Jump to content

  • News

    • Bruna Chieco
      A gangue responsável pelos ataques com o ransomware Maze está encerrando suas operações, segundo informações divulgadas pelo BleepingComputer. O ransomware Maze começou a operar em maio de 2019, tornando-se mais ativo em novembro, quando a operação ficou focada em mídia, revolucionando os ataques de ransomware ao introduzir uma tática de extorsão dupla.
      Além de roubar os arquivos e depois os criptografar, os atacantes passaram a informar a mídia sobre os roubos de dados das companhias, ameaçando-as de divulgação pública caso não houvesse pagamento do resgate. Em alguns casos, como o da companhia americana Allied Universal, o resgate não foi pago e o Maze divulgou os dados roubados.
      Logo depois, o Maze lançou o site Maze News usado para publicar dados de vítimas não pagantes e emitir "comunicados à imprensa" para jornalistas que acompanham suas atividades. Essa técnica de extorsão dupla foi rapidamente adotada por outras grandes operações de ransomware, incluindo REvil, Clop e DoppelPaymer, que lançaram seus próprios sites de vazamento de dados. 
      Durante a onda de crimes cibernéticos de um ano e meio, o Maze foi responsável por ataques a vítimas como a Southwire, a cidade de Pensacola, a Canon, a LG Electronics, a Xerox e outros. Mas segundo o BleepingComputer, o Maze começou a fechar suas operações seis semanas atrás. "No início do mês passado, o BleepingComputer começou a ouvir rumores de que o Maze estava se preparando para encerrar suas operações de ransomware de maneira semelhante ao GandCrab em 2019", diz a reportagem.
      O fechamento das operações foi confirmado posteriormente, quando o BleepingComputer foi contatado por um atacante envolvido no ataque de ransomware da Barnes & Noble, que informou que o Maze estava em processo de encerramento, parando de criptografar novas vítimas em setembro de 2020, e tentando obter os últimos pagamentos de resgate. Esta semana, o Maze começou a remover vítimas da lista de seu site de vazamento de dados, o que indica que o desligamento da operação do ransomware é iminente.
      O BleepingComputer entrou em contato com o Maze para perguntar se eles irão liberar suas chaves quando encerrarem suas operações, mas não obteve resposta. Além disso, há indícios de que muitos afiliados do Maze mudaram para uma nova operação de ransomware chamada Egregor, que começou a operar em meados de setembro, assim que o Maze começou a encerrar sua operação. ?
    • A Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA), o FBI e o Departamento de Saúde e Serviços Humanos (HHS) emitiram um comunicado conjunto descrevendo as táticas, técnicas e procedimentos usados por cibercriminosos contra alvos no setor de saúde e saúde pública para infectar sistemas com o ransomware Ryuk. Segundo o comunicado, as informações são confiáveis sobre uma ameaça crescente e iminente de crime cibernético em hospitais e provedores de saúde dos Estados Unidos. 
      Eles destacam que desde 2016, a empresa cibercriminosa por trás do malware Trickbot continuou a desenvolver novas funcionalidades e ferramentas, aumentando a facilidade, velocidade e lucratividade da vitimização. O que começou como um cavalo de Troia (trojan) bancário e descendente do malware Dyre, oferece a seus operadores um conjunto completo de ferramentas para conduzir uma miríade de atividades cibernéticas ilegais. Essas atividades incluem coleta de credenciais, exfiltração de correio, criptomineração, exfiltração de dados de ponto de venda e implantação de ransomware, como o Ryuk. 
      No início de 2019, o FBI começou a observar novos módulos Trickbot chamados Anchor, que os agentes maliciosos normalmente usam em ataques contra vítimas de alto perfil, como grandes corporações. Esses ataques geralmente envolviam exfiltração de dados de redes e dispositivos de ponto de venda. Como parte do novo conjunto de ferramentas Anchor, os desenvolvedores do Trickbot criaram Anchor_DNS, uma ferramenta para enviar e receber dados das máquinas das vítimas usando o tunelamento do Sistema de Nomes de Domínio (DNS).
      No comunicado, é explicado como o Trickbot se comporta até chegar no ransomware Ryuk que foi implantado como uma carga útil de cavalos de Troia bancários, como o Trickbot. O Ryuk apareceu pela primeira vez em agosto de 2018 como um derivado do ransomware Hermes 2.1, que surgiu no final de 2017 e estava disponível para venda no mercado aberto em agosto de 2018. Ao negociar a rede da vítima, os atores do Ryuk geralmente usam produtos comerciais prontos para roubar credenciais. 
