Bruna Chieco

Muito antes de violações de dados, malware e ataques de engenharia social, ou até mesmo antes dos computadores existirem, na França de 1790 ocorreu o primeiro "ataque cibernético" do mundo. A NordVPN conta que, quando o país estava à beira de uma revolução, o governo precisava de uma maneira de transmitir mensagens rapidamente, mas naquela época, a maneira mais confiável de se comunicar era usando carruagens de correio ou um mensageiro a cavalo, o que poderia levar dias para chegar ao destinatário. O inventor francês, Claude Chappe, apresentou o primeiro sistema de telecomunicações do mundo nessa época, o telégrafo semáforo, que consistia em um grupo de torres que se avistavam por até 20 milhas uma da outra. Cada torre tinha um poste segurando dois braços indicadores móveis, e cada posição do braço era correlacionada a diferentes caracteres do alfabeto. Um operador em cada torre observava os movimentos do semáforo anterior por meio de um telescópio, copiando a mensagem e retransmitindo-a. A rede de semáforos poderia cobrir a distância de quase 5 mil quilômetros e tinha 566 estações em todo o país, fornecendo inteligência governamental com rapidez e segurança. Os dados transmitidos eram criptografados, em certo sentido, pois apenas altos funcionários nas principais cidades tinham os livros de código para descriptografar os sinais do semáforo. Como funcionava o telégrafo semáforo (Crédito: NordVPN) Mas dois irmãos em Bordeaux planejaram o primeiro ataque cibernético de telecomunicações do mundo. Os banqueiros negociavam títulos do governo e tinham que monitorar de perto as mudanças na bolsa de valores de Paris, que definia o ritmo das negociações de ações em todo o país. Como as carruagens do correio demoravam dias para chegar a Bordeaux, os irmãos se voltaram para o canal de comunicação mais rápido disponível: a rede de telégrafo semáforo. Assim, François e Joseph Blanc contrataram uma pessoa em Paris para monitorar de perto a bolsa de valores e, se houvesse alguma mudança significativa, essa pessoa enviaria pacotes de roupas para a cidade de Tours, que ficava a meio caminho entre Paris e Bordeaux. As cores das roupas significaram mudanças específicas no mercado. Os irmãos subornaram um operador de telégrafo em Tours, que recebia os pacotes codificados. A partir de então, ocorreu um ataque man-in-the-middle: o operador introduziria caracteres defeituosos com informações do mercado de ações nas comunicações telegráficas oficiais do governo, e os caracteres defeituosos chegavam em Bordeaux junto com as mensagens oficiais. Outro cúmplice, um ex-operador que podia ver a penúltima torre de sua casa nos arredores de Bordeaux, transcrevia os caracteres defeituosos com as informações da bolsa de valores e os passava aos irmãos. Como um dos sinais do semáforo incluía um sinal de retrocesso, que notificava ao transcritor para ignorar o caractere anterior, o operador em Tours introduzia esse caractere errado e imediatamente usaria o sinal de retrocesso. Assim, a mensagem com as informações da bolsa ainda chegava a Bordeaux, mas não aparecia nas transcrições oficiais pois eram ignoradas. O esquema funcionou e deu muito dinheiro aos irmãos na época, mas dois anos depois do primeiro ataque man-in-the-middle do mundo à rede de telecomunicações, o operador em Tours adoeceu e, em seu leito de morte, tentou recrutar seu amigo para ocupar seu lugar, mas ao invés disso, ele denunciou os banqueiros às autoridades. Na época não havia leis na época que pudessem condenar François e Joseph Blanc, sendo criadas pelo governo logo depois para evitar que algo assim volte a acontecer. Porém, este definitivamente não foi o último ataque contra redes privadas. ?‍♀️ ?

O Application Guard da Microsoft passou a ser público para os usuários testarem. A tecnologia permite que documentos sejam abertos em um ambiente isolado do sistema operacional do usuário através de virtualização baseada em hardware. Assim, arquivos da Internet e outros locais potencialmente inseguros são abertos nesse contêiner seguro. Quando o Office abre arquivos no Application Guard, os usuários podem ler, editar, imprimir e salvar com segurança esses arquivos sem ter que reabri-los fora do contêiner. Aqui a Microsoft fornece informações sobre os requisitos do sistema e as etapas de instalação para habilitar o Application Guard para Office em um dispositivo. Para funcionar, o processador utilizado deve ter extensões de virtualização, como Intel VT-x ou AMD-V. Os requisitos mínimos de hardware também incluem CPU 64 bits, com 4 núcleos (físico ou virtual), e Core i5 equivalente ou superior recomendado. A memória física utilizada deve ser de 8GB de RAM, e o disco rígido com 10GB de espaço livre na unidade do sistema, sendo recomendado o SSD. Já os requisitos mínimos de software são Windows 10 Enterprise edition, Client Build versão 2004 (20H1) build 19041, Office Beta Channel Build versão 2008 16.0.13212 ou posterior, e atualizações de segurança mensais cumulativas do Windows 10 KB4566782. Para obter os requisitos de sistema detalhados, consulte os requisitos do sistema para o Microsoft Defender Application Guard. Já sobre as compilações do Office Insider Preview, consulte a introdução à implantação de compilações do Office Insider.

