Categoria: ataque

Mais de 20 milhões de contas da OpenAI à venda

A OpenAI tem vindo a ganhar popularidade no mercado da IA, sendo que o ChatGPT é atualmente uma das plataformas mais usadas neste formato. No entanto, alguns rumores apontam agora que a empresa pode ter sofrido um ataque – não de forma direta – onde dados de contas de utilizadores estarão à venda em portais da Dark Web.

De acordo com algumas fontes, mais de 20 milhões de dados de login de contas da OpenAI estão agora à venda por diferentes portais da dark web. O vendedor das mesmas afirma que as contas foram obtidas de diferentes formatos, e que algumas integram planos Pro do ChatGPT, que permite acesso a funcionalidades avançadas.

O vendedor não indica exatamente o método original de onde as contas foram recolhidas, mas acredita-se que possa ter sido de forma externa da OpenAI. Não se acredita que a empresa tenha sido diretamente atacada ou os dados comprometidos. De notar que não existe também nenhuma confirmação que os dados à venda sejam legítimos.

Este ataque é apenas um dos mais recentes a afetar plataformas de IA, nomeadamente a OpenAI. Em Julho de 2023 foram descobertas mais de 200 mil contas comprometidas do ChatGPT à venda em portais da Dark Web.

07/02/2025
Falha grave afeta vários processadores da AMD

A AMD encontra-se a lançar uma atualização bastante importante para os seus processadores, que pretende corrigir uma falha que poderia permitir aos atacantes enviarem código potencialmente malicioso para o sistema, e de contornarem algumas das medidas de proteção do mesmo.

A falha, CVE-2024-56161, encontra-se associada com a assinatura de código enviada para a ROM dos processadores da AMD. Derivado da falha, os atacantes podem enviar código incorretamente assinado, que é passado como válido, e desta forma pode afetar os sistemas – mesmo que tenha conteúdo malicioso integrado no mesmo.

Para realizar o ataque com sucesso, os atacantes necessitam de ter acesso físicos aos sistemas, portanto não será algo à partida simples de se executar diretamente de um malware no sistema operativo.

Esta falha afeta um vasto conjunto de processadores, dentro da família de processadores AMD EPYC 7000 e 9000. A falha foi inicialmente descoberta pelos investigadores de segurança da Google, que reportaram a mesma à AMD, com a correção tendo sido lançada faz apenas algumas horas.

Embora a falha apenas possa ser explorada de forma local, tendo em conta que pode permitir ataques de elevada sofisticação ao sistema, e a execução de código potencialmente malicioso, a instalação do patch é certamente recomendada.

Os utilizadores com sistemas que tenham os processadores afetados devem proceder com a atualização o mais rapidamente possível. O patch pode ser descarregado diretamente do site da AMD relativo a atualizações da mesma.

06/02/2025
Apps roubam carteiras de criptomoedas na Google Play e App Store

Embora a Google Play Store e App Store da Apple ainda sejam os métodos mais seguros para descarregar aplicações, de tempos a tempos existem alguns métodos que conseguem contornar as regras e enviar conteúdos maliciosos para as plataformas.

Recentemente foi descoberta uma nova campanha de malware, que foi propagada através das plataformas oficiais de apps da Google e da Apple. Apelidada de SparkCat, esta campanha usou componentes SDK em diferentes aplicações, sendo que os programadores das mesmas podem ter sido afetados sem sequer se aperceberem.

De acordo com os investigadores da empresa de segurança Kaspersky, acredita-se que o malware pode ter chegado a aplicações que foram descarregadas mais de 242.000 vezes, isto apenas na Play Store da Google.

O objetivo do malware seria roubar carteiras de criptomoedas dos dispositivos das vítimas. Os atacantes usaram uma atualização para o SDK usado em determinadas apps, e anteriormente com intenções legítimas, para eventualmente levar ao roubo dos dados dos sistemas.

O foco seria carteiras de criptomoedas e contas de plataformas de criptomoedas, que eram depois usadas para esvaziar as mesmas e enviar os fundos para contas em controlo dos atacantes.

Os investigadores apontam que este foi o primeiro caso reportado de um malware deste formato a surgir na App Store da Apple, mesmo que tenha sido de forma indireta. Muitas das apps que estariam infetadas poderiam ter os programadores a desconhecer a existência de tal prática, já que o ataque partiu de um SDK usado pelas mesmas.

Tanto nas aplicações para Android como para iOS, o SDK mantinha uma linha de comunicação com servidores remotos, de onde recebia os comandos para os roubos, e ainda para onde era enviada informação dos mesmos.

O mesmo usava ainda o Google ML Kit OCR, um módulo para aplicações do iOS e Android que permite analisar o texto de imagens no ecrã. Este era usado para recolher informação direta dos dispositivos, como dados de login, enviando depois os mesmos para os atacantes.

Segundo a empresa de segurança, foram identificadas 18 aplicações com o SDK malicioso na Play Store, e dez na App Store da Apple. Em ambos os casos os investigadores entraram em contacto com a Google e Apple, que removeram as apps afetadas.

Embora as lojas de aplicações oficiais da Apple e da Google ainda sejam o lugar mais recomendado para se instalar aplicações, deve-se sempre ter atenção à origem das mesmas, e evitar usar aplicações que tenham um baixo feedback da comunidade, ou que não tenham sido atualizadas faz bastante tempo – o que, por norma, é algo importante a ter em conta.

04/02/2025
Casio: Loja online comprometida, dados de cartões em risco.

A loja online da fabricante Casio no Reino Unido esteve, durante vários dias, a roubar dados pessoais dos clientes da mesma. Foi recentemente descoberto que a loja online da empresa teria um script malicioso, que roubava dados de cartões de crédito usados diretamente da plataforma.

O script esteve presente no site da entidade entre 14 e 24 de Janeiro de 2025, portanto todos os dados de clientes usados durante este período de tempo devem ter sido comprometidos.

O ataque foi descoberto pela empresa JSCrambler a 28 de Janeiro, tendo a Casio sido notificada do incidente, e em menos de 24 horas o script teria sido removido. O script terá sido colocado por exploração de uma falha na plataforma Magento, que também foi usada em 17 outros websites para ataques similares – embora os nomes das entidades tenham sido temporariamente suspensos de divulgação enquanto se procede com a remoção do script das plataformas afetadas.

O script era usado para apresentar um falso ecrã de pagamento, onde se introduzia os dados de pagamento via cartão de crédito. Estes dados eram depois enviados para sistemas em controlo dos atacantes, incluindo os dados pessoais das vítimas – os clientes do site.

O formulário era bastante rudimentar e nem usava o mesmo design que o restante site. Ao mesmo tempo, os dados apenas eram enviados caso os utilizadores realmente enviassem o formulário – e não depois de introduzirem os dados de forma automática. Isto demonstra que o ataque seria bastante simples, mas ainda assim eficaz.

Esta não é a primeira vez que a Casio encontra-se envolvida em problemas sobre roubos de dados dos seus clientes. Faz alguns meses a empresa confirmou ter sido alvo de um ataque informático, de onde podem ter sido obtidos dados de clientes da mesma – datado de outubro de 2024. Estima-se que aproximadamente 8500 clientes foram afetados por este ataque.

04/02/2025
Hackers exploram IA Gemini do Google para ataques

Não é segredo que existem cada vez mais grupos de hackers que usam sistemas de IA para criarem as suas plataformas de ataques, e até mesmo código para malware diverso. E agora, a Google confirmou que a sua plataforma do Gemini pode ter sido usada para estes fins.

De acordo com a Threat Intelligence Group (GTIG) da Google, foram descobertos indícios de que grupos patrocinados por governos estão a usar o Gemini para criarem padrões de ataque ou identificarem falhas em software.

Os grupos encontram-se distribuídos por mais de 20 países diferentes, mas a maior atividade surge de grupos localizados no Irão e China.

Por entre os usos mais vulgares encontra-se usar o Gemini para ajudar a desenvolver código malicioso, scripts ou para identificar falhas em software existente. Este é ainda usado como forma de obter mais informações sobre diferentes sistemas e programas, com o objetivo de explorar as suas vulnerabilidades.

Foram ainda identificados casos onde os grupos tentaram explorar os pedidos feitos ao Gemini, de forma a tentarem contornar algumas das limitações colocadas no mesmo – e que foram criadas exatamente para prevenir o uso abusivo da plataforma. Em vários casos foram realizados pedidos para tentar contornar as limitações e bloqueios – desconhece-se os casos em que os atacantes realmente conseguiram realizar tal procedimento.

A Google afirma que foram aplicadas medidas para garantir mais segurança nos seus modelos, mas ainda existem vários outros que podem ser usados. O recentemente apresentado DeepSeek R1 tem vindo a ser alvo de várias críticas, mas entre elas encontram-se a falta de limites e proteções para prevenir o uso abusivo do mesmo.

01/02/2025
Ataque ransomware na Tata Technologies: Sistemas afetados e investigação em curso

A Tata Technologies, uma empresa de serviços indiana gerida pela Tata Group, revelou que foi alvo de um ataque informático de ransomware, que afetou vários sistemas da sua infraestrutura.

De acordo com o comunicado da entidade, durante o dia de hoje foi verificado um ataque de ransomware em larga escala, que afetou vários serviços da entidade. Apesar do ataque, as plataformas fornecidas para os clientes continuaram totalmente acessíveis.

A empresa indica que ainda se encontra a investigar o incidente, tendo contratado uma equipa de especialistas externos para investigar o mesmo. A análise ainda se encontra a ser realizada, mas existe a forte possibilidade de dados existentes nos sistemas afetados pelo ransomware terem sido comprometidos.

De momento ainda se desconhecem detalhes sobre o ataque, bem como a origem do mesmo ou se a entidade terá realizado qualquer pagamento associado a este. Espera-se que mais detalhes sobre o ataque venham a ser revelados em breve, conforme a investigação também venha a ser realizada.

31/01/2025
Syncjacking: Novo ataque compromete dados através do Chrome

Um novo ataque encontra-se focado para os utilizadores do navegador Chrome, e aproveita as extensões do mesmo para levar ao roubo de dados do sistema. Usando extensões aparentemente benignas, o ataque pode levar a que os dispositivos da vítima possam ficar em controlo dos atacantes.

O novo formato de ataque foi confirmado pelo grupo de investigadores da empresa de segurança SquareX. Com o mesmo, os utilizadores podem ter controlo sobre o perfil do navegador, e eventualmente, dos dados no mesmo e até do sistema.

O ataque é realizado de forma silenciosa, com permissões mínimas e sem praticamente qualquer interação das vítimas, o que o torna ainda mais perigoso. Tudo o que estas precisam de realizar é instalar uma extensão, que na superfície, pode parecer benigna.

