Jump to content
  • News

    • Bruna Chieco
      O FBI emitiu um alerta informando que cibercriminosos estão roubando dados de agências governamentais dos Estados Unidos e  de organizações empresariais por meio de instâncias expostas à Internet e inseguras do SonarQube, plataforma de código aberto para auditoria automatizada de qualidade de código e análise de bugs e vulnerabilidades de segurança.
      Segundo o BleepingComputer, os servidores vulneráveis SonarQube têm sido ativamente explorados por invasores desde abril de 2020 para obter acesso a repositórios de código-fonte de dados pertencentes a entidades governamentais e corporativas, posteriormente exfiltrando-os e divulgando-os publicamente. Dezenas de empresas já tiveram seu código-fonte vazado. 
      A notícia informa ainda que o FBI afirma ter identificado vários desses incidentes em que os atacantes abusaram das vulnerabilidades de configuração do SonarQube desde o início dos ataques. Os atores da ameaça começam seus ataques verificando primeiro as instâncias do SonarQube expostas na Internet usando o número da porta padrão (ou seja, 9000), segundo o FBI. Após descobrir um servidor exposto, eles tentam obter acesso a instâncias vulneráveis usando credenciais padrão de administrador.
      Além de agências governamentais, as empresas privadas americanas afetadas atuam nos setores de tecnologia, finanças, varejo, alimentos, comércio eletrônico e manufatura. O FBI fornece as seguintes medidas de mitigação para bloquear ataques:
      • Altere as configurações padrão do SonarQube, incluindo a alteração do nome de usuário, senha e porta padrão do administrador (9000);
      • Coloque as instâncias do SonarQube atrás de uma tela de login e verifique se usuários não autorizados acessaram a instância;
      • Revogue o acesso a qualquer tecla de interface de programação de aplicativo ou outras credenciais que foram expostas em uma instância SonarQube, se possível;
      • Configure as instâncias do SonarQube para ficarem atrás do firewall e outras defesas de perímetro, evitando o acesso não autenticado.

    • A grande maioria das empresas transformou sua abordagem de segurança cibernética nos últimos seis meses, segundo pesquisa da CensusWide, divulgada pela Forbes, realizada com 215 líderes de TI localizados nos Estados Unidos. Das empresas consultadas, 83% transformaram sua segurança cibernética em 2020. O estudo descobriu que quanto maior a empresa, mais importante é proteger o acesso remoto à infraestrutura crítica para as equipes de administração de TI. O acesso remoto e a atualização das políticas e avisos de privacidade são duas das maiores prioridades para as empresas de médio porte. 
      Os números apontam que 73% das empresas aceleraram seus planos de migração para a nuvem para apoiar a mudança para o trabalho remoto em suas organizações devido à pandemia. Além disso, 81% das empresas aceleraram seus processos de modernização de TI devido à pandemia e 48% de todas as empresas pesquisadas aceleraram seus planos de migração para a nuvem, enquanto 49% aceleraram seus planos de modernização de TI por causa da Covid-19. 
      Outro dado mostra que 32% das empresas de grande porte, com mais de 500 funcionários, estão implementando mais automação usando ferramentas baseadas em inteligência artificial este ano. A pesquisa também descobriu que organizações com 250 a 500 funcionários têm maior probabilidade de adquirir ferramentas e aplicativos de segurança cibernética específicos para atender aos requisitos de conformidade. 
      A pesquisa aponta também que os líderes de TI estão obtendo o suporte que precisam para atingir seu desempenho na nuvem. Um em cada três líderes de TI entrevistados disse que seus orçamentos aumentaram durante a pandemia. Em empresas de grande escala, com mais de 500 funcionários, 59% dos líderes de TI viram seus orçamentos aumentarem. ?