A empresa de cibersegurança Group-IB, sediada em Cingapura, detectou ataques com motivação financeira realizados por criminosos no Irã em junho. Os invasores, que foram classificados pela empresa como novatos, usaram o ransomware Dharma e uma mistura de ferramentas publicamente disponíveis visando empresas na Rússia, Japão, China e Índia. Todas as organizações afetadas tinham hosts com RDP (Remote Desktop Protocol) voltado para a Internet e credenciais fracas. Os hackers normalmente exigiam um resgate entre 1 e 5 bitcoins. Os pesquisadores observaram recentemente um aumento nas atividades em torno da distribuição de ransomware Dharma, que também é conhecido como Crysis e foi distribuído sob um modelo de ransomware-as-a-service (RaaS) pelo menos desde 2016. Seu código-fonte apareceu à venda em março de 2020, tornando-o disponível para um público mais amplo. Os hackers novatos supostamente estavam por trás de uma nova onda de distribuição de Dharma na Rússia e, embora o número exato de vítimas seja desconhecido, foi estabelecida a geografia das campanhas e o conjunto de ferramentas, que estão muito aquém do nível de sofisticação das grandes ameaças persistentes avançadas (APTs) iranianas. Os operadores do ataque utilizaram softwares populares para executar alguns passos do ataque, como entrar no sistema com força bruta e verificar a validade das credenciais obtidas em outros hosts acessíveis na rede; tentar elevar os privilégios; desabilitar o software antivírus integrado; etc. Algumas ferramentas foram baixadas pelos atacantes dos canais do Telegram em língua persa quando eles já estavam presentes na rede. Depois que as atividades de reconhecimento de rede foram concluídas, as informações coletadas foram utilizadas por eles para se moverem lateralmente pela rede usando o protocolo RDP. O objetivo final era derrubar e executar uma variante do ransomware Dharma.

Uma grande solução para a botnet Emotet foi distribuída por mais de seis meses. O ZDNet publicou a história da ferramenta EmoCrash, que funciona essencialmente como um killswitch, impedindo o malware de se propagar e monitorando se redes foram infectadas pelo Emotet. O malware foi visto pela primeira vez em 2014, e evoluiu de um trojan bancário para um canivete suíço que, uma vez que infecta as vítimas, se espalha lateralmente por toda a sua rede, rouba todos os dados confidenciais e aluga acesso aos hospedeiros infectados para outros grupos. Mas o malware possui um bug que foi explorado e que veio à tona no início deste ano, descoberto por James Quinn, um analista de malware que trabalhava para a Binary Defense. Nos últimos anos, o trabalho principal de Quinn tem sido caçar o Emotet e ficar de olho em suas operações, e enquanto vasculhava as atualizações diárias do malware em fevereiro, ele percebeu uma mudança no código do Emotet – em uma das cargas úteis recentes, a rede de bots Emotet estava fazendo spam em massa pela Internet. A mudança foi no "mecanismo de persistência" do Emotet, a parte do código que permite que o malware sobreviva às reinicializações do PC. Quinn percebeu que o Emotet estava criando uma chave de registro do Windows e salvando uma chave de criptografia XOR dentro dela. Mas essa chave de registro não foi usada apenas para persistência; ela também fazia parte de outras verificações de código Emotet, incluindo sua rotina de pré-infecção. Quinn conseguiu montar um minúsculo script do PowerShell que explorou o mecanismo de chave do registro para travar o próprio Emotet. O script, denominado EmoCrash, efetivamente escaneia o computador de um usuário e gera uma chave de registro Emotet correta, mas mal formada. Quando Quinn tentou infectar propositalmente um computador limpo com o Emotet, a chave de registro mal formada disparou um estouro de buffer no código do Emotet, travando o malware, impedindo efetivamente que os usuários fossem infectados. Quando o Quinn executou o EmoCrash em computadores já infectados, o script substituía a chave de registro boa por uma mal formada e, quando o Emotet verificava novamente a chave de registro, o malware também travava, evitando que hosts infectados se comunicassem com o servidor de comando e controle do Emotet. A equipe da Binary Defense manteve essa descoberta em sigilo total para evitar que a gangue Emotet corrigisse o bug, mas o EmoCrash também precisava chegar às mãos de empresas em todo o mundo. Assim, a Binary Defense trabalhou com o Team CYMRU, uma empresa com experiência em organização e participação na remoção de botnets e que garantiu que o EmoCrash chegasse às mãos de Centros de Estudos para Resposta e Tratamento de Incidentes em Computadores (CERTs) nacionais, que então o espalharam para as empresas em suas respectivas jurisdições. Seis meses depois da descoberta, a gangue Emotet mudou todo o seu mecanismo de persistência e o EmoCrash não é mais útil. Mas por seis meses, o script ajudou as organizações a se manterem à frente das operações de malware. ?

Nesta quinta-feira, 20 de agosto, o Google sofreu uma interrupção que afetou usuários em todo o mundo. Segundo o ZDNet, usuários relataram problemas ao enviar e receber e-mails por volta das 01h no horário de Brasília. Logo em seguida, o Google forneceu uma atualização dizendo que estava investigando relatos de um problema com o Gmail. Cerca de 40 minutos depois, o Google disse que os problemas continuavam e as investigações continuavam. Gmail, Google Drive, Google Docs, Google Meet e Google Voice foram sinalizados pela empresa como tendo interrupções de serviço. Em seu pico, o Downdetector recebeu mais de 2,8 mil relatórios de usuários que tiveram problemas com o pacote de serviços do Google. O Google já corrigiu a falha.

