Categoria: ataque

Rússia registou o maior número de ataques DDoS de sempre em 2022

Com os conflitos que se encontram a verificar entre a Rússia e a Ucrânia, os mesmos também se verificam a nível da vertente digital. E de acordo com a maior operadora russa, a Rostelecom, em 2022 registou-se um dos maiores números de ataques DDoS realizados contra entidades localizadas no pais.

Desde o início do conflito entre Rússia e Ucrânia, a vertente digital registou também um aumento considerável de ataques, das duas partes. De acordo com a Rostelecom, durante todo o ano de 2022 foram registados 21.5 milhões de ataques DDoS, contra mais de 600 empresas na Rússia. Estas empresas encontram-se sobre os mais variados setores, desde as telecomunicações ao setor financeiro e público.

O maior ataque registado pela Rostelecom teve, no seu pico, mais de 760 GB/segundo de tráfego, mais do dobro do maior ataque registado até ao ano anterior. O mais longo ataque DDoS terá durado cerca de três meses.

Sem grandes surpresas, a maioria dos ataques foram direcionados para Moscovo, que é onde também se encontram a maioria das empresas afetadas. A Rostelecom afirma que foram registados mais de 500.000 tentativas de ataques DDoS a entidades na cidade.

Apesar de a maioria dos ataques terem sido no formato de ataques DDoS, focados em sobrecarregar as infraestruturas do pais, foram também identificados ataques para explorar falhas de websites e servidores localizados na Rússia.

23/01/2023
OneNote usado para distribuir malware em campanhas de phishing

Durante bastante tempo, os ficheiros do Office foram usados para propagar malware, através do uso das funcionalidades macro do mesmo. No entanto, a Microsoft tem vindo também a tornar consideravelmente mais difícil a tarefa de se executar este género de conteúdos – o que dificulta a tarefa dos atacantes em infetar sistemas.

Com isto, os criminosos agora voltam-se para outra aplicação da empresa, que não conta com as mesmas medidas de segurança: o OneNote. De acordo com o portal BleepingComputer, existem cada vez mais campanhas de malware a serem distribuídas via ficheiros do OneNote, que levam os utilizadores a abrirem conteúdos maliciosos nos seus sistemas.

Ao contrário dos ficheiros do Office, o OneNote não suporta macros. No entanto, permite que conteúdos do mesmo tenham outros ficheiros anexados aos documentos, que será o ponto de partida para o ataque.

Os criminosos anexam o malware diretamente nestes documentos, que depois de abertos no OneNote, podem ser usados para prosseguir com o ataque. A maioria dos ficheiros são no formato VBS, executando um variado número de tarefas para descarregar malware no sistema de forma direta.

Para tentar tornar a tarefa o mais legitima possível, os atacantes colocam botões de ação sobre os documentos, incentivando a que os utilizadores executem o script. Apesar de o OneNote alertar que os utilizadores vão abrir um anexo do documento, muitos podem simplesmente ignorar a mensagem.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção aos conteúdos que descarregam da internet e dos emails que recebem.

23/01/2023
Riot Games confirma ataque informático

A editora Riot Games, criadora de jogos como League of Legends e Valorant, confirmou ter sido vítima de um ataque informático, sendo que o mesmo encontra-se agora a atrasar o lançamento de algumas atualizações para os títulos da editora.

A Riot Games confirmou o ataque durante o início do fim de semana, a partir do Twitter, tendo deixado o compromisso para os utilizadores que iria analisar o sucedido. A investigação do incidente ainda se encontra a decorrer, mas a editora confirmou que alguns dos seus sistemas de desenvolvimento teriam sido comprometidos no ataque.

Apesar de a investigação ainda se encontrar a decorrer, a empresa também sublinha que não existem indicações que dados de clientes tenham sido comprometidos como parte deste ataque. O mesmo se aplica também a dados associados com os vários jogos da editora.

No entanto, este ataque terá comprometido a possibilidade da empresa lançar alguns patches de atualização para determinados jogos, processo que deve ser retomado durante a próxima semana.

Em causa encontra-se atualizações como o Patch 13.2 para LoL, que estava previsto de chegar ainda durante esta semana. Mas outros títulos podem também ter sido afetados, sendo que se espera alguns atrasos no fornecimento dos patches.

22/01/2023
Operadora norte-americana confirma roubo de dados de 37 milhões de clientes

A operadora norte-americana T-Mobile confirmou ter sido alvo de um ataque informático, de onde terão sido roubadas informações de quase 37 milhões de clientes. A operadora confirma que o roubo dos dados teria ocorrido a 5 de janeiro de 2023, altura em que o incidente foi identificado, mas o acesso dos hackers poderia vir de muito antes.

De acordo com o documento apresentado às autoridades, a empresa afirma ter conhecimento que os atacantes estariam com acesso à plataforma da T-Mobile desde meados de 25 de Novembro de 2022. A empresa sublinha ainda que os mesmos atacantes usaram as APIs da empresa para recolher dados dos clientes.

Apesar de a empresa garantir que os acessos indevidos foram cortados cerca de 24 horas depois de terem sido descobertos, durante as semanas anteriores os hackers estiveram com o acesso aberto e a roubarem dados dos potenciais clientes. Entre os dados roubados encontram-se nomes, moradas, números de telefone e datas de nascimento, juntamente com emails de contacto.

A operadora afirma que não foram roubadas informações sensíveis de pagamento ou de identificação e senhas. Ainda assim, o potencial roubo dos dados é bastante alargado, e pode ser usado para as mais variadas campanhas de phishing e ataques diversos.

De acordo com o The Wall Street Journal, as autoridades norte-americanas terão ainda iniciado uma investigação do incidente, tendo em conta que este não será o único que aconteceu na operador nos últimos meses.

De relembra que, em Agosto de 2021, milhares de clientes da T-Mobile foram igualmente afetados por um roubo de dados dos sistemas da empresa, onde se inclui dados mais sensíveis dos mesmos.

Na altura, a empresa tinha confirmado que iria investir 150 milhões de dólares em melhorar a segurança das suas infraestruturas. A empresa sublinha que, desde então, tem vindo a realizar consideráveis melhorias neste ponto, mas claramente ainda não suficientes para evitar os ataques e roubos de dados.

20/01/2023
PayPal alerta para contas comprometidas em roubo de credenciais

O PayPal encontra-se a enviar uma notificação para milhares de utilizadores, dos quais a empresa acredita que tenham sido alvo de acessos indevidos nas suas contas através de roubo de credenciais.

O ataque não será diretamente aos sistemas do PayPal, mas a empresa afirma ter verificado um crescente número de contas acedidas por terceiros, que obtiveram os dados de acesso a partir de outros leaks na internet – por exemplo, de contas que foram roubadas noutra plataforma e possuem os mesmos dados de login para a conta no PayPal.

Segundo o comunicado da empresa, nos últimos dias foram verificados vários acessos indevidos a contas por este género de ataque. Face aos mesmos, a empresa decidiu começar a notificar os utilizadores afetados.

Segundo a empresa, entre 6 de dezembro e 8 de Dezembro de 2022, registaram-se cerca de 35.000 contas comprometidas na plataforma através deste género de ataque. Apesar de os sistemas da empresa terem identificado o ataque às contas, e na grande maioria bloquearam o acesso, a empresa decidiu avançar com uma investigação mais aprofundada.

No dia 20 de Dezembro, esta terá confirmado que os acessos estariam a ser feitos através do roubo de senhas em plataformas de terceiros, e tentativas de login nas contas via o PayPal. A empresa sublinha que não foi alvo de qualquer ataque e que o roubo de senhas não ocorreu sobre a sua plataforma ou sistemas.

Os utilizadores afetados deverão ter de realizar o reset das suas senhas para voltar a ter acesso às contas. Os mesmos serão ainda notificados via email do caso, com mais informações sobre como proceder.

O PayPal recomenda ainda que os utilizadores ativem a autenticação em duas etapas, para garantir uma camada adicional de segurança para as contas. Desta forma, mesmo que a senha de acesso na conta seja comprometida, será mais difícil realizar o acesso sem a validação do utilizador.

19/01/2023
Receitas de ataques ransomware em queda com menos pagamentos

Apesar de a onda de ataques ransomware parecer não ter fim, com cada vez mais empresas afetadas por este género de ataques, ao mesmo tempo as receitas que originam dos mesmos parecem estar numa tendência de queda.

Um ataque de ransomware ocorre quando se realiza o roubo e bloqueio de dados, sendo pedido um resgate para desbloquear os ficheiros afetados. Este ataque tem vindo a tornar-se cada vez mais popular nos últimos anos, sobretudo devido ao grau de potencial ganho para os atacantes e aos danos que pode causar.

No entanto, de acordo com um recente relatório da empresa Chainalysis, parece que os atacantes encontram-se a receber cada vez menos deste género de ataques. Durante todo o ano de 2022, os ataques de ransomware acredita-se terem levado para os atacantes 456.8 milhões de dólares. Este valor, apesar de elevado, corresponde a uma queda considerável se tivermos em conta que, em 2021, o mesmo valor encontrava-se nos 765.6 milhões de dólares.

Ou seja, isto indica que existem menos empresas ou indivíduos a realizarem pagamentos para reaverem os seus ficheiros, ou evitarem a sua exposição. De acordo com os investigadores, apesar de ainda existir muita gente que pondera em realizar o pagamento dos resgates, a grande maioria não parece optar por esta via.

Ainda assim, o volume de ataques de ransomware tem vindo a aumentar consideravelmente. Existem cada vez mais ataques realizados no mercado, ainda mais contra pequenas e médias empresas. No entanto, muitas entidades também começam a adotar medidas mais rígidas de segurança, incluindo a de realizarem o backup constante de dados, evitando assim que ocorram perdas de dados ou seja necessário pagamentos para reaver os ficheiros.

Desde 2019, os dados indicam que o número de vítimas que acabam por pagar ataques de ransomware caiu de 76% para menos de 41% – a ter em conta que esta queda pode também estar associada com as novas leis que entraram em vigor, e que basicamente tornam os pagamentos de ransomware uma ilegalidade.

Em setembro de 2021, as autoridades dos EUA indicavam que iriam começar a aplicar penalizações para as empresas que realizassem o pagamento de resgates, tendo em conta que estariam a incentivar a realização de mais ataques e a fomentar o crime em geral.