O ataque tira proveito do Google Workspace para ser realizado, possivelmente por contas comprometidas no sistema. Os administradores de contas Google Workspace, sobretudo empresas, podem usar este sistema para rapidamente manterem os dispositivos dos seus funcionários sincronizados.

No entanto, o ataque explora exatamente este sistema. As vítimas são levadas a instalar uma extensão aparentemente legitima nos seus navegadores, mas que em segundo plano pode dar permissões de usar este perfil do Google Workspace dos atacantes, e sincronizar os dados do mesmo diretamente com a conta. Desta forma, os atacantes podem obter acesso a dados sensíveis que estejam guardados no navegador.

No entanto, o ataque pode ir ainda mais longe. Os atacantes podem enviar falsos sites para o navegador, de forma a levar as vítimas a descarregarem aparentes atualizações ou correções para o sistema e aplicações no mesmo. Num dos exemplos demonstrados pelos investigadores encontra-se uma falsa atualização do Zoom.

No entanto, este ficheiro é apenas uma versão modificada para levar as vítimas a instalar o token no sistema, que dará aos atacantes o controlo dos mesmos e acesso a diversa informação destes – como os ficheiros presentes no sistema, teclas pressionadas, entre outros detalhes.

Os investigadores apontam que o ataque, para a maioria, é praticamente indetetável, fazendo-se passar por uso aparentemente legítimos de várias funcionalidades do navegador e de aplicações no sistema. Os utilizadores mais atentos ainda podem notar os problemas, mas para a maioria, as falhas exploradas podem não ser imediatamente identificadas, levando a que dados sensíveis possam ser roubados no processo.

30/01/2025
Ataque DDoS à DeepSeek: Serviços gradualmente a retomar

A plataforma da DeepSeek encontra-se agora a recuperar de um ataque massivo DDoS, que foi sofrido durante os últimos dias. Depois de toda a popularidade que a plataforma de IA tem vindo a ganhar, esta também tem enfrentado alguns problemas.

Nos últimos dias, a infraestrutura da DeepSeek tem sido alvo constante de ataques DDoS, que impedem o correto uso de todas as funcionalidades da mesma. No entanto, estes ataques encontram-se agora a ser normalizados.

A página de status da DeepSeek indica que os ataques encontram-se agora mais controlados, e que uma grande parte da infraestrutura afetada pelos mesmos foi restaurada. Os acessos devem também encontrar-se bem mais estáveis, tanto na aplicação via a web como pelas aplicações móveis.

Pouco depois de a DeepSeek ter começado a ganhar popularidade, esta foi alvo de uma larga onda de ataques DDoS, de origem ainda desconhecida, e ao que se junta ainda um volume bastante elevado de registos de novas contas. A empresa teve mesmo de desativar o registo de novas contas durante alguns dias, para prevenir problemas maiores.

Atualmente a página de status da empresa não reporta qualquer problema nos serviços, indicando que as falhas anteriormente sentidas devem encontrar-se agora restabelecidas.

Embora o modelo de IA da DeepSeek seja inteiramente open source, e qualquer um pode usar em diferentes sistemas, o acesso via a web e as apps ainda é o mais usual, e portanto, onde se sentirá mais impacto da inacessibilidade.

30/01/2025
WordPress sob ataque: Hackers usam sites para espalhar malware em Windows e Mac

Uma nova campanha de ataques encontra-se focada em sites baseados em WordPress que tenham instalações ou plugins desatualizados, levando os mesmos a apresentar mensagens que redirecionam os visitantes para esquemas e malware.

A campanha foi descoberta pelos investigadores da empresa de segurança c/side, que acreditam estar bastante ativa pela internet. O ataque foca-se em instalações do WordPress que tenham versões bastante desatualizadas, ou com falhas, bem como plugins conhecidos por terem problemas de segurança.

Quando um site nestas características é descoberto, os atacantes tentam obter acesso ao mesmo e aos seus conteúdos, de forma a modificarem o código deste para redirecionar os visitantes do site para malware. A campanha apresenta depois redireccionamentos aleatórios dos visitantes, para sites que indicam a necessidade de atualizar o Chrome ou de descarregar alguma atualização do sistema.

Nesses sites, o malware foca-se em utilizadores do Windows e macOS, e pretende levar ao roubo de dados sensíveis dos mesmos, como senhas e dados bancários. Segundo os investigadores, foram descobertos sites bastante populares que se encontram afetados por esta campanha e ataques.

Quando um site é afetado, este até pode aparentar carregar corretamente para certas visitas, ou para o administrador do mesmo. No entanto, de forma aleatória para os visitantes, pode apresentar ou redirecionar para uma falsa página sobre a necessidade de atualização do Chrome ou do sistema operativo.

A Automattic, entidade responsável pelo desenvolvimento e distribuição do WordPress, terá sido informada de uma lista de domínios usados pela campanha, e embora tenha confirmado a notificação e leitura da mesma, desconhece-se o que foi realizado posteriormente.

A C/side afirma ter identificado mais de 10.000 websites afetados por este ataque, mas o número pode ser bastante mais elevado. O ataque tenta ocultar as suas atividades ao não apresentar a mensagem ou redireccionamento para todas as visitas, e a não realizar o mesmo para contas de administradores ativas. Apenas utilizadores visitantes de forma aleatória podem ser afetados.

Para os administradores de sites WordPress, a recomendação será certificar se os mesmos estão atualizados com as versões mais recentes, e se possuem todas as atualizações nos plugins instalados – mesmo que desativados.

30/01/2025
Não faça o teste CAPTCHA: Novo esquema afeta utilizadores no Windows

Os atacantes encontram-se sempre a explorar novas formas de atacarem os utilizadores, e com novos formatos de ataque. Quando o roubo direto de dados, através de sites comprometidos ou falsos logins, não é suficiente, uma nova técnica surge para tentar roubar informação dos mesmos.

Recentemente, uma nova técnica para enganar os utilizadores de sistemas Windows tem vindo a ser bastante usada, explorando o desconhecimento de alguns do sistema. A técnica consiste num falso sistema de CAPTCHA, normalmente usado para validar o acesso a alguma plataforma, que pode levar a que os utilizadores sejam comprometidos e tenham os seus sistemas atacados.

Os sistemas de CAPTCHA normalmente são usados em plataformas web, ou acessíveis publicamente, como forma de prevenir o acesso de bots e ferramentas automáticas. Os mesmos consistem em pequenos testes que apenas os humanos conseguiriam – na teoria – realizar, mas seriam difíceis para um sistema automático.

Porém, certamente que quem usa a internet já deve ter encontrado um captcha ao aceder a alguma plataforma ou a realizar alguma ação. E é neste ponto que os atacantes encontram-se agora a tentar explorar.

A nova técnica de ataque consiste em levar os utilizadores a iniciarem o comando “Executar” do Windows, através do atalho WIN+R, e de os levar a copiar e colar um comando no mesmo. Este comando é alegadamente usado para verificação CAPTCHA. Mas na realidade, o que os utilizadores se encontram a colocar é um comando para o sistema, que vai descarregar e executar o malware.

O comando surge normalmente num site, com as indicações dos passos necessários a ser feitos – e que envolve o copiar e colar o comando na caixa de Executar do sistema. Se for realizado, os utilizadores estarão a copiar um comando do Terminal, que vai descarregar um script BAT de diferentes sites na internet, e é executado diretamente no mesmo.

Este script pode depois instalar malware no sistema, ou roubar dados existentes no mesmo, como os cookies do navegador.

O ataque explora o desconhecimento de alguns utilizadores, pensando que estão simplesmente a completar mais um captcha na internet, quando a realidade não é bem assim. Como sempre, é importante ter atenção a qualquer site que peça para ser executado comandos desconhecidos no sistema.

28/01/2025
Falha zero-day: Apple lança atualização de segurança crítica
A Apple lançou uma nova atualização com vista a corrigir a primeira falha zero-day identificada este ano nos sistemas da empresa.

A falha afeta vários sistemas da Apple, nomeadamente iOS/iPadOS, macOS, tvOS, watchOS e visionOS, sendo que pode permitir aos atacantes obterem permissões elevadas no sistema para realizarem atividades maliciosas. A falha afeta diretamente o framework Core Media da Apple.

Segundo o comunicado da Apple, acredita-se que a falha esteja a ser ativamente explorada para ataques, embora limitados, para sistemas com a versão do iOS 17.2 ou anterior. A falha terá sido corrigida com as atualizações mais recentes fornecidas para os diferentes sistemas da empresa, nomeadamente o iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3, e tvOS 18.3.

Esta falha afeta os seguintes modelos da empresa:
- iPhone XS e posteriores,
- iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas de 3ª geração e posterior, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 7ª geração e posterior e iPad mini de 5ª geração e posterior
- macOS Sequoia
- Apple Watch Series 6 e posterior
- Apple TV HD e Apple TV 4K (todos os modelos)
Por agora, a empresa ainda não revelou detalhes sobre a origem da falha ou o investigador que reportou a mesma. Além disso, esta não deixou detalhes sobre o ataque, embora tenha confirmado que se encontra a ser ativamente explorado.
28/01/2025
Ataque à DeepSeek: Plataforma suspende registo de novas contas

A empresa chinesa DeepSeek, que recentemente apresentou o seu modelo de IA, confirmou que vai ter de suspender o registo de novas contas temporariamente.

Esta medida surge depois da plataforma ter enfrentado vários problemas de lentidão e erros no registo de novas contas. As falhas encontram-se relacionadas com o elevado volume de utilizadores a aderirem a esta nova plataforma.

Embora a entidade tenha confirmado a inacessibilidade, a CNBC indica que os problemas podem encontrar-se relacionados com um ataque informático à infraestrutura da entidade. A DeepSeek também confirmou que estaria a suspender o registo de novas contas devido a ataques maliciosos, embora não tenham sido deixados mais detalhes sobre tal.

Os utilizadores que teriam contas antigas podem continuar a aceder às mesmas na normalidade. A medida apenas devera afetar novos utilizadores que pretendam registar-se na plataforma, ou aceder via as suas contas pelas apps em dispositivos móveis.

Espera-se que os registos voltem a ser abertos em breve, conforme os ataques registados sejam mitigados pela empresa.

27/01/2025
PayPal encerra disputa sobre ataque de 2022 com pagamento milionário

O PayPal, uma das maiores plataformas de pagamentos na internet, terá pago mais de 2.000.000 dólares para resolver um processo nos tribunais, associado com o ataque e roubo de dados que a entidade sofreu em 2022.

