Categoria: ataque

Dados de 9000 clientes da TAP disponibilizados sobre recente ataque

A TAP encontra-se a enfrentar uma dura pressão, depois de ter sido alvo de um forte ataque informático, do qual agora se sabe que pode ter afetado dados associados com os clientes da empresa.

O ataque foi confirmado pelo grupo conhecido como Ragnar_Locker, que já tinha publicado faz alguns dias uma mensagem no seu blog a confirmar o ataque, incluindo alguns detalhes sobre o que teria sido roubado. Esta mensagem foi publicada apenas alguns dias depois de a TAP, de forma oficial, ter confirmado que tinha sido vítima de um ataque informático, mas que nenhuma informação teria sido roubada.

A empresa, na altura, confirmou que o ataque foi bloqueado com sucesso, e que os dados da mesma estariam seguros. Face a estas declarações, no entanto, o grupo de hackers veio publicamente confirmar que não seriam verdade – tendo deixado também uma imagem contendo os dados acedidos da empresa.

Agora, a situação torna-se consideravelmente mais grave, tendo em conta que o grupo encontra-se a publicar os primeiros dados que terão sido obtidos do ataque. A partir do site na rede Tor, o grupo publicou uma lista com alegadamente 9323 dados de clientes da TAP.

Estes dados incluem nomes, datas de nascimento, emails, números de telefone e vária outra informação sensível e usada para o embarque. Acredita-se que os dados sejam respeitantes a passageiros da empresa dos últimos anos. Por entre os dados encontram-se ainda emails da empresa e dados financeiros internos.

No entanto, o grupo alega ainda que este pode não ser o fim, já que este lote de mais de 9000 dados de clientes faz parte apenas de 0.35% de toda a informação que o grupo terá recolhido dos sistemas da TAP. Na realidade, o mesmo encontra-se agora a indicar que vai publicar os restantes dados em grupos de até 100 mil dados de clientes da empresa por dia a partir da próxima semana, portanto existe o potencial de mais dados virem a ser divulgados publicamente.

A partir do Twitter, a TAP afirma que continua a adotar medidas de segurança para analisar as acusações feitas pelo grupo, juntamente com a investigação das autoridades competentes. No entanto, não foram deixados comentários recentes relativamente à divulgação dos dados.

04/09/2022
Samsung confirma ataque com roubo de dados de clientes

A Samsung confirmou durante o dia de hoje ter sido vítima de um novo ataque informático na filial da empresa nos EUA, o qual pode ter afetado alguns dados de clientes da empresa.

A empresa começa por reforçar que, apesar de informação respeitante aos clientes ter sido afetada, esta não envolve dados mais sensíveis como números de segurança social ou números de cartões de crédito. No entanto, dados pessoais como o Nome, email, número de telefone, data de nascimento e números de registo de produtos da Samsung podem ter sido acedidos por terceiros durante o ataque.

A empresa não revela o número exato de clientes afetados, mas indica que quem tenha sido afetado deverá receber um email da empresa a notificar da situação.

O acesso não autorizado terá ocorrido em meados de Julho, com os atacantes a terem roubado informação da empresa durante o período de tempo que estiveram nos sistemas. Em agosto, durante a análise do ataque, a Samsung confirmou que dados dos clientes foram acedidos e retirados dos sistemas, mas os dispositivos dos mesmos não foram afetados.

A empresa sublinha anda que, para os clientes, não existe necessidade de uma ação imediata, tendo em conta que a investigação ainda se encontra a decorrer. No entanto, a empresa afirma ter reforçado as suas medidas de segurança, bem como notificou as autoridades competentes derivado do roubo de dados.

02/09/2022
Campanha do Instagram engana utilizadores com falsas verificações

Ter uma conta verificada numa plataforma é um enorme estatuto, seja no Facebook, Instagram, Twitter ou qualquer outra onde isso exista. Normalmente, este género de contas tende a ser mais destacada na plataforma, mas ao mesmo tempo nem todos a podem obter.

No entanto, encontra-se ativo um largo esquema de phishing que tenta enganar possíveis vítimas no pretexto de obterem esta verificação. Por norma, a verificação de contas apenas é feita sobre as próprias plataformas, e apenas estas podem fornecer tal estatuto.