Ao mesmo tempo, muitas empresas também começaram a aplicar medidas de segurança em nível de seguradoras, que possuem regras mais restritas para garantir o seguro em caso de ataques de ransomware, e que obrigam as entidades a aplicar essas medidas de segurança adicionais.

19/01/2023
Nissan confirma acesso a dados de clientes em novo ataque

A Nissan encontra-se a notificar centenas dos seus clientes, depois de um ataque ter permitir o acesso a dados pessoais numa plataforma de terceiros, onde a empresa teria dados dos mesmos.

O ataque terá acontecido no dia 21 de Junho de 2022, quando a empresa verificou que uma das suas filiais, a Nissan Motor Acceptance Corporation – responsável por realizar acordos de financiamento com clientes – teria sido alvo de um ataque, onde dados de clientes na mesma teriam sido acedidos durante uma fase de testes de software interno.

Segundo o comunicado da empresa, foram notificados 17998 clientes, embora não tenham sido revelados detalhes sobre quais os dados que foram comprometidos, em que formato e durante quanto tempo.

A empresa sublinha que, durante a investigação do incidente, a 26 de Setembro de 2022 esta terá confirmado que terceiros acederam a dados pessoais de clientes da empresa, por parte desta entidade. Os dados estariam armazenados de forma publica num servidor em cloud, onde terão sido colocados durante uma fase de teste a novo software da empresa. Os dados, no entanto, permaneceram no servidor durante mais do que o necessário, com terceiros a acederem ao mesmo.

De acordo com o portal The Record, a empresa responsável pelo teste do software terá colocado os dados dos clientes numa localização insegura, sem a direta autorização da Nissan. Tendo em conta que os dados diziam respeito a uma filial associado com créditos e financiamento, é possível que entre os dados acedidos se encontrem informação pessoal dos clientes e sensível.

De notar que a Nissan não revelou qual a empresa que colocou os dados neste sistema inseguro, nem deixou detalhes sobre quais os dados concretamente acedidos.

19/01/2023
MailChimp confirma ter sido alvo de novo ataque

A empresa MailChimp confirmou ter sido vítima de um novo ataque, depois de hackers terem conseguido obter acesso à conta de um dos funcionários da empresa. O ataque terá permitido o acesso a informação pessoal de alguns dos clientes da plataforma.

De acordo com o comunicado da empresa, o atacante terá conseguido obter acesso a uma das contas de um funcionário da plataforma, tendo usado esse acesso para aceder à informação de pelo menos 133 clientes. O ataque foi inicialmente realizado no dia 11 de Janeiro, altura em que a empresa também verificou o acesso sem autorização à plataforma.

A empresa afirma que, depois de ter sido detetado o acesso, procedeu de imediato com a suspensão da conta do funcionário afetado, para prevenir o roubo de informação pessoal. Os clientes que terão sido afetados foram igualmente notificados pela plataforma nas 24 horas seguintes.

Foi ainda sublinhado que o acesso terá sido a informação pessoal básica associada com as contas de clientes, e que nenhum dado de pagamento, cartões de crédito ou senhas foram comprometidas durante o ataque.

De notar que este é o segundo ataque do género que ocorre sobre a empresa, depois de em Abril de 2022 a empresa ter confirmado o acesso indevido à sua plataforma de atacantes, que terão usado esse acesso para enviar emails falsos para diferentes entidades, usando a lista de emails disponíveis nas contas do MailChimp. A empresa registou um novo ataque em Agosto de 2022, quando a entidade Okta foi igualmente atacada – e onde foi realizado o acesso a dados pessoais de 214 contas do MailChimp.

19/01/2023
Firefox 110 vai contar com novidade para melhorar a segurança

A Mozilla encontra-se a preparar para lançar o Firefox 110 em breve, sendo que este deve contar com várias melhorias e novidades interessantes. Uma delas será a nova capacidade de Sandbox para o GPU, que deve fornecer mais desempenho e estabilidade para o navegador em geral.

Esta nova funcionalidade vai permitir que o processo associado ao GPU possa ser separado e isolado dos restantes processos do navegador, sendo algo que a Mozilla tem vindo a trabalhar nos últimos seis anos. Esta tecnologia garante que, em caso de problemas com o funcionamento do processo, este se encontre isolado dos restantes processos do navegador – evitando falhas e garantindo mais desempenho em geral.

Ao mesmo tempo, esta funcionalidade deve ainda garantir mais segurança para os dispositivos. Como o processo se encontra isolado, em caso de ataque direto para o mesmo, o malware necessita de descobrir uma forma de escapar do ambiente isolado onde se encontra – o que pode ser consideravelmente mais complicado.

Apesar de a funcionalidade já se encontrar nas versões de teste do Firefox, a versão 110 será a primeira onde a mesma vai chegar ativa por padrão – ou pelo menos assim se espera. Ainda existe trabalho a ser feito para garantir que o sistema funciona como esperado. No entanto, a funcionalidade apenas vai encontrar-se disponível para sistemas Windows.

O Firefox 110 encontra-se previsto de ser lançado no dia 14 de Fevereiro de 2023.

A Mozilla encontra-se a preparar para lançar o Firefox 110 em breve, sendo que este deve contar com várias melhorias e novidades interessantes. Uma delas será a nova capacidade de Sandbox para o GPU, que deve fornecer mais desempenho e estabilidade para o navegador em geral.

Esta nova funcionalidade vai permitir que o processo associado ao GPU possa ser separado e isolado dos restantes processos do navegador, sendo algo que a Mozilla tem vindo a trabalhar nos últimos seis anos. Esta tecnologia garante que, em caso de problemas com o funcionamento do processo, este se encontre isolado dos restantes processos do navegador – evitando falhas e garantindo mais desempenho em geral.

Ao mesmo tempo, esta funcionalidade deve ainda garantir mais segurança para os dispositivos. Como o processo se encontra isolado, em caso de ataque direto para o mesmo, o malware necessita de descobrir uma forma de escapar do ambiente isolado onde se encontra – o que pode ser consideravelmente mais complicado.

Apesar de a funcionalidade já se encontrar nas versões de teste do Firefox, a versão 110 será a primeira onde a mesma vai chegar ativa por padrão – ou pelo menos assim se espera. Ainda existe trabalho a ser feito para garantir que o sistema funciona como esperado. No entanto, a funcionalidade apenas vai encontrar-se disponível para sistemas Windows.

O Firefox 110 encontra-se previsto de ser lançado no dia 14 de Fevereiro de 2023.

17/01/2023
NortonLifeLock alerta para acessos indevidos a contas de clientes do Gestor de Senhas

Os utilizadores do gestor de senhas do NortonLifeLock estão a ser notificados para um potencial acesso de terceiros a várias contas da plataforma, no que aparenta ser um conjunto de roubo de credenciais que foram focados para utilizadores da empresa.

De acordo com o comunicado da Gen Digital, a antiga Symantec Corporation e NortonLifeLock, uma entidade terceira encontra-se a aceder a contas associadas com o Norton Password Manager, potencialmente roubando dados de login nas mesmas.

A empresa sublinha que o ataque encontra-se a ocorrer não por uma falha direta na segurança dos sistemas da empresa, mas por terceiros que se encontram a usar contas que foram comprometidas noutras plataformas para realizar o acesso.

Segundo a empresa, no dia 12 de Dezembro de 2022, esta começou a verificar um elevado número de pedidos de login em contas da sua entidade, sendo que nos dias seguintes começou a verificar que várias contas de clientes da plataforma estariam a ser afetados por logins indevidos.

Na investigação da empresa, esta entidade terá obtido dados de login comprometidos em outros locais, estando a usar os mesmos para aceder a contas associadas com o gestor de senhas da empresa e dos seus clientes. Este ataque encontra-se a ocorrer diretamente para as contas de clientes da plataforma, e afeta um número ainda desconhecido de utilizadores.

Os utilizadores afetados devem receber um email da empresa a notificar do acesso, bem como de medidas a serem feitas. De notar que, conforme os utilizadores usem a plataforma, dados potencialmente sensíveis podem também ter sido acedidos, o que inclui dados de login para outras plataformas guardados nos cofres privados da plataforma.

A empresa sublinha que é recomendado aos utilizadores ativarem a autenticação em duas etapas para as suas contas, de forma a prevenir possíveis ataques e acessos de terceiros.

13/01/2023
Grupos de ransomware começam a divulgar conversas com as empresas

Muitos grupos de ransomware tendem a contactar as vítimas para tentarem que estas paguem o resgate dos conteúdos encriptados, bem como evitem que os conteúdos roubados sejam divulgados publicamente.

Isto ocorre como parte de uma negociação que existe em muitas situações entre as empresas e os responsáveis pelo ataque. Normalmente estas conversas são tidas entre as duas partes em segundo plano.

No entanto, uma nova tendência parece estar a surgir entre alguns grupos de ransomware. Em alguns ataques recentes, os grupos além de publicarem os conteúdos roubados das empresas, procedem também com a publicação das conversas realizadas com as entidades.

Esta medida será feita para colocar mais pressão sobre as empresas para evitarem ter os dados publicados e para realizarem o pagamento, evitando que as conversas sejam igualmente divulgadas.

Em alguns ataques estas conversações foram também divulgadas, e a maioria centra-se na tentativa de adiar a publicação dos dados ou reduzir o pagamento necessário para evitar a divulgação.

Além disso, alguns grupos também começaram a ter “extras” para a publicação de conteúdos. Por norma, os ficheiros roubados de diferentes entidades em ataques de ransomware são publicados ao fim de um determinado tempo. No entanto, grupos como o Lockbit agora começaram a permitir o pagamento de “extras” para gerir a forma como os conteúdos são divulgados.

Por exemplo, o grupo agora permite que as empresas paguem para aumentar o tempo até a divulgação dos dados, ou para destruir completamente os ficheiros disponíveis – possivelmente valores consideravelmente acima dos que foram alvo de tentativas de negociação.

Esta nova técnica pode colocar novas pressões sobre as empresas que estejam a ponderar realizar o pagamento, já que passam a incluir também as conversas tidas entre as duas partes.

13/01/2023
The Guardian confirma que foram acedidos dados internos no ataque em Dezembro

A entidade The Guardian confirmou que o ataque sofrido em Dezembro de 2022 terá sido malicioso, sendo que existe mesmo a possibilidade de alguns dados internos e de jornalistas terem sido acedidos.

De acordo com o portal The Record, a entidade terá enviado um email interno a indicar que detetou atividade suspeita das suas redes locais no dia 20 de Dezembro, do qual resultou o encerramento dos escritórios no dia seguinte. Os funcionários foram então aconselhados a trabalharem de forma remota até ao dia 23 de Janeiro de 2023.