A China proibiu o uso do mais famoso software substituto ao Bloco de Notas, o Notepad++, devido aos protestos do desenvolvedor contra a política de Hong Kong e as violações dos direitos humanos do povo Uyghur. Segundo o BleepingComputer, o próprio desenvolvedor do Notepad++ afirmou que o bloqueio provavelmente está sendo feito devido ao lançamento de suas edições 'Stand with Hong Kong' e 'Free Uyghur', que foram nomeadas desta forma para mostrar a situação dos povos de Hong Kong e Uyghur. Ao tentar fazer download do Notepad++ com navegadores de origem na China, como o Tencent, os usuários recebem uma mensagens dizendo que o site foi bloqueado. A mensagem do navegador é traduzida como: "A Central de Segurança do Site Tencent lembra que este site pode conter conteúdo ilegal". "Este site foi denunciado por um grande número de usuários e pode ter publicado conteúdo que é proibido pelo Estado. Para proteger sua segurança pessoal e patrimonial, é recomendável que você o visite com cuidado". Os bloqueios não são exclusivos do navegador e também são encontrados em outros navegadores com base na China, como o 360 Chrome, que exibiu a seguinte mensagem: "O site que você está visitando contém informações ilegais. Feche a página". Até o momento, a página inicial do Notepad++ ainda pode ser acessada em navegadores chineses, estando apenas as páginas de download bloqueadas.

O estudante que não foi aprovado na primeira chamada do Programa Universidade para Todos (ProUni) do Ministério da Educação ainda pode se inscrever para concorrer a uma vaga na lista de espera. O ProUni é um programa que oferece bolsas de estudo integrais e parciais em instituições particulares de educação superior. Para participar, os candidatos devem ter feito a última prova do Enem. A lista de espera é a terceira e última chance de conseguir uma bolsa pelo ProUni, e o período para se inscrever é de 18 e 20 de agosto. A primeira chamada do ProUni é uma relação com os aprovados na primeira rodada, cujas inscrições ocorreram entre os dias 14 e 17 de julho. É aprovado nessa rodada quem tirou as maiores notas do Enem, e há um prazo para comprovar a documentação necessária na faculdade onde conseguiu vaga. A segunda chamada do ProUni começa conforme os candidatos da primeira são desclassificados, seja por desistência ou não comprovação de documentos. Já a lista de espera é a última chance de o candidato conseguir a bolsa. As bolsas eventualmente não preenchidas nas duas chamadas anteriores serão ocupadas pelos estudantes participantes da lista de espera. A divulgação dessa lista será no 24 de agosto, e os aprovados terão até o dia 28 de agosto para comprovar as informações na faculdade onde conseguiu a bolsa. Se interessou? Corre lá que o prazo está acabando: http://prouniportal.mec.gov.br

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC, na sigla em inglês) alerta sobre golpes on-line que promovem falsas oportunidades de investimento endossadas enganosamente por celebridades. Em quatro meses, o NCSC removeu mais de 300 mil URLs vinculados a golpes de investimento com falsos endossos de celebridades. Segundo o Centro, esses golpes de investimento vêm na forma de artigos de notícias on-line simulados apresentando os ricos e famosos. E-mails e anúncios digitais pagos estimulam as pessoas a visitarem sites fraudulentos que contêm informações sobre esquemas falsos de “enriquecimento rápido”. Assim, a vítima é incentivada a clicar em um link para investir, mas o dinheiro está, na verdade, sendo enviado para criminosos cibernéticos. Alguns golpes foram detectados graças a relatórios do público ao Suspicious E-mail Reporting Service (SERS) do NCSC, um sistema que já recebeu mais de 1,8 milhão de alertas do público desde seu lançamento, em abril, resultando em mais de 16,8 mil URLs maliciosos bloqueados ou retirados do ar. Mais da metade desses URLs está relacionada a golpes de investimento em criptomoeda. O NCSC está trabalhando em parceria com a polícia da cidade de Londres para proteger o público de atividades criminosas cibernéticas, como golpes de investimento, que custaram ao público mais de 197 milhões de libras somente em 2018.

O Google submeterá os usuários do Chrome a um teste em grande escala na próxima versão de seu navegador para descobrir como as pessoas reagem ao ver apenas o nome de domínio de um site sem o URL completo das páginas deste site. "No Chrome 86, vamos experimentar como os URLs são mostrados na barra de endereço em plataformas de desktop. Nosso objetivo é entender – por meio do uso no mundo real – se mostrar URLs dessa forma ajuda os usuários a perceberem que estão visitando um site malicioso e os proteger de ataques de phishing e engenharia social", diz comunicado do Google. O grupo experimental poderá visualizar o URL completo de um determinado site passando o mouse sobre o URL e ele se expandirá totalmente. Também é possível clicar com o botão direito do mouse no URL e escolher “Sempre mostrar URLs completos”. Ativar essa configuração mostrará o URL completo de todos os sites visitados no futuro. O objetivo do experimento é ver se essa abordagem ajuda as pessoas a identificar URLs de phishing. Segundo o Google, um estudo mostra que mais de 60% dos usuários foram enganados quando um nome de marca enganoso apareceu em um URL. "Se você não foi atribuído aleatoriamente a este experimento do Chrome 86 e gostaria de experimentá-lo, instale o Chrome Canary ou o canal Dev, abra chrome://flags no Chrome 86, habilite os seguintes sinalizadores e reinicie o navegador: #omnibox-ui-reveal-steady-state-url-path-query-and-ref-on-hover #omnibox-ui-sometimes-elide-to-registrable-domain".

