Categoria: ataque

Segurança Social foi o mais recente alvo de um ataque informático

O portal da Segurança Social foi recentemente o alvo de um ataque informático, no qual ainda se encontram a averiguar quais os possíveis danos causados na infraestrutura da entidade.

De acordo com o Observador, esta confirmação foi enviada internamente aos funcionários da Segurança Social, apelando para que sejam seguidas todas as normas de segurança da entidade.

A entidade confirma na mensagem que terá sido alvo de uma “intrusão intencional e maliciosa na sua rede informática”, acrescentando ainda que se encontra a proceder com as investigações do incidente. No entanto, até ao momento, não foram revelados detalhes sobre a origem do ataque ou dos danos causados.

Na mesma mensagem, o Instituto de Informática indica que se encontra a trabalhar com o Centro Nacional de Cibersegurança, Polícia Judiciária e especialistas em cibersegurança para analisar o ataque, e de forma a garantir a segurança dos dados existentes.

Neste momento ainda existe pouca informação relativamente ao ataque, tendo em conta que se encontram a ser realizadas investigações ao mesmo. Também não existe confirmação, para já, que dados de utilizadores na plataforma da Segurança Social ou da Segurança Social Direta possam ter sido afetados.

21/11/2022
Fundos roubados da FTX são convertidos em token associado com a Alameda Research

O hacker que, alegadamente, roubo mais de 600 milhões de dólares da FTX, poucos dias depois de a empresa ter entrado em insolvência, agora encontra-se a converter os fundos para outras criptomoedas.

De acordo com os registos da blockchain, o atacante terá começado a converter os 600 milhões de dólares roubados da FTX para Ren Bitcoin (renBTC), um token que representa o Bitcoin sobre outras blockchains.

Com esta conversão, a carteira associada com o roubo, segundo a CoinDesk, torna-se uma das maiores a possuir tokens renBTC. No entanto, existe algumas curiosidades sobre o motivo de ter sido escolhido renBTC em primeiro lugar.

Apesar de ainda se desconhecer a origem de quem realizou o roubo da FTX, meros dias depois do escândalo com a plataforma ter sido iniciado, a renBTC foi um dos tokens que estariam associados de alguma forma com a Alameda Research.

No passado, a equipa de desenvolvimento do token tinha confirmado que uma parte dos seus programadores iriam juntar-se na equipa da Alameda Research, como forma de permitir integrar este token em mais blockchains.

Durante o final da semana, a carteira que estava associada com o ataque terá movido 5000 ETH para uma nova carteira numa primeira transação. Isto foi depois conjugado com mais três transações num total de 35.000 ETH.

Pouco tempo depois, o gestor desta carteira terá começado a usar a plataforma 1inch para converter o ETH depositado em renBTC. A primeira transação foi feita de 4000 ETH para wBTC, e eventualmente para renBTC.

Os dados da blockchain apontam ainda que o atacante terá continuado a converter o restante valor para renBTC em várias transações diferentes. Desconhece-se ainda o motivo pelo qual as transações forma feitas de forma separada e não como apenas um movimento completo.

No entanto, é possível que o dinheiro esteja agora a ser movido como forma de iniciar o processo de “limpeza” do mesmo, possivelmente convertendo o mesmo para outras redes através das Bridges – o que pode dificultar o processo de rastrear a origem e o destino dos fundos.

20/11/2022
Austrália pretende criar leis para banir pagamentos de ransomware

Os ataques de ransomware ainda continuam a acontecer, em parte porque ainda existem entidades que – quando afetadas – podem pagar para reaverem os conteúdos roubados. No entanto, as autoridades na Austrália pretendem agora tornar esta prática mais complicada.

O governo australiano encontra-se a estudar a possibilidade de tornar os pagamentos de ransomware por parte das empresas uma atividade considerada como ilegal. Com isto, as empresas que realizarem pagamentos associados com ataques de ransomware estariam a violar a legislação local, e poderiam enfrentar ainda mais consequências.

Clare O’Neil, ministra de cibersegurança no pais, afirma que existem planos traçados para criar uma nova lei que vai focar-se em combater este género de crimes – ataques de ransomware. No entanto, no processo de criação destas novas leis, existem também as que afetam diretamente as vítimas – onde se encontra a colocação de pagamentos de ransomware como algo ilegal no pais.

Por um lado, tornar os pagamentos de ransomware ilegais pode efetivamente reduzir o crime, mas ao mesmo tempo também pode tornar mais complicada a recuperação de potenciais dados – embora o pagamento deva sempre ser a última medida a aplicar-se. Os criminosos teriam menos incentivos a realizar ataques de ransomware no pais, uma vez que não teriam diretamente proveito financeiro de tal – pelo menos do ataque direto.

Além disso, as empresas que pagarem, podem ficar sujeitas a multas avultadas sobre tal ação, elevando ainda mais os prejuízos.

A Austrália não é o único pais com ideias de banir pagamentos de ransomware. Nos EUA também existem algumas partes que se encontra a pretender criar leis para tornar ilegal o pagamento de ransomware. No entanto, o FBI recomendou que tal lei não fosse aprovada, uma vez que poderia levar a ainda mais tentativas de extorsão por parte dos atacantes.

16/11/2022
Descoberto novo malware com foco para ataques a servidores de jogos online

Vários investigadores de segurança encontram-se a alertar para um novo malware, que nos últimos tempos tem vindo a propagar-se em força pela internet. Apelidado de RapperBot, este malware pretende criar uma rede botnet com foco em atacar servidores de jogos online.

De acordo com a empresa de segurança Fortinet, o RapperBot trata-se de um malware que possui como objetivo tentar criar uma rede botnet, usada para depois realizar ataques a sistemas de jogos online, através de tentativas de login brute-force em SSH.

O malware, uma vez instalado no sistema, pode receber comando de fontes externas para realizar os mais variados ataques, mas o foco para já parece ser enviar comandos de login para servidores de jogos online, via SSH, na tentativa de entrar e tomar controlo dos mesmos.

Este malware começou a propagar-se pela internet em Agosto deste ano, sendo que o seu código encontra-se associado com o botnet Mirai, que teve o seu código fonte revelado em Outubro de 2016. Desde então, variantes do mesmo foram sendo descobertas, e o RapperBot parece ser um desses casos.

De notar que, apesar do RapperBot focar-se em ataques de brute-force, o mesmo possui também a capacidade de usar a rede botnet para lançar ataques DDoS contra os sistemas afetados usando um protocolo conhecido como Generic Routing Encapsulation (GRE), que é consideravelmente mais difícil de bloquear pelos sistemas de proteção DDoS tradicionais.

Nos casos em que um ataque de brute-force seja bem-sucedido, os dados de login são depois enviados para um servidor em controlo dos atacantes.

16/11/2022
VLC volta a ficar disponível na Índia depois de bloqueio durante nove meses

Depois de meses, o governo indiano encontra-se finalmente a levantar o bloqueio aplicado sobre o VLC. De relembrar que faz quase nove meses que o programa de conteúdos multimédia foi subitamente bloqueado na internet do pais, impedindo os utilizadores de descarregarem o mesmo.

O mês passado, a VideoLAN, entidade responsável pela aplicação, levou a questão para junto dos tribunais, exigindo informações sobre o motivo pelo qual o download do programa estaria bloqueado em várias das operadoras locais.

De acordo com a entidade Internet Freedom Foundation, citada pelo portal TechCrunch, este bloqueio terá agora sido levantado, com os utilizadores na China a serem novamente capazes de descarregarem a aplicação e de acederem ao site oficial da mesma. No entanto, a explicação exata sobre o motivo que levou ao bloqueio ainda não terá sido fornecida.

De relembrar que os bloqueios começaram a ser aplicados por parte de várias operadoras locais em Fevereiro deste ano, onde subitamente o site e os links de download da aplicação deixaram de se encontrar acessíveis a partir da Índia. Praticamente do dia para a noite, a VideoLAN confirmou uma queda de 80% no tráfego originário da Índia.

Apesar de não ter sido deixada nenhuma indicação sobre o motivo pelo qual a aplicação terá sido bloqueada, algumas fontes apontam que poderia estar relacionado com um ataque de um grupo de hackers, que estariam a usar o VLC como meio para distribuir malware nos sistemas – mesmo que a aplicação não fosse diretamente responsável pelo malware, e estivesse apenas a ser usada como pretexto para levar à instalação do mesmo nos sistemas.

14/11/2022
Autoridades na Turquia começam a bloquear plataformas sociais

No seguimento de uma explosão verificada durante o dia de ontem, em Istambul, as autoridades locais começaram a bloquear o acesso a várias plataformas sociais na Internet para evitar a partilha de conteúdos e imagens do acontecimento.

De acordo com várias fontes, o Instagram, Facebook, Twitter, YouTube e Telegram começaram a ser bloqueados na Turquia depois de terem sido usadas para a partilha de imagens e vídeos do acontecimento. O ataque já foi considerado pelas autoridades um ato terrorista, sendo que vitimou 8 pessoas e feriu outras 81.

Dentro do pais, e para além dos bloqueios na internet, também as fontes de noticias locais estão a ser bloqueadas de difundir informações sobre o evento, com indicações para os cidadãos não partilharem conteúdos associados ao mesmo.

De acordo com a plataforma NetBlocks, o tráfego nas principais aplicações sociais começou a cair no país durante o final do fim de semana. Uma das únicas plataformas que parece não ter sido afetada será o WhatsApp.

Inicialmente os bloqueios foram apenas verificados sobre a operadora Turk Telekom, que é considerada uma das maiores no país, mas rapidamente foi expandido para outras entidades locais.

14/11/2022
Novo malware esconde-se dentro de ficheiros de imagem PNG

Existe uma nova tendência na forma como malware se tem vindo a distribuir, passando dos tradicionais formatos para começar a ser integrado em ficheiros aparentemente benignos.

De acordo com as empresas de segurança ESET e Avast, desde Setembro de 2022 que uma nova campanha de malware tem vindo a propagar-se em força pela Internet. O malware, conhecido como “Worok”, tem vindo a esconder-se sobre ficheiros de imagens PNG regulares, e aparentemente inofensivas.

O malware é capaz de se esconder em ficheiros de imagem PNG, tendo como alvo vitimas de perfil de relevo no mercado, sobretudo nos continentes da África e Ásia. O ataque ocorre em duas etapas, onde na primeira os sistemas são infetados com um DLL malicioso ou programas capazes de abrirem ficheiros de imagem, decifrando o código escondido nas mesmas. Uma vez instalado, o malware procede com o download de aparentes imagens PNG, mas que no código interno possuem a segunda parte do ataque – o malware propriamente dito.