No email agora enviado pela empresa, esta confirma que o ataque foi bastante sofisticado, e que os atacantes terão acedido a dados internos da empresa. Os atacantes terão obtido acesso aos sistemas internos da entidade através de um fornecedor de terceiros, possivelmente iniciado por um ataque de phishing.

A investigação ainda se encontra a decorrer, mas a empresa afirma que o ataque terá causado consideráveis danos em sistemas internos, e que dados associados a esses sistemas podem ter sido comprometidos. Entre os dados encontram-se informações pessoais dos funcionários e jornalistas da entidade.

A empresa deve fornecer suporte aos funcionários afetados para garantirem a segurança de dados e evitarem o roubo de identidade através do fornecimento de serviços com entidades externas dedicadas para esta tarefa.

O email sugere ainda que os utilizadores usem senhas seguras e mantenham os seus sistemas protegidos contra possíveis ataques, aplicando ainda práticas de segurança online. Apesar do ataque, a entidade manteve as suas publicações de forma regular, tanto física como digital.

11/01/2023
Royal Mail alvo de ataque informático no Reino Unido

O Royal Mail, a principal entidade de correios no Reino Unido, foi durante o dia de hoje alvo de um ataque informático, o qual se encontra a prejudicar uma grande parte das operações da entidade.

Até ao momento ainda se desconhecem detalhes sobre o género de ataque, mas a empresa afirma que se encontra a trabalhar para restaurar a normalidade o mais rapidamente possível, e que mais informações devem ser conhecidas em breve.

As falhas parecem estar a afetar sobretudo as encomendas internacionais, com vários relatos de encomendas que estão pendentes de envio devido aos sistemas estarem inacessíveis para os funcionários.

A empresa também não deixou previsões de quanto tempo será necessário para restabelecer o funcionamento regular, aconselhando os clientes a evitarem enviar pedidos internacionais durante este período.

A nível nacional, dentro do Reino Unido, a entidade refere que a maioria dos serviços encontram-se a funcionar na normalidade e que não devem ser sentidos impactos significativos. A empresa sublinha ainda que terá reportado o incidente para as autoridades, e que se encontra neste momento a ser feita a investigação da mesma.

11/01/2023
Inforlandia foi alvo de ataque de ransomware

Cada vez mais empresas têm sido alvo de ataques informáticos nos últimos tempos, e em Portugal o número de entidades afetadas tem vindo também a aumentar. O mais recente nome a juntar-se na lista terá sido a empresa Inforlandia, que recentemente foi alvo de um ataque de ransomware.

A Inforlandia, sediada em Portugal, é considerada uma das principais fabricantes europeias de computadores pessoais, dispositivos móveis e electrónicos, desenvolvendo os seus produtos também sobre as marcas INSYS e Matrixx.

O grupo de ransomware Royal revelou ter realizado o ataque à empresa Inforlandia no passado dia 26 de Dezembro de 2022. O grupo público esta confirmação sobre o seu site na rede tor.

Este grupo é conhecido por usar ataques de ransomware, onde são encriptados e roubados dados dos sistemas das entidades, e posteriormente pedido um resgate para evitar a divulgação dos mesmos.

No caso da Inforlandia, o grupo não confirmou exatamente quais ou se dados internos da empresa teriam sido roubados. No entanto, a empresa terá confirmado ao TugaTech que foi, efetivamente, alvo deste ataque.

Segundo a empresa, o ataque afetou um conjunto limitado de estações de trabalho, tendo sido tomadas todas as medidas necessárias para evitar a propagação do mesmo, e incluindo a comunicação às autoridades competentes.

A empresa sublinha que o grupo terá tentado realizar o resgate para o pagamento pelo desbloqueio dos ficheiros bloqueados, o qual a entidade terá descartado. De sublinhar ainda que, na investigação ao ataque, a empresa indica não terem sido roubados dados internos da mesma, bem como não foi realizado qualquer acesso aos sistemas ou sites da entidade e das suas submarcas.

De notar que os atacantes não publicaram qualquer informação da entidade, até à data, nem indicam terem realizado o roubo de dados na sua mensagem inicial.

11/01/2023
Slack confirma ter sido vítima de um ataque no final do ano

O Slack veio confirmar ter sido vítima de um ataque, onde alguns dos seus repertórios privados do GitHub podem ter sido acedidos por terceiros durante as festividades de final de ano.

De acordo com o comunicado da empresa, durante o final de 2022, uma entidade desconhecida terá obtido acesso aos repertórios privados da empresa no GitHub, contendo código fonte de várias das suas aplicações e serviços. O acesso terá sido realizado a partir de contas comprometidas de funcionários da empresa, os quais teriam permissões de acesso aos sistemas do GitHub.

De notar que, apesar de a empresa confirmar que algum do código fonte da empresa foi comprometido no ataque, os dados dos clientes do serviço e outras informações mais sensíveis não terão sido afetadas. O ataque terá ocorrido no dia 29 de Dezembro de 2022, sendo que a empresa foi notificada no mesmo dia sobre o acesso indevido aos repertórios – no entanto, o atacante já teria usado os tokens roubados dos funcionários para acesso à plataforma desde o dia 27 de Dezembro.

A empresa afirma que tomou as medidas necessárias para prevenir o acesso, tendo realizado o reset de todos os tokens relevantes para tal. Os repertórios afetados teriam código fonte de algumas das aplicações da empresa, mas não estariam acessíveis dados dos clientes da mesma – algo que a empresa confirmou após uma investigação mais aprofundada do ataque.

Ao mesmo tempo, a empresa acredita que o código acedido não compromete o funcionamento da plataforma em geral. No entanto, a empresa garante que irá continuar a monitorizar as possíveis atividades derivadas deste ataque.

06/01/2023
Programador chave do Bitcoin alega ter sido roubado em estranho ataque

No mundo das criptomoedas existem muitos esquemas que tentam tirar proveito de quem não possui muitos conhecimentos no mercado, mas ninguém se encontra imune a esses esquemas – nem mesmo que tenha participado na criação de uma das principais criptomoedas no mercado.

Luke Dashjr, um dos programadores principais do Bitcoin, confirmou recentemente ter sido vítima de um esquema, no qual terá perdido acesso a centenas de BTC nas suas carteiras no final do ano passado.

Dashjr, que trabalhou no Bitcoin Project por mais de doze anos, confirmou recentemente na sua conta do Twitter que foi alvo de um ataque, no qual a sua chave PGP teria sido comprometida e usada para roubar fundos das suas carteiras ativas. O mais curioso será que nem mesmo Dashjr afirma saber como os fundos foram roubados.

Do que se sabe os fundos da carteira de Dashjr terão sido movidos para uma carteira secundária, onde se encontram agora pendentes e em controlo dos atacantes. Esta nova carteira conta com 216.93 BTC, que se acredita ser o valor roubado de Dashjr – num total aproximado de 3.6 milhões de dólares.

Apesar de vários utilizadores terem respondido a Dashjr a lamentar a sua perda, uma quantidade ainda mais elevada também levantou a questão de como tal ataque pode ter ocorrido, tendo em conta que Dashjr é considerado um dos elementos com mais conhecimento na área das criptomoedas, tendo diretamente ajudado no desenvolvimento do Bitcoin.

No entanto, ao mesmo tempo, existem alguns utilizadores que apontam que as declarações de Dashjr podem também ser um esquema do mesmo, usando a desculpa de que as suas carteiras foram afetadas em ataques para evitar o pagamento de taxas ou para evitar o pagamento a entidades financeiros e reguladoras.

Independentemente do que tenha ocorrido, os esquemas no mercado das criptomoedas são algo regular, e algo que qualquer utilizador com ativos na área deve ter atenção.

03/01/2023
The Guardian contacta autoridades de proteção de dados após suspeita de ransomware

O jornal “The Guardian” terá recentemente contactado as autoridades de proteção de dados do Reino Unido, no seguimento de um suposto ataque de ransomware verificado no passado dia 20 de Dezembro de 2022.

De acordo com o portal TheRecord, ainda se desconhece o motivo para este contacto, e se os dados pessoais de funcionários ou utilizadores do jornal foram afetados. De notar que, segundo as leis do Reino Unido, as empresas são obrigadas a contactar as autoridades no caso de existir o potencial de dados pessoais terem sido comprometidos em ataques, no prazo de 72 horas depois de terem obtido conhecimento do mesmo.

Apesar de o ataque ter sido realizado no dia 20 de Dezembro, durante este período acredita-se que a entidade terá começado a investigar o suposto ataque, e a analisar se algum dado pessoal poderia ter sido comprometido como parte do mesmo. Desconhece-se o motivo de apenas agora as autoridades terem sido contactadas.

Apesar das suspeitas de ataque, tanto a publicação online como física do jornal continuaram a ser realizadas na normalidade. Os funcionários da empresa foram, no entanto, aconselhados a trabalharem a partir de casa pelo menos até ao dia 23 de Janeiro de 2023.

De notar que fontes ligadas à entidade já tinham confirmado a existência de um ataque interno, onde alguns dos sistemas da empresa teriam sido comprometidos, e estariam a prejudicar a publicação de conteúdos. No entanto, na altura, desconhecia-se se dados pessoais teriam sido comprometidos no ataque.

03/01/2023
Grupo de ransomware LockBit pede desculpa por atacar hospital pediátrico

Não é todos os dias que os criminosos online surgem a pedir desculpa pelos ataques que realizaram, no entanto, o grupo LockBit veio recentemente com este género de pedido.

Recentemente o hospital pediátrico no Canadá SickKids foi alvo de um ataque de ransomware, que terá sido levado a cabo por um afiliado do LockBit. O SickKids é considerado um dos principais hospitais pediátricos no Canadá, sendo que o ataque levou a que vários sistemas internos da instituição ficassem inacessíveis.

O ataque terá levado a que sistemas de telefone, de atendimento e vários outros internos, usados para tratar os pacientes, ficassem impossíveis de ser usados. Como resultado deste ataque, para além de ser necessário restaurar os sistemas afetados, as consultas e atendimentos passaram a demorar consideravelmente mais tempo que o previsto.

No entanto, o grupo responsável pelo ransomware revelou recentemente, a partir do seu site na rede Tor, um pedido de desculpas para o ataque realizado ao SickKids, tendo também fornecido a ferramenta de desencriptação dos ficheiros de forma totalmente gratuita.