O caso foi revelado em 2023, quando o PayPal confirmou que um grupo de atacantes realizaram um ataque coordenado contra a plataforma de pagamentos, entre 6 e 8 de Dezembro de 2022. Deste ataque, 35.000 contas dos utilizadores foram comprometidas, com os respetivos fundos.

Na altura, o ataque expôs dados pessoais dos utilizadores, como nomes, moradas, emails, números de telefone e outras informações de identificação.

Numa investigação realizada pela Department of Financial Services, nos EUA, foi confirmado que o ataque terá sido originado de uma falha de segurança existente nos próprios sistemas da empresa. Em causa encontrava-se uma falha na forma como eram feitas entregas do PayPal de formulários 1099-K, que nos EUA são usados para o IRS.

No entanto, a investigação identificou que as pessoas responsáveis por desenvolverem o sistema para a entrega dos formulários 1099-K não teriam experiência suficiente para tal, nem o conhecimento para garantirem a segurança das entregas, e colocaram o sistema ativo para o público ainda assim.

Com estas falhas, atacantes com acesso a contas PayPal comprometidas teriam também acesso aos dados dos formulários dos clientes, que integram diversa informação sensível dos mesmos, e que terá sido recolhida em massa das mais de 35 mil contas.

A piorar a situação, na altura, a plataforma não aplicava qualquer limite nas tentativas de login realizadas nas contas, bem como falhava em implementar sistemas de captcha para impedir ataques automatizados. Estas falhas, no final, terão ajudado a realizar o ataque.

Para resolver a questão, o PayPal irá agora pagar cerca de 2.000.000 dólares, valor que deve ser liquidado nos próximos dez dias. Com este pagamento, não serão realizadas novas ações ou sanções para a plataforma.

25/01/2025
Cloudflare confirma ter mitigado ataque DDoS recorde de 5.6 Tbps

A CloudFlare, empresa que possui vários serviços focados em proteção e otimização de sites, confirmou ter mitigado um dos maiores ataques DDoS de que existe registo. O ataque teve, no seu pico, mais de 5.6 terabits de pacotes por segundo, tendo sido originário de uma rede botnet Mirai com 13 mil dispositivos comprometidos.

De acordo com o comunicado da entidade, o ataque aconteceu em 29 de Outubro de 2024, tendo como foco um fornecedor de serviços de internet na Ásia. O objetivo do mesmo passava por tentar colocar as plataformas desse ISP inacessíveis.

A Cloudflare afirma ainda que o ataque durou pouco mais de 80 segundos, mas que foi mitigado com sucesso e de forma automática pelos sistemas da empresa, sem mesmo notificar a entidade afetada.

Este formato de ataques têm vindo a ser cada vez mais regulares, sendo que aproveitam a capacidade de processamento e de dados de redes botnet alargadas, focando-se em alvos concretos para os deitarem abaixo.

A entidade afirma que os ataques com mais de 100 milhões de pacotes por segundo aumentaram mais de 175% durante o trimestre final de 2024, e que a tendência será de continuarem a aumentar para o futuro.

Apesar disso, este formato de ataques ainda tendem a ser relativamente poucos, contando apenas para 3% de todos os ataques DDoS registados. 63% ainda continuam a ser abaixo dos 50 mil pedidos por segundo.

Ao mesmo tempo, os ataques continuam a manter as tendência de serem relativamente curtos, com muitos a durarem menos de 10 minutos. No entanto, regista-se um aumento de ataques DDoS por ransomware, onde as entidades são afetadas pelos ataques depois de negarem o pagamento para evitarem tal situação.

Por fim, entre as entidades afetadas, a Cloudflare afirma que a grande maioria encontra-se no setor das telecomunicações, fornecedores de serviços e empresas da internet, bem como no marketing e publicidade.

22/01/2025
Otelier confirma roubo de dados de reservas de hotel em milhões de clientes

A plataforma de gestão hoteleira Otelier confirmou recentemente ter sido vítima de um ataque informático, depois do sistema na Amazon S3 da empresa ter sido atacado. Deste ataque resultou o roubo de dados internos da empresa, o que inclui informação pessoal de visitantes e reservas realizadas em vários hotéis reconhecidos, de marcas como Marriott e Hyatt.

O roubo de dados terá ocorrido em julho de 2024, e os atacantes mantiveram acesso à plataforma até finais de outubro. Os atacantes alegam ter roubado, durante este período, mais de 8 TB de informação associada com a empresa.

A Otelier terá confirmado o ataque, indicando ainda que foram aplicadas todas as medidas imediatas para garantir a segurança dos sistemas afetados, e ao máximo possível dos dados. Foi ainda contratada uma equipa dedicada e especializada para investigar o incidente.

De notar que a Outlier é mais conhecida pela sua plataforma MyDigitalOffice, uma das plataformas cloud mais usadas para a gestão de reservas em hotéis de elevada qualidade. O portal é atualmente o gestor de mais de 10 mil hotéis em todo o mundo.

Acredita-se que os atacantes terão inicialmente começado o ataque através de um sistema Atlassian, onde foram usados dados roubados de um funcionário da entidade para obter o acesso. Com isto, foi possível aceder ao sistema Amazon S3 da empresa, onde se encontram os dados usados nas plataformas da mesma, e realizar o roubo dos dados existentes nestes.

Embora a empresa tenha confirmado o ataque, esta não deixou detalhes sobre a origem do mesmo, tendo apenas referido que a investigação ainda se encontra a decorrer. Espera-se que novas informações venham a ser reveladas depois da investigação ser concluída.

Por entre as entidades afetadas, a Marriott foi uma das instituições que confirmou o roubo de dados via este ataque, tendo suspendido todas as atividades com o sistema da Otelier. A empresa encontra-se ainda a trabalhar com os clientes afetados.

18/01/2025
Grupo de ransomware Clop alega ter atacado dezenas de vítimas

O grupo de ransomware Clop acabou de revelar uma lista com mais de uma dezena de vítimas, que foram afetadas pelo ransomware do grupo nas últimas semanas. A lista inclui algumas entidades bem conhecidas nos EUA e com filiais em diferentes países.

Acredita-se que estas empresas foram atacadas através da exploração de uma falha existente no software de transferência de ficheiros Cleo, que recentemente teve uma falha grave de segurança descoberta.

O grupo de ransomware, que se conhece ter afiliações com a Rússia, terá divulgado uma lista com 59 empresas que foram afetadas, e que, eventualmente, tiveram dados roubados das mesmas.

A mesma fonte aponta ainda que terá contactado todas as entidades afetadas, de forma a estas terem a possibilidade de pagar para não terem os dados divulgados, mas que as mesmas não cederam ao pedido. Como tal, a lista e eventualmente os ficheiros finais das mesmas irão agora ser disponibilizados.

O grupo encontra-se a indicar que vai publicar todos os ficheiros das entidades afetadas a 18 de Janeiro, ou a partir desta data, expeto se as empresas cederem ao pagamento. De todas as empresas indicadas na lista do grupo, até ao momento, apenas a empresa Covestro terá confirmado que foi vítima do ataque, e que aplicou medidas de segurança imediatas para prevenir a propagação do ransomware.

Existem algumas entidades da lista que negam as acusações do grupo de ransomware, indicando que não foram comprometidas, pelo menos de forma direta, nos seus sistemas. No entanto, o grupo alega ter os dados de todas as entidades e vai começar a disponibilizar brevemente os mesmos.

Uma das empresas alegadamente afetadas é a Hertz, que nega ter sido alvo de ataque e roubo de dados, embora esteja na lista de entidades que estarão afetadas pelo grupo.

16/01/2025
Sites WordPress alvo de uma nova campanha de malware

Foi recentemente descoberta uma nova campanha de malware, focada em infetar sites baseados em WordPress. A campanha pode já ter comprometido mais de 5000 websites.

De acordo com a empresa de segurança c/side, foi descoberta uma nova campanha de malware, que tenta atacar sites baseados em WordPress. Esta usa um vetor inicial de ataque ainda desconhecido, para levar à criação de uma conta de administrador, que depois é usada para instalar o plugin malicioso, que será usado para roubar dados dos sites.

O nome dado ao malware, wp3, é adaptado do domínio que é usado para realizar a ligação, e que os sites infetados usam para descarregar o código necessário para criar a conta de administrador. O malware procede ainda à instalação de um plugin malicioso, da mesma origem, que é usado para realizar atividades mais alargadas no site e roubar dados ao mesmo.

Segundo os investigadores, a finalidade deste malware passa por recolher dados sensíveis, como credenciais de login de administrador e registos de erros, bem como dados de utilizadores que se encontrem registados no site.

Para evitar a deteção, o malware tenta ocultar as suas atividades como sendo um simples pedido de imagem, que estaria a ser feito dos servidores para os sistemas em controlo dos atacantes. Nos registos, o WordPress apenas parece ter realizado um pedido para uma simples imagem, mas onde estaria, na realidade, a descarregar o malware.

Para prevenir o ataque, e tendo em conta que a origem do mesmo é desconhecida por agora, é recomendado que os administradores de sites WordPress atualizem todas as suas instalações, e apliquem medidas de segurança nas mesmas, como a rotatividade das chaves de encriptação das contas, e uso de senhas seguras, bem como de autenticação em duas etapas sempre que possível.

14/01/2025
Autoridades dos EUA removeram malware de 4500 sistemas infetados

O Departamento de Justiça dos EUA confirmou ter desmantelado uma rede de malware, originária da China. O malware, conhecido como PlugX, encontrava-se instalado em mais de 4200 computadores apenas nos EUA.

O malware estaria em controlo do grupo conhecido como Mustang Panda, um grupo com ligações ao governo da China e usado para campanhas de espionagem para o mesmo. O PlugX terá sido propagado através de Pens USB infetadas, que eram usadas em diferentes sistemas. Uma vez instalado no sistema, o malware procedia com o acesso aos dados sensíveis dos sistemas, e recolha de dados dos mesmos.

Segundo os documentos das autoridades, as vítimas incluem tanto empresas nos EUA como também entidades sediadas na Europa, a grande maioria focada para transportes e de envio de encomendas.

Depois de ser instalado, o PlugX mantinha-se no sistema até mesmo depois de ser removido pro software de segurança. Isto porque o mesmo aplicava comandos especiais no sistema para reinstalar o malware, caso o programa principal do mesmo fosse removido por algum motivo. A maioria dos utilizadores que usaram sistemas infetados pelo PlugX podem nem ter percebido de tal, tendo em conta que as operações deste eram ocultadas sobre tráfego normal do sistema.

As autoridades afirmam ainda que, dentro da fase de desmantelamento do malware, foi obtido acesso aos sistemas usados para o controlo remoto do mesmo. A partir dai, as autoridades terão enviado comandos para que o malware fosse “auto destruido”. Ou seja, os sistemas que anteriormente estariam infetados com o PlugX foram automaticamente “limpos” pelos comandos enviados pelas autoridades.