Os investigadores indicam que o malware tira proveito da plataforma de alojamento cloud do Dropbox para enviar ficheiros e outras informações, bem como para descarregar a imagem aparentemente legitima. Como se trata apenas de uma imagem, a maioria dos serviços não irá considerar a mesma como maliciosa, e muitos programas de segurança também podem ignorar o conteúdo.

Uma vez no sistema, o malware procede com as suas atividades maliciosas, roubando informações sensíveis do mesmo, como senhas e carteiras virtuais de criptomoedas.

13/11/2022
FTX confirma roubo milhões de dólares em ataque à empresa

Depois de a possibilidade da plataforma da FTX ter sido alvo de um ataque, no mesmo dia em que entrou em insolvência, o CEo da mesma, John Ray, veio agora confirmar que o mesmo terá realmente acontecido.

A partir do Twitter, o atual CEO da plataforma confirmou que a empresa foi alvo de um ataque, onde foram roubados milhares de dólares das carteiras da empresa, retirados diretamente das mesmas e afetando vários clientes da FTX.

O mesmo afirma ainda que a empresa encontra-se a realizar os possíveis para reaver as criptomoedas roubadas e para garantir a segurança de toda a infraestrutura, bem como dos fundos existentes nas carteiras dos clientes.

De relembrar que esta situação ocorre no mesmo dia em que a FTX confirmou que iria entrar em processo de insolvência, depois de uma onda de reviravoltas sobre o anterior CEO da mesma, que combinaram na má gestão dos fundos existentes da empresa e dos clientes.

O ataque terá começado a ocorrer durante a madrugada de hoje, onde foi identificado que mais de 600 milhões de dólares teriam sido movimentados de carteiras da FTX sem razão aparente. Inicialmente a empresa indicou que estaria a analisar a situação, sendo que agora confirma o ataque.

Ray afirma ainda que a empresa encontra-se em processo de migrar os fundos existentes para “cold wallets”, como forma de garantir a segurança dos mesmos. Ao mesmo tempo, a empresa encontra-se a trabalhar com as autoridades para identificar a origem do ataque.

12/11/2022
Tribunal ordena Cloudflare a bloquear sites piratas na plataforma 1.1.1.1

Nos últimos tempos temos vindo a verificar cada vez mais um novo ponto de ataque para os grupos de proteção de direitos de autor, onde a medida agora parece voltar-se diretamente para os sistemas de DNS no que respeita a bloqueios de sites com conteúdos piratas.

Uma das formas mais usadas para contornar bloqueios a sites com conteúdos piratas tende ser a usar serviços de DNS públicos, como o Google DNS ou Cloudflare 1.1.1.1. No entanto, os grupos de defesa dos direitos de autor têm vindo também a apontar o foco a estes serviços, e agora parece que o mais recente será a plataforma da Cloudflare.

No início do ano, um tribunal em Itália teria ordenado a Cloudflare a bloquear três domínios de sites com conteúdo pirata de serem carregados pelo seu serviço de DNS publico, o 1.1.1.1. Em causa encontravam-se três domínios associados com portais de torrents e de conteúdos piratas.

No entanto, o Cloudflare disputou esta medida, alegando que apesar de ser relativamente simples bloquear um site que esteja na internet, quando o processo é feito diretamente sobre um serviço de DNS publico (public resolver) é praticamente impossível de o aplicar apenas a um pais – ou seja, o bloqueio teria de ser aplicado a todos os utilizadores que usam o serviço de DNS da Cloudflare.

Na altura, a Cloudflare afirmava que tal medida poderia causar grandes impactos para todos os utilizadores, uma vez que a medida iria afetar todos os utilizadores da plataforma. A empresa sublinhou ainda que o bloqueio via DNS é uma medida ineficaz, que pode ser facilmente contornada seja com a alteração para outro DNS ou através do uso de plataformas VPN.

No entanto, parece que esta defesa da Cloudflare não terá sido suficiente para apelar do tribunal, que segundo revela o portal TorrentFreak, terá mantido a sua decisão. A empresa ainda pode recorrer da mesma, mas muito possivelmente será obrigada a efetivamente bloquear estes domínios da sua plataforma de DNS do 1.1.1.1.

No entanto, esta medida pode abrir um precedente perigoso não apenas para a Cloudflare, mas para outras entidades que forneçam serviços de DNS públicos. O bloqueio de sites diretamente nestas plataformas pode permitir que seja criado uma nova forma de bloqueio que pode complicar o acesso aos mesmos, ou ser usado em casos mais extremos para censura.

De notar, no entanto, que apesar de este caso ser inédito em Itália, outro similar também aconteceu na Alemanha, onde um tribunal local ordenou a Quad9 a bloquear um site da sua plataforma de DNS – medida que ainda se encontra em apelação.

12/11/2022
FTX move fundos da empresa para “cold wallets” após transações desconhecidas

A FTX confirmou que vai começar a mover alguns dos seus fundos para “cold wallets” depois de terem sido identificadas algumas transações maliciosas sobre a plataforma.

Segundo Ryne Miller, da FTX US, a empresa encontra-se a mover alguns dos seus fundos digitais para “cold wallets” como forma preventiva. Esta medida terá sido apressada durante o dia de hoje, depois de terem sido verificadas várias transações irregulares sobre a rede – que terão levado ao roubo de alguns fundos dos clientes da empresa.

De relembrar que, no início do dia de hoje, quase 600 milhões de dólares em ativos digitais foram retirados das carteiras oficiais da FTX para outras plataformas, no que se acredita ter sido um roubo de fundos da empresa após um ataque interno.

Vários clientes também reportam que as suas carteiras na plataforma passaram subitamente a deixar de ter qualquer valor nas mesmas. De momento ainda existe pouca informação sobre o que terá ocorrido, mas parece que cada vez mais se confirma a possibilidade de um ataque aos sistemas da empresa.

12/11/2022
FTX enfrenta possível roubo de fundos dos clientes em ataque

Durante o dia de hoje, mais de 600 milhões de dólares em criptomoedas sairão diretamente das carteiras digitais da FTX, empresa que se encontra sobre atual processo de insolvência. Esta retirada de fundos teria ocorrido no que algumas fontes alegam tratar-se de um ataque nos sistemas internos da empresa.

O caso começou a ser reportado por alguns utilizadores em plataformas sociais, que verificaram as suas carteiras digitais passarem para “zero”, com ativos a serem retirados das mesmas – numa altura em que todas as retiradas de fundos da plataforma se encontram suspensas.

Poucos minutos depois, a FTX terá partilhado uma mensagem no Telegram oficial do grupo a indicar que teria sido atacada, aconselhando os utilizadores a não descarregarem apps da empresa e a removerem a mesma dos seus dispositivos. Esta mensagem foi colocada como fixa no grupo por parte de Ryne Miller, da administração da FTX, mas desconhece-se se terá sido o mesmo ou alguém com acesso à sua conta no Telegram.

Os dados, segundo a CoinDesk, apontam que vários ativos em Ethereum, Solana e Binance foram retirados de carteiras ativas da FTX para plataformas externas descentralizadas, como a 1inch.

Poucas horas depois, Miller terá usado o Twitter para indicar que estaria a ser investigado o movimento ilícito de fundos de algumas carteiras na plataforma.

Este suposto ataque não poderia ter surgido em pior altura, uma vez que acontece no mesmo dia em que a empresa se encontra a iniciar o processo de insolvência, depois de ter sido descoberto que terá perdido milhões de dólares dos seus clientes em investimentos fracassados.

Enquanto isso, continuam a surgir utilizadores da FTX que apontam como as suas carteiras subitamente ficaram a valor zero, sendo que a API da empresa também parece encontrar-se agora desativada – e que pode estar relacionado com este caso.

De notar que, neste momento, apesar de o site da FTX ainda se encontrar ativo, o login no mesmo não é possível, sendo que os utilizadores verificam os mais variados erros nas tentativas de login.

12/11/2022
Dispositivos da Samsung na mira de atacantes com novas falhas

A Samsung sempre se focou fortemente na segurança dos seus dispositivos, mas parece que existem algumas vulnerabilidades que estão agora a ser exploradas em determinados modelos da empresa para ataques zero-day.

Segundo revela a investigadora Maddie Stone, da equipa do Google Project Zero, pelo menos três dispositivos bastante populares da Samsung encontram-se a ser ativamente explorados para ataques através de falhas zero-day no software dos mesmos.

Em questão encontram-se os modelos Galaxy A50, Galaxy A51 e Galaxy S10, os quais a investigadora afirma que possuem falhas de segurança no software que estão já a ser ativamente exploradas para ataques.

Segundo a mesma, as falhas apenas se encontram nos dispositivos que possuem o chip Exynos, mas é grave o suficiente para levar ao potencial compromisso de dados dos utilizadores no equipamento ou instalação de malware no mesmo.

As falhas encontram-se a ser exploradas neste momento para a instalação de spyware, o que aponta que pode tratar-se de um ataque direcionado para certos grupos ou personalidades. No entanto, as falhas existentes no software da Samsung facilitam esta tarefa – e a investigadora afirma que estão a ser ativamente exploradas.

Acredita-se que as falhas ainda estão ativas no sistema, sendo que a Samsung não terá lançado uma atualização para a mesma, e que o kit de exploração usado pelos atacantes encontra-se a circular sobre alguns meios – mas como ainda não foi completamente identificado, isto também dificulta a tarefa de encontrar a resolução completa do problema.

Por enquanto, os utilizadores são aconselhados a terem atenção às apps que instalam nos seus dispositivos, sobretudo quando originárias de fontes desconhecidas.

11/11/2022
Conforama alvo de ataque informático com roubo de dados dos clientes

O grupo de ransomware conhecido como “BlackCat” encontra-se a realizar um pedido de resgate para a empresa Conforama, uma das maiores empresas de retalho de móveis e materiais para o lar.

Segundo a mensagem publicada pelo grupo na dark web, este terá conseguido aceder aos dados da empresa, sendo que terão sido roubados quase 1 TB de dados associados com a empresa e os seus clientes.

Acredita-se que o ataque pode ter afetado a filial da empresa em Portugal e em Espanha, sendo que a empresa já confirmou ter identificado o aceso indevido aos seus sistemas e o possível roubo dos dados. Até ao momento não existe confirmação de que qualquer pagamento tenha sido feito.

Por entre os dados encontram-se dados internos da empresa e financeiros, bem como dados pessoais e sensíveis de clientes da mesma e dos funcionários.

O grupo de ransomware encontra-se agora a pedir resgate para evitar a publicação dos dados, o que pode ocorrer nas próximas 48 horas caso a empresa não realize o pagamento.

11/11/2022
Google corrige falha que permitia acesso a dispositivos Pixel bloqueados
A Google confirmou ter lançado uma nova atualização para os seus dispositivos Google Pixel, depois de ter sido descoberto um bug que podia levar a permitir o acesso aos sistemas bloqueados, bastando para isso trocar o cartão SIM do dispositivo.

