Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Bruna Chieco
      O Conti Ransomware é uma ameaça futura que tem como alvo redes corporativas. O ransomware possui novos recursos que permitem realizar ataques mais rápidos e direcionados. Segundo o BleepingComputer, há também indícios de que esse ransomware compartilha o mesmo código de malware que o Ryuk. O BleepingComputer começou a rastrear o Conti no início de junho de 2020.
      De acordo com o ZDNet, o Conti está usando até 32 threads de CPU simultâneos para criptografar arquivos em computadores infectados, com velocidades de criptografia extremamente rápidas. O ransomware foi visto pela primeira vez distribuído em ataques isolados no final de dezembro de 2019. Ao longo do tempo, os ataques aumentaram lentamente até o final de junho deste ano, quando houve um aumento de vítimas no site de identificação de ransomware ID Ransomware. 
      Os operadores da Conti violam as redes corporativas e se espalham lateralmente até conseguirem obter credenciais de administrador de domínio. Depois que os privilégios administrativos são alcançados, os agentes da ameaça implantam o ransomware e criptografam os dispositivos. No momento, não se sabe se os atacantes também roubam arquivos das redes de suas vítimas antes de criptografá-los.
      Embora não esteja 100% claro se o Conti é sucessor do Ryuk, os gráficos de envio no ID Ransomware mostram que os ataques do Conti aumentaram, enquanto os do Ryuk foram diminuindo. Em agosto de 2017, o Hermes Ransomware estava sendo vendido em um fórum, e pesquisadores acreditam que cibercriminosos podem ter comprado esse construtor de ransomware e o transformado no Ryuk.
      Em algum momento, os atacantes que usam o Ryuk se fragmentaram, renomearam ou decidiram fazer a transição para o nome “Conti”, que parece basear-se no código da versão 2 do Ryuk. Além das semelhanças no código do malware, foi observada uma nota de resgate mais descritiva do Conti com o mesmo template utilizado pelo Ryuk em ataques anteriores. Além disso, a mesma infra-estrutura do TrickBot é usada pelos agentes de ameaças Ryuk e Conti como parte dos ataques de ransomware. Por isso, é possível que o Conti esteja vinculado ao mesmo grupo de desenvolvedores do Ryuk.
    • Uma pesquisa da empresa de segurança Sophos aponta que 70% das organizações que hospedam dados ou cargas de trabalho na nuvem pública sofreram um incidente de segurança no ano passado. De acordo com o levantamento, organizações com vários serviços de computação e armazenamento em nuvem relataram até duas vezes mais incidentes do que adotantes de plataforma única. Em todo o mundo, 96% das organizações estão preocupadas com o nível atual de segurança em nuvem pública, de acordo com o relatório.
      A pesquisa foi realizada com 3.521 gerentes de TI em 26 países. As organizações europeias sofreram as menores taxas de ataque de todas as regiões. O estudo aponta ainda que 44% das organizações afirmaram que a perda ou vazamento de dados era uma de suas três principais preocupações de segurança. Já 66% das organizações deixam backdoors abertos por meio de serviços em nuvem mal configurados. Contudo, apenas uma em cada quatro organizações vê a falta de conhecimento da equipe como a principal preocupação.
      A Sophos observa que a atual situação das empresas refletem uma falta de higiene cibernética abrangente, o que resulta em fragilidades nas configurações de segurança da nuvem e deixa as organizações vulneráveis a ataques.
    • Pesquisadores alertam que o grupo de ameaças Keeper lançará ataques cada vez mais sofisticados contra comerciantes on-line em todo o mundo nos próximos meses. O grupo, lançado há três anos, já comprometeu mais de 570 sites de e-commerce em 55 países, segundo o ThreatPost, incluindo lojas de bebidas on-line e revendedores de produtos da Apple. 
      O grupo Keeper é uma facção do guarda-chuva Magecart e consiste em uma rede interconectada de 64 domínios atacantes e 73 domínios de exfiltração. Pesquisadores descobriram recentemente um registro de acesso não seguro no painel de controle do Keeper, que abrigava 184 mil cartões de pagamento comprometidos, com carimbos de data e hora, variando de julho de 2018 a abril de 2019.
      Com base nesses dados, o grupo provavelmente gerou mais de US$ 7 milhões de dólares com a venda de pagamentos comprometidos cartões, diz pesquisa recente da Gemini Advisory. Os atacantes do Keeper invadem o back-end de lojas on-line, alterando seu código-fonte e inserindo scripts maliciosos que registram os detalhes do cartão de pagamento preenchidos pelos compradores nos formulários de pagamento. Os domínios de exfiltração do Keeper usam painéis de login idênticos e estão todos vinculados ao mesmo servidor, que hospeda tanto a carga maliciosa quanto os dados roubados dos sites das vítimas.