Algumas das entidades que foram afetadas pelo PlugX encontram-se agora a receber notificações de tal, por parte das autoridades, a informar das atividades realizadas e do ataque. As autoridades apontam que, os sistemas de controlo do malware, receberam mais de 100 mil pedidos de comandos em apenas seis meses, e que terão sido feitas mais de 2.500.000 ligações a 170 países diferentes.

O PlugX permitia um acesso remoto sofisticado aos sistemas infetados, tanto para analisar os dados existentes nos mesmos, como enviar comandos, recolher dados e teclas pressionadas, entre outras atividades maliciosas.

14/01/2025
Falha em sistema da Google pode permitir acesso a contas antigas

Muitos websites usam o sistema de autenticação da Google, para facilitar o registo de novas contas nos mesmos. Este sistema usa as próprias contas da Google para ajudar a criar as mesmas em diferentes plataformas.

Recentemente foi identificada uma falha neste sistema da Google, que em certos casos, pode permitir que atacantes consigam obter acesso a contas de antigas startups, e possam assim obter dados e informações pessoais de diretores e funcionários das mesmas.

Segundo os investigadores da empresa de segurança Trufflesecurity, a falha foi identificada o ano passado, e reportada na altura à Google, mais concretamente a 30 de setembro de 2024. Inicialmente, a Google terá descartado o problema como sendo uma falha de segurança no sistema Oauth da empresa.

No entanto, depois do CEO e fundador da empresa de segurança, Dylan Ayrey, ter reportado o incidente no evento Shmoocon, realizado em Dezembro de 2024, a Google terá reaberto o ticket do incidente e forneceu um prémio de 1337 dólares aos investigadores.

Curiosamente, a falha ainda se encontra ativa, e pode ser explorada. Esta falha pode permitir que os atacantes consigam registar domínios que tenham sido desativados, mas ainda tenham contas ativas da Google, e possam assim aproveitar-se para aceder a dados sensíveis de anteriores empresas. Como recomendação, a Google aconselha os utilizadores a encerrarem corretamente as suas contas e domínios antigos.

A piorar a situação, a falha pode ainda ser explorada para obter dados de outras entidades, que usam o sistema de autenticação da Google, e onde os funcionários das startups que encerram poderiam ter serviços. Isto pode permitir que os atacantes consigam obter acesso não apenas a emails, como também a serviços que teriam em outras plataformas.

Analisando os dados da plataforma Crunchbase, o investigador de segurança responsável pela descoberta da falha indica que existem muitas startups que descontinuaram os seus serviços, e possuem os domínios ativamente disponíveis para registo: mais de 116 mil domínios.

Isto abre portas para que várias informações possam ser recolhidas usando este formato de ataque, permitindo aos atacantes registarem os domínios das entidades desativadas, e obterem acesso a dados potencialmente sensíveis das mesmas em outras plataformas, sejam da Google ou não.

14/01/2025
Conta de admin de Path of Exile 2 usada para atacar contas de jogadores

Os programadores de Path of Exile 2 confirmaram que uma das contas de administrador na plataforma, associada com a editora, foi recentemente alvo de um ataque, tendo sido usada para realizar ações em outras contas do jogo.

Através da conta, o hacker terá alterado configurações e senhas de outras 66 contas na plataforma. Muitos dos jogadores afetados terão ainda perdido as compras realizadas dentro da plataforma, incluindo alguns itens valiosos que demoraram horas a obter dentro do jogo.

Embora a editora tenha confirmado que o ataque afetou 66 contas o valor pode ser bastante superior.

De relembrar que Path of Exile 2 é um popular jogo online, desenvolvido pela Grinding Gear Games, sendo a sequela da saga popular no mercado. Embora esteja ainda em early access, o jogo conta com avaliações bastante positivas na Steam, e é bastante aguardado pela comunidade de jogadores que acompanham o seu desenvolvimento.

Desde o lançamento da versão early access, alguns jogadores têm vindo a reportar problemas com as suas contas, sobretudo no caso de contas supostamente atacadas diretamente e com dados alterados. Isto ocorre mesmo em contas com proteção em duas etapas ativa.

Os jogadores afetados eram subitamente desligados das suas contas, e ficavam impedidos de acederem às mesmas. Quando finalmente conseguiam obter o acesso, os jogadores verificavam que o hacker tinha alterado os itens que os mesmos possuíam.

Segundo Jonathan Rogers, diretor de Path of Exile 2, o ataque terá ocorrido por uma antiga conta da Steam comprometida, associada com os estúdios do jogo, e que teria acesso a uma conta de admin dentro do mesmo. Os atacantes terão usado essa conta para obterem acesso ao jogo e às contas dos outros utilizadores.

Embora não tenha sido confirmado pela editora, uma imagem do painel de controlo do jogo terá sido partilhada recentemente no Reddit. Acredita-se que será neste painel que os atacantes conseguem alterar as contas dos jogadores, incluindo as suas senhas.

Por agora, a editora apenas confirma ter aplicado medidas para prevenir que as falhas continuassem a ser exploradas, e as contas dos jogadores afetadas no processo. As medidas de segurança e de investigação do incidente começaram pouco depois dos primeiros relatos. No entanto, não foram deixados detalhes sobre como a editora espera compensar os jogadores que possam ter perdido itens das suas contas no processo.

14/01/2025
Operadora espanhola Telefónica alvo de ataque informático com roubo de dados

A operadora espanhola Telefónica confirmou ter sido alvo de um ataque informático, onde os atacantes obtiveram acesso ao sistema de tickets interno da empresa. Os dados deste sistema terão sido acedidos e roubados, tendo depois sido publicados em sites da dark web.

A Telefónica é uma das maiores operadoras de telecomunicações em Espanha, contando com mais de 104.000 funcionários, e tendo ainda atividades em vários outros países. Esta funciona também sobre o nome Movistar.

Recentemente surgiram em alguns sites da dark web listagens de registos alegadamente pertencentes à Telefónica, que a empresa veio eventualmente a confirmar. Em comunicado, a operadora confirmou ter sido vítima de um ataque informático, onde os atacantes obtiveram acesso ao sistema de tickets usado pela mesma para comunicação com os seus clientes.

A operadora afirma encontrar-se a investigar o incidente, mas com o roubo dos dados, podem existem alguns detalhes de clientes que tenham sido igualmente comprometidos – sobretudo os que estejam associados a comunicações feitas com a empresa.

Os atacantes afirmaram ainda, nas suas publicações por vários sites da Dark Web, terem ainda acedido aos sistemas internos de comunicação, que é usado pelos funcionários para partilharem informações sobre problemas e outras mensagens internas. Estes dados podem ainda conter informação valiosa para terceiros, e potencialmente, dados igualmente sensíveis.

De momento a investigação do incidente ainda se encontra a ser realizada, portanto são desconhecidos para já os dados concretos que terão sido comprometidos.

10/01/2025
Operadora russa praticamente “destruída” depois de ataque da Ucrânia

Um grupo de ativistas da Ucrânia, parte do Ukrainian Cyber Alliance, anunciou ter-se infiltrado em uma grande operadora Russa, tendo destruído centenas de sistemas associados com a mesma.

Segundo o grupo, este infiltrou-se nos sistemas internos da operadora Nodex, tendo eliminado milhares de dados em sistemas da mesma, causando vários danos e prejuízos na casa dos milhões de dólares. Os ativistas indicaram ainda que, além de eliminarem os dados dos sistemas a que teriam acesso, estes foram também removidos de sistemas de backup, deixando a operadora sem forma de restaurar os conteúdos perdidos.

Além da confirmação, o grupo partilhou ainda, via o Telegram, várias imagens dos sistemas da operadora antes de terem sido eliminados, e algumas até durante o processo.

A operadora usou as suas plataformas para confirmar o ataque, tendo indicado que a sua rede foi “destruída”, alegadamente por grupos relacionados à Ucrânia. A empresa confirmou ainda que, tendo em conta o impacto, alguns serviços poderiam encontrar-se inacessíveis, sendo que o foco será deixado em restaurar as ligações telefónicas.

A plataforma NetBlocks também terá confirmado a inacessibilidade da operadora, sendo que praticamente todas as ligações realizadas pela mesma foram subitamente cortadas, e poucas horas depois o ataque era confirmado.

O site da operadora também se encontra inacessível. A operadora não deixou detalhes de quando espera restabelecer os serviços afetados, mas tendo em conta a destruição interna realizada, é provável que esta tarefa demore semanas ou até meses a ficar inteiramente resolvida.

08/01/2025
Responsável por explosão de Cybertruck em Las Vegas usou ChatGPT para obter informação

Recentemente um Tesla Cybertruck foi usado para servir de explosão, próximo do Hotel Trump nos EUA. A investigação do incidente revelou que a explosão foi planeada pelo ex-militar Sgt. Matthew Livelsberger.

De acordo com as autoridades, Livelsberger terá alugado o Cybertruck no Colorado, e viajou até Las Vegas no dia 31 de Dezembro de 2024. No dia 1 de Janeiro, este dirigiu o mesmo para a entrada do Trump International Hotel, com o mesmo cheio de materiais explosivos, e explodiu o mesmo – tendo colocado o termo à sua vida no processo.

Agora, a investigação revela mais detalhes de como o ataque foi realizado. Segundo as autoridades de Las Vegas, Livelsberger terá usado o ChatGPT para obter informações para realizar e planear o mesmo, tendo usado a plataforma para obter detalhes sobre os materiais a combinar, os locais onde comprar os mesmos e outros detalhes que permitiram levar a cabo o incidente.

Pouco depois da revelação que o ChatGPT poderia estar envolvido, a OpenAI veio confirmar que se encontra a trabalhar com as autoridades. A mesma sublinha ainda que toda a informação obtida estaria publicamente disponível na internet, e que o ChatGPT alertou o utilizador contra o uso violento e atividades ilegais.

Por agora ainda se desconhecem detalhes concretos de como o ChatGPT terá respondido aos pedidos de Livelsberger, mas acredita-se que o mesmo terá sido usado para ajudar a misturar os ingredientes necessários para criar os explosivos caseiros.

O ChatGPT conta com vários filtros focados em prevenir que informação potencialmente maliciosa possa ser divulgada, mas neste caso a informação recolhida não terá sido considerada como tal, tendo em conta que seria bastante dispersa e alargada para se perceber a forma como iria ser usada.

Seja como for, a OpenAI afirma que irá trabalhar com as autoridades para investigar a situação.