      O comunicado também explica as técnicas de ataque do Ryuk e como é possível mitigar esse risco. A CISA, o FBI e o HHS incentivam as organizações do setor de saúde a manterem planos de continuidade de negócios para minimizar interrupções de serviço, estabelecendo um programa de continuidade viável que ajudará a mantê-las funcionando durante ataques cibernéticos ou outras emergências. Também é recomendável às organizações revisarem ou estabelecerem planos de patch, políticas de segurança, acordos de usuário e planos de continuidade de negócios para garantir que abordem as ameaças atuais representadas por agentes maliciosos.
    • O FBI emitiu um alerta informando que cibercriminosos estão roubando dados de agências governamentais dos Estados Unidos e  de organizações empresariais por meio de instâncias expostas à Internet e inseguras do SonarQube, plataforma de código aberto para auditoria automatizada de qualidade de código e análise de bugs e vulnerabilidades de segurança.
      Segundo o BleepingComputer, os servidores vulneráveis SonarQube têm sido ativamente explorados por invasores desde abril de 2020 para obter acesso a repositórios de código-fonte de dados pertencentes a entidades governamentais e corporativas, posteriormente exfiltrando-os e divulgando-os publicamente. Dezenas de empresas já tiveram seu código-fonte vazado. 
      A notícia informa ainda que o FBI afirma ter identificado vários desses incidentes em que os atacantes abusaram das vulnerabilidades de configuração do SonarQube desde o início dos ataques. Os atores da ameaça começam seus ataques verificando primeiro as instâncias do SonarQube expostas na Internet usando o número da porta padrão (ou seja, 9000), segundo o FBI. Após descobrir um servidor exposto, eles tentam obter acesso a instâncias vulneráveis usando credenciais padrão de administrador.
      Além de agências governamentais, as empresas privadas americanas afetadas atuam nos setores de tecnologia, finanças, varejo, alimentos, comércio eletrônico e manufatura. O FBI fornece as seguintes medidas de mitigação para bloquear ataques:
      • Altere as configurações padrão do SonarQube, incluindo a alteração do nome de usuário, senha e porta padrão do administrador (9000);
      • Coloque as instâncias do SonarQube atrás de uma tela de login e verifique se usuários não autorizados acessaram a instância;
      • Revogue o acesso a qualquer tecla de interface de programação de aplicativo ou outras credenciais que foram expostas em uma instância SonarQube, se possível;
      • Configure as instâncias do SonarQube para ficarem atrás do firewall e outras defesas de perímetro, evitando o acesso não autenticado.
    • A grande maioria das empresas transformou sua abordagem de segurança cibernética nos últimos seis meses, segundo pesquisa da CensusWide, divulgada pela Forbes, realizada com 215 líderes de TI localizados nos Estados Unidos. Das empresas consultadas, 83% transformaram sua segurança cibernética em 2020. O estudo descobriu que quanto maior a empresa, mais importante é proteger o acesso remoto à infraestrutura crítica para as equipes de administração de TI. O acesso remoto e a atualização das políticas e avisos de privacidade são duas das maiores prioridades para as empresas de médio porte. 
      Os números apontam que 73% das empresas aceleraram seus planos de migração para a nuvem para apoiar a mudança para o trabalho remoto em suas organizações devido à pandemia. Além disso, 81% das empresas aceleraram seus processos de modernização de TI devido à pandemia e 48% de todas as empresas pesquisadas aceleraram seus planos de migração para a nuvem, enquanto 49% aceleraram seus planos de modernização de TI por causa da Covid-19. 
      Outro dado mostra que 32% das empresas de grande porte, com mais de 500 funcionários, estão implementando mais automação usando ferramentas baseadas em inteligência artificial este ano. A pesquisa também descobriu que organizações com 250 a 500 funcionários têm maior probabilidade de adquirir ferramentas e aplicativos de segurança cibernética específicos para atender aos requisitos de conformidade. 
      A pesquisa aponta também que os líderes de TI estão obtendo o suporte que precisam para atingir seu desempenho na nuvem. Um em cada três líderes de TI entrevistados disse que seus orçamentos aumentaram durante a pandemia. Em empresas de grande escala, com mais de 500 funcionários, 59% dos líderes de TI viram seus orçamentos aumentarem. ?
    • Uma violação de dados sofrida pelo serviço de PDF Nitro pode ter afetado organizações como Google, Apple, Microsoft, Chase e Citibank. Segundo o BleepingComputer, o software é usado por mais de 10 mil clientes empresariais e 1,8 milhão de usuários licenciados para criar, editar e assinar PDFs e documentos digitais.
      A Nitro oferece um serviço em nuvem usado por clientes para compartilhar documentos com colegas de trabalho ou outras organizações envolvidas no processo de criação de documentos. Em 21 de outubro, a Nitro Software emitiu um comunicado afirmando ter sido afetada por um incidente de segurança de baixo impacto, sem nenhum prejuízo a dados de clientes. 