    • Uma violação de dados sofrida pelo serviço de PDF Nitro pode ter afetado organizações como Google, Apple, Microsoft, Chase e Citibank. Segundo o BleepingComputer, o software é usado por mais de 10 mil clientes empresariais e 1,8 milhão de usuários licenciados para criar, editar e assinar PDFs e documentos digitais.
      A Nitro oferece um serviço em nuvem usado por clientes para compartilhar documentos com colegas de trabalho ou outras organizações envolvidas no processo de criação de documentos. Em 21 de outubro, a Nitro Software emitiu um comunicado afirmando ter sido afetada por um incidente de segurança de baixo impacto, sem nenhum prejuízo a dados de clientes. 
      No comunicado obtido pelo BleepingComputer, a empresa diz que o incidente de segurança isolado envolveu acesso limitado à base de dados Nitro por um terceiro não autorizado, mas afirma que a base de dados não contém documentos do usuário ou do cliente e que o incidente não tinha impacto material nas operações em andamento da Nitro. "A investigação do incidente permanece em andamento. Nenhuma evidência atualmente de que quaisquer dados sensíveis ou financeiros relacionados a clientes foram impactados ou se a informação for mal utilizada", diz o comunicado.
      Já a empresa de inteligência de segurança cibernética Cyble disse ao BleepingComputer que um cibercriminoso está vendendo os bancos de dados de usuários e documentos, bem como 1 Tb de documentos, que eles afirmam ter roubado do serviço em nuvem da Nitro Software. Esses dados estariam sendo vendidos em um leilão privado com o preço inicial definido em US$ 80 mil.
      A Cyble afirma que a tabela de banco de dados à venda contém 70 milhões de registros de usuários com endereços de e-mail, nomes completos, senhas, nomes de empresas, endereços IP e outros dados relacionados ao sistema. Como o Nitro é comumente usado por empresas para assinar documentos confidenciais financeiros, jurídicos e de marketing digitalmente, ele poderia permitir o vazamento de informações que afetariam significativamente os negócios de uma empresa. ?

    • A botnet KashmirBlack, focada em criptomineração, spam e desfiguração, infectou sites que executam sistemas de gerenciamento de conteúdo (CMS) populares, como WordPress, Joomla, Magneto e Drupal, de acordo com informações da empresa de segurança online Imperva obtidas pela DarkReading.
      Segundo as informações, a botnet usa uma infraestrutura modular que inclui recursos como comunicações de balanceamento de carga com servidores de comando e controle e armazenamento de arquivos em serviços de armazenamento em nuvem, como Dropbox e GitHub, para acelerar o acesso a novas atualizações de código para os sistemas infectados. 
      A botnet KashmirBlack infecta principalmente plataformas CMS populares, explorando vulnerabilidades conhecidas em servidores, realizando milhões de ataques por dia em média, de acordo com relatórios publicados pelos pesquisadores da Imperva. Como os CMS muitas vezes não são mantidos atualizados, podem ser explorados com vulnerabilidades públicas.
      Para coletar informações sobre a botnet em um trabalho investigativo de quase um ano, os pesquisadores personificaram um servidor infectado e criaram um servidor honeypot que executava um dos portais CMS direcionados. O "servidor de propagação" permitiu aos pesquisadores coletarem comandos e scripts que foram comunicados à botnet. Quando um site comprometido foi configurado para continuar a espalhar o software malicioso, os pesquisadores descobriram que ele atacava uma média de 240 hosts, ou 3.450 sites por dia. Os pesquisadores estimaram que cerca de 230 mil sites foram comprometidos nos últimos 11 meses. 

    • A Diretora da Academia de Polícia Civil de Minas Gerais, abriu inscrições para o Curso Pedofilia: Definições e Proteção - Educação a Distância (EaD). O curso é direcionado ao público externo em geral e a servidores policiais e administrativos da PCMG, e tem como objetivo informar, orientar, sensibilizar, conscientizar e incentivar a população quanto ao combate à violência sexual contra crianças e adolescentes, sobretudo dentro dos próprios lares.
      As inscrições estão abertas até o dia 2 de novembro, e o curso ocorre entre os dias 9 e 18 de novembro, em uma carga horária total de 20 horas/aula na modalidade: EaD. Veja aqui como se inscrever.
      Esse tipo de tema também é tratado, dentro do viés tecnológico, pelo Mente Binária no clube Segurança na Internet, um grupo de discussão para pais e todas as pessoas interessadas em privacidade e integridade física na Internet, principalmente de jovens. Saiba mais.
      O Fernando Mercês também realizou palestra no 1º Fórum de Saúde Mental em Rede abordando o tema Jogos e Brincadeiras da Internet que ameaçam a vida. "Eu fiz um estudo sobre que tipos de jogos e de comunidades crianças e adolescentes estavam frequentando. Mediante observação, achei alguns jogos e algumas coisas que achei estranho, no mínimo curioso, e comecei a entender mais sobre isso", explica Mercês. Ele alerta para o fato de que o acesso a uma indústria de Internet e jogos gigante e cada vez mais facilitado exige um acompanhamento maior de pais e familiares sobre crianças e adolescentes. Assista à apresentação na íntegra:
       