Segundo o grupo, o ataque foi realizado por um dos afiliados do grupo, violando os termos do mesmo em não atacar sistemas que podem colocar em risco a vida de utilizadores. Face a isto, o grupo decidiu fornecer a ferramenta para desencriptação dos ficheiros de forma gratuita.

De notar que o LockBit funciona como Ransomware-as-a-service, onde os afiliados recebem uma percentagem dos pagamentos feitos contra diferentes instituições. No entanto, o grupo possui regras para os alvos que podem ser usados nos ataques, e instituições de saúde ou de infraestruturas críticas são consideradas fora dos limites.

03/01/2023
Possui um router da Netgear? Cuidado com uma nova vulnerabilidade

A fabricante de routers Netgear encontra-se a alertar os utilizadores para realizarem a atualização dos seus equipamentos, depois de ter sido descoberta uma grave falha de segurança que pode ser explorada para realizar ataques diversos.

De acordo com o comunicado da empresa, lançado a semana passada, foi descoberta uma nova falha de segurança no software de vários routers da empresa, que pode ser usada para os mais variados ataques. Esta falha afeta um vasto conjunto de routers da empresa, que são usados em larga escala a nível doméstico e empresarial.

A empresa recomenda que todos os utilizadores de routers da marca verifiquem a existência de atualizações para o firmware dos seus modelos, o que pode ser feito a partir do site da entidade, introduzindo o nome e modelo do router.

O comunicado da empresa não revelou detalhes sobre a falha, embora se acredite que a mesma já se encontra a ser ativamente explorada. A mesma foi atribuída com uma classificação de gravidade 7.4 – espera-se que mais detalhes sobre a falha venham a ser conhecidas nos próximos meses.

Apesar de não terem sido revelados detalhes sobre a falha, o investigador de segurança Mike Parkin afirma que a mesma encontra-se associada com um possível ataque de negação do serviço sobre o sistema de login no router, que pode permitir aos atacantes executarem código malicioso no mesmo – e que pode ser usado para os mais variados fins.

Independentemente dos detalhes das falhas, caso tenha um router da Netgear o recomendado será verificar se existem atualizações para o mesmo, já que será fundamental para corrigir esta falha.

02/01/2023
250 milhões de utilizadores da Deezer afetados em novo ataque

Mais de 250 milhões de utilizadores foram recentemente afetados por um ataque realizado na plataforma Deezer, reconhecida plataforma de streaming de músicas online.

De acordo com o portal RestorePrivacy, o ataque terá acontecido em 2019, mas apenas agora foi confirmado depois de os dados terem sido colocados à venda na dark web. De acordo com a listagem, o leak afetou 250 milhões de utilizadores, com informações como o endereço de email, datas de nascimento e localização dos acessos anteriores feitos na plataforma.

No total foram comprometidos mais de 260 GB de dados, entre os quais se encontram vários dados pessoais. Por entre os dados encontram-se ainda as listas de reprodução das contas dos utilizadores, juntamente com detalhes das preferências musicais.

Ao que tudo indica, o ataque terá ocorrido devido a uma violação de dados com um fornecedor de terceiros, no qual a Deezer estaria a trabalhar, mas terá terminado o acordo em 2020. O roubo terá ocorrido devido a uma configuração incorreta dos sistemas onde os dados estariam armazenados, que permitia a recolha da informação.

De acordo com o comunicado da plataforma, dados sensíveis como senhas e métodos de pagamento não foram comprometidos, mas ao mesmo tempo os dados agora recolhidos podem ser usados contra os utilizadores da plataforma para ataques de phishing.

De notar que a base de dados já tinha sido publicada, em parte, no dia 6 de Novembro de 2022, mas apenas de forma recente a venda parece ter começado a ser realizada. Na altura, a empresa também já tinha deixado detalhes sobre o ataque, embora agora seja conhecidos mais detalhes.

02/01/2023
Autoridades das Bahamas apreenderam 3.5 mil milhões de dólares da FTX

As autoridades das Bahamas confirmaram ter apreendido 3.5 mil milhões de dólares relativos à FTX, que pretendem agora ser usados como forma de reembolsar os investidores afetados pelo colapso da empresa.

As autoridades afirmam que terão apreendido os fundos da FTX pouco depois da empresa ter iniciado o processo de insolvência. De relembrar que a sede da FTX encontra-se localizada nas Bahamas.

Segundo as autoridades, os fundos terão sido apreendidos depois do ataque que a empresa sofreu, e como forma de garantir que não seriam realizados novos roubos dentro da entidade ou de desvio de fundos existentes. No entanto, isso ainda deixa um vasto conjunto de milhares de dólares que terão sido roubados – e que não é claro se foram recuperados pelas autoridades.

Ao mesmo tempo, apesar de estes fundos virem a ser usados para reembolsar os investidores, ainda se desconhece quando isso vai realmente acontecer e qual será o valor reembolsado no processo. Possivelmente muitos dos investidores ainda não terão oportunidade de recuperar os seus gastos na plataforma.

01/01/2023
Malware explora falhas em plugins de sites WordPress desatualizados
Um malware foi recentemente descoberto para sistemas Linux, que explora falhas sobre diversos plugins do WordPress para obter acesso à instalação, e a partir dai redirecionar os visitantes dos sites para esquemas diversos.

De acordo com os investigadores da empresa de segurança Dr.Web, foi recentemente descoberto um malware que explora falhas em instalações desatualizadas de aproximadamente 30 plugins e temas do WordPress, com foco em obter acesso à instalação e ao sistema onde as mesmas se encontrem.

Depois de obter acesso às instalações do WordPress vulneráveis, o malware procede com a injeção de javascript sobre o site, que envia e recebe comandos de um sistema remoto. No final, o malware procede com o redirecionamento de utilizadores que acedem aos sites para locais aleatórios, onde são levados a novos esquemas.

Este género de ataques tende a afetar, sobretudo, sites que tenham sido abandonados ou usados para testes, mas também pode afetar sites onde os administradores não realizam a atualização dos seus plugins com regularidade.

Este malware tenta explorar falhas sobre instalações desatualizadas dos seguintes plugins:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
É importante notar que este malware tenta explorar as falhas sobre plugins desatualizados, pelo que os utilizadores são aconselhados a manterem as suas instalações atualizadas para evitarem a exploração.

No entanto, alguns dos plugins em questão não se encontram também a ser atualizados de forma regular, o que deixa em aberto a possibilidade de o ataque ser realizado sobre os mesmos.
30/12/2022
Grupo de ransomware Lockbit confirma roubo de dados do Porto de Lisboa

De forma recente foi confirmado que o Porto de Lisboa tinha sido alvo de um ataque informático, o qual terá causado problemas no acesso a várias plataformas internas da empresa. No entanto, agora foram confirmados mais detalhes sobre a origem do ataque.

O grupo de ransomware conhecido como Lockbit confirmou ter realizado o ataque à entidade do Porto de Lisboa, nomeadamente à Administração do mesmo, estando agora a ameaçar com a divulgação dos dados internos da empresa.

A mensagem partilhada no blog do grupo na rede Tor confirma que o mesmo terá atacado a entidade, tendo obtido acesso a vários documentos e informações internas da empresa, juntamente com registos de clientes, contratos e outras informações consideravelmente sensíveis de sistemas internos da Administração.

Tendo em conta o funcionamento do grupo, este terá possivelmente requerido um resgate para os conteúdos agora roubados, estando a dar como data limite para pagamento o dia 18 de Janeiro de 2023, altura em que os conteúdos roubados serão disponibilizados online.

De relembrar que a entidade tinha confirmado o ataque no passado dia 25 de Dezembro, embora os detalhes sobre o mesmo fossem na altura desconhecidos. Esta indicação agora confirma que realmente se tratou de um ataque de ransomware, e que informações internas poderão ter sido assim comprometidas.

29/12/2022
Autoridades dos EUA irão investigar ataque da FTX no dia da insolvência

As autoridades dos EUA vão analisar o motivo de quase 370 milhões de dólares terem sido roubados da FTX pouco depois de a empresa ter confirmado que iria entrar em processo de insolvência.

No mesmo dia em que a FTX confirmou que iria entrar em processo de insolvência, foi confirmado que a entidade teria sido alvo de um ataque informático, onde os atacantes terão roubado quase 370 milhões de dólares das carteiras da empresa.

Este ataque levantou várias suspeitas, tendo em conta que aconteceu de forma imprevista e exatamente num dos piores momentos da empresa. Todas estas questões serão o que está agora a ser analisado pelas autoridades.

De acordo com a agência Bloomberg, o departamento de Justiça dos EUA irá iniciar uma investigação sobre o roubo destes fundos, nomeadamente para validar a origem do ataque. Este caso será realizado de forma separada das acusações que se encontram a ser feitas atualmente contra Sam Bankman-Fried.

É importante notar que, até ao momento, não existe uma confirmação oficial das autoridades dos EUA para a investigação, embora fontes próximas da mesma tenham confirmado que esta já se encontra em andamento.

27/12/2022
Hackers roubam 8 milhões de dólares em falsas aplicações da BitKeep

Vários utilizadores de carteiras da BitKeep indicaram que os fundos nas mesmas terão sido removidos das suas contas, pouco depois do Natal, no que parece ter sido um ataque coordenado por falsas apps da plataforma.

A BitKeep é uma plataforma DeFi, que suporta mais de 30 blockchains e conta com mais de oito milhões de utilizadores ativos em todo o mundo. Durante o dia de Natal, vários utilizadores começaram a confirmar que fundos das suas carteiras teriam sido usados para pagamentos não autorizados, no que aparenta ter sido um ataque coordenado contra os utilizadores da mesma.

Apesar de ainda não existir nenhuma confirmação oficial da empresa sobre o sucedido, a partir do Telegram, a mesma indica ter conhecimento que alguns utilizadores da BitKeep começaram a reportar perdas de fundos das suas carteiras, sendo que tal terá ocorrido sobre os que estariam a usar aplicações não oficiais da plataforma.

Ao que parece, os utilizadores que reportaram fundos das suas carteiras terão instalado uma versão modificada do APK para Android da aplicação do BitKeep, a qual continha código malicioso programado para roubar fundos das carteiras existentes na app. O código, no entanto, aparenta ter sido programado para apenas funcionar no da de Natal, o que terá levado a que apenas agora os utilizadores tenham verificado as perdas.