A falha foi descoberta pelo investigador de segurança David Schütz, e tudo o que basta para ser explorada será trocar o cartão SIM do dispositivo. Por norma, o sistema pede que os utilizadores coloquem o pin de acesso ao equipamento ou a impressão digital, quando se encontra bloqueado.

No entanto, o investigador terá descoberto que, com a simples tarefa de alterar o cartão SIM do dispositivo por um que seja do controlo do atacante, e colocando o PUK e novo PIN no cartão, será o suficiente para que o sistema se desbloqueie automaticamente, dando acesso ao mesmo para o atacante.

O vídeo partilhado pelo investigador descreve exatamente como este ataque pode acontecer, e é bastante simples.

[embedded content]

A falha foi indicada à Google, sendo que a empresa terá agora corrigido a mesma na recente atualização fornecida para o software dos dispositivos Pixel. Para quem tenha estes dispositivos, a atualização será certamente importante.

Esta falha afeta os seguintes modelos:
- Google Pixel 4a
- Google PIxel 4a 5G
- Google Pixel 5
- Google Pixel 5a
- Google Pixel 6
- Google Pixel 6 Pro
- Google Pixel 6a
- Google Pixel 7
- Google Pixel 7 Pro
Obviamente, a atualização que a Google forneceu conta ainda com as mais recentes atualizações para o Android em geral, que devem corrigir algumas falhas e bugs, bem como garantir mais estabilidade e segurança para o sistema.
11/11/2022
Câmara da Figueira da Foz é o recente alvo de ataque informático

A Câmara da Figueira da Foz foi durante o dia de hoje alvo de um ataque informático.

A notícia foi avançada pela Eco, tendo sido confirmada por Pedro Santana Lopes, atual presidente da câmara. De acordo com as declarações deixadas, será necessário alguns dias para que se consiga realizar a retoma da normalidade em alguns dos serviços afetados.

Foi ainda confirmado que o ataque terá atingido alguns dos sistemas usados para backups, o que pode indicar que o restauro dos mesmos poderá não ser possível de ser realizado diretamente.

Ainda segundo o autarca, os serviços da Câmara da Figueira da Foz encontram-se a funcionar na normalidade, mas não é possível usar sistemas internos para consultar processos associados.

Até ao momento desconhecem-se detalhes sobre o ataque ou a sua origem, sendo que nenhum grupo confirmou diretamente a realização ou roubo de dados.

07/11/2022
Sites de notícias nos EUA usados para distribuir malware

Vários portais de noticias nos EUA foram recentemente alvo de um ataque generalizado, o qual pode ter propagado malware para os visitantes dos mesmos durante um certo período de tempo.

De acordo com a empresa de segurança Proofpoint, o ataque terá afetado vários sites focados na distribuição de noticias, a grande maioria de zonas como Nova Iorque, Boston, Chicago e Miami. No total, acredita-se que 250 instituições tenham sido afetadas, onde os sites das mesmas terão sido usados para distribuir malware sobre as infraestruturas.

O malware encontra-se a ser apelidado de “SocGholish”, e acredita-se que tenha sido desenvolvido por grupos sediados na Rússia. O malware propaga-se diretamente nos sites, via ficheiros de javascript que levam os utilizadores a descarregarem malware para os seus sistemas. Este malware pode ser apresentado de forma direta no site, através da adulteração de links, ou os utilizadores são reencaminhados para sites de terceiros contendo o mesmo.

O malware tenta ocultar as suas atividades nos sites, sendo bastante difícil de identificar em muitos dos casos. Este integra-se como um ficheiro javascript regular, que pode existir em grandes quantidades sobre os sites pela internet, e não afeta todos os utilizadores que visitam o site – o mesmo apenas atua em certas ocasiões, momentos do dia ou depois de determinadas ações serem realizadas.

Neste momento acredita-se que o ataque tenha sido direcionado para 250 instituições diferentes, mas o valor pode ser consideravelmente superior se tivermos em conta o volume de sites afetados.

06/11/2022
Continental pode ser a mais recente vítima do grupo Lockbit

A Continental pode ter sido a mais recente vítima do grupo de ransomware LockBit, tendo em conta a revelação hoje deixada no blog deste grupo.

Alegadamente, o LockBit terá acedido aos sistemas da empresa alemã Continetal, com acesso a dados potencialmente sensíveis da entidade. O grupo afirma que irá publicar os dados da empresa em cerca de 22 horas, o que aponta que a entidade não terá pago qualquer resgate para evitar tal situação.

Até ao momento desconhecem-se quais os dados que podem ter sido afetados pelo ataque. No entanto, será importante relembrar que a Continental confirmou ter sido vítima de um ataque informático em 24 de Agosto, altura em que indicou existirem indícios que terceiros terão acedido a dados internos da empresa.

No comunicado da empresa, publicado na altura, esta afirma que foram identificados os acessos indevidos, e que a situação foi contida o mais rapidamente possível. A empresa também afirmou que estaria a investigar o ataque, bem como os danos potencialmente causados à entidade.

De notar que a Continental possui receitas de quase 33.8 mil milhões de dólares (segundo os dados de 2021) e conta com 190.000 funcionários espalhados por 58 países.

03/11/2022
Observatório ALMA suspende operações após ciberataque

O observatório Atacama Large Millimeter Array (ALMA), no Chile, um dos maiores no mundo, foi forçado a suspender as suas operações de forma recente, depois de ter sido o alvo de um ciberataque.

De acordo com o comunicado da entidade, as operações encontram-se atualmente a ser processadas de forma relativamente lenta, sendo que alguns dos serviços da entidade estão a ser afetados. O acesso aos emails da entidade está atualmente limitado, enquanto que a equipa de técnicos restaura a normalidade.

A partir do Twitter, a entidade confirmou o ataque, tendo ainda sublinhado não ser possível indicar um prazo para o restabelecimento das operações normais. Foi ainda indicado que o ataque, apesar de afetar os sistemas da instituição, não teve qualquer impacto para as antenas da ALMA, bem como a informação cientifica que a mesma possui – o que aponta para o facto que não terá sido acedida a nenhuma informação interna.

As investigações ainda se encontram a ser realizadas, pelo que não existe muita informação direta que possa ser fornecida de momento.

De relembrar que as infraestruturas da ALMA são uma das mais avançadas, mas também mais caras, que existem no planeta. As instalações da mesma, que contam com 66 telescópios de elevada precisão a 5000 metros de altura, estão avaliados num projeto de mais de 1.4 mil milhões de dólares.

A entidade encontra-se em funcionamento desde 2013, altura em que começou a usar os seus equipamentos para fornecer bastante informação cientifica para a comunidade em geral.

03/11/2022
Emotet volta ao ataque depois de cinco meses em pausa

Houve um tempo em que o nome “Emotet” era bem reconhecido por entre a indústria da cibersegurança. No entanto, as atividades do mesmo deixaram subitamente de acontecer – mas parece que terá sido apenas uma curta pausa.

Depois de quase cinco meses sem atividades, a operação do Emotet parece ter voltado ao ativo. O Emotet é uma campanha de malware, que se distribuir sobretudo por ficheiros do Office maliciosos, que possuem macros para realizarem atividades maliciosas no sistema.

Uma vez instalado no sistema, o Emotet tenta roubar contas de emails que podem ser usadas para difundir ainda mais o malware, bem como procede com a instalação de malware no sistema – que eventualmente leva a casos de ransomware.

Apesar de uma forte atividade desde o início do ano, a 13 de Junho de 2022, subitamente a sua atividade parou. Este processo manteve-se durante cinco meses, até que de forma recente se confirmou a reativação as campanhas de malware em massa.

De acordo com os investigadores do grupo “Cryptolaemus“, que monitorizam as atividades do Emotet, as campanhas de spam do mesmo começaram novamente em força durante o dia 2 de Novembro.

O formato de distribuição do malware continua idêntico, com emails de spam a serem enviados contendo anexos maliciosos – nomeadamente ficheiros do Excel com macros. A nova variante dos ficheiros possuem ainda uma pequena mensagem que alerta os utilizadores para contornarem o alerta de segurança de macros do Office – que é usado para evitar a execução automática dos mesmos.

Como sempre, é importante que os utilizadores tenham cuidado sobre qualquer ficheiro que seja descarregado da internet, sobretudo de fontes desconhecidas.

02/11/2022
Dropbox confirma roubo de código da empresa no GitHub

A Dropbox recentemente confirmou ter sido vítima de um ataque, onde terão conseguido aceder às contas do GitHub da empresa, obtendo detalhes sobre o código existente no mesmo.

De acordo com a empresa, o ataque terá ocorrido sobre um funcionário, que terá sido enganado por um esquema de phishing. Com isto, os atacantes obtiveram acesso aos dados de login para a conta do GitHub da empresa. Acredita-se que 130 repertórios de código da empresa terão sido roubados no processo.

O acesso indevido terá ocorrido a 14 de Outubro, altura em que o GitHub alertou a empresa para atividades suspeitas sobre a sua conta. Após a investigação, foi descoberto que o atacante estaria a simular atividades da plataforma CircleCI, que vários funcionários da empresa usam.

Acredita-se que os acessos terão sido realizados por uma mensagem de phishing, enviada para alguns dos funcionários e a simular o CircleCI, requerendo a aceitação dos novos termos de serviço da plataforma. Os utilizadores, ao acederem ao link, estariam a aceder a um falso site da plataforma onde eram pedidas as credenciais de login – e que terá sido o suficiente para permitir o ataque.

Para piorar a situação, o site também requeria que as vítimas, neste caso os funcionários da Dropbox, colocassem os seus códigos de autenticação, permitindo assim o acesso. Dos 130 repertórios que foram roubados, a empresa afirma que nenhum dizia respeito às aplicações principais da empresa ou dos seus servidores. Estes eram associados com pequenas modificações feitas pela empresa e sistemas de teste interno.

A empresa sublinha ainda que nenhuma informação de clientes da mesma terá sido afetada – incluindo senhas ou dados guardados nas contas dos mesmos e dos seus dados de pagamento.

02/11/2022
Site e Twitter do New York Post foram o mais recente alvo de ataques

O New York Post, uma das publicações mais reconhecidas nos EUA, confirmou ter sido vitima durante o dia de hoje de um ataque. Tanto o seu website como a conta do Twitter terão sido usadas para distribuir noticias falsas a atacarem diretamente alguns dos políticos dos EUA.