O software para engenharia reversa ILSpy, navegador de código e descompilador de programas em .NET está com sua versão mais recente, a 6.1, no ar. O programa é útil para análise de malware, arquivos suspeitos ou qualquer outro tipo de programa criados em .NET. A versão nova conta com suporte a novos recursos de linguagem, como (em inglês): C# 9.0: Native ints C# 9.0: Attributes on local functions Além disso, ele utiliza o System.Reflection.Metadata 1.8.1 e possui melhorias como (em inglês) : Assembly List UX: double-click selects list and dismisses dialog Base types treenode: Create a flat list of nodes containing all base types instead of just the direct base types Há ainda correções na versão ILSpy 6.1(em inglês): Fix #2050: Ref local variable is inlined incorrectly, changing the exception behavior Fix #1903: un-inline argument of unsupported isinst instructions. Fix #2073: Ensure the startOffsetVar actually appears in the expected instruction, not somewhere else. Fix #2068: ILSpy can't find referenced library even though it's open Para ver mais correções, clique aqui. Veja também o changelog completo.

Pesquisa realizada pela CybSafe, empresa que aborda o fator humano na segurança cibernética, aponta que acidentes com cibersegurança, como cair em golpes simulados de phishing, são regularmente punidos em empresas. Ações como apontar quem foi a pessoa que caiu no golpe e envergonhá-la; diminuir privilégios de acesso; bloquear computadores até que um treinamento seja concluído; ou informar o gerente de um indivíduo são comumente tomadas após esses incidentes. O levantamento, realizado com empresas do Reino Unido, aponta, contudo, que experimentos olhando para os impactos dessas punições mostram que elas são altamente prejudiciais, aumentando a ansiedade, reduzindo a produtividade e, potencialmente, levando ao ressentimento, estresse e ceticismo em relação à segurança cibernética. Para evitar esse tipo de constrangimento, o Centro Nacional de Cibersegurança do Reino Unido (NCSC) adicionou recentemente exercícios para trabalho doméstico e remoto ao seu kit de ferramentas gratuito Exercise in a Box, que permite às empresas testarem e praticarem suas respostas a um ataque cibernético. "O NCSC defende há muito tempo o cultivo de uma cultura de segurança saudável e positiva para apoiar e capacitar negócios", destaca. O kit de ferramentas oferece exercícios baseados nas principais ameaças cibernéticas, e a organização pode fazer no seu tempo, em ambiente seguro, quantas vezes quiser. Ele foi testado em pequenas e médias empresas, no governo local e em serviços de emergência, mas outras comunidades do setor público e privado podem se beneficiar com seu uso, dependendo de suas necessidades. Saiba mais.

O FBI publicou comunicado alertando para um número crescente de vítimas que está sendo direcionado para sites fraudulentos por meio de plataformas de mídia social e mecanismos de busca on-line populares. De acordo com as denúncias recebidas, um número crescente de vítimas não recebeu itens comprados em sites que oferecem preços baixos e produtos como equipamentos de ginástica, pequenos eletrodomésticos, ferramentas e móveis. As vítimas relataram que foram direcionadas a esses sites por meio de anúncios em redes sociais ou enquanto procuravam por itens específicos nas páginas de "compras" dos sites de pesquisa on-line. Os reclamantes indicaram que máscaras faciais descartáveis enviadas da China foram recebidas no lugar do produto que foi pedido; o pagamento foi feito usando um serviço de transferência de dinheiro on-line; os sites de varejo forneceram endereços e números de telefone válidos, mas não associados aos EUA em um link "Fale conosco", fazendo as vítimas a acreditarem que o varejista estava localizado naquele país; muitos dos sites usaram conteúdo copiado de sites legítimos. Algumas vítimas que reclamaram com o vendedor sobre suas remessas receberam reembolso parcial e ficaram com as máscaras como forma de compensação. Outros foram instruídos a devolver os itens à China para serem reembolsados, o que resultaria no pagamento de altas taxas de postagem pela vítima, ou concordar com o reembolso parcial do produto pedido sem devolver os itens recebidos. As tentativas de reembolso total ou recebimento dos itens encomendados foram malsucedidas. Os indicadores relatados dos sites falsos incluem: em vez de .com, os sites fraudulentos usaram os domínios nível superior (TLD) da Internet “.club” e “.top”; os sites ofereciam mercadorias a preços com descontos significativos; a URL ou os endereços de Internet foram registrados recentemente (nos últimos seis meses); os sites usavam conteúdo copiado de sites legítimos e geralmente compartilhavam as mesmas informações de contato; os sites foram anunciados em redes sociais; criminosos utilizaram um serviço de registro de domínio privado para evitar que informações pessoais fossem publicadas no diretório público Whois.