A BitKeep alerta que, os utilizadores que tiveram fundos roubados das suas carteiras, possivelmente estariam a usar uma versão modificada e não oficial da app da plataforma. Os utilizadores afetados são ainda aconselhados a usarem a aplicação oficial, que se encontra na Google Play Store ou na App Store, para criarem uma carteira e moverem para aí os fundos o mais rapidamente possível.

A empresa sublinha ainda que todas as carteiras criadas a partir da versão maliciosa da app devem ser consideradas como comprometidas, e possivelmente usadas para pagamentos ilícitos.

Os utilizadores afetados são ainda aconselhados a entrarem em contacto com o suporte da BitKeep, de forma a analisar-se a possível solução do problema. Apesar de a empresa não indicar detalhes sobre os fundos que terão sido roubados até ao momento, a empresa de análise do mercado PeckShield aponta que cerca de 8 milhões de dólares em fundos de utilizadores terão sido roubados nos últimos dias.

Os atacantes parecem ter aproveitado a época de Natal e Ano novo para se centrarem nestes ataques, e a campanha dos mesmos ainda se encontra a decorrer, pelo que as perdas podem ser consideravelmente mais avultadas nas próximas semanas.

27/12/2022
Porto de Lisboa foi alvo de ataque informático

O Porto de Lisboa, considerado o terceiro maior do mundo, foi no dia de natal alvo de um ataque informático.

De acordo com o jornal Público, o ataque terá sido realizado no dia 25 de Dezembro, e comprometeu o acesso ao site da entidade. No entanto, fontes da empresa afirmam que não terá comprometido as operações do mesmo.

A empresa sublinha que todos os procedimentos de segurança foram ativados para esta situação, juntamente com o comunicado às autoridades. A investigação do ataque encontra-se agora a ser realizada, com a ajuda do Centro Nacional de Cibersegurança e pela Polícia Judiciária.

A empresa sublinha ainda que se encontra a trabalhar para garantir toda a segurança dos dados. Neste momento ainda se desconhece o género de ataque que foi realizado e se dados internos da empresa poderão ter sido comprometidos.

O site da entidade encontra-se atualmente inacessível como efeitos do ataque, o que pode indicar que sistemas internos terão sido diretamente comprometidos.

27/12/2022
Pool de mineração de criptomoedas roubada em cerca de 3 milhões de dólares

Um dos maiores pools de mineração no mercado, a BTC.com, confirmou ter sido alvo de um ataque. No mesmo, mais de 700.000 dólares em fundos de clientes terão sido roubados, juntamente com 2.3 milhões de dólares associados a ativos da empresa.

O ataque terá acontecido no dia 3 de Dezembro de 2022, no entanto, a empresa responsável pela plataforma, a BIT Mining Limited, apenas terá feito o comunicado do ataque no dia 26 de Dezembro.

De acordo com o comunicado, pouco depois dos fundos terem sido roubados, a empresa entrou em contacto com as autoridades chinesas, que começaram a investigação do mesmo. Nos dias seguintes, alguns dos fundos inicialmente roubados foram neutralizados e recuperados, mas não todos.

A BIT Mining Limited afirma que irá dedicar uma grande parte dos seus esforços nos próximos tempos a tentar recuperar os ativos roubados. Além disso, a empresa garante que foram implementadas novas medidas de segurança para evitar ataques similares no futuro.

Apesar do ataque, a empresa garante que a pool de mineração irá continuar a funcionar na normalidade, sendo que os fundos dos clientes não serão afetados. De notar que a BTC.com é atualmente um dos maiores pools de mineração no mercado – estando em sétima posição na listagem global.

26/12/2022
Coreia do Norte teria roubado 1.2 mil milhões de dólares em criptomoedas

As autoridades da Coreia do Sul revelaram recentemente um novo relatório sobre o mercado das criptomoedas, e nomeadamente como este mercado foi alvo de ataques ao longo dos últimos anos.

O estudo teve como objetivo analisar a quantidade de criptomoedas roubadas por grupos que teriam ligações com o governo da Coreia do Norte. Segundo o mesmo, entre 2017 e 2022, hackers financiados pelo governo da Coreia do Norte terão roubado mais de 1.2 mil milhões de dólares de possíveis vítimas.

Os dados apontam ainda que, apenas este ano, foram roubados mais de 626 milhões de dólares em ativos digitais pela Coreia do Norte. Isto indica que a Coreia do Norte tem vindo a investir consideravelmente em realizar ataques ao mercado das criptomoedas em países rivais, especialmente sobre a Coreia do Sul – onde os dados indicam que foram roubados mais de 78 milhões de dólares em cripto ativos.

Tendo em conta a análise dos dados, acredita-se que os ataques neste formato por parte da Coreia do Norte devem aumentar consideravelmente ao longo de 2023. Apesar de o estudo ser focado para as criptomoedas, acredita-se que a Coreia do Norte pode vir a roubar também outras tecnologias usadas para fins militares.

No entanto, os analistas apontam que os hackers da Coreia do Norte têm vindo a melhorar as suas estratégias de ataque sobre o mercado das criptomoedas, e que isso deve continuar a ser o foco para os próximos tempos.

24/12/2022
Ataque da LastPass levou a roubo de cofres privados de clientes

De forma recente, a LastPass foi alvo de um ataque, de onde terão sido roubadas informações internas da empresa. O ataque aconteceu em agosto deste ano, mas a empresa ainda se encontra a investigar o mesmo.

Os mais recentes detalhes agora apontam que existe a possibilidade de os atacantes terem roubado cofres seguros dos clientes da empresa. O gestor de senhas do LastPass guarda os conteúdos dos utilizadores em “cofres” virtuais, que se encontram encriptados e apenas podem ser acedidos com as chaves dos utilizadores – a senha.

De acordo com as mais recentes indicações, os atacantes podem ter acedido a mais do que apenas alguns ambientes de desenvolvimento da empresa. O CEO da LastPass, Karim Toubba, confirmou recentemente que os atacantes acederam a certos dados de alguns clientes.

Segundo a investigação, o atacante terá conseguido aceder a alguns dados de backup que continham informação básica das contas dos clientes da empresa, entre o qual se encontra nomes, nomes de utilizador, moradas, emails, números de telefone e endereços IP usados para o acesso.

Ao mesmo tempo, terão também sido acedidos a backups que continham alguns cofres dos utilizadores, onde se encontram as senhas e notas dos utilizadores. No entanto, mesmo que estes cofres tenham sido roubados pelos atacantes, o conteúdo dos mesmos ainda se encontra encriptado.

A empresa sublinha que, tendo em conta a forma como a encriptação dos cofres é feita, a LastPass nunca regista a senha dos mesmos, sendo todo o processo feito localmente nos dispositivos dos utilizadores. Os cofres encontram-se encriptados com AES de 256 Bit, e segundo a empresa, poderia demorar milhares de anos a decifrar apenas uma senha dos mesmos.

No entanto, é importante relembrar que esta encriptação apenas é segura tendo em conta a própria segurança das senhas dos utilizadores.

Caso os cofres privados em questão tenham senhas relativamente simples de serem quebradas, existe a possibilidade de serem rapidamente acedidos.

Com isto, a empresa acredita que os dados dos clientes afetados ainda continua seguro, tendo em conta o formato em como a empresa aplica a encriptação dos conteúdos dos cofres.

De relembrar que a LastPass foi alvo de dois ataques este ano, o primeiro em meados de Agosto, quando foi confirmado que o atacante terá acedido a sistemas de desenvolvimento da empresa e roubado algum código fonte de componentes da empresa. Pouco tempo depois foi confirmado um novo ataque, onde o atacante terá acedido a sistemas internos da empresa.

22/12/2022
FBI recomenda usar bloqueador de publicidade para evitar esquemas

A publicidade é uma das principais fontes de receitas para uma grande parte da Internet, quer se queira ou não. No entanto, esta é também uma das portas de entrada para possíveis ataques.

De tempos a tempos existem casos de campanhas de malware ou phishing que são propagadas sobre o formato de publicidade. E para muitos, usar um navegador sem bloqueador de publicidade é algo impensável (e obrigado se o tiver desligado para o TugaTech).

No entanto, parece que agora até o FBI se encontra a recomendar que os utilizadores mantenham as suas proteções ativas, sobretudo durante a época natalícia. Segundo o comunicado do FBI, foi identificado que os ciber criminosos encontram-se a usar redes de publicidade em vários canais para distribuir falsos anúncios, a maioria fazendo-se passar como nomes legítimos de marcas no mercado.

A maioria desta publicidade surge sobre o formato de links nas pesquisas, onde os utilizadores podem ser enganados a acederem a um site malicioso de uma marca quando pretendiam aceder ao site legitimo da mesma. Tendo em conta que os links de publicidade nas pesquisas tendem a ser bastante similares aos dos resultados finais, os utilizadores podem aceder sem querer aos conteúdos.

Curiosamente, uma das recomendações do FBI para prevenir este género de ataque é exatamente instalar um bloqueador de publicidade no navegador. Como este género de extensões bloqueiam a publicidade que surge nos sites, a maioria tende também a bloquear os links para possíveis conteúdos maliciosos – e logo, a prevenir deste género de enganos.

Para quem não pretenda usar um bloqueador de publicidade, o recomendado será que se mantenha uma atenção redobrada nos links que são acedidos, sobretudo sobre pesquisas, onde os resultados iniciais tendem a ser de publicidade direta.

22/12/2022
Google Fonts usado para falsos avisos de violações do RGPD

O Google Fonts é uma plataforma largamente usada por sites na Internet, focada em fornecer fontes para os mesmos e para personalização dos conteúdos, sem que se tenha de alojar diretamente esses conteúdos.

As fontes encontram-se diretamente nos servidores da Google, e sobre a sua infraestrutura. Esta é uma solução bastante usada em diversos sites pela internet para o carregamento de fontes personalizadas.

No entanto, este serviço tem vindo também a ser alvo de algumas críticas, sobretudo derivado da privacidade. As fontes encontram-se alojadas nos sistemas da Google, e por entre a informação que é enviada para os mesmos encontra-se o IP dos utilizadores. Sendo a Google uma empresa norte-americana, isso terá efeitos a nível do RGPD.

No entanto, foi recentemente verificada uma onda crescente de ataques direcionados para enganar os administradores de sites que usam esta funcionalidade. O ataque começa quando os administradores dos sites recebem uma falsa notificação, alegando que estariam a violar o RGPD por usarem o serviço de Google Fonts nos seus sites.