08/01/2025
Organização da Aviação Civil Internacional confirma roubo de dados

Recentemente foi noticiado que a Organização da Aviação Civil Internacional teria sido alvo de um ataque informático, de onde teriam sido roubados dados sensíveis. Hoje chega a confirmação da entidade para o roubo, com mais detalhes do incidente e do que ocorreu.

De acordo com a ICAO, uma pessoa não autorizada terá roubado cerca de 42 mil registos da base de dados da empresa, respeitante a novos recrutamentos na mesma. Esta base de dados contém dados pessoais de interessados em inscreverem-se na entidade, de diferentes países.

Embora a entidade não tenha fornecido detalhes adicionais sobre o ataque, o mesmo surge cerca de dois dias depois de um hacker ter publicado, em sites da dark web, uma base de dados alegadamente da entidade, contendo mais de 42 mil registos da mesma.

A confirmação agora deixada da ICAO parece confirmar que os dados seriam legítimos, embora os detalhes sobre a origem do ataque sejam desconhecidos.

Os dados dizem respeito a candidaturas enviadas entre Abril de 2016 e Julho de 2024. A agência afirma que os dados incluem informação dos candidatos, mas que não afeta dados ou aplicações financeiras.

Entre os dados comprometidos encontram-se nomes, emails, moradas, números de telefone, datas de nascimento e outras informações de candidatura. A entidade afirma ainda que o incidente encontra-se limitado apenas à base de dados usada para o recrutamento.

Os utilizadores afetados pelo incidente devem ser notificados pela ICAO sobre o mesmo, com mais informações sobre o caso e as medidas necessárias a serem tomadas.

08/01/2025
Casio revela detalhes sobre ataque de ransomware em Outubro

Em Outubro do ano passado, a fabricante Casio confirmou ter sido vítima de um ataque informático, que consistiu num ataque de ransomware a alguns dos sistemas da entidade. Agora, a empresa confirma mais detalhes sobre o impacto de tal ataque.

De acordo com a investigação da empresa, o ataque terá exposto informação pessoal associada a 8500 pessoas, a maioria parceiros da empresa e funcionários. Existem ainda alguns dados que são associados a clientes da mesma, que terão contactado diretamente a fabricante, embora em valores reduzidos.

O ataque foi realizado a 5 de Outubro, quando o grupo de ransomware Underground confirmou ter acedido a sistemas internos da empresa, e teria em sua posse vários documentos e informações da empresa. No mesmo dia, a Casio confirmava o ataque, tendo iniciado uma investigação do sucedido.

Agora que a investigação se encontra terminada, a empresa pode finalmente revelar mais detalhes do que aconteceu. Entre os dados acedidos encontram-se nomes, moradas, números de telefone, emails e outras informações pessoais de vários funcionários, parceiros e alguns clientes.

Todos os afetados irão receber mensagens da Casio com mais informações sobre o sucedido, bem como detalhes de como devem proceder para garantir a segurança dos seus dados pessoais.

A Casio afirma que dados de pagamento não foram comprometidos, tanto do lado de clientes como dos funcionários. Alguns dos funcionários da empresa alegam ter recebido mensagens de phishing nas semanas que se seguiram ao ataque, mas não estarão relacionados com o mesmo.

Todos os serviços que foram afetados encontram-se atualmente a funcionar na normalidade.

07/01/2025
Agência de aviação das Nações Unidas confirma ataque informático

A Organização da Aviação Civil Internacional confirmou que se encontra a investigar um possível ataque realizado aos sistemas da entidade. A entidade afirma ainda estar na fase de investigação, onde existe um incidente de segurança.

A Organização da Aviação Civil Internacional é uma entidade criada pelas Nações Unidas, com o objetivo de criar padrões de segurança e técnicos para a aviação, dentro do espaço europeu.

Segundo o comunicado da ICAO, esta encontra-se a investigar um alegado incidente de segurança, onde um atacante ainda não identificado terá acedido a sistemas internos da instituição.

O caso surge cerca de dois dias depois de, em vários portais da dark web, terem sido publicados mais de 42 mil documentos que foram, alegadamente, roubados da ICAO. O autor destas publicações possui o nome de “natohub”.

Segundo o “natohub”, este afirma ter obtido os documentos dos sistemas da entidade, sendo que os mesmos possuem nomes, datas de nascimento, moradas, números de telefone e outras informações pessoais de vários intervenientes na ICAO.

Até ao momento a ICAO não deixou detalhes sobre o incidente, tendo apenas confirmado que a investigação ainda se encontra a decorrer. Espera-se que mais detalhes venham a ser conhecidos em breve.

De notar que a United Nations Development Programme (UNDP) também foi alvo recentemente de um ataque informático, realizado em Abril de 2024, onde terão sido acedidos dados internos. Este ataque foi confirmado pelo grupo de ransomware 8Base, e apesar de a entidade ter indicado que iria investigar o caso, até ao momento não foram deixadas atualizações sobre o mesmo.

07/01/2025
Harley-Davidson alvo de ataque informático

A Harley-Davidson, reconhecida fabricante de motos, confirmou ter sido alvo recente de um ataque informático, que alegadamente teria comprometido os dados de 66 mil clientes.

Segundo o portal RedHotCyber, que reportou o ataque, este teria ocorrido durante o período do natal de 2024, e algumas das informações internas da empresa e dos seus clientes teriam sido roubadas no processo. O alegado autor do ataque chegou mesmo a publicar excertos dos dados em plataformas para venda dos mesmos.

Segundo os atacantes, estes conseguiram aceder a sistemas internos da fabricante, incluindo alguns que continham dados dos clientes da mesma, que podem ter contactado a marca em algum momento. Entre os dados encontram-se nomes, moradas, números de telefone e outros elementos identificativos.

De notar que, embora a marca seja mais reconhecida pelo fabrico de motas, esta também fornecer serviços financeiros aos seus clientes, portanto existe a possibilidade de dados financeiros terem sido igualmente comprometidos.

A fabricante indica que, de momento, não existem registos de que os sistemas da empresa tenham sido comprometidos, mas que irá continuar a investigar a situação. A empresa indica ainda ter realizado uma investigação interna para avaliar o incidente, e não foram identificados roubos de dados na mesma – apesar das alegações dos atacantes.

06/01/2025
Revelados novos detalhes do ataque ao Departamento de Tesouro dos EUA

Em meados de Dezembro, o Departamento de Tesouro dos EUA confirmou ter sido alvo de um ataque informático, onde fontes externas teriam conseguido aceder a sistemas internos da instituição.

Na mensagem de notificação do incidente, a entidade considerou o ataque como uma falha grave de cibersegurança, que teria sido originada de um grupo de hackers com relações à China. Agora surgem novos detalhes sobre este ataque, e nomeadamente, o impacto do mesmo.

Segundo o portal Washington Post, novas fontes indicam que os atacantes terão conseguido aceder a sistemas sensíveis internos do Departamento do Tesouro dos EUA, nomeadamente a sistemas com detalhes sobre as sanções aplicadas pelo governo dos EUA.

O Office of Foreign Assets Control (OFAC) possui informações que podem ser valiosas para governos estrangeiros, sobre sanções e planos do governo dos EUA. Embora os atacantes terão apenas acedido a documentos e informações não confidenciais, estas ainda podem conter dados importantes para outras entidades e governos sobre os planos do governo norte-americano.

Por entre os conteúdos obtidos podem encontrar-se provas que foram reunidas contra certos alvos de sanções, o que pode ajudar as entidades estrangeiras a avaliarem a forma como o governo dos EUA aplica as mesmas.

De relembrar que os atacantes obtiveram acesso aos sistemas por intermédio da plataforma BeyondTrust, que é usada pela entidade para suporte remoto dos seus dispositivos. Os atacantes terão conseguido obter acesso a uma das chaves do sistema, que foi usada para acesso direto aos sistemas da entidade.

02/01/2025
Departamento do Tesouro dos EUA revela ter sido alvo de ataque informático

O Departamento do Tesouro dos EUA confirmou esta semana que foi alvo de um ataque informático no início do mês de Dezembro. A confirmação foi deixada numa carta enviada para a Câmara dos Representantes, confirmando que o ataque terá sido realizado de forma bastante exaustiva no começo do mês.

Além de ter confirmado o ataque, a entidade também deixa a suspeita de que o mesmo foi orquestrado por um grupo com ligações à China, e que pode ter sido financiado pelo governo de Pequim.

O ataque terá afetado vários postos de trabalho da entidade, colocando em causa o correto funcionamento dos sistemas internos, e em particular, do software de um dos parceiros, a BeyondTrust. Este ataque aparenta ter sido realizado para causar perturbações nas atividades da instituição, não tendo levado a qualquer roubo de dados ou danos consideráveis.

Embora a entidade acuse um grupo sediado na China, e que terá ligações com o governo chinês, não foram deixados detalhes sobre o nome do mesmo ou da origem do ataque.

30/12/2024
Loja online da ZAGG alvo de um ataque informático

A empresa ZAGG confirmou ter sido alvo de um ataque informático, de onde podem ter sido comprometidos dados sensíveis dos clientes. Este ataque terá ocorrido a uma entidade terceira com quem a empresa trabalha, e onde estariam guardados os dados dos clientes.

A ZAGG é uma das maiores fabricantes de acessórios para dispositivos móveis no mercado, como de protetores de ecrã, capas, teclados portáteis e powerbanks. A empresa conta com quase 600 mil dólares de receitas anuais.

Segundo o comunicado da empresa, onde o ataque foi confirmado, os atacantes terão usado a aplicação FreshClicks para injetar conteúdos maliciosos na mesma, roubando dados de pagamento dos clientes. O ataque afetou a loja online da empresa entre os dias 26 de Outubro e 7 de Novembro de 2024.

A aplicação FreshClick, da BigCommerce, é uma plataforma usada para ajudar a construir websites responsivos em diferentes plataformas, e bastante usado por algumas grandes empresas no mercado das vendas online. O mesmo integra ainda um sistema que permite criar uma loja online, ajudando as empresas a criarem as suas próprias plataformas de vendas.

Esta aplicação foi usada pelos atacantes para injetar um script malicioso no site da ZAGG, que durante o processo de compra na loja online da empresa, estaria a roubar os dados pessoais dos clientes, bem como os dados de cartões de crédito usados.

Todas as compras que foram realizadas diretamente pelo site da ZAGG durante o período anterior podem encontrar-se comprometidos, que terá sido a altura em que o script permaneceu ativo.

A ZAGG não revelou o número exato de clientes que podem ter sido afetados por este ataque. De notar que o mesmo não afetou as vendas realizadas por outras plataformas externas, como a Amazon.