De acordo com a mensagem deixada pela empresa no Twitter, esta confirma o ataque, indicando que se encontra a analisar as origens do mesmo. De notar que tanto o site como a conta do Twitter da plataforma terão sido alvo do ataque, embora os conteúdos tenham sido entretanto removidos – o que pode indicar que o serviço se encontra novamente no controlo da empresa.

As mensagens foram direcionadas contra várias personalidades politicas dos EUA, e continham mensagens ofensivas para os mesmos. Entre os nomes citados encontram-se Joe Biden e Hunter Biden.

Este ataque possui traços bastante similares ao ataque que aconteceu sobre a empresa Fast Company, e onde esta foi forçada a colocar a sua plataforma inacessível durante quase duas semanas. Neste caso, os atacantes tomaram controlo dos sistemas da empresa, enviando notificações para os utilizadores da app da mesma com conteúdos racistas.

Até ao momento ainda se desconhecem detalhes sobre como os atacantes obtiveram acesso à plataforma ou como conseguiram aceder às contas da empresa.

27/10/2022
Twilio confirma segundo ataque durante o mês de Junho

A empresa Twilio confirmou ter sido vítima de um novo ataque, desta vez realizado em Junho de 2022, e que se segue ao ataque que a empresa teria sofrido também em Agosto deste ano.

Segundo o comunicado da empresa, o ataque terá sido realizado pelas mesmas entidades que realizaram o ataque em agosto, mas este terá sido menos significativo. O mesmo terá ocorrido a 29 de Junho de 2022, onde os atacantes usaram um esquema de phishing para enganarem os funcionários da empresa, e assim obterem acesso a alguns sistemas internos.

Segundo a empresa, as credenciais que foram roubadas deste ataque terão sido usadas para aceder à plataforma interna, e obter dados sobre um conjunto limitado de utilizadores. A empresa sublinha que o número de utilizadores afetados terá sido relativamente pequeno, e que todas as partes já foram contactadas.

O acesso indevido terá sido mantido durante um período de 12 horas, antes dos sistemas das empresa terem identificado o mesmo e bloqueado o acesso. Os clientes que foram afetados neste ataque foram notificados da situação a 2 de Julho de 2022.

Juntamente com esta revelação, a empresa também deixou mais detalhes sobre o ataque que sofreu em agosto. Segundo a mesma, terão sido acedidos dados de 209 clientes, dos quais 93 eram utilizadores do Authy. A empresa sublinha que, apesar de terem sido acedidos dados destes clientes, nenhum dado sensível dos serviços que a empresa fornecia teriam sido roubados – o que inclui chaves das APIs ou tokens de segurança para as chaves de autenticação em duas etapas.

Apesar de a empresa ter confirmado o incidente a 7 de Agosto, sabe-se agora que os atacantes ainda terão mantido o acesso aos sistemas internos da mesma por mais dois dias depois desse período.

Tal como tinha sido originalmente revelado, os atacantes terão obtido acesso aos sistemas internos da empresa depois de obterem os dados de login de um dos funcionários, através de um esquema de phishing e engenharia social. Com estes dados, os atacantes acederam aos sistemas com a intenção de roubarem dados associados aos clientes da empresa.

27/10/2022
Grupo de ransomware Hive confirma ataque à empresa Tata Power

O grupo de ransomware Hive confirmou ter realizado o ataque a uma das maiores empresas de eletricidade na Índia, a Tata Power, e encontra-se agora a divulgar a informação da empresa publicamente.

A Tata Power é considerada uma das maiores empresas de eletricidade no mercado indiano, fazendo parte da Tata Group. Recentemente surgiram rumores que a empresa teria sido alvo de um ataque informático, o que foi confirmado como sendo de ransomware do grupo Hive.

Durante o dia de hoje, os operadores do grupo começaram a disponibilizar alguns dados sobre a empresa, o que não apenas confirma o ataque, mas também que esta não terá pago a quantia exigida pelo grupo para evitar a divulgação das informações.

De acordo com a informação partilhada por vários investigadores de segurança, por entre os dados que estão a ser divulgados encontram-se informações de vários funcionários da empresa, incluindo números de identificação, informações de salário, nomes, moradas, contactos e outros detalhes pessoais. Existem ainda informações respeitantes à empresa e alguns dos seus clientes.

O grupo Hive afirma que os dados terão sido encriptados a 3 de Outubro. A empresa apenas confirmou o ataque a 14 de Outubro, num relatório financeiro, tendo indicado que alguns dos seus sistemas internos foram comprometidos, mas sem adiantar detalhes sobre o mesmo.

A empresa afirma ainda que os sistemas afetados terão sido restaurados para a normalidade, mas isso não impede que os dados possam ter sido roubados durante o ataque, contendo informação potencialmente sensível.

25/10/2022
Nova campanha de Typosquatting tenta enganar vítimas no Android e Windows

Se vai descarregar um novo programa pela Internet, talvez seja melhor ter atenção ao domínio que se encontra verdadeiramente a aceder. De forma recente, uma nova campanha de Typosquatting tem vindo a afetar milhares de utilizadores, tendo como alvo os utilizadores de sistemas Windows e Android.

Typosquatting consiste num ataque em que as vítimas pensam estar a aceder ao site correto de uma determinada empresa ou produto, quando na verdade estão a aceder a um domínio similar, mas controlado por atacantes – e onde normalmente se leva ao roubo de dados pessoais ou download de malware para os sistemas.

De acordo com o portal BleepingComputer, recentemente uma nova campanha deste género tem vindo a propagar-se, com foco para os utilizadores do Windows e Android, levando os mesmos a falsos sites que se assemelham aos verdadeiros, mas onde o objetivo será levar ao download de malware para o sistema.

No caso do Android, os sites tendem a ser cópias de plataformas como o Google Play, APKCombo e APKPure, onde os sites são alterados para integrarem malware que os utilizadores são incentivados a descarregar – com o pretexto de ser uma atualização de software necessária. Existem ainda sites dedicados para determinadas aplicações, como é o caso de nomes do PayPal, Snapchat, VidMate e TikTok, onde os sites indicam o download direto das APK para as diferentes plataformas – mas que são, na verdade, malware para o sistema.

No caso de sistemas Windows, a campanha parece focar-se em mais de 90 domínios diferentes, os quais abrangem vários softwares usados dentro do sistema. Se os utilizadores realmente descarregarem o malware para o sistema, acabam por ter os seus dados comprometidos.

Um dos exemplos encontra-se sobre o “Visual Studio Code”, um software legitimo da Microsoft e focado para programadores, mas que se encontra a ser distribuído sobre vários domínios similares para tentar enganar as vítimas e levar à instalação de versões modificadas com malware.

Uma das formas dos utilizadores se prevenirem deste género de ataques passa por validarem sempre o local de onde os conteúdos estão a ser descarregados, verificando se o site corresponde ao verdadeiro da entidade que se pretende.

24/10/2022
Nova vulnerabilidade permite obter localização via o Signal e WhatsApp

Plataformas como o Signal, WhatsApp e Threema focam-se sobretudo na privacidade dos utilizadores. Mas recentemente pode ter sido descoberta uma vulnerabilidade que, quando explorada, poderá permitir obter a localização dos utilizadores que usam estas apps.

A falha foi descoberta pelos investigadores do grupo RestorePrivacy, e aponta para a forma como utilizadores mal intencionados podem explorar o sistema destas aplicações para obterem a localização onde o utilizador se encontra.

Esta falha explora as próprias infraestruturas das diferentes plataformas, e a forma como estas entregam as notificações de mensagens, sendo que os investigadores apontam ser possível recolher a localização com uma precisão de 80%.

Cada infraestrutura possui sistemas baseados em diferentes países, que necessitam de entregar as mensagens ou notificações de forma consistente para os utilizadores. Através da medição do tempo que demora entre o envio de um sinal destas apps desde o servidor até ao destinatário, é possível revelar a sua localização com bastante precisão.

Como exemplo, o sistema de notificação de que as mensagens foram lidas, tendo em conta onde os utilizadores se encontrem, pode ter um ligeiro atraso entre o pedido recebido dos servidores das entidades e os utilizadores finais. A medição deste atraso pode ajudar a identificar o local onde os utilizadores se encontram.

Esta falha certamente que é complexa, e envolve uma medição precisa de detalhes fornecidos durante a conversa, mas ao mesmo tempo, se explorada, pode ter graves consequências para a privacidade dos utilizadores.

Curiosamente, das três aplicações testadas, o WhatsApp é o que possui menos impacto para os utilizadores, uma vez que a aplicação da Meta possui vários servidores espalhados pelo mundo, sendo mais difícil registar com precisão o atraso entre os pedidos. Por sua vez, o Signal e a Threema possuem sistemas centralizados num determinado local, ficando mais simples medir o atraso para diferentes regiões.

Os investigadores apontam que uma das formas sobre como o ataque pode ser evitado será através da introdução de um atraso nas entregas de notificações ou pedidos das apps, o que deveria ser aplicado pelas próprias plataformas. Um atraso entre 1 a 20 segundo seria suficiente para impedir a exploração da falha.

O uso de VPNs também pode ajudar a evitar este ponto, uma vez que adiciona latência adicional aos pedidos feitos, e portanto, modifica os resultados finais.

24/10/2022
Hacker condenado por roubar músicas de artistas como Ed Sheeran

Em meados de 2019, vários músicos nos EUA alertaram as autoridades para um suposto hacker, sobre o nome de “Spirdark”, que estaria a invadir as contas de várias entidades para roubar conteúdos privilegiados – nomeadamente músicas que ainda não tinham sido lançadas no mercado – para as venderem aos interessados em quantias elevadas.

Isto foi o que terá acontecido com Ed Sheeran, que teve algumas das suas músicas roubadas e divulgadas antes de serem oficialmente confirmadas pelo artista. Eventualmente as autoridades conseguiram identificar o atacante, que seria Adrian Kwiatkowski, residente no Reino Unido.

Kwiatkowski terá roubado as músicas dos artistas, e vendido as mesmas pela Dark Web, com mais de 148.000 dólares obtidos em criptomoedas. As autoridades afirmam que Kwiatkowski terá obtido acesso ilegítimo a contas cloud dos artistas, roubando as suas músicas no processo.

Infelizmente as autoridades não revelaram o nome das plataformas cloud associadas, mas o hacker foi detido com mais de 1263 músicas nunca lançadas em sua posse. Agora, de acordo com o portal da BBC, Kwiatkowski terá sido condenado a 18 meses de prisão pelo ato.

As autoridades afirmam ainda ter descoberto nos sistemas do hacker vários conteúdos que também terão sido roubados das contas dos artistas afetados, juntamente com um guia sobre como realizar o ataque em primeiro lugar, com planos detalhados a seguir para o processo. Em tribunal, Kwiatkowski confirmou as acusações, incluindo a de violação de direitos de autor e apropriação de conteúdo de terceiros.