A mensagem parte de um suposto advogado, em nome de um cliente que, alegadamente, terá acedido ao site com a funcionalidade e onde os seus dados foram enviados para os servidores da Google sem consentimento, devido ao uso do serviço de fontes da empresa.

Na mensagem, é indicado que o administrador do site pode enfrentar consequências legais por usar as Fontes da Google no seu site, e que o queixoso poderá avançar com um processo legal contra o mesmo, exceto se este realizar o pagamento de uma indemnização – em torno dos 200 euros.

Apesar de existirem questões sobre a recolha de dados feita pela Google, a mensagem que se encontra a ser enviada é feita numa tentativa de enganar os administradores dos sites, levando os mesmos a pagar para evitarem processos maiores em tribunal – que acaba por nunca ocorrer.

Como sempre, é importante que os administradores de sites mantenham os mesmos dentro das leis europeias, mas ao mesmo tempo estejam também atentos a possíveis esquemas que possam surgir aproveitando-se das mesmas para pagamentos ilicitos.

21/12/2022
The Guardian alvo de possível ataque de ransomware

A entidade de notícias The Guardian pode ter sido a mais recente no alvo de ataques ransomware, de acordo com os rumores do portal The Record.

Os funcionários da empresa terão sido, durante o dia de hoje, aconselhados a não se dirigirem aos escritórios da empresa, e invés disso continuarem o seu trabalho a partir de cada. Entre os motivos encontra-se a suspeita de um ataque ransomware que terá ocorrido nos sistemas internos da organização.

O ataque parece ter sido realizado a vários sistemas internos da organização, mas não aparenta ter afetado o site ou os sistemas das apps da entidade, que ainda se encontram ativas e a publicar noticias na normalidade.

Num email citado pela fonte, os funcionários são informados que as investigações do incidente ainda se encontram a decorrer, mas que os trabalhos devem ser mantidos de forma remota. Até ao momento ainda se desconhece se algum dado interno da empresa poderá ter sido comprometido, no entanto, apesar de ser um portal de notícias, é importante relembrar que os jornalistas possuem diversa informação que pode ser considerável sensível – incluindo dados pessoais e de fontes de noticias da entidade.

A empresa, sediada no Reino Unido, é apenas mais uma das recentes a ser alvo de um ataque deste género. Até ao momento ainda se desconhecem detalhes sobre a origem do ataque ou os dados potencialmente roubados.

21/12/2022
Okta confirma roubo de código fonte do seu GitHub

A empresa Okta confirmou ter sido recentemente alvo de um novo ataque, do qual repertórios privados presentes no seu GitHub, e contendo código-fonte de alguns dos produtos da empresa, poderão ter sido acedidos e modificados por terceiros.

De acordo com o portal BleepingComputer, a Okta terá sido alertada para o ataque pelos sistemas de notificação e monitorização do GitHub, os quais confirmaram várias atividades suspeitas sobre os mesmos no início deste mês.

A empresa confirmou que os atacantes terão acedido à conta da empresa, e usado a mesma para aceder aos repertórios que estariam privados, e continham o código-fonte de várias aplicações e serviços da Okta.

A empresa sublinha, no entanto, que nenhum dado dos clientes da empresa foi afetado e que os atacantes não terão conseguido aceder a nenhum serviço da mesma. Ainda assim, o acesso ao código-fonte dos produtos da mesma poderá ser algo de relevo, tendo em conta que este código pode conter várias informações sensíveis e que podem ser exploradas para mais ataques.

A Okta afirma ainda que terá suspendido todas as integrações de terceiros com a sua plataforma no GitHub, para prevenir novos ataques ou roubo de dados. Até ao momento ainda não existe uma confirmação oficial da empresa sobre o incidente, mas esta terá indicado que deverá deixar a informação do mesmo ainda durante o dia de hoje.

21/12/2022
Xiaomi lança novo disco SSD portátil na China

A Xiaomi parece estar cada vez mais a distanciar-se de apenas ser destacada pelos seus smartphones, sendo que depois de revelar o seu pequeno computador de mesa, o Xiaomi Mini Host, agora a marca volta ao ataque com uma novidade interessante.

A empresa veio confirmar que vai lançar no mercado da China o seu novo disco SSD: Xiaomi Mobile SSD 1TB. Este disco portátil será focado em permitir que os utilizadores possam andar com os conteúdos acessíveis em qualquer lugar, oferecendo ao mesmo tempo o desempenho que se espera de um SSD.

O disco conta com uma estrutura em alumínio, resistente, e conta com apenas 60 gramas de peso total. O alumínio ajuda a que seja também feita a dissipação de calor do disco, que apesar de não ser elevada, pode ajudar quando o mesmo esteja a ser usado de forma mais intensiva.

A nível da estrutura, este conta com uma entrada USB-C, acompanhado por um pequeno LED a indicar o funcionamento. Além de ser compatível com todos os computadores e sistemas atuais, é também possível de ligar o mesmo a dispositivos portáteis com o Android 9 ou superior.

O disco conta com 1TB de armazenamento, sendo que a empresa afirma que pode atingir velocidades até 2000 MB/s de leitura e escrita. O mesmo encontra-se atualmente à venda apenas na China, com o preço aproximado de 90 euros – ainda se desconhece se vai chegar aos mercados internacionais.

16/12/2022
Phishing usa mensagens do Facebook para contornar filtros de spam

A grande maioria dos emails de spam e phishing tentam redirecionar as vitimas para links desconhecidos, a maioria em sites pela web usados para os esquemas.

No entanto, recentemente foi descoberta uma nova campanha de phishing que, invés de usar os sites pela web, aproveita-se do Facebook para a tarefa. De acordo com a empresa de segurança Trustwave, uma nova campanha de phishing usa posts do Facebook como forma de propagar as mensagens dos esquemas.

Isto pode ser feito com vários propósitos em mente, sendo que o principal será para evitar a deteção por filtros de spam. Uma vez que o link do Facebook deverá ser considerado “seguro” por muitos sistemas, a grande maioria vai permitir que a mensagem seja entregue na caixa de entrada sem problemas.

Ao mesmo tempo, para os utilizadores pode ser mais fidedigno ver um link diretamente para o Facebook do que para um site desconhecido na mensagem.

Quando os utilizadores acedem ao link, são então encaminhados para uma falsa mensagem com os propósitos dos atacantes. Na maioria dos casos, será ai que as vitimas são aconselhadas a aceder a um site externo malicioso para prosseguir.

Num dos exemplos descobertos pelos investigadores, a mensagem publicada no Facebook tinha sido criada por uma falsa página com o nome “Page Support”, alegadamente fornecendo suporte para a conta do Facebook do utilizador – e onde este tinha de introduzir dados pessoais sobre um site externo.

O ataque parece focado sobretudo para os gestores de páginas dentro do Facebook, alegando que um dos seus conteúdos pode ter sido marcado como violação de direitos de autor, e onde estes devem aceder ao site e introduzir informação pessoal para apelar da decisão.

O objetivo, no final, passa por recolher os dados pessoais das vitimas, mas também os dados de login sobre as suas contas dentro da plataforma – o que, a ser realizado, pode levar a ainda mais roubos de contas e páginas dentro do serviço.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção aos conteúdos que estão a aceder, mesmo que estejam sobre plataformas aparentemente confiáveis.

16/12/2022
SocialBlade confirma roubo de dados de 5.6 milhões de utilizadores

A plataforma de analise de dados sociais “SocialBlade” confirmou ter sido vítima de um ataque, do qual dados de utilizadores podem ter sido comprometidos. O ataque foi confirmado depois de a base de dados ter sido colocada à venda em sites da dark web.

A SocialBlade é uma empresa que se especializa em fornecer informação estatística sobre contas do YouTube, Twitch, Twitter, e várias outras plataformas sociais. Entre os seus serviços encontram-se o fornecimento de detalhes sobre as estatísticas das suas contas e os seus ganhos.

De acordo com o portal BleepingComputer, recentemente terá sido colocado para venda uma base de dados respeitante à mesma, onde era alegado que existiria informação sobre os utilizadores da mesma. Pouco depois desta publicação, a empresa enviou um email aos seus clientes, a notificar para o ataque e roubo de dados.

No email a empresa confirma que, no dia 14 de Dezembro, foi notificada de um potencial roubo de dados, onde informações dos clientes terão sido colocados para venda. A empresa sublinha que o ataque é legitimo, e que ocorreu através da exploração de uma falha sobre o website da mesma.

Por entre os dados que terão sido acedidos encontram-se os emails dos utilizadores, senhas encriptadas, IDs dos clientes, tokens usados para acesso a API, os tokens de autenticação com as contas associadas à plataforma e vários detalhes não pessoais.

A empresa alega que todas as senhas dos utilizadores encontravam-se encriptadas usando bcrypt, mas ainda assim esta recomenda que os utilizadores realizem o reset das suas senhas o quanto antes. No entanto, não foi realizado nenhum reset geral de contas de utilizadores na plataforma.

Quanto aos tokens que terão sido roubados, a empresa afirma que realizou o reset dos mesmo, para prevenir que possam ser usados pelos atacantes – tecnicamente, isso será suficiente para impedir que os tokens existentes sobre a base de dados agora à venda sejam usados.

Sobre a mensagem onde a base de dados estaria à venda, encontra-se referido que a mesma possui informação de quase 5.6 milhões de utilizadores. A falha que terá sido explorada para obter estes dados foi, entretanto, corrigida pela empresa.

16/12/2022
INEM e Universidade Católica Portuguesa algo de ataques de ransomware

O INEM e o sistema da Universidade Católica Portuguesa são as duas mais recentes entidades a serem alvo de ataques informáticos, no que terá resultado o roubo de informação sobre ataque do estilo de ransomware.

No caso do INEM, o ataque terá ocorrido durante o início desta semana, e por entre os conteúdos roubados dos sistemas internos da entidade podem encontrar-se dados sensíveis dos funcionários, nomeadamente credenciais de acesso.

O ataque terá sido confirmado pelo INEM, sendo que a origem do mesmo ainda é desconhecida. No entanto, a entidade afirma que foram implementadas de imediato as medidas de segurança para esta situação.

De acordo com várias ferramentas de monitorização de ataques, existem registos que vários dados de login associados com funcionários da entidade podem ter sido afetados, juntamente com ficheiros internos, o que indica que alguns dos sistemas da entidade podem ter sido comprometidos.