No entanto, foi recentemente descoberta uma nova rede de phishing que tenta enganar as vítimas com falsas validações. O ataque começa quando as vítimas recebem um email, a notificar que estão validadas para a verificação da conta – o esquema foca-se sobretudo para o Instagram.

O email contém um pequeno link, onde os utilizadores devem aceder para continuar o suposto processo de validação de dados e verificação da conta. O que os utilizadores acedem é, no entanto, um site especialmente criado para levar ao roubo dos dados da conta.

Este site indica que o utilizador está válido para ter a conta verificada, e tudo o que necessita de fazer é fornecer o seu Nome, email, número de telefone e senha de acesso ao Instagram – supostamente para a plataforma validar a identidade.

O problema é que este site não tem qualquer associação com o Instagram, Facebook ou Meta. Todos os dados introduzidos no mesmo são diretamente enviados para os atacantes, que com essa informação, procedem com a tentativa de roubo da conta.

É importante relembrar que a verificação de contas é um processo que apenas pode ser realizado pela empresa associada com a rede social, e a partir das suas próprias apps ou sites. Da mesma forma, nunca deverá colocar a senha de acesso ao Instagram – ou a qualquer outra conta – em plataformas de terceiros desconhecidos.

01/09/2022
Atacantes da Neopets estiveram 18 meses nos sistemas

Recentemente a empresa responsável pela plataforma do Neopets foi alvo de um ataque, onde dados de mais de 69 milhões de utilizadores podem ter sido roubados da plataforma.

O ataque foi confirmado no dia 20 de Julho, com a empresa a confirmar que os atacantes podem ter acedido aos dados internos da empresa, e estariam a vender essa informação em várias plataformas da dark web. No entanto, agora que as investigações analisaram melhor o ataque, existem novos detalhes sobre o mesmo.

Ao que parece, os hackers responsáveis pelo ataque terão mantido o acesso aos sistemas da empresa por mais de 18 meses, entre 3 de Janeiro de 2021 e 19 de Julho de 2022, altura em que o ataque foi confirmado.

Durante este período, os atacantes tiveram acesso praticamente livre para qualquer sistema da plataforma, e terão usado esse mesmo acesso para descarregar uma lista atualizada de todos os utilizadores da mesma, bem como outras informações internas.

A empresa confirma ainda que, para utilizadores que tinham as contas ativas anteriormente a 2015, as senhas contidas na base de dados não estariam encriptadas – embora as mesmas tenham sido entretanto bloqueadas na plataforma, isso não impede que as mesmas estejam associadas com os utilizadores noutros serviços.

Desde o incidente, a Neopets afirma que melhorou consideravelmente a segurança da sua plataforma, para garantir que os utilizadores estão seguros durante o uso da mesma. Isto pode não resolver os problemas dos utilizadores afetados pelo ataque, mas pelo menos fica a garantia da empresa que os dados futuros estão salvaguardados o melhor possível, com novas medidas de segurança implementadas para tal.

01/09/2022
Recebeu um email de reembolso do IVA? Tenha cuidado com os esquemas!

Como acontece todos os anos, os esquemas maliciosos tendem a aproveitar eventos ou situações importantes para tentar enganar o máximo de vítimas possíveis. E o reembolso do IRS é um dos esquemas mais antigos que ainda se encontra bem ativo nos dias de hoje.

O esquema envolve uma mensagem que as vítimas recebem, supostamente com informações para realizar ou obter o reembolso do IVA. A mensagem apelida-se como tendo sido enviada pela Autoridade Tributária e Aduaneira, no entanto o endereço de envio pode variar entre diferentes domínios – normalmente de contas de email atacadas ou domínios falsos.

A mensagem de email conta ainda com um link, ao qual o utilizador deve, supostamente, aceder para receber o reembolso. Nunca será demais frisar que estes links não devem ser, em nenhuma circunstância, acedidos.

A partir o ataque concreto pode variar. Em alguns casos são descarregados ficheiros maliciosos para o sistema, que caso o utilizador os abra podem comprometer o mesmo, ou pode-se ser redirecionado para falsos sites que requerem informação pessoal e pagamentos – onde possivelmente os dados introduzidos nos mesmos acabam por ser roubados.