29/12/2024
Dados de 800 mil veículos elétricos comprometidos pela Cariad

A empresa Cariad, da Volkswagen, confirmou ter sido alvo de um ataque informático, de onde podem ter sido roubados dados sensíveis de quase 800.000 clientes, donos de veículos elétricos. Os dados roubados podem incluir informações sensíveis dos mesmos, como nomes, moradas e localização real dos veículos.

Segundo o conhecido, o ataque foi realizado a um sistema de base de dados da entidade, na plataforma da Amazon, que estaria inseguro. Os atacantes conseguiram obter acesso a esta plataforma, acedendo e roubando os dados nela contidos.

A base de dados inclui informações de veículos VW, Seat, Audi e Skoda, bem como dos donos dos mesmos e informação de geolocalização. A empresa terá sido notificada dia incidente a 26 de Novembro, pelo grupo de hackers éticos Chaos Computer Club (CCC), depois dos mesmos terem identificado uma falha na estrutura que poderia permitir o acesso aos dados.

Segundo o portal Spiegel, a Cariad terá confirmado o ataque e roubo de dados, tendo, no entanto, indicado que o mesmo apenas afeta veículos que se encontram ligados permanentemente à internet e que possuem um registo feito sobre os serviços online da plataforma.

Por entre os dados comprometidos encontra-se informação de 800 mil veículos, bem como a localização em tempo real de 460 mil. Alguns dos dados de localização contam com apenas alguns centímetros de precisão.

A maioria dos dados dizem respeito a viaturas na Alemanha, mas encontram-se dados ainda da Noruega, Reino Unido, Suiça, Holanda, França, Bélgica e Dinamarca. Juntamente com a informação das viaturas encontram-se ainda detalhes sobre os condutores ou titulares das mesmas, com dados potencialmente pessoais e sensíveis.

A Cariad indica que a falha foi corrigida no mesmo dia em que foi identificada, com a equipa de segurança da empresa a ter corrigido a mesma de imediato. No entanto, isso não terá impedido que os dados fossem acedidos e roubados por terceiros durante o tempo em que esteve acessível.

29/12/2024
Extensões maliciosas descobertas na Chrome Web Store para roubar dados de utilizadores

As extensões do Google Chrome permitem alargar consideravelmente as capacidades do navegador, introduzindo novas funções ou melhorando as existentes. No entanto, tendo em conta a integração que algumas possuem, podem também ser a porta de entrada para possíveis ataques e roubos de dados.

Recentemente a empresa Cyberhaven, que fornece serviços de cibersegurança para algumas empresas de renome no mercado, confirmou ter sido vítima de um ataque informático, onde os atacantes conseguiram obter as credenciais de acesso de um funcionário via um ataque de phishing. Este funcionário teria acesso à plataforma da empresa na Chrome Web Store, onde esta fornece a sua própria extensão para os clientes de forma a fornecer os seus serviços.

Com este acesso, os atacantes usaram a conta de programador da Cyberhaven na Chrome Web Store para enviar uma versão modificada da extensão da empresa, que foi automaticamente aplicada em todos os sistemas onde a mesma estaria instalada. Esta versão maliciosa usava código ofuscado para obter os cookies e dados de login dos utilizadores, enviando os mesmos para os sistemas em controlo dos atacantes.

A equipa de segurança da Cyberhaven terá identificado a alteração cerca de uma hora depois da extensão ter sido ativada, mas ainda assim existe o potencial de os clientes da mesma terem sido afetados.

A versão maliciosa foi substituir por uma nova atualização, contendo a versão segura, no dia 26 de Dezembro. Os clientes da entidade foram igualmente notificados do incidente.

Pouco depois do incidente ter sido confirmado nesta empresa, o investigador de segurança Jaime Blasco terá investigado outras extensões que poderiam usar o mesmo formato de ataque, e que estariam a contactar o mesmo servidor usado pelos atacantes. Foram assim descobertas cinco outras extensões na Chrome Web Store que terão sido igualmente modificadas para o mesmo fim:

Internxt VPN

VPNCity

Uvoice

ParrotTalks

Estas extensões teriam igualmente código malicioso focado em roubar dados dos navegadores das vítimas, enviando os mesmos para os sistemas em controlo dos atacantes. Os utilizadores das mesmas são aconselhados a removerem-nas imediatamente do navegador, bem como a garantirem que as suas contas se encontram em segurança.

27/12/2024
Japan Airlines teve de suspender voos devido a ataque informático

A Japan Airlines (JAL) confirmou ter sido recentemente alvo de um ataque informático, o qual terá prejudicado alguns dos voos previstos para a entidade. O ataque terá ainda afetado alguns dos sistemas internos da empresa, causando problemas e cancelamentos.

Em comunicado, a empresa confirmou ter sido originada uma falha em vários sistemas de rede da mesma, que afetaram as comunicações de sistemas internos e externos, levando a atrasos ou cancelamentos.

O ataque obrigou a entidade a ter de realizar a desativação dos seus dispositivos de rede, levando aos problemas registados. A empresa não confirmou exatamente os detalhes do ataque, sendo que o comunicado apenas indica que foram recebidas elevadas quantidades de dados externos, causando problemas aos sistemas.

Tendo em conta a indicação aparenta ter sido um ataque associado a DDoS, que causou a sobrecarga dos sistemas usados pela transportadora. A empresa sublinhou ainda que os dados dos clientes não foram afetados, e que não foi usado qualquer malware como parte do ataque.

Cerca de uma hora depois do ataque ter sido identificado, a transportadora confirmava ter resolvido o problema.

Durante esta semana, a American Airlines também foi obrigada a cancelar ou adiar alguns dos voos previstos para o Natal, devido ao que a empresa indicou ser uma falha de rede – embora se desconheça se terá sido um ataque.

26/12/2024
Loja online da ESA alvo de ataque informático para roubar cartões bancários

A loja online da agência Espacial Europeia foi recentemente alvo de um ataque informático, tendo estado a carregar um script focado em roubar os dados de cartões de crédito usados por clientes na mesma.

A loja esteve a carregar um falso formulário de pagamento do Stripe, que surgia quando os utilizadores realizavam compras diretamente da loja online. Esta plataforma da European Space Agency (ESA) é focada para a venda de alguns itens de merch e ofertas relacionados com a agência espacial, e algumas das suas atividades.

Depois do ataque ter sido confirmado, a loja foi colocada offline, deixando de aceitar novos pagamentos e compras. Atualmente a mesma ainda fornece uma mensagem de erro temporário quando se tenta aceder.

O script, que estaria a carregar no formulário de pagamento da loja online, esteve ativo durante algumas horas, e além de dados de pagamento e cartões bancários, estaria ainda a recolher os dados dos clientes, como nome, morada, email e número de telefone.

O código do script malicioso encontrava-se criado e a carregar de um domínio bastante similar ao da loja online da ESA, possivelmente para evitar a deteção por software de segurança. Quando carregado, este apresentava um falso formulário de pagamento, que usava o SDK do Stripe, mas onde os dados introduzidos nos mesmos eram recolhidos para proveito dos atacantes.

De momento ainda se desconhece a quantidade de clientes que podem ter sido afetados, mas será bastante provável que apenas tenha afetado quem usou a loja online durante o dia de ontem – os dados guardados de clientes na plataforma não terão sido comprometidos.

25/12/2024
Grupo de ransomware Cleo alega ter atacado 66 empresas

O grupo de ransomware Clop encontra-se a extorquir mais de 66 empresas, que foram alvo de ataques nos últimos dias, com dados roubados. As empresas possuem menos de 48 horas para responderem ao resgate, ou terão os dados publicados no site do grupo.

O grupo, a partir do seu site na dark web, indica ter contactado todas as empresas afetadas diretamente, fornecendo links diretos para iniciar uma conversa segura com o grupo, onde podem ser feitas as negociações. As empresas que não paguem o resgate, podem ter os seus dados eventualmente publicados para todos acederem.

No total, o grupo indica ter atacado 66 empresas, embora os nomes tenham sido parcialmente censurados. Caso não sejam feitas negociações nas próximas horas, estas empresas podem ser publicamente reveladas pelo grupo, e eventualmente, os dados serão disponibilizados para download.

A lista indica apenas empresas que foram atacadas, e contactadas pelo grupo, mas não responderam aos pedidos de resgate ou negaram qualquer pagamento.

O grupo de ransomware Clop tem vindo a ganhar algum destaque no mercado, com ataques de peso contra grandes empresas a nível internacional. Esta é uma das maiores listas disponibilizadas ao mesmo tempo de ataques do grupo. O grupo tende a usar falhas em softwares empresariais, que são depois exploradas para permitir o acesso aos dados internos das empresas.

Tendo os dados em sua posse, o grupo realiza a chantagem para evitar a publicação dos mesmos no site da dark web, prejudicando a imagem da entidade e a segurança dos dados da mesma e dos clientes.

Embora algumas das empresas afetadas por este ataque possam ser identificadas, mesmo com nomes parciais, desconhece-se exatamente quais os dados obtidos ou se a informação fornecida é legítima. De momento ainda se desconhece se alguma entidade em Portugal terá sido afetada.

25/12/2024
Hackers usam rede de sistemas RDP para ataques MiTM

Um grupo de hackers russos, conhecido como Midnight Blizzard, encontra-se a usar uma rede com 193 sistemas de acesso remoto de ambiente de trabalho, para criar um sistema de proxy para ataques man-in-the-middle (MiTM), com o objetivo de roubar dados sensíveis e credenciais de malware distribuído pela internet.

Os atacantes usam estes sistemas para ativar a ferramenta PyRDP , que pode depois analisar os ficheiros nos sistemas de eventuais vítimas, descobrir quais os dados pertinentes a obter e descarregar os mesmos, bem como executar malware diverso nos sistemas infetados.

De acordo com a empresa de segurança Trend Micro, o grupo foca-se sobretudo para entidades governamentais e militares, com o objetivo de roubar informação sensível de sistemas internos das mesmas. Embora muitas entidades focadas para ataque encontrem-se nos EUA, Alemanha, França, entre outros, Portugal faz parte da lista onde existem também alguns alvos.

O Remote Desktop Protocol (RDP) é um protocolo criado pela Microsoft para permitir o rápido acesso a sistemas remotamente, tal como se os utilizadores estivessem em frente do mesmo. Porém, se usado maliciosamente, este pode ser usado para controlar sistemas comprometidos, e lançar a partir dos mesmos o mais variado cenário de ataques.

A empresa de segurança Trend Micro afirma ter descoberto uma rede de 193 servidores RDP comprometidos, que estariam a ser usados como fachada para ataques mais alargados. Estes sistemas eram depois usados para roubar informações de forma escondida em outros sistemas, e nomeadamente, obter dados sensíveis que poderiam ser usados contra governos ou agências militares.