Estes registos possuem datas do início de Dezembro, pelo que o roubo de dados podem ter sido realizado ainda antes da confirmação oficial da entidade para o início desta semana.

O INEM admite já ter comunicado o incidente ao Centro Nacional de Cibersegurança (CNCS) e a Polícia Judiciária, sendo que se encontra a decorrer a investigação.

No caso da Universidade Católica, o ataque terá ocorrido no final de Novembro, mas apenas agora o mesmo foi confirmado pelo grupo de ransomware “Vice Society”. O grupo confirmou ter roubado vários ficheiros associados aos sistemas internos da empresa, sendo que no seu site sobre a rede TOR foram ainda partilhados vários ficheiros da entidade – incluindo registos financeiros, de alunos e diversas informações internas da instituição.

A Universidade Católica Portuguesa terá notificado a sua comunidade do ataque no passado dia 30 de Novembro, sendo que desde então foram feitos esforços para repor a normalidade.

Em comunicado ao jornal Expresso, a entidade garante que não existem evidências de dados pessoais terem sido recolhidos do ataque, no entanto, o grupo responsável pelo ataque terá divulgado vários ficheiros que terão sido roubados do mesmo, e onde se encontram presentes conteúdos pessoais da comunidade – incluindo dados sensíveis – e igualmente da instituição.

O grupo Vice Society é conhecido por usar ransomware para realizar os seus ataques, onde os sistemas afetados possuem os seus dados roubados antes de os mesmos serem encriptados, sobre um pedido de resgate. Ainda se desconhece se este terá sido o método de ataque usado neste caso.

15/12/2022
Gemini alvo de roubo de dados sobre 5.7 milhões de utilizadores

A plataforma de criptomoedas Gemini terá recentemente sofrido uma falha de segurança, onde informação de quase 5.7 milhões de utilizadores pode ter sido comprometida. O ataque terá sido confirmado pela própria empresa pouco depois dos dados terem sido colocados para venda em vários portais da dark web.

De acordo com a mensagem publicada pelos atacantes, uma falha na plataforma terá permitido obter os emails e números de telefone parciais de quase 5.7 milhões de utilizadores. Todos os dados pertencem a contas que estão ativas sobre a plataforma, e felizmente não existem mais dados explorados – mas ainda assim, as contas de email podem ser suficientes para que sejam lançados ataques de phishing, juntamente com os números de telefone, mesmo que parciais.

A Gemini terá confirmado o ataque e consequente roubo de dados, indicando que mais nenhuma informação terá sido afetada, e que os fundos dos clientes continuam seguros nas suas contas – não tendo sido afetados pelo ataque.

Não se conhece exatamente quando estes dados terão sido roubados da plataforma, no entanto, um hacker já tinha tentado vender, em Setembro, uma base de dados contendo exatamente o mesmo valor de utilizadores afetados sobre a plataforma.

A venda não parece não ter sido realizada, visto que a base de dados acabaria por ser disponibilizada gratuitamente noutra plataforma da dark web.

Os clientes da Gemini são aconselhados a terem atenção a mensagens de email suspeitas que possam vir a receber nos próximos tempos como parte do uso destas listas, sobretudo mensagens onde o número de telefone esteja presente.

15/12/2022
Malware para Windows esconde-se em ficheiros de imagem SVG

Uma nova campanha de malware tem vindo a propagar-se em força nos últimos dias pela internet, enganando os utilizadores e levando-os a acederem a um site de phishing, que caso seja aberto, usa uma imagem SVG para descarregar malware para sistemas Windows.

A campanha foi descoberta por investigadores da empresa de segurança Cisco Talos, e encontra-se associada com o malware QBot. Esta campanha usa ficheiros de imagem SVG para esconder código javascript, que uma vez executado, leva os utilizadores a descarregarem um ficheiro de malware para o sistema.

O código javascript oculto sobre a imagem SVG, quando aberto pelo navegador, leva a que o código seja executado, e neste caso, usado para levar ao download de um ficheiro de malware para o sistema pelo navegador. Os utilizadores acabam por descarregar o ficheiro mesmo que tudo o que vejam no ecrã seja uma imagem.

Esta técnica permite contornar algumas medidas de segurança que possam ter sido implementadas, nomeadamente por softwares de segurança. Como os ficheiros SVG são tradicionalmente considerados benignos, a maioria dos programas de segurança não valida os mesmos por conteúdo malicioso.

Ao mesmo tempo, esta campanha tira proveito da forma como os ficheiros SVG funcionam. Ao contrario de ficheiros de imagem PNG ou JPG, os ficheiros SVG são baseados em XML, pelo que podem conter código HTML sobre o mesmo – o que é aproveitado para realizar este ataque.

Quando a imagem é carregada no navegador, além de surgir a imagem final, o conteúdo do HTML é igualmente carregado.

Neste caso, a imagem possui código que converte uma string de texto para um ficheiro binário – um arquivo ZIP – e depois leva ao download do mesmo pelo navegador. O malware é inteiramente criado pelo navegador, no próprio sistema dos utilizadores, portanto não existe nada descarregado pela Internet – o que reduz a possibilidade de deteção de conteúdos maliciosos.

O ficheiro ZIP criado encontra-se ainda protegido por senha, para evitar a deteção pelos softwares de segurança, mas o código para aceder é apresentado aos utilizadores pela página usada para o phishing.

Como sempre, os utilizadores devem ter atenção aos conteúdos que acedem online, e qualquer mensagem suspeita deve ser vista com cuidado. Ao mesmo tempo, não se deve aceder a links aleatórios que possam ser enviados em mensagens de desconhecidos.

14/12/2022
Uber sofre novo roubo de dados internos

A Uber sofreu mais um possível roubo de dados, depois de um utilizador ter partilhado vários dados associados com funcionários da empresa. O roubo junta-se numa longa lista de ataques que têm vindo a ocorrer sobre a entidade – e que já resultaram no roubo de dados de clientes da plataforma.

Desta vez, no entanto, o ataque aparenta ter sido focado para dados de funcionários, o que será igualmente grave para a entidade. No início do fim de semana, um utilizador conhecido como “UberLeaks” terá começado a divulgar dados da Uber, num popular site usado para divulgar bases de dados roubadas na web.

Os dados continham várias informações associadas com funcionários da Uber e Uber Eats, juntamente com dados de serviços de terceiros que a empresa usa para as suas atividades. O ataque terá, alegadamente, sido realizado sobre os sistemas internos da empresa, acessíveis apenas dentro da rede da mesma, e onde os funcionários normalmente possuem o acesso.

Tendo em conta as informações divulgadas no site, acredita-se que o ataque terá sido realizado por um membro do grupo conhecido como Lapsus$. Por entre a informação que agora se encontra disponível estão dados de acesso a plataforma internas de vários funcionários da empresa, juntamente com código fonte, dados das infraestruturas e outras informações internas da empresa.

Em comunicado, a Uber afirma acreditar que o ataque terá sido realizado sobre um roubo de dados de plataformas de terceiros, e não diretamente da empresa. A empresa sublinha ainda não existirem indícios que os dados tenham sido roubados diretamente dos sistemas da entidade, nem estarem relacionados com o ataque à empresa realizado em Setembro deste ano.

No entanto, vários investigadores que se encontram a analisar os dados apontam para a possibilidade de existirem vários dados internos da empresa, mas não informações de clientes.

12/12/2022
UNA Seguros alvo de possível ataque ransomware

O grupo de ransomware conhecido como “PLAY” veio recentemente confirmar ter atacado uma nova empresa em Portugal. A partir do seu site na rede TOR, o grupo confirmou o ataque e roubo de dados da empresa “Una Seguros”.

De acordo com a mensagem partilhada pelo grupo na sua plataforma da rede TOR, o mesmo terá obtido acesso a uma quantidade desconhecida de dados associados com a seguradora, estando a prever divulgar os mesmos no dia 20 de Dezembro.

Por entre a informação encontram-se dados dos clientes da seguradora, passaportes, cartões de cidadão, documentos financeiros da empresa, contratos e outros documentos associados com a empresa e os clientes da mesma.

De notar que, tendo em conta o indicado como roubado pelo ataque, existe a possibilidade de se encontrar informação pessoal e sensível, tanto da empresa como dos clientes da mesma. No entanto, ainda se desconhece a extensão do ataque e dos dados roubados.

Tendo em conta que o grupo se foca em ataques ransomware, acredita-se que a informação possa ter sido roubada antes de ter sido encriptada nos sistemas da empresa, com o pedido de resgate associado – de valores ainda desconhecidos.

12/12/2022
Descoberta falha zero-day no Internet Explorer que afeta até sistemas recentes

Por esta altura, o Internet Explorer não deveria ser um navegador que estivesse a ser usado, mas infelizmente ainda existem entidades que o usam ativamente para tarefas do dia a dia – seja por que motivo for.

Isto abre a possibilidade de ainda existirem sistemas que podem ser ativamente explorados para ataques, e recentemente foi descoberto um exemplo claro disso. Os investigadores da Threat Analysis Group (TAG) da Google revelaram ter descoberto uma nova falha zero-day no Internet Explorer, a qual se encontra a ser ativamente explorada por malware para infetar os sistemas.

De acordo com os investigadores, a falha estaria a ser ativamente explorada desde Outubro de 2022, por grupos de hackers na Coreia do norte. O Internet Explorer encontra-se oficialmente descontinuado desde Junho deste ano, mas ainda existem alguns componentes da Microsoft que fazem uso do mesmo – nomeadamente o Office.

Como tal, ainda existe o potencial de esta falha afetar utilizadores que nem sequer estejam a usar o Internet Explorer de todo. Os hackers estão a explorar uma falha existente no motor base do Internet Explorer para executar javascript, o qual pode conter comandos maliciosos para o sistema.

Os investigadores afirmam ter descoberto a falha a ser explorada a partir de ficheiros modificados maliciosamente do Office. Quando abertos, e ativadas as permissões, o ataque começa sobre o sistema, através do envio de comandos javascript para os ficheiros do motor base do Internet Explorer dentro do Office.

Acredita-se que esta falha terá sido explorada por grupos de hackers com ligações ao governo da Coreia do Norte, e tem vindo a ser propagada em ficheiros do Office – sobretudo documentos do Word.

A falha foi relatada à Microsoft e corrigida no passado dia 8 de Novembro. Os utilizadores devem, no entanto, garantir que o Windows e o Office se encontram atualizados para as versões mais recentes, as quais contam com a correção para esta falha.

