e descendente do malware Dyre, oferece a seus operadores um conjunto completo de ferramentas para conduzir uma miríade de atividades cibernéticas ilegais. Essas atividades incluem coleta de credenciais, exfiltração de correio, criptomineração, exfiltração de dados de ponto de venda e implantação de ransomware, como o Ryuk. 
      No início de 2019, o FBI começou a observar novos módulos Trickbot chamados Anchor, que os agentes maliciosos normalmente usam em ataques contra vítimas de alto perfil, como grandes corporações. Esses ataques geralmente envolviam exfiltração de dados de redes e dispositivos de ponto de venda. Como parte do novo conjunto de ferramentas Anchor, os desenvolvedores do Trickbot criaram Anchor_DNS, uma ferramenta para enviar e receber dados das máquinas das vítimas usando o tunelamento do Sistema de Nomes de Domínio (DNS).
      No comunicado, é explicado como o Trickbot se comporta até chegar no ransomware Ryuk que foi implantado como uma carga útil de cavalos de Troia bancários, como o Trickbot. O Ryuk apareceu pela primeira vez em agosto de 2018 como um derivado do ransomware Hermes 2.1, que surgiu no final de 2017 e estava disponível para venda no mercado aberto em agosto de 2018. Ao negociar a rede da vítima, os atores do Ryuk geralmente usam produtos comerciais prontos para roubar credenciais. 
      O comunicado também explica as técnicas de ataque do Ryuk e como é possível mitigar esse risco. A CISA, o FBI e o HHS incentivam as organizações do setor de saúde a manterem planos de continuidade de negócios para minimizar interrupções de serviço, estabelecendo um programa de continuidade viável que ajudará a mantê-las funcionando durante ataques cibernéticos ou outras emergências. Também é recomendável às organizações revisarem ou estabelecerem planos de patch, políticas de segurança, acordos de usuário e planos de continuidade de negócios para garantir que abordem as ameaças atuais representadas por agentes maliciosos.
×
×
  • Criar Novo...