Uma das linhas de defesa parte por controlar de forma restrita quais os acessos que podem ser feitos a sistemas onde o RDP esteja ativo. Este protocolo é sobretudo usado para servidores remotos e grandes empresas, sendo raramente necessário para utilizadores domésticos.

19/12/2024
Dados da Câmara de Chaves alegadamente comprometidos por ransomware

O grupo de ransomware Qilin alega estar a disponibilizar dados do Município de Chaves, depois de um ataque informático realizado recentemente à entidade.

A entidade tinha sido alvo de um ataque informático no passado dia 14 de Novembro, sendo que, na altura, o mesmo afetou consideravelmente os sistemas e serviços da entidade. Embora os detalhes do ataque não tenham sido revelados, o grupo Qilin alega agora ter sido o autor do mesmo, aplicando ransomware em sistemas internos do município, e de onde foram roubados dados potencialmente sensíveis.

O grupo indica no seu site da dark web ter em sua posse vários dados sensíveis e privados, embora ainda se desconheçam exatamente detalhes sobre os conteúdos roubados. A informação do site apenas indica uma descrição aparentemente genérica sobre o Plano Estratégico de Desenvolvimento do Município de Chaves, de 2015, portanto desconhece-se se os dados dizem apenas respeito a esta secção e projeto antigo, ou se podem incluir dados mais recentes.

O grupo poderá disponibilizar a informação durante os próximos dias, como é habitual, caso a entidade não pague o resgate pelos ficheiros – algo comum neste formato de ataques ransomware.

17/12/2024
Falha no Windows permite roubo de credenciais NTLM

Foi recentemente descoberta uma nova falha de segurança no Windows, que caso seja explorada, pode permitir a atacantes roubarem as credenciais NTLM do sistema. Tudo o que as vítimas necessitam de fazer para serem alvo deste ataque é abrirem um ficheiro maliciosamente criado no Explorador do Windows.

A falha foi descoberta pela equipa do 0patch, uma plataforma conhecida por lançar patches para falhas em sistemas em fim de suporte. Embora a falha tenha sido reportada à Microsoft, a empresa não lançou uma correção da mesma.

Esta falha, segundo os investigadores, afeta praticamente todas as versões do Windows desde o Windows 7 e Windows Server 2008 R2. As mais recentes versões do Windows 11 e Windows Server encontram-se afetadas.

Para evitar que a falha possa ser ativamente explorada, os investigadores optaram por não revelar os detalhes técnicos da mesma, até que a Microsoft lance o patch oficial. No entanto, a mesma indica que, para ser explorada, apenas é necessário que as vítimas abram um determinado ficheiro maliciosamente modificado no Explorador do sistema, que pode nem ser identificado como malicioso pela maioria dos programas de segurança.

Com isto, os atacantes podem obter acesso às credenciais NTLM, que basicamente, permite o acesso às contas do sistema – eventualmente comprometendo contas de administrador. De notar que a Microsoft já confirmou que pretende deixar de suportar as chaves NTLM no futuro, mas por agora as mesmas ainda são ativamente usadas dentro do Windows.

Embora a Microsoft não tenha lançado a atualização para corrigir esta falha, a equipa da 0patch lançou um patch não oficial, que pode ser usado para prevenir a exploração da falha em ambientes sensíveis. Esta correção temporária será fornecida via o software de atualização da 0patch, mas apenas para contas Pro e Enterprise, que possui custos associados.

Tendo em conta que a Microsoft possui conhecimento da falha, é possível que venha a lançar a correção da mesma durante as próximas atualizações do Windows. No entanto, de notar que não deve chegar para versões do sistema que estejam em fim de suporte, como o caso do Windows 7.

06/12/2024
FBI recomenda uso de plataformas encriptadas para comunicações

Numa altura em que a privacidade é cada vez mais importante na internet, existem agora algumas recomendações que são deixadas pelas próprias autoridades para garantir a segurança dos cidadãos.

O FBI deixou recentemente um alerta nesse sentido, aconselhando todos os utilizadores a usarem apenas plataformas de mensagens que sejam encriptadas e seguras. A entidade recomenda que os utilizadores deixem de usar sistemas de mensagens que não tenham qualquer forma de encriptação, tanto para mensagens de texto como para chamadas e videochamadas.

As autoridades consideram que o uso destas plataformas, sem encriptação, pode constituir um risco de segurança e potencial ponto de partida para o roubo de dados.

Estes alertas foram deixados depois de uma conferência, onde se analisou os recentes ataques de um grupo conhecido como Salt Typhoon. Este grupo, com ligações à China, terá conseguido infiltrar-se em várias operadoras em redor do mundo, e usou esses acessos para obter informação de forma ilegal.

A AT&T e a Verizon foram algumas das operadoras norte americanas que terão sido comprometidas, embora a extensão do ataque ainda seja desconhecida. Este grupo terá conseguido obter informação que era transmitida na rede de forma insegura – seja mensagens ou chamadas diretas.

Segundo o FBI, existem várias plataformas de mensagens encriptadas atualmente disponíveis, e até mesmo inteiramente gratuitas, que tornam a comunicação consideravelmente mais segura. Estas devem agora ser uma recomendação base para garantir a segurança na troca de conteúdos.

Portanto, caso costume enviar mensagens ou realizar chamadas por onde passam dados potencialmente sensíveis, ou se apenas pretende ter mais segurança e privacidade, usar uma plataforma encriptada para as comunicações pode ser algo sensato de se realizar.

05/12/2024
SDK da Solana usado para roubar fundos de carteiras dos utilizadores

Um SDK baseado em Javascript da blockchain Solana foi recentemente alvo de um ataque, tendo estado a distribuir uma versão maliciosamente modificada durante algumas horas. Esta versão teria como objetivo roubar chaves privadas de carteiras da blockchain.

A Solana oferece uma SDK em Javascript, a web3.js, que é usada por várias plataformas para ajudar a interligar as carteiras dos utilizadores com a plataforma de blockchain e aplicações descentralizadas.

De acordo com a empresa de segurança Socket, durante várias horas, o SDK foi modificado para integrar código que teria como objetivo roubar as carteiras das vítimas, obtendo as suas chaves privadas e enviando os fundos para outras carteiras em controlo dos atacantes.

O ataque foi identificado nas versões 1.95.6 e 1.95.7 do @solana/web3.js, que conta atualmente com mais de 350.000 downloads no npm. O ataque foi igualmente confirmado pela Solana, que em comunicado indica que uma das contas dos programadores da entidade, que teria permissões de publicação, foi recentemente roubada, permitindo aos atacantes enviarem o conteúdo malicioso para produção.

Depois das modificações maliciosas, a entidade foi rapidamente notificada, tendo lançado a versão 1.95.8 sem o conteúdo malicioso. Ao mesmo tempo, foram ainda aplicadas medidas de proteção para garantir que todas as contas com permissões de publicação estariam seguras.

Com este ataque, além de poderem obter as chaves privadas de todas as carteiras que se interligava via o SDK, os atacantes poderiam ainda transferir os fundos das mesmas e os NFTs para outras carteiras.

04/12/2024
Stoli Group encerra atividades depois de ataque informático

A fabricante de bebidas Stoli Group, sediada nos EUA, confirmou que vai entrar em insolvência, depois de ter sofrido um ataque ransomware em meados de Agosto deste ano, e de as Autoridades Russas terem encerrado algumas das fábricas que a empresa possui na Rússia.

Segundo a confirmação do presidente da empresa, Chris Caldwell, estas medidas surge depois da entidade ter sofrido um largo ataque de ransomware, em Agosto deste ano, que teve impacto nos sistemas informáticos da mesma, incluindo no sistema usado para o relacionamento com os clientes.

O ataque obrigou a que várias atividades da empresa fossem transpostas para medidas manuais forçadas, o que sobrecarregou também algumas das suas divisões, como a divisão financeira.

O ataque não surgiu numa das melhores alturas para o grupo, que em Julho de 2024 também teve algumas das suas destilarias apreendidas na Rússia, tendo sido forçada a encerrar as atividades na região. Estes encerramentos surgiram por parte das obrigações das autoridades russas, tendo em conta que a sede da empresa encontra-se nos EUA.

Por fim, também não terá ajudado que o grupo esteve durante anos numa batalha legal com algumas entidades russas, derivado dos direitos de algumas marcas, como é o caso de Stolichnaya e Moskovskaya.

Estas medidas foram agravadas por algumas ações do presidente russo, Vladimir Putin, respeitante ao registo de parcas relacionadas com bebidas alcoólicas, que voltou a dar suporte para marcas registadas nos anos 90.

04/12/2024
Fisco de Espanha alvo de ataque informático

A Agência Tributária Espanhola (AEAT) foi alvo este fim de semana de um ataque informático, de onde se acredita que podem ter sido roubadas informações potencialmente sensíveis dos consumidores.

O ataque foi confirmado pelo grupo Trinity, sendo que o mesmo alega ter roubado mais de 560 GB de dados da instituição, entre os quais encontram-se dados confidenciais e privados.

Embora os detalhes do ataque ainda sejam desconhecidos, vários meios de imprensa espanhola apontam que o grupo terá tentado extorquir a entidade com um resgate de 36 milhões de euros. Isto indica que o ataque terá sido no formato de ransomware, e que além do roubo dos dados, sistemas internos da entidade podem ter sido comprometidos, e dados encriptados. No entanto, algumas fontes apontam que o valor indicado será apenas a receita da instituição, e não o valor pedido pelos atacantes.

Apesar disso, alguns especialistas apontam que o ataque não foi com o objetivo de se realizar o pagamento, mas sim de obter os dados sensíveis de milhares de cidadãos. Além disso, embora o grupo de ransomware tenha confirmado o ataque, a AEAT não veio confirmar, até ao momento, o mesmo.

Num recente comunicado, a AEAT apenas afirma não ter identificado qualquer indicio de dados encriptados ou sistemas comprometidos, mas que a investigação ainda se encontra a ser realizada.

É importante notar, no entanto, que o grupo pode ter atacado diretamente a instituição, sem pedir o resgate, apenas para recolher os dados e colocar à venda na dark web. A investigação do incidente pode ainda demorar alguns dias, sendo desconhecido quais os dados efetivamente roubados – o grupo que alega o ataque ainda não deixou detalhes sobre quais as informações obtidas do mesmo.

02/12/2024
Empresa de criptoativos DMM Bitcoin confirma encerramento após ataque informático

A plataforma de criptomoedas DMM Bitcoin, depois de ter sido alvo de um ataque informático, confirmou que vai encerrar as suas atividades. A entidade foi alvo de um ataque de onde foram roubados mais de 300 milhões de euros – realizado em Maio deste ano.