07/12/2022
Rackspace confirma ataque de ransomware a plataforma de Exchange

A empresa de serviços online Rackspace foi recentemente alvo de um ataque de ransomware, o qual terá afetado os clientes de serviços Hosted Exchange durante mais de quatro dias.

Os relatos de problemas para os clientes da empresa começaram a ser verificados no início do fim de semana, quando o acesso à plataforma de Hosted Exchange deixou de se encontrar disponível. As falhas foram sentidas no dia 2 de Dezembro, sendo que a empresa comunicou, na altura, encontrar-se a analisar o problema.

Desde então a empresa tem vindo a analisar o problema, sendo que hoje confirmou que a indisponibilidade terá sido derivada de um ataque de ransomware, o qual afetou a plataforma onde se encontrava o serviço de Hosted Exchange.

As investigações ainda se encontram a decorrer, no sentido de verificar se alguma informação dos clientes pode ter sido comprometida ou perdida no ataque. A empresa sublinha que irá informar de imediato os clientes caso sejam verificados indícios que dados pessoais possam ter sido acedidos.

A empresa também referiu nos seus recentes relatórios financeiros que, derivado deste ataque de ransomware, a mesma espera quebras nas receitas de quase 30 milhões de dólares, associados com os serviços Hosted Exchange que foram afetados.

Este valor não inclui ainda os custos associados com as despesas necessárias para restabelecer a normalidade dos serviços para os clientes afetados e das operações internas da empresa.

De momento, os clientes que teriam plataformas de Hosted Exchange na empresa ainda se encontram a ser afetados pelas falhas, com a inacessibilidade ao serviço e às plataformas de comunicação.

06/12/2022
Site do Vaticano encontra-se instável faz mais de 24 horas

Durante o dia de ontem, o site oficial do Vaticano tem apresentado vários problemas de estabilidade, no que se acreditava tratar de uma tarefa de manutenção, mas que agora parece ter sido agravado.

Nas últimas horas, o site tem vindo a apresentar várias mensagens de erro, ou a ficar totalmente indisponível para acesso. Apesar de o comunicado das entidades indicar que o site encontra-se a ser alvo de uma manutenção que estaria prevista, o facto de o processo estar a demorar mais de 24 horas começa a levantar algumas suspeitas para vários utilizadores pela internet.

Apesar de não existir nenhuma confirmação de ataques, a indicação oficia da entidade será que o site se encontra a verificar atualmente algumas falhas devido ao elevado volume de acessos. Nas tentativas que realizamos da nossa parte, verificamos que determinadas áreas do site estão a carregar corretamente, enquanto outras ainda apresentam falhas.

Alguns utilizadores apontam que o site pode ter sofrido um ataque DDoS, que estaria a sobrecarregar os recursos do servidor onde se encontra configurado. A situação ainda não parece estar inteiramente resolvida, embora algumas partes do site estejam já a carregar corretamente.

03/12/2022
Binance bloqueia 3 milhões de dólares roubados em ataque à Ankr

A Binance confirmou recentemente ter congelado quase 3 milhões de dólares em criptomoedas, depois de um ataque realizado sobre a infraestrutura da Ankr. Acredita-se que os fundos podem estar associados com o roubo da entidade.

A Ankr afirma que, como parte do ataque, foram roubados quase 5 milhões de dólares em Binance Coin, mas a empresa garante que pretende cobrir todas as perdas dos utilizadores finais. Ao mesmo tempo que o ataque à Ankr estaria a ser realizado, a plataforma Helio também confirmou ter sido vitima de um ataque similar.

A equipa da Ankr confirmou que o roubo terá ocorrido sobre o token BNB, com um valor máximo de 5 milhões de dólares. Poucas horas depois, o CEO da Binance, Changpeng Zhao, confirmou ter colocado em pausa todas as transações de Ankr na sua plataforma, onde foi identificado o que se suspeita ser uma parte dos fundos que foram roubados da plataforma.

Acredita-se que o ataque terá ocorrido a nível da plataforma, com uma potencial chave privada dos programadores comprometida, e que terá sido usada para a realização de transações dentro da rede.

A par com o ataque à Ankr, também o protocolo Helio confirmou ter sido afetado pelo ataque, com aproximadamente 15 milhões de dólares roubados da plataforma – embora a entidade ainda não tenha confirmado valores exatos.

Neste momento ainda se encontra a decorrer a investigação do ataque e onde se encontram os fundos roubados, mas acredita-se que os atacante podem ter usado a plataforma do Tornado Cash para distribuir uma parte dos fundos roubados antes que a Binance tenha conseguido bloquear a transação.

02/12/2022
LastPass confirma ataque a sistemas internos com dados de clientes afetados

Em agosto deste ano, a LastPass sofreu um ataque no qual teriam sido roubadas informações internas da empresa. No entanto, agora parece que a empresa volta a alertar para tal, e desta vez com ainda mais dados de clientes na linha.

Segundo a mensagem deixada pela empresa no seu blog oficial, a empresa confirma encontrar-se a investigar uma possível invasão dos seus sistemas, onde terceiros terão conseguido aceder aos sistemas internos da empresa. A falha terá ocorrido sobre uma plataforma cloud onde a LastPass possui os seus serviços, e que terá sido a origem do ataque.

A empresa alega que uma fonte não autorizada terá usado dados que foram roubados do ataque em Agosto à plataforma, ganhando acesso aos sistemas internos da empresa e a informação de clientes da mesma. A LastPass sublinha que, apesar de dados dos clientes poderem ter sido acedidos, os cofres e senhas dos mesmos não foram afetados.

De momento a investigação ainda se encontra a decorrer, pelo que não existem muitas informações para avançar sobre o que terá sido efetivamente roubado. No entanto, a empresa sublinha que não guarda informações dos cofres dos clientes, pelo que mesmo numa situação de acesso indevido aos sistemas, não é diretamente possível aceder aos dados dos mesmos – o que incluía as senhas e notas seguras.

A empresa indica ainda que o serviço encontra-se totalmente funcional, mesmo que as investigações ainda estejam a decorrer. De relembrar que, em Setembro, a empresa tinha confirmado que estaria a investigar uma falha que teria permitido a atacantes acederem a sistemas internos da mesma durante, pelo menos, quatro dias.

Na altura, a LastPass indicou que o problema tinha sido contido, mas aparentemente não de forma total.

30/11/2022
Dados de cartões de crédito estão cada vez mais na mira dos atacantes

De tempos a tempos surgem campanhas de malware focadas para os mais variados fins, mas uma recente que tem vindo a propagar-se em força foca-se em roubar dados de cartões de crédito.

Segundo os investigadores da empresa de segurança Group-IB, nos últimos tempos os grupos de hackers tendem a focar-se mais em obter dados de cartões de crédito, criando campanhas para tal que tentam afetar os utilizadores de grandes plataformas – com destaque para utilizadores da Amazon, PayPal, Roblox e Steam.

A grande maioria das campanhas propagam-se através de esquemas de phishing, diretamente enviados para potenciais vitimas, e onde estas são enganadas a fornecerem dados de pagamento em plataformas falsas das entidades visadas.

No entanto, o roubo pode também acontecer através de malware que esteja instalado nos dispositivos dos utilizadores – ou pelo simples e antiquado método de “tentativa e erro”, usando senhas reconhecidas para tentarem aceder a contas de potenciais vitimas.

Os investigadores apontam que, apesar de a maioria dos grupos de hackers focarem-se em usar apenas um esquema para obterem os dados, de forma a facilitar toda a operação, existem alguns que optam por diversificar os meios de ataque, de forma a tentarem chegar a ainda mais vitimas.

O mais grave deste género de campanhas será que as mesmas não se focam apenas para utilizadores específicos, mas sim para “toda” a internet em geral. Desde que as vítimas tenham potencial interesse para os atacantes – que neste caso será dinheiro na conta – poderão ser alvos.

A Amazon e o PayPal continuam a ser as principais plataformas de interesse para os atacantes. No entanto, tem vindo a ser verificado um aumento também sobre plataformas de comunidades gaming, como é o caso do Roblox, Steam, Epic Games Store, entre outras.

Como sempre, uma das primeiras linhas de defesa parte dos próprios utilizadores, que devem ter cuidado sobre os conteúdos que acedem online, além de terem práticas de segurança consideradas – nos dias de hoje – como essenciais.

27/11/2022
Site do Parlamento Europeu encontra-se inacessível após ataque

O site do Parlamento Europeu foi o mais recente alvo de um ataque informático, estando atualmente inacessível. O ataque terá começado a ser verificado no início desta quarta-feira, o mesmo dia em que a instituição aprovou uma nova medida que reconhece a Rússia como um estado patrocinador do Terrorismo.

Jaume Duch, porta-voz do parlamento, deixou numa mensagem no Twitter a confirmação que o site terá sido alvo de vários ataques durante o dia de hoje, estando atualmente indisponível. Tendo em conta a mensagem, este ataque aparenta encontrar-se relacionado com um possível ataque DDoS, onde é criado tráfego desnecessário com vista a sobrecarregar os sistemas onde o site se encontre.

De momento ainda se desconhece a origem do ataque. No entanto, também a partir do Twitter, a presidente da instituição, Roberta Metsola, indicou que o ataque teria sido realizado sobre um grupo com associações ao governo russo.

De momento o site da instituição ainda se encontra inacessível, sem previsões de quando voltará ao ativo.

23/11/2022
Câmara de Faro foi alvo de ataque informático

A Câmara Municipal de Faro foi o mais recente alvo de um ataque informático, o qual aparenta ter comprometido várias infraestruturas da entidade.

De acordo com o portal Sul Informação, o ataque terá sido identificado durante o final da semana passada, a 19 de Novembro. A autarquia afirma que o funcionamento dos serviços será restaurado na normalidade durante os próximos dias, mas que será fornecido de acordo com a prioridade numa fase inicial.

O ataque aparenta ter sido de ransomware, onde dados internos da autarquia terão sido comprometidos, afetando o funcionamento de várias plataformas da mesma. Ainda se desconhece, para já, se os dados da autarquia podem ter sido roubados ou quais as informações que poderão ter sido alvo de acessos.

Em comunicado, a câmara de Faro afirma já ter comunicado o incidente ao Centro Nacional de Cibersegurança (CNC), Polícia Judiciária (PJ) e Procuradoria-Geral da República (PGR). O site da autarquia encontra-se atualmente inacessível.

21/11/2022