O software de suporte remoto TeamViewer corrigiu uma falha de alta gravidade em seu aplicativo de desktop para Windows. Segundo o ThreatPost, se explorada, a falha pode permitir que atacantes remotos não autenticados executem códigos nos sistemas dos usuários ou quebrem suas senhas. A falha recentemente descoberta (CVE-2020-13699) origina-se do aplicativo Desktop para Windows que não cita corretamente o identificador uniforme de recurso (URI). Os aplicativos precisam identificar os URIs dos sites mas, como os aplicativos podem receber dados de fontes não confiáveis, os valores de URI passados podem conter dados maliciosos que tentam explorar o aplicativo. Nesse caso específico, os valores não são “citados” pelo aplicativo – o que significa que o TeamViewer os tratará como comandos em vez de valores de entrada. Assim, um invasor pode incorporar um iframe malicioso em um site com um URL criado que iniciaria o TeamViewer e o forçaria para abrir um compartilhamento SMB remoto. Para iniciar o ataque, o invasor pode simplesmente persuadir uma vítima com o TeamViewer instalado em seu sistema a clicar em uma URL. O URI, então, enganará o aplicativo para criar uma conexão com o protocolo SMB remoto controlado pelo invasor. SMB é um protocolo de rede usado por computadores baseados no Windows que permite que sistemas na mesma rede compartilhem arquivos. Depois que o aplicativo TeamViewer da vítima inicia o compartilhamento SMB remoto, o Windows faz a conexão usando o NT LAN Manager (NTLM), que usa um protocolo criptografado para autenticar um usuário sem transferir a senha. As credenciais NTLM são baseadas em dados obtidos durante o processo de logon interativo e consistem em um nome de domínio, um nome de usuário e um hash unilateral da senha do usuário. Nesse cenário de ataque, a solicitação NTLM pode ser retransmitida por invasores usando uma ferramenta que captura sessões de autenticação SMB em uma rede interna e as retransmite para uma máquina de destino. Isso pode conceder aos atacantes acesso à máquina da vítima automaticamente e também permite que eles capturem hashes de senha, que podem, então, ser quebradas. As versões do TeamViewer anteriores a 15.8.3 são vulneráveis e o bug afeta várias versões do TeamViewer, incluindo: teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1 e tvvpn1. O problema foi corrigido em 8.0.258861, 9.0.258860, 10.0.258873, 11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350, e 15.8.3, disseram pesquisadores.

A fabricante de chips Intel está investigando uma violação de segurança depois de mais de 20GB de documentos internos, sendo alguns marcados como "confidenciais" ou "secretos restritos", serem divulgados on-line em um site de compartilhamento de arquivos chamado MEGA. Notícia do ZDNet conta que os dados foram publicados por um engenheiro de software suíço que afirmou ter recebido os arquivos de um hacker anônimo. O suposto hacker alega ter atacado a Intel no início deste ano. Aparentemente, o vazamento representa a primeira parte de uma série de vazamentos relacionados à Intel. O ZDNet revisou o conteúdo dos arquivos com pesquisadores de segurança que analisaram as CPUs Intel em trabalhos anteriores, e eles consideraram o vazamento autêntico. Aparentemente, os arquivos vazados contém propriedade intelectual da Intel para o design interno de vários chipsets, com especificações técnicas, guias de produtos e manuais de CPUs datadas de 2016. Nenhum dos arquivos vazados contém dados confidenciais sobre clientes ou funcionários da Intel, segundo o ZDNet. No entanto, não se sabe a que mais o suposto hacker teve acesso. Em uma declaração enviada ao site, a Intel negou ser "hackeada" e diz que um indivíduo com acesso ao seu Centro de Recursos e Design pode ter baixado os dados confidenciais sem autorização, compartilhando-os com o pesquisador suíço. "Estamos investigando essa situação. As informações parecem vir do Intel Resource and Design Center, que hospeda informações para uso de nossos clientes, parceiros e outras partes externas registradas. Acreditamos que um indivíduo com acesso baixou e compartilhou os dados", diz a nota.

A Canon sofreu um ataque de ransomware afetando serviços como seu e-mail, o Microsoft Teams, o site dos Estados Unidos e outros aplicativos internos. Uma fonte entrou em contato com o BleepingComputer e compartilhou a imagem de uma notificação enviada pela empresa intitulada "Mensagem do Centro de Serviços de TI". A notificação declara que a Canon está enfrentando "problemas amplos no sistema que afetam vários aplicativos, Teams, e-mail, e outros sistemas podem não estar disponíveis no momento". O site da Canon EUA está em manutenção, e há ainda uma lista de domínios que parecem ser afetados por essa interrupção. O BleepingComputer obteve também uma captura de tela parcial da suposta nota de resgate da Canon, identificada como sendo do ransomware Maze. Depois de entrar em contato com os operadores de ransomware, o Maze informou ao BleepingComputer que o ataque foi realizado e eles roubaram "10 terabytes de dados, bancos de dados privados, etc.". O Maze é um ransomware direcionado a empresas e que compromete e se espalha lateralmente através de uma rede até obter acesso a uma conta de administrador e ao controlador de domínio do sistema Windows. Durante esse processo, o Maze rouba arquivos não criptografados de servidores e backups, e os carrega nos servidores do atacante. Assim, o Maze implanta o ransomware em toda a rede para criptografar os dispositivo, e se uma vítima não pagar o resgate, o Maze pode distribuir publicamente os arquivos roubados em um site de vazamento de dados. Em comunicado ao BleepingComputer, a Canon diz que "está, atualmente, investigando a situação".