Em comunicado, a entidade afirma que a decisão foi tomada como forma de proteger os ativos dos clientes, sendo que será feita a devolução de todos os ativos até Março de 2025. As atividades da plataforma foram igualmente suspensas com efeitos imediatos.

Esta mensagem surge depois da DMM Bitcoin, sediada em Tóquio, ter bloqueado as transações faz quase meio ano, depois de ter sofrido um ataque informático, do qual resultou milhares de dólares roubados.

O ataque aconteceu a 31 de maio de 2024, e na altura, foi considerado um dos maiores do ano. A empresa ainda se encontra a investigar o mesmo, mas até agora sem novas informações sobre o sucedido.

Os ativos dos clientes serão transferidos para a SBIVC Trade até março de 2025, que será a entidade responsável pelos mesmos para realizar a devolução. Os dados mais recentes da DMM Bitcoin indicam que a empresa possui mais de 450 mil contas de clientes e 600 milhões de euros em ativos digitais.

02/12/2024
Bologna FC confirma ataque de ransomware a sistemas internos

O clube Bologna Football Club 1909 confirmou ter sido alvo de um ataque informático recente, de onde terão sido roubadas informações sensíveis do mesmo. Este ataque foi confirmado como tendo sido do formato de ransomware, originário pelo grupo “RansomHub”.

O clube alerta os utilizadores que não devem descarregar ou aceder aos conteúdos roubados, sendo que essa prática constitui um crime grave. A entidade afirma que os seus sistemas foram alvo de um ataque informático, e que informação sensível da mesma terá sido comprometida, incluindo contratos e outros documentos.

A entidade alerta ainda que descarregar ou manter os dados roubados é considerado um crime grave, indicando que é possível que os dados venham a ser disponibilizados na internet. Os utilizadores são desencorajados a descarregarem os ficheiros.

Pouco depois do ataque ter sido confirmado, o grupo RansomHub viria a confirmar a autoria do mesmo. O grupo afirma que o ataque aconteceu a 19 de Novembro, e que o clube italiano recusou realizar o pagamento do resgate.

Face a isso, os dados foram publicados na dark web, e encontram-se agora acessíveis para qualquer pessoa. Entre os mesmos o grupo alega existirem ficheiros médicos dos jogadores, dados de contratos, pagamentos e outra informação pessoal.

O grupo tentou ainda extorquir o clube indicando que o não pagamento poderia levar a pesadas multas por parte do Regulamento da Proteção de dados europeia. No entanto, o clube não terá optado pela via do pagamento.

30/11/2024
Zello pode ter sido comprometida: clientes aconselhados a alterarem passwords

A Zello encontra-se a alertar os seus clientes para realizarem a recuperação das suas senhas, caso tenha criado as contas antes de 2 de Novembro, no que aparenta ser uma medida relacionada com um potencial ataque informático.

A Zello possui atualmente mais de 140 milhões de clientes em todo o mundo, sendo responsável por vários serviços hospitalares e de transporte, bem como de comunicação via uma app dedicada para amigos e familiares no formato “push-to-talk”.

Desde o passado dia 15 de Novembro que vários utilizadores se encontram a receber mensagens da Zello, de forma a realizarem o reset das suas senhas. Embora as mensagens não indiquem exatamente o motivo para tal, esta medida normalmente é realizada quando ocorre algum impacto a nível da segurança.

Na notificação da empresa, esta pede aos utilizadores para realizarem o reset das suas senhas Zello por segurança, deixando ainda a indicação para não usar a mesma senha em outras plataformas – ou para quem o faça, de alterar imediatamente a mesma.

Até ao momento, a empresa não confirmou oficialmente a existente de um ataque direto na sua infraestrutura, mas as medidas de alterações das senhas, aliado à mensagem que pode afetar outras plataformas onde a mesma senha seja usada, é algo que levanta as suspeitas de que se trate de um ataque na entidade.

Caso tenha uma conta na Zello, é recomendado que proceda de imediato com a alteração da senha de acesso, conforme descrito no site da entidade.

28/11/2024
Grupo terá atacado dezenas de operadoras em vários países

Várias operadoras encontram-se a ser alvos de ataques, e recentemente foi descoberto um grupo que pode ter conseguido realizar com sucesso tais ataques a várias entidades em diferentes países.

De acordo com a empresa de segurança Trend Micro, o grupo Salt Typhoon possui ligações com o governo chinês, e tem sido usado para realizar ataques contra várias operadoras de telecomunicações – que afetam países asiáticos, mas também nos EUA, Africa do Sul e no Brasil.

Segundo os investigadores, o grupo já terá conseguido infiltrar-se em mais de 20 entidades diferentes, algumas das quais com ligações a altas empresas e entidades a nível global, e de diferentes setores, tanto privados como militares e governamentais.

Acredita-se que os atacantes terão usado backdoors para acederem a sistemas das operadoras, e realizarem as suas atividades maliciosas a partir desse acesso. O governo dos EUA já terá notificado mais de 150 vitimas destes ataques, sendo que a grande maioria encontra-se localizada na região de Washington.

Embora a investigação do grupo e dos seus métodos de ataque ainda esteja a decorrer, acredita-se que os mesmos possam ter usado um ataque sofisticado conhecido como GhostSpider. Este ataque permite que se mantenha uma linha de comunicação com sistemas internos das operadoras, que é bastante complicado de identificar de forma externa, visto fazer-se passar por um serviço regular que usa tráfego encriptado para o envio dos dados.

Verizon, AT&T, Lumen Technologies e T-Mobile encontram-se entre algumas das entidades afetadas pelo grupo, que relataram falhas em vários servidores e serviços, alegadamente associados com os ataques realizados pelo grupo.

Este formato de ataque é bastante sofisticado, e embora se desconheça qual o objetivo final dos atacantes, algumas fontes apontam que poderá ter como alvo a recolha de dados sensíveis para fornecimento ao governo da China.

27/11/2024
Universidade do Algarve confirma ataque informático com roubo de dados

Durante o final desta semana, a Universidade do Algarve (UAlg) foi alvo de um ataque informático, tendo sido confirmado que dados de alunos, funcionários e professores da instituição podem ter sido comprometidos.

De acordo com o comunicado da instituição, o ataque terá ocorrido entre os dias 14 e 19 de Novembro, onde os sistemas informáticos da gestão interna da Universidade terão sido comprometidos. Terceiros conseguiram obter acesso aos dados presentes neste sistema, que inclui dados pessoais de candidatos, estudantes e funcionários.

Apesar do ataque, as atividades académicas continuaram na normalidade, embora alguns serviços tenham sido diretamente afetados. Entre os dados, além de informações pessoais de cada um dos afetados, encontram-se ainda endereços de correio eletrónico, contactos telefónicos, nomes e números de identificação bancários (IBAN).

Todas as pessoas afetadas pelo incidente foram notificadas, com medidas que devem ser tomadas para prevenir o uso abusivo. Ao mesmo tempo, as autoridades competentes foram igualmente notificadas do incidente.

A Universidade afirma ainda que o sistema afetado foi restabelecido e garantidas as medidas de segurança adequadas. Até ao momento não se conhece a origem do ataque, nem nenhum grupo diretamente confirmou ter realizado a recolha dos dados.

23/11/2024
Milhares de firewalls da Palo Alto Networks alvo de ataques

Depois de ter sido descoberta uma falha de segurança em firewalls da Palo Alto Networks, esta já se encontra a ser ativamente explorada para ataques por hackers. Centenas de firewalls foram já comprometidas devido a esta falha, e acredita-se que os valores podem vir a elevar-se ainda mais em breve.

As falhas encontram-se sobre o sistema de gestão PAN-OS, a interface usada em certas firewalls da Palo Alto Networks. Quando exploradas, estas falhas permitem que os atacantes obtenham de forma remota acesso ao dispositivo e possam enviar comandos para o mesmo.

Embora a falha tenha sido publicamente revelada apenas esta semana, a fabricante já estaria a notificar os clientes desde o dia 8 de Novembro, de forma a restringirem os acessos remotos para prevenir o ataque. A empresa afirma que ainda se encontra a investigar as falhas, e a recente onda de ataques focadas em explorar as mesmas.

Segundo a empresa, os ataques terão começado em larga escala no dia 18 de Novembro, originados de IPs associados com plataformas VPN. Tendo em conta que as falhas são agora conhecidas, espera-se que os ataques venham a aumentar consideravelmente durante os próximos dias.

A empresa afirma que as falhas e ataques afetam apenas uma pequena percentagem de dispositivos, ainda assim, os dados mais recentes demonstram que os valores podem ser bastante mais elevados. A plataforma Shadowserver indicava esta semana que existiam 2700 sistemas vulneráveis e prontos a ser atacados.

A plataforma afirma ainda que quase 2000 destes dispositivos já terão sido comprometidos desde que a vaga de ataques começou.

As falhas são agora consideradas de alta prioridade, sendo extremamente recomendado que sejam aplicadas medidas para prevenir a sua exploração, o que pode ser feito restringindo o aceso à interface de gestão das firewalls apenas a redes internas.

21/11/2024
Ford nega ter sido alvo de ataque informático

Recentemente a Ford surgiu na lista de leaks da internet, com um autor a publicar uma lista de ficheiros, alegadamente obtidos de sistemas internos da empresa. Esta lista incluía, segundo o mesmo, vários dados pessoais de clientes da fabricante, juntamente com dados internos da empresa.

A lista foi publicada por um utilizador conhecido como “EnergyWeaponUser”, e teria sido obtida durante o inicio do mês de Novembro. A mesma alega incluir mais de 44 mil registos da empresa e dos seus clientes. Embora a publicação tenha surgido sem muitas mais confirmações, a Ford nega agora qualquer ataque à mesma.

De acordo com o comunicado da fabricante, que surge depois de uma investigação realizada ao leak dos dados, esta afirma que nenhum dos sistemas da mesma foi alvo de qualquer ataque, e que a origem da lista é desconhecida. A empresa confirma ter obtido conhecimento da existência da mesma, mas em análise, esta não diz respeito a qualquer sistema da entidade.

A empresa sublinha, no entanto, que os dados podem dizer respeito a um revendedor da Ford, ou um stand de vendas onde os veículos da mesma sejam vendidos. Porém, estes dados não foram originários diretamente dos sistemas da Ford nem os mesmos foram alvo de qualquer ataque direto.

A lista, embora tenha informação potencialmente sensível, encontra-se a ser disponibilizada num formato fora do vulgar, estando disponível publicamente a um custo relativamente baixo (cerca de dois dólares). Normalmente, listas desta magnitude tendem a vender por vários milhares de dólares, contendo informação potencialmente sensível e secreta das fabricantes.

21/11/2024