       

    • A Agência de Segurança Nacional (NSA) dos Estados Unidos divulgou uma lista de vulnerabilidades supostamente exploradas pela China. Segundo a NSA, as vulnerabilidades são publicamente conhecidas e uma das maiores ameaças aos Sistemas de Segurança Nacional dos EUA (NSS), à Base Industrial de Defesa dos EUA (DIB) e às redes de informação do Departamento de Defesa (DoD) é a atividade cibernética maliciosa patrocinada pelo Estado chinês. 
      A NSA destaca que o mesmo processo para planejar a exploração de uma rede de computadores por qualquer atacante cibernético sofisticado é usado por atacantes patrocinados pelo Estado chinês. "Eles geralmente identificam primeiro um alvo, reúnem informações técnicas sobre ele, identificam quaisquer vulnerabilidades associadas ao alvo, desenvolvem ou reutilizam uma exploração para essas vulnerabilidades e, em seguida, lançam sua operação de exploração", diz o comunicado da agência.
      O comunicado fornece ainda informações sobre as CVEs conhecidas por serem recentemente aproveitadas, ou escaneadas, por ciberatores patrocinados pelo Estado chinês para permitir operações de hacking bem-sucedidas contra várias redes. "A maioria das vulnerabilidades listadas podem ser exploradas para obter acesso inicial às redes das vítimas usando produtos que são diretamente acessíveis da Internet e atuam como gateways para redes internas", diz a NSA. 
      Veja aqui a lista de CVEs que a NSA aponta como sendo usados ativamente por ciberatacantes patrocinados pelo Estado chinês, a descrição das vulnerabilidades e as atenuações recomendadas. 

    • Ontem divulgamos uma notícia informando que a Microsoft passou a ser a principal isca dos ataques de phishing. Hoje, vimos uma pesquisa que informa que muitos funcionários de empresas não sabem identificar um ataque de phishing. O fato dos ataques terem aumentado devido à pandemia de COVID-19 e o decorrente crescimento do trabalho remoto gera um alerta para esses números, revelados em estudo da MobileIron obtido pelo ZDNet.
      A plataforma de segurança móvel MobileIron, baseada em Mountain View, Califórnia, analisou o impacto do trabalho remoto nos hábitos de trabalho de 1,2 mil trabalhadores nos Estados Unidos, Reino Unido, França, Alemanha, Bélgica, Holanda, Austrália e Nova Zelândia. Mais de dois em cada cinco (43%) dos funcionários entrevistados não têm certeza do que é um ataque de phishing, apontou o estudo. 
      Os entrevistados informaram ainda que, embora gostem de trabalhar em casa, dependem de um laptop e dispositivo móvel com acesso seguro a e-mail, aplicativos de CRM e ferramentas de colaboração de vídeo para permanecerem produtivos. Eles acreditam que a segurança de TI garante a produtividade e melhora a usabilidade dos dispositivos. No entanto, estão apenas um pouco cientes dos ataques de phishing.
      Os trabalhadores remotos acabam usando uma variedade de dispositivos móveis e acessam redes públicas de Wi-Fi, ferramentas de colaboração remota e suítes de nuvem para o trabalho. Segundo estudo, eles veem a tecnologia não confiável como o maior obstáculo à produtividade.
      Brian Foster, vice-presidente sênior de gerenciamento de produtos da MobileIron, destaca que os atacantes estão cientes de que as pessoas estão usando seus dispositivos móveis vagamente protegidos mais do que nunca para acessar dados corporativos. Assim, os ataques de phishing crescem cada vez mais. Ele alerta que toda empresa precisa implementar uma estratégia de segurança centrada em dispositivos móveis que priorize a experiência do usuário e permita que os funcionários mantenham a produtividade máxima em qualquer dispositivo, em qualquer lugar, sem comprometer a privacidade pessoal.
      Um ponto de atenção é que os phishers também usam HTTPS, que não é garantia de que o site seja idôneo, como explicamos no seguinte vídeo:
       

×
×
  • Create New...