A versão 3.00 do Detect It Easy (DIE) foi lançada no início do mês e nós já testamos. O DIE é um programa para determinar tipos de arquivos, multiplataforma (C++/Qt), com versões para Windows, Linux e macOS. Ele possui uma arquitetura totalmente aberta de assinaturas e permite adicionar facilmente seus próprios algoritmos de detecção ou modificar os que já existem usando scripts. A linguagem de script é muito semelhante ao JavaScript e qualquer pessoa que entenda o básico da programação saberá facilmente como ela funciona. O DIE possui três versões: Versão básica ("DIE"), versão Lite ("DIEL") e versão do console ("DIEC"). Todas usam as mesmas assinaturas, localizadas na pasta "db". Esta pasta contém subpastas como "Binary" e "PE". Os nomes das subpastas correspondem aos tipos de arquivos. O DIE determina o tipo de arquivo e, em seguida, carrega sequencialmente todas as assinaturas que estão na pasta correspondente. Atualmente, o programa suporta os seguintes tipos de arquivos: Arquivos executáveis MS-DOS Arquivos executáveis PE Arquivos executáveis ELF Arquivos executáveis Mach-O Arquivos binários em geral Na versão 3.00, a interface foi remodelada. As mudanças que percebemos foram: Novo botão Hash que calcula diferentes hashes, incluindo MD5, SHA1 e SHA-256 de partes do binário (seções, cabeçalhos, etc.) e também dele todo. Remoção do engine do Yara, que não se popularizou muito já que as assinaturas do DIE já são muito boas. Voltamos a ter duas opções: DIE e Nauz File Detector. Novo botão Memory map que mostra uma visualização integrada das seções e disassembla seu conteúdo também. Disassembler com suporte a labels. Achamos tudo muito legal, no entanto sentimos falta do suporte a scripts e a função de encontrar constantes que sugerem implementações criptográficas, recurso acessado na opção Search -> Crypto (Botão S) nas versões anteriores à 3.00. Por enquanto, recomendamos ter ambas as versões instaladas. ? Na nossa Aula 02 do curso de Análise de Malware Online – AMO, mostramos a diferença da análise estática de arquivos suspeitos com o pestudio e o DIE. Dá uma olhada:

Um adolescente de Tampa está preso acusado de ser o “mentor” por trás do golpe envolvendo conta de personalidades no Twitter. Segundo o WFLA, portal de notícia da Flórida, um procurador de Hillsborough, nos Estados Unidos, apresentou 30 acusações criminais contra o adolescente, o conectando com o golpe ocorrido em 15 de julho que utilizou dezenas de contas de perfis importantes para roubo de criptomoedas. Entre as contas afetadas estão a de Bill Gates, Jeff Bezos, Elon Musk, Mike Bloomberg, Warren Buffett, de Barack Obama e de Joe Biden, além de startups de tecnologia e sites relacionados a criptomoedas (leia mais). As acusações que ele enfrenta incluem inúmeras de fraudes organizadas, 17 acusações de fraude de comunicação, uso fraudulento de informações pessoais com mais com 30 ou mais vítimas, uso fraudulento de informações pessoais e acesso a computadores ou dispositivos eletrônicos sem autorização. O esquema de fraude roubou a identidade de pessoas proeminentes e postou mensagens em seus nomes induzindo as vítimas a enviarem Bitcoin para contas associadas ao adolescente. Segundo o advogado do estado, o esquema colheu mais de US$ 100 mil em Bitcoin em apenas um dia. De acordo com a Procuradoria dos EUA no Distrito Norte da Califórnia, o adolescente é uma das três pessoas acusadas de participar do golpe. O FBI e o Departamento de Justiça dos EUA fizeram a investigação em todo o país até chegar aos suspeitos, diz a reportagem.

A DEF CON 2020, uma das maiores conferências hacker do mundo, inicia nesta quinta-feira, dia 6 de agosto, e vai até domingo, dia 9 de agosto, totalmente on-line. Toda a programação do evento, batizado de DEF CON Safe Mode, está neste link. No novo formato, uma série de workshops gratuitos serão realizados ao longo desses dias, tantos de defesa (Blue Team) quanto de ataque (Red Team). Na Blue Team Village, serão 18 workshops que abordarão desde introdução ao OpenSOC até monitoramento de segurança em nuvem. Já a Red Team Village terá uma série de treinamentos durante três dias (7, 8 e 9 de agosto) , passando por exploração, hacking, e até metodologias para caçadores de bugs. Todos os workshops serão em inglês. As vagas estão concorridas e já esgotando, então corre lá e garanta sua inscrição: Blue Team Village Red Team Village

Um hacker vigilante desconhecido vem sabotando as operações da botnet Emotet. Segundo o ZDNet, o malware foi recentemente revivido, mas o hacker está substituindo suas cargas úteis por GIFs animados, impedindo efetivamente as vítimas de serem infectadas. A botnet funciona enviando aos alvos um spam, via e-mail, com um documento mal-intencionado do office ou um link para um arquivo mal-intencionado que os usuários precisam baixar. Quando os usuários abrem um desses arquivos ou clicam nos links dentro do arquivo e ativam o recurso "Ativar edição" para permitir a execução de macros (scripts automatizados), eles baixam o malware Emotet e vários de seus componentes da Internet. Os componentes de malwares ficam em "sites WordPress invadidos" controlados via web shells. Mas a gangue Emotet usa scripts de código-fonte aberto e também emprega a mesma senha para todos os seus shells da web, expondo sua infraestrutura a ataques fáceis, se alguém adivinhar a senha. Assim, após mais de cinco meses em silêncio, o Emotet voltou à vida na semana passada, e um vigilante desconhecido parece ter descoberto essa senha comum e sabotado o retorno. Quando as vítimas do Emotet abrem os arquivos maliciosos do Office, elas não são infectadas, pois o malware não será baixado e executado em seus sistemas, mas sim um GIF animado. Cerca de um quarto de todos os links diários de carga útil do Emotet estão sendo substituídos por GIFs. Veja alguns exemplos:

Pesquisadores do CCDCOE Technology Branch da OTAN lançaram um manual com uma visão geral sobre como analisar malwares direcionados à plataforma Windows. No manual, são apresentadas as técnicas mais comuns usadas na investigação de malware, incluindo a configuração do ambiente do LAB, análise de rede, análise comportamental, e análise de código estático e dinâmico. O leitor se familiarizará ainda com as ferramentas de desmontagem, depuração, sandbox, sistema e monitoramento de rede. Também são apresentadas ferramentas de resposta a incidentes e colaboração. "O malware é uma ameaça crescente que causa um custo considerável para indivíduos, empresas e instituições. Como as defesas antivírus básicas baseadas em assinaturas não são muito eficientes contra ameaças de malware recentes ou ataques APT, é essencial que um investigador tenha as habilidades fundamentais definidas para analisar e mitigar essas ameaças", diz a introdução ao manual Já técnicas avançadas estão fora do escopo do manual, pois podem ser consideradas as primeiras etapas na investigação e tratamento de malware. O material, em inglês, pode ser acessado por meio deste link. Lembrando que temos também o nosso livro sobre os fundamentos de engenharia reversa completo em português: http://menteb.in/livro

Dois cursos de cibersegurança serão oferecidos gratuitamente e on-line pelo projeto Nave do Conhecimento do Rio de Janeiro. Apesar do projeto ser no Rio, qualquer pessoa de qualquer lugar pode participar, inclusive estrangeiros falantes de língua portuguesa. O primeiro é Introdução à Cibersegurança, que ocorre do dia 2 de agosto até o dia 4 de agosto, das 13h às 18h, totalizando 20 horas de curso. Já o Fundamentos em Cibersegurança inicia no dia 5 de agosto e encerra no dia 25 de agosto, das 9h às 12h, com carga horária de 30 horas. O programa é dividido em fases e visa oferecer formação profissional a estudantes, bem como ofertas de estágio e trabalho. A primeira fase é o Learn-A-Thon, uma maratona de treinamento que tem como objetivo estimular e capacitar alunos nos cursos exploratórios NetAcad “Introdução à Cibersegurança” e “Fundamentos em Cibersegurança”. Os alunos que passarem por essa fase, além de receber certificados e distintos digitais, poderão concorrer a bolsas de estudo para as próximas fases do programa. Para participar da maratona, é preciso se inscrever nos dois cursos. O primeiro curso já começa no próximo domingo, então corre para se inscrever nos links abaixo! Na hora de fazer o cadastro, selecione a unidade Engenhão: Introdução à Cibersegurança Fundamentos em Cibersegurança O projeto Nave do Conhecimento busca aumentar a inclusão digital para pessoas em situação de exclusão social, mas esses curso, por serem on-line, são para todos também. Compartilhe o link dessa notícia para quem precisa. ?

O Bloatbox permite aos usuários remover aplicativos pré-instalados indesejados no Windows 10. O sistema operacional vêm com vários aplicativos universais e não há uma maneira fácil de removê-los usando as Configurações ou o Painel de Controle. Segundo o Bleeping Computer, o Bloatbox é um novo aplicativo que deveria ser voltado para a privacidade do Windows 10, mas foi lançado como um programa independente. No Github, os criadores contam que o Bloatbox pretendia ser uma pequena extensão para o Spydish desinstalar aplicativos específicos. Mas para não inchar o Spydish desnecessariamente, ele se tornou um aplicativo independente. Contudo, já com a próxima versão do Spydish, o Bloatbox poderá ser iniciado. O Bloatbox alcança todos os aplicativos instalados no Windows 10, mesmo aqueles que normalmente não podem ser desinstalados. Basta selecionar os aplicativos que deseja desinstalar e clique no botão "Desinstalar". No geral, o Bloatbox é uma ferramenta útil e simples para remover rapidamente aplicativos primários, além de ser fácil de usar.

Agências de cibersegurança do Reino Unido e dos Estados Unidos publicaram um alerta de segurança conjunto sobre o QSnatch, malware que está infectando dispositivos NAS (Network Attached Storage, ou dispositivo dedicado ao armazenamento de dados em rede) da fabricante de dispositivos taiwanesa QNAP. A informação foi divulgada pelo ZDNet. A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) e o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido dizem que os ataques com o malware foram rastreados desde 2014, mas eles se intensificaram no último ano, quando o número de infecções relatadas aumentou de 7 mil dispositivos em outubro de 2019 para mais de 62 mil em meados de junho de 2020. Aproximadamente 7,6 mil dispositivos infectados estão localizados nos Estados Unidos e cerca de 3,9 mil no Reino Unido. A primeira campanha, dizem as agências, provavelmente começou no início de 2014 e continuou até meados de 2017, enquanto a segunda começou no final de 2018 e ainda estava ativa no final de 2019. Além disso, as duas campanhas usaram versões diferentes do malware QSnatch, também rastreadas sob o nome de Derek. O alerta conjunto concentra-se na campanha mais recente e essa nova versão do QSnatch vem com um conjunto amplo e aprimorado de recursos que inclui funcionalidades para módulos como: Logger de senha CGI (instala uma versão falsa da página de login do administrador do dispositivo, registrando autenticações bem-sucedidas e passando-as para a página de login legítima); raspador de credenciais; Backdoor SSH (permite que o ciberatacante execute código arbitrário em um dispositivo); Exfiltração (quando executado, o QSnatch rouba uma lista predeterminada de arquivos, que inclui configurações do sistema e arquivos de log, e eles são criptografados com uma chave pública e enviados por HTTPS); e Webshell para acesso remoto. No entanto, os especialistas ainda não sabem como o malware inicialmente infecta os dispositivos. Os atacantes podem estar explorando vulnerabilidades no firmware da QNAP ou usando senhas padrão para a conta de administrador, mas ainda não há informação sobre as suspeitas. As duas agências estão pedindo às empresas e usuários domésticos que usam dispositivos QNAP que sigam as etapas de correção e mitigação listadas na página de suporte do fornecedor de Taiwan para se livrar do QSnatch e prevenir infecções futuras.