22/10/2022
Autoridades do Brasil detiveram suspeito do grupo Lapsus

Durante o dia de hoje, as autoridades do Brasil confirmaram ter detido um suspeito que se acredita fazer parte do grupo “Lapsus$”. Este grupo ficou conhecido por realizar vários ataques a diversas entidades a nível mundial, com destaque para a Microsoft, Nvidia, Samsung, Ubisoft, Okta e Vodafone.

Dentro da operação conhecida como “Dark Cloud”, e que terá sido iniciada em Agosto deste ano, o resultado terá sido a detenção de um jovem na cidade de Feira de Santana, na Bahia. Acredita-se que o suspeito terá fortes relações com o grupo, tendo mesmo participado em alguns dos ataques realizados.

De relembrar que um dos primeiros ataques do grupo aconteceu em Dezembro de 2021, quando este terá revelado o ataque aos sistemas do Ministério da Saúde do Brasil, e do qual foram igualmente roubadas diversas informações. No entanto, o objetivo do grupo terá sido eliminar ficheiros dos sistemas da organização, modificando também os sites associados com o mesmo.

De notar que esta não é a primeira detenção feita com relações ao grupo. Em meados de Março, as autoridades do Reino Unido também detiveram sete suspeitos de fazerem parte do grupo, e mais dois em Abril que também teriam relações ao mesmo.

O FBi também se encontra a investigar o grupo, estando a aceitar informações que possam levar à captura de suspeitos associados com o mesmo.

19/10/2022
Pontos de carregamento de veículos elétricos estão em risco de ataque
De acordo com um recente estudo da empresa de segurança Check Point Software, os pontos de carregamento para veículos elétricos podem estar abertos a serem alvo de ataques, com consequências graves para os utilizadores.

Governos de todo o mundo estão a pressionar as empresas, para a utilização de tecnologias mais verdes, para combater as alterações climáticas e reduzir a sua dependência dos hidrocarbonetos.

A Noruega construiu uma rede de 17.000 pontos de carregamento, enquanto o Departamento de Transportes dos EUA anunciou recentemente um plano de $5B para a criação de uma nova rede de estações de carregamento de VE.

Já em Portugal, o governo, apoia a criação dos postos de carregamento, através de uma comparticipação de 80% no valor do posto, tendo que ser posteriormente ligado à rede Mobi.E. No entanto, embora as empresas automóveis estejam a aumentar a produção de novos veículos elétricos, a indústria automóvel não está a fazer o suficiente para lidar com as preocupações de cibersegurança em torno, do que são essencialmente dispositivos IoT.

Quando os utilizadores carregam os seus veículos, existe também uma ligação de dados entre o veículo e o servidor da empresa que gere o posto. As estações de carregamento estão ligadas à Internet e, como qualquer outro dispositivo IoT, são vulneráveis às ações dos cibercriminosos.

Se um hacker conseguir ter acesso a um centro de carregamento, isto pode ter consequências graves, tais como:
- Risco para a segurança do utilizador: Teoricamente, através de um ponto de carregamento, um hacker pode aceder ao sistema de gestão do motor de um veículo e ou comprometer a segurança, o desempenho ou desativar o veículo por completo. Imagine que o veículo em questão fosse uma ambulância, onde os atrasos poderiam constituir uma ameaça à vida.
- Comprometer as Redes de Carregamento: Os hackers teriam a possibilidade de derrubar uma rede inteira de centros de carregamento, aproveitando apenas uma vulnerabilidade de um dispositivo. Isto poderia resultar em perda de receitas para o operador, bem como em incalculáveis perturbações na rede rodoviária.
- Perda comercial: Para além de encerrar uma rede de hubs de VE, os hackers teriam acesso ao software de gestão dos operadores e poderiam atacar através de ransomware com os consequentes danos financeiros e de reputação. Além disso, muitas frotas comerciais estão a converter-se para energia elétrica e um hacker poderia desativar toda uma operação de entrega apenas a partir do portátil.
- Sistemas de pagamento: Os hackers podem potencialmente comprometer os sistemas de pagamento num ponto central de VE, causando perdas financeiras para o condutor e/ou para o operador de rede.
Os hackers não perdem tempo a aumentar a escala e a sofisticação dos ataques. A Check Point Research relatou recentemente um aumento global de 59% apenas nos ataques de ransomware, enquanto a indústria de transportes do Reino Unido registou uma média de 979 ciberataques por semana durante os últimos seis meses.

Como resultado, não demorará muito até que se note o potencial de exploração das estações de carregamento dos VE, pelo que é fundamental que as tecnologias mais recentes e mais ecológicas sejam protegidas.

“As alterações climáticas e a necessidade de reduzir a nossa dependência do petróleo realçam a mudança imperativa para meios e formas de transporte mais ecológicas. As preocupações com a cibersegurança podem ser outro obstáculo ao crescimento futuro do mercado de veículos elétricos, pelo que é vital que a indústria leve a sério a ameaça. Os dispositivos de carregamento não seguros são uma porta aberta a hackers cada vez mais sofisticados e, no entanto, existem soluções de segurança comprovadas para a Internet sem fios que poderiam prevenir tais ataques e encorajar ainda mais o desenvolvimento de viagens sustentáveis”, Afirma Rui Duro Country Manager na Check Point Software
19/10/2022
Universidade da Beira confirma ataque informático de ransomware

Durante o início desta semana, a Universidade da Beira Interior (UBI), na Covilhã, terá sido o alvo de um ataque informático, no formato de ransomware, e de onde conteúdos internos terão sido encriptados.

De acordo com o jornal ECO, o ataque terá acontecido durante a segunda feira, sendo que a instituição ainda se encontra a analisar os danos causados. No entanto, a mesma confirma que sistemas internos da instituição estão encriptados com ransomware, sendo apresentada a mensagem de pedido de resgate para pagamento.

Pedro Inácio, pró-reitor da UBI, afirma em comunicado que a instituição descarta a possibilidade de realizar qualquer pagamento para reaver os conteúdos encriptados. O mesmo afirma que alguns sistemas administrativos foram comprometidos, mas que as aulas continuam a decorrer na normalidade.

Sobre a possibilidade de dados internos da instituição terem sido roubados, o mesmo afirma que a situação ainda se encontra a ser analisada. No entanto, é importante sublinhar que muito do ransomware atualmente no mercado procede com o roubo de dados dos sistemas antes de realizar a encriptação, exigindo o pagamento para evitar a divulgação.

A instituição encontra-se agora a trabalhar com as autoridades e com outras instituições para repor a normalidade dos sistemas afetados.

18/10/2022
Nova campanha de phishing tenta roubar contas do Facebook pelo LinkedIn

Todos os dias surgem novas campanhas de phishing, focadas em tentar roubar dados dos utilizadores nos mais variados formatos. No entanto, existe um que foi recentemente descoberto e conta com algumas particularidades interessantes a ter em conta.

Esta nova campanha de phishing começou a circular pela internet em Julho de 2022, sendo que se acredita estar relacionada com grupos de hackers no Vietname. A mesma faz uso de ficheiros PHP e com foco em sistemas Windows para tentar enganar as vítimas.

O ataque propaga-se sobretudo sobre o LinkedIn, e foca-se em utilizadores que possam ter relações com grandes contas em plataformas como o Facebook. O objetivo final passa por roubar acesso ao Facebook Business, que será onde os gestores de páginas gerem os seus conteúdos na rede social.

O ataque começa quando as vítimas recebem um suposto ficheiro de PDF, com estratégias de marketing. Caso o ficheiro seja aberto num sistema Windows, este faz uso de código PHP para levar ao roubo de dados do navegador que o utilizador esteja a usar, nomeadamente para roubar dados de acesso a plataformas sociais.

O malware pode roubar diversa informação dos navegadores, entre senhas, cookies e até carteiras de criptomoedas que possam encontrar-se instaladas no mesmo. Feito isso, os dados são enviados para os servidores em controlo dos atacantes, e usados para propagar ainda mais o esquema.

Como indicado anteriormente, o ataque parece focado sobretudo para gestores de marketing, que podem ter acesso a contas do Facebook ou algum género de gestão para tal. Como sempre, os utilizadores são a principal linha de defesa, sendo que devem ter particular cuidado com conteúdos desconhecidos que sejam fornecidos pela internet – seja em que formato for.

18/10/2022
Defender Control vai ser descontinuado por causar problemas nos sistemas

Para quem pretendia desativar o Microsoft Defender nos seus sistemas Windows 11, até agora existia uma aplicação que facilitava essa tarefa, conhecida como “Defender Control”.

Esta aplicação, desenvolvida pela empresa Sordum, permitia controlar o Microsoft Defender no sistema, para rapidamente ativar ou desativar o mesmo. No entanto, a empresa responsável pela aplicação veio agora confirmar que vai descontinuar a mesma, visto que esta encontra-se a causar problemas nas recentes versões do Windows.

De acordo com a Sordum, a aplicação encontra-se agora a causar problemas para alguns utilizadores, que depois de desativarem o Microsoft Defender, podem verificar os mais variados erros no sistema ou na reativação futura do mesmo.

A Sordum afirma que a culpa disto será da própria Microsoft. A empresa tem vindo a atualizar o Defender para que seja bastante integrado com o Windows 11, e quando este verifica que o mesmo está desativado por algum motivo, começa a tentar reparar o sistema de ficheiros do mesmo. No entanto, isso pode levar a erros e falhas, causando inesperados problemas para os utilizadores.

A Sordum acredita que isso apenas irá piorar para o futuro, e que o Defender irá passar a ser um programa base do Windows, onde os utilizadores não o podem simplesmente remover de forma segura – algo similar ao que acontece com o Edge.

No entanto, esta aplicação também foi alvo de críticas no passado, em parte porque tem vindo a ser cada vez mais usada por malware para desativar o Microsoft Defender. Existem variantes de diferente malware que usam este programa – o qual a empresa garante ser legitimo – para desativar as proteções do sistema antes do ataque, face à sua funcionalidade.

Seja como for, a aplicação deverá agora ser descontinuada, portanto não irá receber mais suporte para novas versões do Windows – e eventualmente deixará de funcionar por completo.

17/10/2022
Shein multada em 1.9 milhões de dólares por ocultar roubo de dados

Nos últimos anos, a plataforma Shein tem vindo a ganhar bastante popularidade junto dos utilizadores, em parte porque oferece produtos baratos e disponíveis a apenas alguns toques da aplicação.

Com origem na China, a loja tem vindo a receber uma grande atenção, mas nem sempre pelos melhores motivos. E agora existem mais preocupações sobre o nome, que se encontra envolvido numa nova multa milionária por, alegadamente, ter sido ocultado um roubo de dados na empresa.