      Os pesquisadores alertaram ainda que o Keeper parece estar atualizando continuamente suas táticas e técnicas para evitar a detecção. Por exemplo, um dos ataques iniciais lançados em abril de 2017 contra um varejista utilizou métodos de ofuscação públicos, o que simplificou a decodificação. A partir de 2018, no entanto, os ciberatacantes começaram a usar métodos personalizados de ofuscação.
    • Um grupo de phishing, recentemente descoberto por pesquisadores de segurança cibernética da Agari, tem como alvo grandes empresas em todo o mundo. Segundo o ZDNet, a campanha mira organizações em 46 países, reunindo informações aprofundadas sobre seus alvos antes de aplicar os golpes. Os pesquisadores chamaram a campanha de Cosmic Lynx.
      Os ataques de comprometimento de email comercial (BEC) podem atingir empresas fazendo com que centenas de milhões de dólares por mês sejam perdidos após as vítimas serem enganadas no envio de dinheiro para contas pertencentes a criminosos. A campanha atua ainda com duas cadeias de e-mails falsos enviados às vítimas abordando temas atuais, incluindo a pandemia do novo coronavírus (COVID-19).
      O principal alvo das campanhas são pessoas com o cargo de vice-presidente, gerente geral ou diretor-gerente, e o ataque começa com um e-mail falsificado que parece vir do CEO da empresa visada. Em quase todos os casos, os e-mails iniciais detalham uma suposta aquisição de uma empresa asiática que não deve ser discutida com mais ninguém. As mensagens são bem escritas e completas, com termos comerciais e financeiros usados no contexto apropriado.
      Os pesquisadores dizem ainda que a infraestrutura por trás da operação de e-mail está ligada às campanhas Trickbot e Emotet. Contudo, o Cosmic Lynx demonstrou a capacidade de desenvolver ataques muito mais complexos e criativos que os diferencia de outros ataques BEC mais genéricos. Eles acreditam que o grupo atua há pelo menos um ano, e não é possível dizer quantas organizações foram vítimas dos ataques ou quanto dinheiro os criminosos fizeram, mas a campanha ainda está ativa.
    • A Intel lançou um conjunto de referência de instruções para funcionalidades futuras que estão sendo adicionadas em sua próxima geração de processadores. O manual Intel Architecture Instruction Set Extensions and Future Features Programming Reference é direcionado a programadores e antecipa o lançamento dos novos processadores. 
      O destaque vai para o conjunto de instruções para o Advanced Matrix Extensions (AMX). O Intel AMX Instruction Set é um novo paradigma de programação de 64 bits que consiste em dois componentes: um conjunto de registros bidimensionais representando sub-matrizes de uma imagem de memória bidimensional maior; e um acelerador capaz de operar em blocos.


      Acesse o manual completo aqui.
    • O Twitter baniu a conta de um grupo que supostamente vazou registro de 200 departamentos policiais. Segundo o The Verge, o grupo chamado Distributed Denial of Secrets (DDoSecrets) publicou recentemente quase 270 gigabytes de dados sob o título "BlueLeaks". O Twitter também adicionou uma página de aviso que aparece caso um usuário clique em um link existente direcionando ao conjunto de dados, alertando que o conteúdo foi identificado como "potencialmente prejudicial". O vazamento ocorreu após uma brecha na Netsential, uma empresa de desenvolvimento web que trabalhava com agências governamentais. 
      O Twitter disse ao The Verge que o DDoSecrets violou as regras contra a publicação de materiais invadidos e foi suspenso permanentemente da rede. De acordo com um relatório obtido por Brian Krebs, o conjunto de dados do BlueLeaks continha algumas "informações altamente confidenciais", e-mails e outros materiais de departamentos de polícia de vários países. Aparentemente, os dados foram fornecidos por um suposto membro do Anonymous e, antes de divulgar, o DDoSecrets alega ter removido cerca de 50 gigabytes de dados, incluindo detalhes sobre vítimas de crimes e informações sobre saúde. 
    • Após mais de um ano desde sua última atualização, saiu o hashcat 6.0.0 no último dia 16 de junho. A ferramenta de recuperação de senhas é de código aberto e contou com 1,8 mil commits desde o último lançamento (5.1.0). A nova versão vem com melhorias de desempenho (muito importante para uma ferramenta de quebra de hashes, né?), novos recursos e documentação detalhadas para usuários e desenvolvedores.
      Entre as principais funcionalidades da versão 6.0.0 estão:
      Nova interface para plug-ins - para modos de hash modulares Nova API para computação back-end - para adicionar APIs diferentes da OpenCL Inclusão do CUDA como uma nova API de computação back-end Guia abrangente para desenvolvedores de plug-ins Modo de emulação de GPU - para usar o código do kernel no host Melhor gerenciamento de memória de GPU e threads Tuning automático aprimorado com base nos recursos disponíveis Como se não bastasse, foi adicionado suporte a 51 novos algoritmos, incluindo os utilizados por ferramentas como Telegram e DiskCrypt. Já são 320 hashes suportados pelo hashcat! Acesse o changelog completo aqui. ?
×
×
  • Criar Novo...