Bruna Chieco

O Stack Overflow, famoso site de perguntas e repostas para programadores, informou que está investigando ataques ocorridos desde o dia 5 de maio em uma camada de desenvolvimento do site (stackoverflow.com). De acordo com comunicado divulgado pela VP de Engenharia do Stack Overflow, Mary Ferguson, o bug permitiu ao atacante entrar na camada de desenvolvimento do site e estender seu acesso à versão de produção do stackoverflow.com. Entre os dias 5 e 11 de maio, o invasor se manteve escondido, moderando suas atividades de invasão. A partir do dia 11 de maio, contudo, o atacante fez uma modificação no sistema do Stack Overflow, conseguindo acesso privilegiado no ambiente de produção, o que foi rapidamente identificado pela equipe do site. "Nós revogamos o acesso do invasor em toda nossa rede, começamos a investigar o ataque e demos os primeiros passos para remediar o problema", diz o comunicado. Como procedimento de segurança do site para proteger dados confidenciais de clientes, o Stack Overflow mantém infraestrutura de redes separadas para clientes dos produtos Teams, Business e Enterprise. "Não encontramos nenhuma evidência que esses sistemas e dados de clientes foram acessados". O site diz ainda que as áreas de Advertising e Talent também não foram afetadas. Embora o banco de dados não tenha sido comprometido, o site alerta que foram identificadas requisições web do invasor que podem ter retornado endereços IP, nomes ou e-mails de cerca de 250 usuários da rede pública do Stack Exchange. Os usuários afetados serão notificados.

Pesquisadores estão identificando um ataque remoto que pode, potencialmente, permitir uma invasão ao roteador Cisco 1001-X e comprometer dados e comandos que passam por ele. O problema é que esse roteador não é um roteador comum, que as pessoas costumam ter em casa. É muito maior e mais caro, responsável pela conectividade confiável de bolsas de valores, escritórios corporativos, shoppings, entre outros, tendo assim um papel importante em instituições, incluindo aquelas que lidam com dados hipersensíveis. De acordo com o site de notícias Wired, a empresa de segurança Red Balloon identificou duas vulnerabilidades. Uma é um bug no sistema operacional IOS da Cisco que permite ao atacante obter acesso remoto aos dispositivos. Essa falha pode ser relativamente fácil de ser resolvida através da aplicação de um patch (correção) de software. A segunda vulnerabilidade permite que os atacantes tenham acesso com privilégios administrativos, ignorando a proteção de segurança mais fundamental do roteador, o Trust Anchor. O recurso de segurança da Cisco foi implementado em quase todos os dispositivos corporativos da empresa desde 2013, só que agora foi descoberta uma maneira de contorná-lo, o que afetaria centenas de milhões de unidades Cisco em todo o mundo, desde roteadores corporativos até switches de rede e firewalls. A Cisco informou que vai disponibilizar uma atualização de software para corrigir a falha.

A Microsoft tem adotado uma medida não muito comum: está lançando atualizações para versões ainda amplamente utilizadas do Windows, mas que não são mais suportadas pela empresa: XP e 2003. De acordo com o blog KrebsOnSecurity, esse movimento é para tentar corrigir uma falha que permite a propagação de um worm que a empresa diz que poderia ser usado para propagar uma ameaça ainda mais rápido, como ocorreu com os ataques do ransomware WannaCry em 2017 e que afetou cerca de 2 mil sistemas Windows em 150 países. Segundo a Microsoft, a vulnerabilidade com o código CVE-2019-0708 está no componente “serviços de área de trabalho remota” incorporado em versões ainda suportadas do Windows, incluindo o Windows 7, Windows Server 2008 R2 e Windows Server 2008, mas também presente em computadores com Windows XP e Windows 2003, que são sistemas operacionais para os quais a Microsoft parou de lançar atualizações de segurança há bastante tempo. Ainda segundo o blog, a Microsoft não detectou evidências de ataques contra a falha de segurança, mas está tentando impedir uma ameaça séria e iminente. Aqui a empresa informa quais são as atualizações de segurança disponíveis. A falha não afeta os últimos sistemas operacionais Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, ou Windows Server 2012.

A empresa de segurança israelense ClearSky divulgou na semana passada o vazamento de uma série de documentos de grupos iranianos de APTs - ataques dirigidos avançados persistentes. Os atacantes foram os alvos do vazamento. Os documentos vazados foram divulgados em três canais: Lab Dookhtegam, que publicou documentos relacionados ao grupo 'OilRig'; Green Leakers, que divulgou vazamentos relacionados ao grupo 'MuddyWatter'; e o Black Box, que vazou vários documentos confidenciais relacionados a atividades de grupos de atacantes iranianos. Entre os documentos vazados estão informações do Ministério da Inteligência iraniano, semelhante ao FBI ou à CIA, sobre um grupo conhecido como 'Rana'. As informações vazadas incluem listas de vítimas, estratégias de ciberataque, áreas de acesso, listas de funcionários e imagens de websites que contêm sistemas relevantes de espionagem. Segundo a ClearSky, a identidade por trás do vazamento é atualmente desconhecida, mas com base no escopo e na qualidade dos documentos e informações divulgadas, eles parecem profissionais altamente capacitados. Dessa vez, os próprios atacantes foram pegos, o que mostra que não somente as empresas estão vulneráveis a esses ataques; invasores também podem ser vítimas. ?