A Shein começou a ganhar popularidade durante a pandemia, oferecendo produtos a baixos preços e disponíveis de forma simples e rápida, ainda mais importante numa altura em que as pessoas estavam fechadas em casa.

No entanto, a empresa encontra-se agora a ser multada por ter ocultado uma violação de dados dos seus clientes, onde quase 39 milhões de contas da Shein podem ter sido comprometidas. O roubo de dados aconteceu em 2018, mas a empresa optou por não notificar uma grande parte dos clientes que foram afetados.

Segundo as acusações, a empresa ainda terá enviado alguns emails de notificação, mas apenas para uma pequena parte dos 39 milhões de clientes afetados. Inicialmente a empresa tinha também confirmado que o ataque apenas tinha afetado 6.42 milhões de contas, um valor consideravelmente abaixo daquele que veio a revelar-se mais tarde.

Face a esta falta de notificação, a empresa encontra-se agora a enfrentar uma pesada multa de 1.9 milhões de dólares. Ainda se desconhece se a empresa pretende recorrer desta decisão.

15/10/2022
Microsoft Defender falha em teste de proteção offline

A Microsoft lançou o Microsoft Defender como a base de proteção para todos os sistemas Windows. No entanto, se o mesmo tem vindo a receber melhorias nos últimos anos, ainda se encontra longe de fornecer verdadeiramente total proteção para o sistema em comparação com algumas alternativas.

E isso é demonstrado no mais recente teste da empresa AV-Comparatives, relativo a Setembro de 2022. Por entre todos os softwares de segurança testados, a solução da Microsoft é uma das que se demonstra pior na identificação de malware e ataques quando se encontra sobre sistemas offline.

Embora a maioria dos computadores estejam atualmente ligados quase de forma permanente à internet, ainda existem situações onde tal pode não ser possível. A maioria dos softwares de segurança fazem uso desta ligação permanente à internet para manterem as suas bases de dados atualizadas, mas também para validarem rapidamente se um ficheiro ou ação é maliciosa ou não.

Qualquer bom software de segurança deve, quando ligado à internet, manter uma boa taxa de proteção – e o Microsoft Defender também o verifica. No entanto, as situações de ataque offline são igualmente importantes de ter em conta, e aqui a solução da Microsoft é uma das piores.

Por entre todas as soluções, a da Microsoft encontra-se quase na lista do fundo com uma taxa de deteção offline de apenas 69.8%. Em comparação, o melhor programa neste aspeto terá sido o G DATA, com uma taxa de deteção de 96%.

Quando se coloca online, o software da Microsoft garante uma proteção de 99.99%.

Outro ponto importante a ter em consideração são os falsos positivos. E neste aspeto a solução da Microsoft volta a ter problemas, com 19 ficheiros incorretamente identificados como malware.

Quanto ao nível de proteção, sobre 10.019 amostras de malware, a solução da Microsoft demonstrou-se igualmente eficaz, com uma taxa de deteção onde apenas um malware conseguiu escapar da mesma.

A Microsoft tem vindo a melhorar consideravelmente a segurança dos seus sistemas desde que começou a integrar o Defender como uma solução padrão no Windows. No entanto, ainda existem alguns aspetos a ter em consideração para quem vá fazer uso do mesmo – e neste caso, a deteção em situações offline é um ponto importante a ter em conta, sobretudo para utilizadores de portáteis.

14/10/2022
Ransomware Magniber distribui-se sobre ficheiros javascript para Windows

O ransomware ainda continua a ser um dos ataques mais lucrativos para quem realiza este género de atividades, e que muitas vezes pode levar à perda de dados para as vítimas. E agora, uma nova campanha foi descoberta que faz uso de um novo ransomware, que pode ser distribuído sobre javascript.

De acordo com um relatório da HP, o ransomware é conhecido como “Magniber”, e distribui-se sobretudo via javascript, embora o foco seja para sistemas Windows. As vítimas eram atraídas para falsos websites que prometiam atualizações de segurança para o Windows 10, onde era descarregado um ficheiro ZIP contendo o ficheiro JS no interior.

Se as vítimas executarem o mesmo, estão diretamente a iniciar o ataque, permitindo que o ransomware seja descarregado para o sistema através do código. No caso de utilizadores domésticos, os investigadores afirmam que o ransomware exigia o pagamento de 2500 dólares para a desencriptação dos ficheiros dos sistemas afetados.

Ao longo dos meses, o malware tem vindo também a evoluir, distribuindo-se também sobre extensões maliciosas para o navegador e até websites pela Internet. Para tentar evitar a deteção por software de segurança, os ficheiros encontram-se fortemente encriptados.

Apesar de o Magniber estar focado para encriptar um conjunto especifico de ficheiros, os investigadores revelam que o código do mesmo encontra-se com falhas, que podem permitir que mais conteúdo que o esperado seja realmente encriptado – e isso pode trazer ainda mais problemas para as vítimas, com ficheiros do sistema a poderem ser igualmente afetados.

Obviamente, a prevenção continua a ser um dos melhores mecanismos de segurança, sendo recomendado usar um software de segurança atualizado e manter backups dos dados importantes fora do sistema usado regularmente.

13/10/2022
Alchimist é um novo malware que afeta Windows, Linux e macOS

Um grupo de investigadores revelou ter descoberto um novo ataque, conhecido como “Alchimist”, que parece focar-se em utilizadores do Windows, macOS e Linux.

Segundo os investigadores da Cisco, este malware encontra-se escrito sobre a linguagem GoLang, em 64 bits, o que o torna compatível com praticamente todos os sistemas operativos que existem. Os atacantes podem rapidamente criar camadas de compatibilidade para os diferentes sistemas, levando a um maior número de vítimas potencialmente afetadas.

O Alchimist é fornecido como uma plataforma, que os atacantes podem usar para controlar, criar e gerir o malware conforme este se encontra colocado nos sistemas infetados. Os atacantes possuem controlo para conseguir realizar a captura de ecrã, correr comandos e realizar o envio de códigos de forma totalmente remota.

A maioria das vítimas acabam por instalar o malware através do download de ficheiros infetados da internet ou em campanhas de spam. Tendo em conta que o malware pode ser adaptado para diferentes sistemas, não importa onde os mesmos se encontrem – existe o potencial deste ser afetado se for efetivamente instalado.

13/10/2022
Cloudflare mitigou novo ataque DDoS recorde contra servidor de Minecraft

Os ataques DDoS têm estado cada vez mais em tendência pela Internet, com registos de valores recorde apenas nos últimos meses em várias ocasiões. E mais uma vez, agora chega a confirmação de um novo valor recorde registado dentro deste espetro.

Wynncraft é um dos maiores servidores de Minecraft atualmente disponíveis na Internet, e segundo a empresa Cloudflare, foi também o mais recente alvo de um dos maiores ataques registados. Segundo a empresa, no seu pico, os servidores da entidade estariam a ser alvo de 2.5 Tbps de tráfego malicioso.

O ataque foi realizado em várias camadas, com o objetivo claro de causar a destabilização da plataforma com tráfego inútil, impedindo os acessos regulares e legítimos. De acordo com os investigadores da Cloudflare, este foi um dos maiores ataques DDoS registados em nível de bitrate.

A tendência dos ataques DDoS tem vindo a aumentar consideravelmente nos últimos meses, e cada vez mais são frequentes ataques na escala dos terabit, algo que era bastante incomum faz apenas alguns meses.

Segundo a Cloudflare, apenas durante o terceiro trimestre do ano, a empresa terá mitigado mais ataques DDoS do que em relação aos anos anteriores, com aumentos de 111% em nível de ataques HTTP. Ataques de L3/4 aumentaram cerca de 97%, afetando sobretudo a indústria gaming.

Outra prática que também tem vindo a aumentar é o uso do protocolo BitTorrent para a realização de ataques, que segundo a empresa registou um crescimento de 1220% no mesmo período.

Os ataques de Bittorrent tem vindo a ser cada vez mais vulgares porque também são extremamente eficazes. Um atacante pode criar um sistema de Tracker falso a apontar os utilizadores que se liguem ao mesmo para um determinado IP, lançando assim um ataque direto contra uma plataforma a partir de quem simplesmente esteja a usar a rede de Bittorent.

Os dados apontam, no entanto, que uma grande parte dos ataques registados possuem menos de 500 Mbps de tráfego, em cerca de 97% dos casos. A empresa classifica este género de ataques como cibervandalismo.

13/10/2022
Alex Jones punido em 965 milhões de dólares por desinformação e difamação

Alex Jones, o reconhecido teórico das conspirações, que durante mais de dez anos esteve a usar a internet como forma de divulgar as suas teorias, foi agora condenado ao pagamento de uma multa milionária sobre o caso de difamação onde se encontrava envolvido.

Em causa encontra-se um caso que ocorreu em 2012, do tiroteio em Sandy Hook Elementary School, que vitimou dezenas de pessoas. Na altura, Jones terá usado a sua influência para levantar a teoria que o ataque tinha sido uma farsa – algo que as famílias das vítimas acabaram por contestar em tribunal.

De acordo com a CNN, a acusação exigia o pagamento de quase 500 milhões de dólares sobre indemnização sobre os conteúdos transmitidos na plataforma de Alex Jones, e que levaram a milhares de horas de conteúdo ouvido por vários utilizadores, num total estimado de 550 milhões de impressões do conteúdo.

O júri responsável pelo caso terá aplicado a coisa de 965 milhões de dólares, incluindo ainda valores adicionais sobre a pena. Mesmo que a maioria das contas e páginas de Alex Jones nas plataformas sociais tenham sido banidas, os números do tempo em que estiveram ativas nas mesmas foram também tidos em conta no tribunal, o que agravou a acusação.

De relembrar que Jones e o seu canal do InfoWars foram banidos do Facebook e Instagram em 2019, depois de também o Spotify e Apple Music terem bloqueado os seus conteúdos derivado das teorias da conspiração que eram criadas pelo mesmo.

De relembrar que Jones encontra-se ainda acusado de usar empresas falsas para ocultar os seus ganhos, e distribuir os mesmos por diversos países, a grande maioria de conteúdos que foram vendidos na transmissão dos seus conteúdos pelo InfoWars.

13/10/2022
Windows 11 vai receber nova proteção contra ataques brute-force

Um ataque de “brute force” ocorre quando se tenta realizar o login em algo, no método de tentativa e erro. Este é também um dos métodos mais regulares de se encontrar em ataques, seja pela Internet como também em ataques locais – por exemplo, para realizar o login em contas do sistema.

Para tentar proteger disso mesmo, a Microsoft confirmou que vai disponibilizar uma nova funcionalidade de segurança para o Windows 11, permitindo aos utilizadores protegerem as contas de utilizador deste género de ataques.