      No comunicado obtido pelo BleepingComputer, a empresa diz que o incidente de segurança isolado envolveu acesso limitado à base de dados Nitro por um terceiro não autorizado, mas afirma que a base de dados não contém documentos do usuário ou do cliente e que o incidente não tinha impacto material nas operações em andamento da Nitro. "A investigação do incidente permanece em andamento. Nenhuma evidência atualmente de que quaisquer dados sensíveis ou financeiros relacionados a clientes foram impactados ou se a informação for mal utilizada", diz o comunicado.
      Já a empresa de inteligência de segurança cibernética Cyble disse ao BleepingComputer que um cibercriminoso está vendendo os bancos de dados de usuários e documentos, bem como 1 Tb de documentos, que eles afirmam ter roubado do serviço em nuvem da Nitro Software. Esses dados estariam sendo vendidos em um leilão privado com o preço inicial definido em US$ 80 mil.
      A Cyble afirma que a tabela de banco de dados à venda contém 70 milhões de registros de usuários com endereços de e-mail, nomes completos, senhas, nomes de empresas, endereços IP e outros dados relacionados ao sistema. Como o Nitro é comumente usado por empresas para assinar documentos confidenciais financeiros, jurídicos e de marketing digitalmente, ele poderia permitir o vazamento de informações que afetariam significativamente os negócios de uma empresa. ?
    • A botnet KashmirBlack, focada em criptomineração, spam e desfiguração, infectou sites que executam sistemas de gerenciamento de conteúdo (CMS) populares, como WordPress, Joomla, Magneto e Drupal, de acordo com informações da empresa de segurança online Imperva obtidas pela DarkReading.
      Segundo as informações, a botnet usa uma infraestrutura modular que inclui recursos como comunicações de balanceamento de carga com servidores de comando e controle e armazenamento de arquivos em serviços de armazenamento em nuvem, como Dropbox e GitHub, para acelerar o acesso a novas atualizações de código para os sistemas infectados. 
      A botnet KashmirBlack infecta principalmente plataformas CMS populares, explorando vulnerabilidades conhecidas em servidores, realizando milhões de ataques por dia em média, de acordo com relatórios publicados pelos pesquisadores da Imperva. Como os CMS muitas vezes não são mantidos atualizados, podem ser explorados com vulnerabilidades públicas.
      Para coletar informações sobre a botnet em um trabalho investigativo de quase um ano, os pesquisadores personificaram um servidor infectado e criaram um servidor honeypot que executava um dos portais CMS direcionados. O "servidor de propagação" permitiu aos pesquisadores coletarem comandos e scripts que foram comunicados à botnet. Quando um site comprometido foi configurado para continuar a espalhar o software malicioso, os pesquisadores descobriram que ele atacava uma média de 240 hosts, ou 3.450 sites por dia. Os pesquisadores estimaram que cerca de 230 mil sites foram comprometidos nos últimos 11 meses. 
    • A Diretora da Academia de Polícia Civil de Minas Gerais, abriu inscrições para o Curso Pedofilia: Definições e Proteção - Educação a Distância (EaD). O curso é direcionado ao público externo em geral e a servidores policiais e administrativos da PCMG, e tem como objetivo informar, orientar, sensibilizar, conscientizar e incentivar a população quanto ao combate à violência sexual contra crianças e adolescentes, sobretudo dentro dos próprios lares.
      As inscrições estão abertas até o dia 2 de novembro, e o curso ocorre entre os dias 9 e 18 de novembro, em uma carga horária total de 20 horas/aula na modalidade: EaD. Veja aqui como se inscrever.
      Esse tipo de tema também é tratado, dentro do viés tecnológico, pelo Mente Binária no clube Segurança na Internet, um grupo de discussão para pais e todas as pessoas interessadas em privacidade e integridade física na Internet, principalmente de jovens. Saiba mais.
      O Fernando Mercês também realizou palestra no 1º Fórum de Saúde Mental em Rede abordando o tema Jogos e Brincadeiras da Internet que ameaçam a vida. "Eu fiz um estudo sobre que tipos de jogos e de comunidades crianças e adolescentes estavam frequentando. Mediante observação, achei alguns jogos e algumas coisas que achei estranho, no mínimo curioso, e comecei a entender mais sobre isso", explica Mercês. Ele alerta para o fato de que o acesso a uma indústria de Internet e jogos gigante e cada vez mais facilitado exige um acompanhamento maior de pais e familiares sobre crianças e adolescentes. Assista à apresentação na íntegra:
       

       
×
×
  • Create New...