O WhatsApp informou na última segunda-feira, 13 de maio, que foi identificada uma vulnerabilidade em algumas versões de seu aplicativo. O estouro de buffer permite execução remota de código, ou seja, atacantes podem invadir e tomar o controle de aparelhos celulares a partir do envio de certos pacotes. O problema recebeu o código CVE-2019-3568. Segundo o comunicado do Facebook, dono do WhatsApp, as versões afetadas do app são: WhatsApp para Android, versões anteriores à v2.19.134; WhatsApp Business para Android, versões anteriores à v2.19.44; WhatsApp para iOS, versões anteriores à v2.19.51; WhatsApp Business para iOS, versões anteriores à v2.19.51; WhatsApp para Windows Phone, versões anteriores à v2.18.348; WhatsApp para Tizen, versões anteriores à v2.18.15. De acordo com o National Cyber Security Centre (NCSC), órgão de ciber segurança do Reino Unido, algumas contas foram afetadas pela vulnerabilidade. Portanto, é importante manter suas versões do WhatsApp sempre atualizadas para evitar esse tipo de invasão. ?

Uma gangue formada por oito americanos e um irlandês foi acusada de SIM-swapping, clonagem do SIM card (chip) de celulares. De acordo com o blog KrebsOnSecurity, os golpistas teriam sequestrado os números de celulares via clonagem do SIM card. O golpe funciona da seguinte maneira: os golpistas subornam ou enganam vendedores dos aparelhos celulares e tomam o controle do número do aparelho da vítima. Assim, eles conseguem desviar todo o conteúdo de mensagens e ligações para seus próprios aparelhos, trocando senhas para outras contas vinculadas ao número invadido, mesmo protegidas por autenticação de dois fatores (2FA). Os membros da gangue, conhecida como "The Community", supostamente conseguiram arrecadar mais de US$ 2,4 milhões roubando informações e extorquindo pessoas em troca da redefinição das senhas de suas redes sociais. Esse golpe também ocorre no Brasil e está ficando cada vez mais comum. É importante priorizar o uso do duplo fator de autenticação por aplicativo (Google Authenticator, Authy, etc.) em vez de SMS (mensagens de texto), pois ninguém está a salvo da clonagem do número, já que funcionários corruptos de operadoras e lojas de venda e habilitação de telefones celulares parecem participar do esquema. Todo cuidado é pouco. ?

Apesar do Dharma ransomware circular desde 2016, ele segue com ataques bem sucedidos entre usuários e organizações ao redor do mundo. Segundo notícia publicada pela Trend Micro, o último ataque mais sério realizado por esse ransomware foi em novembro de 2018 e o alvo foi um hospital no Texas, nos Estados Unidos. A Trend Micro descobriu que novas versões do Dharma estão usando uma nova técnica: a instalação de um software de antivírus como forma de distrair o usuário e ocultar atividades maliciosas. Essas versões do ransomware estão sendo distribuídas por e-mail, via spam, o que normalmente faz com que o usuário baixe arquivos. Se o usuário clicar no link, ele recebe uma senha antes de abrir o arquivo de extração automática, que é denominado Defender.exe. Esse arquivo também contém o arquivo malicioso taskhost.exe e o instalador de uma versão antiga do ESET AV Remover renomeado como Defender_nt32_enu.exe. É justamente o antigo instalador do antivírus da ESET que distrai o usuário enquanto o ransomware criptografa os arquivos da vítima. A Trend Micro alerta que o ransomware será executado mesmo se a instalação da ferramenta não for acionada. O processo de instalação é só uma forma de distrair a vítima. A ESET foi informada do problema.

Uma nova família de ransomware está usando vulnerabilidades do Oracle WebLogic para infectar computadores. De acordo o Talos Security Intelligence and Research Group, grupo de pesquisa da Cisco, a nova variante do ransomware, denominado Sodinokibi, tenta criptografar dados de um usuário e excluir os backups das informações para dificultar sua recuperação. Os invasores vêm tentando se utilizar desse tipo de ataque pelo menos desde o dia 17 de abril, e no dia 25 do mesmo mês iniciaram os ataques em forma de teste para ver se o servidor era explorável. A Oracle corrigiu o problema no dia 26 de abril e atribuiu a ele o código CVE-2019-2725. O Talos alerta que essa vulnerabilidade é fácil de ser explorada, já que qualquer pessoa com acesso HTTP ao servidor WebLogic pode realizar um ataque. Historicamente, a maioria dos ransomwares exige alguma interação com o usuário para invasão, como abrir um anexo de e-mail, clicar em um link malicioso ou executar um malware no dispositivo. Nesse caso, os invasores simplesmente aproveitaram a vulnerabilidade do Oracle WebLogic, que acaba fazendo o download de uma cópia do ransomware dos endereços IP controlados pelo invasor. Por conta dessa facilidade, o bug recebeu uma pontuação de 9,8. ?