Autoridades de proteção de dados e privacidade da Austrália, Canadá, Gibraltar, Hong Kong, Suíça e Reino Unido enviaram uma carta aberta a empresas de videoconferência (VTC) pedindo que reavaliassem como salvaguardam os direitos e dados de privacidade de cidadãos de todo o mundo. Com o aumento do uso desses serviços, decorrente do isolamento social para conter a pandemia do novo coronavírus (COVID-19), houve um maior número de relato de problemas de segurança enfrentados por algumas das plataformas, bem como preocupações diretamente levantadas com os próprios órgãos reguladores. O WeLiveSecurity, portal de notícias da Eset, divulgou trechos da carta. “O objetivo desta carta aberta é expor nossas preocupações e esclarecer nossas expectativas e as medidas que você deve tomar como empresa de VTC para mitigar os riscos identificados e, finalmente, garantir que as informações pessoais de nossos cidadãos sejam protegidas de acordo com as expectativas do público, e de qualquer dano”, diz a carta assinada por comissários e reguladores de privacidade. A carta destaca como cinco princípios em que as empresas da VTC devem focar sua atenção a segurança, privacidade, conhecer seu público, transparência e justiça, e controle do usuário final. Apesar de destinar-se a todas as empresas que fornecem serviços de videoconferência, Microsoft, Cisco, Zoom, House Party e Google receberam a carta diretamente. Os reguladores esperam ainda que as empresas protejam os dados do usuário implementando certas garantias de segurança como padrão, como criptografia de ponta a ponta para todas as comunicações e autenticação por dois fatores para logins, além de pedir para que exijam que os usuários criem senhas fortes. Além disso, eles ressaltam a importância das pessoas atualizarem regularmente os programas para a versão mais recente, e que as empresas devem comunicar isso aos seus usuários. “Também deve ser dada atenção especial para garantir que as informações sejam adequadamente protegidas quando processadas por terceiros, inclusive em outros países”, diz a carta. Os signatários também reconhecem que a pandemia levou as plataformas a serem usadas de maneiras diferentes daquelas para as quais foram projetadas, o que pode abrir portas para ameaças imprevistas. Contudo, os reguladores incentivam as empresas a revisarem esses novos métodos de uso e a implementar as medidas necessárias de proteção de dados e privacidade. No que diz respeito à transparência e justiça, as empresas são solicitadas a estarem preparadas em relação aos dados que coletam e como lidam com eles. A carta avisa que não fazer isso pode levar a violações da lei e da confiança do usuário. Os reguladores de privacidade esperam receber respostas das empresas até 30 de setembro de 2020.

A empresa de segurança Core Security iniciou uma campanha no Crowon para arrecadar dinheiro e ajudar o programa Médicos Sem Fronteiras na recuperação da crise de saúde pelo novo coronavírus (COVID-19). A campanha parte da realização de um curso sem fins lucrativos, ministrado em espanhol por Ricardo Narvaja (galera de engenharia reversa das antigas vai lembrar dele!) e Daniel Kazimirow, ambos profissionais renomados na área. O curso de introdução à engenharia reversa terá 12 horas de duração no total e ocorrerá nos dias 6, 7 e 8 de agosto. "A Core Security oferece soluções avançadas de detecção de ameaças, gerenciamento de identidade e acesso e avaliação de risco. Nossos produtos ajudam as empresas a minimizarem os riscos de segurança e a manterem os regulamentos de conformidade", diz a empresa. O curso é destinado a quem sempre quis entrar no mundo da engenharia reversa e, devido à falta de conhecimento básico ou de tempo, não conseguiu estudar o tema. Além disso, qualquer pessoa interessada em engenharia reversa aplicada a algum setor pode participar. Os especialistas que ministrarão o curso destacam que uma grande porcentagem dos participantes tem falta de prática e conhecimento básico que precisam para entender bem os cursos mais avançados. Por isso, cursos básicos podem ajudar a tirar dúvidas básicas para se estabelecer a teoria e a prática dos exercícios e, depois, poder realizar novos cursos mais avançados no futuro. Lembrando que o objetivo principal é arrecadar dinheiro aos médicos que atuam no enfrentamento da pandemia de COVID-19, portanto, as 50 pessoas que doarem a maior quantia em dinheiro terão acesso privado ao curso, podendo fazer perguntas a qualquer momento das aulas. O restante dos colaboradores poderão assistir ao vivo e tirar suas dúvidas em uma sessão dedicada de perguntas, independentemente da quantia doada. A campanha arrecadou, até o momento, 2,8 mil euros. A meta é chegar a 30 mil euros. Confira o programa do curso, inscrições e mais informações neste link. ?