Os gestores de sistemas podem agora usar as Políticas de Grupo do Windows para configurarem a proteção de ataques brute-force. Esta novidade vai encontrar-se disponível a partir de 11 de Outubro de 2022, ou mais tarde, nas atualizações do sistema.

A funcionalidade, para já, foca-se apenas na conta de Administrador do sistema. Será possível definir o número de tentativas antes da conta ser bloqueada, bem como o período para tal. A empresa recomenda que a configuração seja aplicada em períodos de 10 minutos e para 10 tentativas falhadas, o que evita bloqueios prolongados – mas os administradores podem alterar esta configuração conforme pretendam.

Para sistemas atualmente configurados, a opção deve ser manualmente ativada pelos administradores. No entanto, a partir de 11 de Outubro, a mesma irá aplicar-se por padrão para todas as novas instalações e vai encontrar-se ativa.

12/10/2022
Falsas airdrops de Solana usadas para roubar dados sensíveis

Para os fãs de criptomoedas, uma airdrop é algo que pode ser bem-vindo, ainda mais quando esta surge com a promessa de trazer também melhorias em nível de segurança. No entanto, deve-se ter cuidado sobre o que realmente se está a aceder.

Recentemente foi descoberta uma nova campanha de malware, que se distribui sobre NFTs da rede de criptomoedas Solana, e que promete ser uma nova atualização de segurança “Phantom”, mas que acaba por roubar dados dos dispositivos dos utilizadores.

A campanha começou faz cerca de duas semanas, onde as potenciais vítimas são contactadas sobre uma atualização supostamente lançada pelos programadores da rede Phantom. Este alerta é enviado como uma airdrop de NFT na Solana. Quando os utilizadores abrem a mesma, são indicados para um link, onde seria necessário instalar uma atualização de segurança para a rede. Juntamente com isso encontra-se o link de onde a “atualização” deveria ser descarregada.

Caso os utilizadores realmente acedam ao conteúdo, acabam por descarregar um ficheiro BAT ou EXE, que será onde começa o ataque. Se executado no sistema, este ficheiro vai instalar o malware, que procede com o roubo de informação sensível do mesmo.

Entre os conteúdos que o malware tenta roubar encontram-se senhas do navegador, dados do histórico, cookies, chaves SSH entre outras que possam ter utilidade para os atacantes. Os dados são depois enviados para sistemas em controlo dos atacantes.

O objetivo da campanha parece ser obter os dados para acesso às carteiras virtuais das vítimas, procedendo depois com o roubo dos fundos nas mesmas. Como sempre, é extremamente importante que os utilizadores tenham cuidado sobre os conteúdos que recebem, sobretudo de fontes desconhecidas ou que tenham ações suspeitas.

11/10/2022
Toyota confirma acesso a dados de clientes após chave publicada no Github

A Toyota terá sido recentemente alvo de um ataque informático, do qual poderão ter sido obtidos dados associados com alguns clientes da empresa. O ataque terá ocorrido depois de a empresa ter, alegadamente, partilhado as chaves privadas de acesso a alguns serviços diretamente no GitHub, durante mais de cinco anos.

Em causa encontra-se a plataforma do Toyota T-Connect, uma aplicação que permite aos condutores de veículos da marca ligarem diretamente os seus smartphones ao centro de entretenimento de vários veículos.

A Toyota confirmou que, recentemente, uma parte do código fonte do site da T-Connect foi incorretamente publicada no GitHub, e a qual continha a chave de acesso aos servidores onde estariam os dados dos clientes da empresa – nomeadamente emails e números de gestão.

Isto terá permitido que fontes não autorizadas tenham acedido aos sistemas, e concretamente aos dados de 296,019 clientes da empresa, entre Dezembro de 2017 e Setembro de 2022. O repertório esteve disponível durante mais de cinco anos, e apenas a 15 de Setembro de 2022 é que a falha foi descoberta, sendo que a chave de acesso foi anulada no processo.

A empresa afirma que dados como os números de cartão de crédito, nomes ou números de telefone associados com as contas não foram comprometidos, uma vez que não estariam na base de dados afetada. No entanto, emails e números de cliente foram alegadamente afetados.

A Toyota deixou as culpas diretas desta falha sobre uma entidade que teria sido responsável pelo desenvolvimento da plataforma, mas ao mesmo tempo também assume responsabilidade pelo possível roubo dos dados dos clientes.

Apesar de a empresa indicar que não existem dados, para já, que indiquem que os emails terão sido usados para atividades maliciosas, ao mesmo tempo, a empresa sublinha que existe a possibilidade de terceiros terem acedido ao sistema e visto ou roubado essa informação para os mais variados fins.

Todos os utilizadores que se tenham registado no sistema da app entre Julho de 2017 e Setembro de 2022 são aconselhados a ficarem atentos a possíveis mensagens de phishing ou scam que sejam enviadas.

Este género de falhas, no entanto, tem vindo a ser cada vez mais comum em várias plataformas. Muitos programadores colocam diretamente senhas de acesso ou chaves de autenticação no código fonte das suas aplicações, que muitas vezes são disponibilizados em mais plataformas ou podem ser rapidamente acedidos por terceiros, com o potencial de levar ao roubo de dados sensíveis.

O próprio GitHub tem vindo a aplicar medidas para prevenir estas situações, mas ainda é um sistema longe de ser perfeito.

10/10/2022
Escritórios da Samsung na Ucrânia afetados por mísseis na região de Kiev

Durante o dia de hoje, a cidade de Kyiv na Ucrânia acordou sobre fortes ataques das forças russas com dezenas de mísseis enviados contra a capital. Estes encontram-se a causar dezenas de mortes e danos nas infraestruturas do pais.

Ao que parece, por entre os danos encontram-se escritórios da Samsung, que segundo algumas fontes, terão sido atingidos derivado dos mísseis durante o ataque. O comunicado da empresa confirma o ataque, mas indica que não houve casualidades do mesmo.

A empresa indica que se encontra a monitorizar a situação atentamente, mas que o míssil em questão terá detonado num edifício perto dos escritórios, a 150 metros do edifício central. Algumas das janelas dos escritórios foram atingidas, mas nenhum dos funcionários ficou ferido. A empresa sublinha que os danos causados terão sido mais colaterais da explosão que se verificou.

É importante notar que esta é a primeira vez que uma empresa internacional de tecnologia é afetada pela guerra que se vive na Ucrânia. Apesar de a Samsung ter confirmado que se encontra a monitorizar a situação, para já a empresa ainda não decidiu retirar os funcionários do pais – embora os escritórios tenham sido encerrados.

10/10/2022
Grupo Russo encontra-se a lançar ataques contra sites de aeroportos nos EUA

O grupo de ativistas digitais conhecido como “KillNet”, e com ligações à Rússia, encontra-se a realizar uma onda de ataques digitais contra sites de aeroportos nos EUA. O objetivo aparenta ser realizar ataques DDoS para colocar os sites inacessíveis, e causar prejuízos para as empresas associadas.

Um ataque DDoS ocorre quando existe um volume bastante elevado de pedidos feitos contra uma plataforma, com o objetivo de inutilizar a mesma ou sobrecarregar o sistema. Neste caso em particular, os grupos de apoio à Rússia encontram-se a realizar ataques persistentes contra vários sites de aeroportos nos EUA.

Um dos exemplos encontra-se sobre o Atlanta International Airport (ATL), que se encontra inacessível atualmente – apesar de estar aparentemente protegido sobre o sistema da Cloudflare.

Segundo o portal BleepingComputer, o grupo “KillNet” terá recentemente publicado no Telegram uma lista de alvos a realizar ataques, onde os membros voluntários do grupo deveriam lançar os seus ataques. Esta mensagem foi publicada durante o dia de hoje, e parece focar-se em destabilizar as operações dos aeroportos em causa.

De notar que estes ataques não causam diretamente impactos nos voos que estão programados, mas podem causar alguns inconvenientes para clientes que pretendam aceder aos sites das empresas para os mais variados fins.

É importante relembrar que o grupo “KillNet” é conhecido por realizar ataques contra países que apoiam a Ucrânia, sendo um grupo que se afirma como sendo de defesa digital para a Rússia.

10/10/2022
Intel confirma que código fonte da BIOS do Alder Lake é genuíno

Durante o fim de semana passado, foi descoberto que o possível código fonte da BIOS/UEFI dos processadores Alder Lake da Intel tinha sido roubado, e estava disponível publicamente sobre o GitHub.

O código continha informação associada com os processadores da Intel, e que nas mãos erradas, pode causar alguma preocupação. Apesar de, inicialmente, existirem dúvidas sobre a veracidade deste código, a própria Intel veio agora confirmar o mesmo, indicando que o código é legitimo.

O código começou por ser disponibilizado a partir do 4chan, sendo que estava alojado sobre o GitHub e acessível por qualquer um. O repertório conta com cerca de 5.97GB de tamanho total, e inclui ficheiros de código fonte, chaves privadas, alterações e ferramentas de compilação, que basicamente permite verificar todos os conteúdos da BIOS/UEFI dos processadores.

Acredita-se que este conteúdo pode ter sido roubado diretamente da Intel, seja por um ataque contra a empresa ou as suas afiliadas, ou também sobre a possibilidade que alguma fonte interna da Intel terá acedido ao conteúdo.

O firmware em questão foi desenvolvido pela empresa Insyde Software Corp, e o código divulgado, segundo vários investigadores, possui referências à Lenovo, tendo em conta a integração de nomes como “Lenovo String Service” e “Lenovo Secure Suite”.

Em comunicado ao portal Tom’s Hardware, a Intel confirmou que o código fonte é legitimo e é proprietário da empresa. No entanto, a empresa acredita que a disponibilização deste código fonte não eleva o risco de segurança para a empresa ou para os utilizadores de chips da mesma, uma vez que o código encontra-se disponível como parte da campanha do Project Circuit Breaker, e pode ser usado para o programa de Bug Bounty da mesma.

Apesar de a Intel referir que este código não eleva o risco de segurança para os utilizadores, alguns especialistas de segurança apontam que o mesmo pode levar a serem mais facilmente encontradas vulnerabilidades. Algumas fontes apontam que o código pode ser usado para explorar falhas até agora desconhecidas, e como forma de realizar ataques que não sejam diretamente reportados para a Intel dentro do seu programa de Bug Bounty.

Isto pode tornar-se ainda mais grave caso se venha a confirmar que algumas das chaves privadas, existentes sobre o código, estão realmente a ser usadas em sistemas em produção. Caso isso se verifique, existe o potencial da BIOS/UEFI de milhares de sistemas ser facilmente comprometido com o recurso destas chaves.