Como sempre, será importante ter atenção a todos os emails recebidos. Mesmo que estas mensagens acabem muitas vezes na pasta de spam, podem existir situações onde conseguem escapar a esse filtro, acabando na caixa de entrada dos utilizadores.

O seu foco será, sobretudo, para utilizadores de idade avançada ou com menos conhecimentos de tecnologia. A informação e alerta são a principal forma de se evitar o crescente número de potenciais lesados.

01/09/2022
Tribunal ordena Telegram a fornecer dados pessoais de utilizadores

O Telegram é uma das plataformas de mensagens mais reconhecidas pelas suas fortes práticas de privacidade e segurança. Isto é algo que a própria plataforma defende, sobretudo quando envolve questões relacionadas com a privacidade dos utilizadores e o direito de expressão.

No entanto, uma recente decisão do tribunal de Delhi, na Índia, pode mudar isso. Relativamente a um caso sobre o uso do Telegram para a partilha de conteúdos piratas, o tribunal terá ordenado à app de mensagens que forneça os dados pessoais de vários utilizadores, associados com a gestão destes grupos.

Apesar de conteúdos em violação de direitos de autor não serem permitidos sobre o Telegram, estes grupos podem permanecer ativos durante meses sem qualquer medida pela plataforma, e mesmo quando um é removido, rapidamente surgem alternativas.

Como tal, grupos de defesa dos direitos de autor têm vindo a apostar mais no “ataque” contra os gestores desses grupos, do que propriamente os grupos em si e o Telegram. E para esta medida, necessita de se saber quem está por detrás das contas.

Sobre este caso, o Tribunal de Delhi terá agora ordenado a plataforma a fornecer dados pessoais, o que inclui o IP, número de telefone e outras informações, sobre utilizadores que estarim relacionados com grupos de pirataria.

Apesar de o Telegram ter negado fornecer essa informação, o tribunal não considera a defesa da plataforma como válida, e como tal está agora a pedir a informação dos utilizadores e que a mesma seja fornecida. O tribunal justifica a medida tendo em conta as leis locais na Índia, onde a app de mensagens conta com uma elevada base dos seus utilizadores.

Tendo em conta que o Telegram opera na Índia, este necessita de se guiar pelas regras locais.

O Telegram tentou apontar a constituição indiana, a qual fornece proteção para a liberdade de expressão e a privacidade dos residentes no pais. No entanto, parece que isso não terá resultado como defesa para o tribunal.

Apesar de o caso ainda estar em análise, tudo aponta que o Telegram poderá mesmo ser forçado a fornecer os dados dos utilizadores ao tribunal indiano, sobre possível pena de agravamento da situação para a plataforma.

31/08/2022
TAP Air Portugal alvo de ataque de ransomware

A TAP Air Portugal aparenta ter sido a mais recente vítima de um ataque de ransomware, com dados potencialmente acedidos. O ataque foi confirmado pelo grupo conhecido como Ragnar Locker, que a partir do seu site na rede TOR deu a conhecer o ataque.

De relembrar que, no final da semana passada, a TAP tinha confirmado que teria sido alvo de um ataque, mas que conseguiu bloquear o mesmo com sucesso sem perda de dados. No entanto, tendo em conta as informações agora reveladas, o grupo associado ao ataque aparenta ter realizado o roubo de informações internas da empresa.

No seu blog na rede TOR, o grupo Ragnar Locker afirma que a empresa não terá dado prioridade à segurança dos seus dados, tendo fornecido uma comunicação errada sobre o roubo de dados que teria sofrido. O grupo alega ter roubado vários gigabytes de dados da empresa, que ultrapassa mesmo o roubo de outras entidades similares – como a Easy Jet.

Neste exemplo, o grupo alega que os cerca de 400.000 clientes da Easy Jet afetados pelo roubo de informações da empresa são pequenos em comparação com os dados que estes possuem sobre a TAP Portugal – os quais os mesmos alegam ser um dos maiores da história das empresas de aviação. Com esta indicação, acredita-se que o grupo possa ter obtido acesso a dados de clientes da empresa, funcionários e outras informações sensíveis.

Numa imagem partilhada pelo grupo no seu blog, este demonstra várias informações potencialmente sensíveis que terão sido recolhidas do ataque, contendo nomes, endereços de email, datas de nascimento e outras informações pessoais. Estes dados aparentam dizer respeito a clientes da empresa.