10/10/2022
Código fonte do firmware de processadores da Intel alegadamente roubado

A Intel pode ter sido a mais recente vítima de um ataque, na qual terão sido roubadas informações sensíveis da empresa, nomeadamente o código fonte do ecossistema de processadores da mesma, nas suas gerações mais recentes.

O caso foi inicialmente partilhado pela conta do Twitter “VX-Underground”, que indicou a possibilidade de os atacantes terem roubado 5.86 GB de dados associados com a BIOS/UEFI dos processadores Alder Lake da Intel.

Estes dados teriam sido alojados na plataforma do GitHub, de forma a serem mais tarde partilhados sobre o portal 4chan. A forma como o conteúdo foi partilhado é certamente invulgar, uma vez que, neste género de ataques, normalmente não são usadas plataformas onde os conteúdos podem ser rapidamente identificados e removidos, e tão pouco essa informação é partilhada em locais como o 4chan.

Os dados teriam sido publicados a 30 de Setembro, mas apenas durante o dia de ontem foram descobertos pelos investigadores. É importante notar que a veracidade dos dados ainda não foi confirmada, sendo que alguns investigadores encontram-se a analisar os mesmos para validarem se são realmente da Intel.

Da mesma forma, ainda não é possível confirmar se os dados terão sido roubados diretamente da Intel ou de algum fabricante que faça uso dos mesmos para a construção dos seus componentes.

Do que se sabe até ao momento, o código fonte aparenta dizer respeito ao sistema da UEFI da série 600 de chipsets, os mesmos que se encontra para a 12ª geração de processadores da Intel. Ainda não é possível determinar se a informação agora divulgada conta com dados sensíveis ou que podem ser usados para ataques, mas certamente que pode conter informação útil para utilizadores maliciosos contornarem algumas medidas de segurança.

08/10/2022
2K Games confirma mais roubo de dados no ataque de Setembro

A 2K Games, uma das subsidiárias da Take-Two, foi alvo no passado mês de Setembro de um roubo de dados. Na altura, não foi revelada muita informação sobre o ataque, tendo em conta que a investigação ainda estaria a decorrer.

No entanto, agora que a mesma parece ter terminado, sabem-se novos detalhes sobre o que realmente aconteceu, e existe o potencial de que dados de utilizadores podem ter sido roubados.

O ataque aconteceu no dia 19 de Setembro, tendo afetado os sistemas da 2K Games. O atacante terá obtido algumas credenciais de acesso aos sistemas internos da empresa, e usou essa informação para proceder com o roubo de dados da plataforma de suporte da mesma.

Na altura, a empresa aconselhou os utilizadores a não abrirem qualquer email que aparente ter sido enviado pela mesma, depois de relatos de alguns utilizadores terem recebido comunicações do email de suporte da 2K Games, com links para sites maliciosos ou anexos estranhos.

Em comunicado, a 2K Games confirma agora que, tendo investigado o incidente, existem indícios de que os atacantes podem ter acedido a mais informações do que apenas os emails de possíveis clientes. Os dados indicam que foram também acedidos detalhes como os nomes, números de identificação do sistema de suporte da empresa, nomes dentro dos jogos e detalhes das consolas usadas (ou computadores).

A empresa confirma ainda que o sistema de suporte da mesma encontra-se novamente ativo, e de forma segura, portanto os utilizadores podem entrar em contacto novamente com a entidade para qualquer questão.

Os utilizadores afetados devem, no entanto, ficar atentos a possíveis mensagens de spam que sejam recebidas em nome da 2K Games.

07/10/2022
Hacker rouba 566 milhões de dólares em criptomoedas da Binance Bridge

Alguém terá recentemente realizado um ataque à plataforma Binance Bridge, na qual terá resultado o roubo de quase 2 milhões de Binance Coins (BNB), avaliadas em mais de 566 milhões de dólares.

A investigação ao ataque ainda se encontra a decorrer, e, portanto, os detalhes ainda são escassos. No entanto, este ataque terá começado quando uma carteira terá recebido duas transações da Bridge, cada uma com o valor de 1,000,000 BNB.

Pouco tempo depois, o atacante terá começado a distribuir estes fundos sobre vários pools, na tentativa de converter os ganhos em outras criptomoedas, e eventualmente, levantar os mesmos.

Pouco tempo depois, a Binance confirmou o ataque, tendo colocado em pausa todas as transações da BNB Smart Chain enquanto se investigava o incidente. O CEO da Binance, Changpeng Zhao, já confirmou, entretanto, que o ataque terá acontecido devido à exploração de uma vulnerabilidade sobre o BSC Token Hub, o qual permitiu ao atacante transferir os BNB para a sua carteira virtual.

Apesar de uma grande maioria dos fundos ter sido bloqueado, e ainda estarem na BNB Smart Chain, estima-se que tenham sido enviados para outras plataformas entre 70 e 80 milhões de dólares. Deste valor, e com a ajudar de outras entidades, cerca de 7 milhões de dólares já terão sido congelados.

A investigação do incidente ainda se encontra a decorrer, portanto mais informações devem vir a surgir durante as próximas horas. No entanto, esta é uma falha grave para a plataforma, com um dos maiores roubos dos últimos tempos.

07/10/2022
OneDrive possui falha grave a ser ativamente explorada

Se utiliza o OneDrive sobre o Windows, talvez seja uma boa altura para atualizar o mesmo para a versão mais recente, tendo em conta a recente descoberta dos investigadores da empresa de segurança Bitdefender.

Segundo os investigadores, foi recentemente descoberta uma nova falha sobre o cliente do OneDrive para Windows, a qual pode permitir aos atacantes introduzirem DLLs maliciosamente modificados para atacantes os sistemas.

Tendo em conta que o OneDrive encontra-se instalado de forma nativa no Windows 11, esta falha pode ter o potencial de afetar um largo número de utilizadores.

Este género de ataque é conhecido como DLL hijacking, onde o objetivo passa por levar os programas do sistema a correrem ficheiros DLL maliciosos, substituindo as versões originais e legitimas dos mesmos. Uma vez feita a substituição, o código malicioso nos ficheiros pode ser executado para as mais variadas tarefas.

De acordo com os investigadores, isso é o que se encontra a acontecer no OneDrive, onde uma falha na forma como o programa valida os ficheiros DLL permite que o ataque seja realizado. O ataque explora a forma como o OneDrive realiza a atualização do mesmo, e usando o programa dedicado para essa tarefa, os atacantes podem substituir o DLL usado no processo por uma versão maliciosa.

O mais grave será que esta falha já se encontra a ser explorada para ataques. Se o sistema for comprometido de alguma forma, a falha pode ser explorada para instalar mais malware no mesmo ou manter o controlo ativo.

De momento os investigadores afirmam que o ataque encontra-se a ser explorado apenas para a instalação de software de mineração nos sistemas, mas eventualmente a falha pode ser explorada para qualquer género de ataque.

A recomendação será que os utilizadores instalem o OneDrive como uma aplicação por “máquina”, invés de usarem a opção “por utilizado”. Isto deverá ser suficiente para corrigir a falha.

06/10/2022
Autoridades detiveram jovem por usar dados da Optus para chantagem

As autoridades australianas confirmaram ter detido um jovem, de 19 anos, por alegadamente ter usado os dados do ataque à operadora Optus para ameaçar as vítimas, obtendo ganhos ilícitos no processo.

Como se sabe, a operadora Optus, uma das maiores da Austrália, foi recentemente alvo de um ataque, que terá resultado no roubo de dados pessoais associados a milhares de clientes da empresa. Neste caso, as autoridades australianas afirmam ter detido o jovem, que apesar de não ser o responsável pelo ataque, terá usado os dados revelados do mesmo para outros esquemas.

Mais especificamente, o jovem terá usado os dados das vítimas para chantagear as mesmas, ameaçando com a divulgação dos dados na Internet, caso estas não pagassem o valor de 1300 dólares em dois dias. As ameaças eram feitas via SMS, para os contactos que estariam descritos na lista que foi roubada do ataque.

As autoridades confirmaram ter chegado à identidade do mesmo visto que este terá usado uma conta bancária criada sobre uma agência no próprio pais e em seu nome para receber os pagamentos das vítimas. No total, terão sido contactadas 93 pessoas sobre este esquema, mas nenhuma das afetadas realizou o pagamento.

Quanto aos atacantes originais da Optus, as autoridades ainda se encontram a realizar a investigação do incidente e a tentar chegar à origem dos mesmos.

06/10/2022
Ex-chefe de segurança da Uber condenado por ocultar ataque em 2016

Em meados de 2016, a Uber sofreu um dos maiores ataques da história da empresa, mas demorou bastante tempo a revelar o mesmo depois de ter obtido conhecimento que este aconteceu.

Agora, Joseph Sullivan, chefe de segurança da Uber, foi oficialmente condenado por ter ocultado o ataque das autoridades. De acordo com o NYT, o tribunal de São Francisco condenou Sullivan por obstruir a investigação da FTC sobre outro incidente que teria acontecido em 2014. Este foi ainda condenado por ter ativamente ocultado o ataque das autoridades.

Em causa encontra-se a forma como o chefe de segurança agiu perante o ataque, que afetou um dos servidores da Amazon da empresa, e onde os atacantes estariam a pedir 100.000 dólares à entidade para evitar a divulgação de dados.

Os hackers terão entrado em contacto com Sullivan, a informar que teriam descoberto uma falha de segurança nos sistemas da empresa, a qual permitia o acesso a informação pessoal de 600,000 condutores, e mais de 57 milhões de passageiros.

Mais tarde foi conhecido que os atacantes terão encontrado uma chave digital da Uber, usada para aceder ao sistema, e onde se encontrava então os dados dos clientes da empresa sem qualquer encriptação.

Sullivan recomendou os hackers a irem pelo programa de bug bounty da empresa, mas este apenas possui o pagamento máximo de 10.000 dólares, valor abaixo do que os atacantes pretendiam. Face a isto, estes ameaçaram a empresa que iriam revelar a falha e os dados caso o pagamento não fosse realizado.

O chefe de segurança usou os fundos da empresa para pagar os 100.000 dólares em Bitcoin, parecendo como se fosse do programa de bug bounty, tendo também forçado os atacantes a assinarem um acordo para não revelarem o mesmo.

O júri terá visto este acordo como uma forma de se ocultar as atividades, que estará agora na frente da acusação. Além disso, ficou ainda estabelecido que o pagamento não deveria ter sido feito como forma de bug bounty, uma vez que estes programas são direcionados para investigadores de segurança que pretendem realmente ajudar as empresas – e não foi o que aconteceu neste caso.

Além disso, as autoridades deveriam também ter sido informadas sobre o ataque, algo que não aconteceu na altura. Sullivan enfrenta agora até cinco anos de prisão, e mais três por ter ocultado o caso.

06/10/2022