Até ao momento a TAP Portugal não deixou qualquer comunicado sobre o incidente.

31/08/2022
Malware esconde-se em imagens do telescópio James Webb

Existem formas criativas por onde malware se pode propagar, mas esconder o mesmo em imagens é talvez uma das mais obscuras. Recentemente foi identificada uma nova campanha de malware, que esconde os conteúdos maliciosos sobre imagens do telescópio James Webb.

Apelidada de “GO#WEBBFUSCATOR”, esta campanha foi descoberta por investigadores da empresa de segurança Securonix, e basicamente esconde o malware em imagens que, supostamente, foram retiradas do telescópio.

O malware encontra-se desenvolvido em linguagem de programação Golang, e como tal adapta-se a diferentes sistemas Windows, Linux e Mac.

O ataque começa quando as vítimas recebem uma mensagem de email de phishing, normalmente com um ficheiro do Word anexado. No entanto, este ficheiro contém uma macro que, ao ser executada, acaba por descarregar para o sistema um ficheiro de imagem JPG.

O curioso será que a imagem é onde o malware verdadeiramente se encontra. Inicialmente, a imagem nada mais parece que uma foto capturada pelo telescópio James Webb, mas quando descodificada no sistema acaba por se transformar num ficheiro EXE, que é depois usado para instalar o malware no sistema.

Se aberta num visualizador de imagens, esta apresenta a foto da galáxia SMACS 0723, que foi publicada pela NASA em Julho de 2022. No entanto, o código da imagem demonstra que existe mais conteúdo dentro da mesma do que apenas a imagem, mais concretamente o malware que acaba por ser instalado no sistema.

A técnica não é certamente nova, mas demonstra que ainda existem formas de tentar inovar para ocultar as atividades maliciosas. Para a maioria dos utilizadores, o conteúdo final acaba por ser uma simples imagem, quando na verdade existe algo por detrás disso que pode afetar seriamente o sistema.

31/08/2022
FBI alerta para aumento de ataques a plataformas DeFi

O mercado das criptomoedas continua bastante ativo, mesmo depois de todas as perdas de valor registadas nos últimos meses. E se existe uma tendência que tem vindo a ganhar tração é sem dúvida das plataformas DeFi.

No entanto, se está a pensar investir neste género de plataformas, o FBI agora deixa o alerta. Segundo as autoridades norte-americanas, os investidores devem ter cuidado ao investir em plataformas DeFi, tendo em conta o elevado número de ataques que têm vindo a ser registados contra estas plataformas em geral.

Apenas entre janeiro e março deste ano, os ataques sobre criptomoedas levaram ao roubo de quase 1.3 mil milhões de dólares, sendo que 97% deste dinheiro terá sido de ataques a plataformas DeFi. Este valor representa um acentuado aumento face ao registado em 2021 e 2020, na altura de 72% e 30% respetivamente.

Os ataques a estas plataformas estão também a ficar mais sofisticados, com os atacantes a usarem novas formas de ataque que acabam por ser praticamente impossível de rastrear as atividades ou de identificar a origem das mesmas.

Esta ideia vai também tendo em conta o elevado número de ataques registados nos últimos meses, que têm vindo a aumentar não apenas em quantidade, mas também em valores roubados.

Tendo em conta estes ataques, as autoridades alertam os investidores para terem cuidado sobre o dinheiro que colocam em plataformas DeFi, com o risco de o mesmo poder ser roubado tendo em conta os aumentos de ataques.

30/08/2022
Malware para Windows pode demorar um mês a instalar-se no sistema

Existe malware que tenta realizar as suas atividades o mais rapidamente possível, para garantir que os utilizadores não possuem tempo para detetar as atividades suspeitas ou removerem as mesmas. No entanto, também existe aqueles que não se importam de demorar algum tempo para essa tarefa.

Recentemente, investigadores da empresa de segurança Check Point revelaram um novo esquema de malware que se encontra em forte propagação, e que pode afetar os sistemas dos utilizadores durante um mês antes de serem realizadas as atividades maliciosas.

De acordo com os investigadores, o malware distribui-se sobretudo por falsas aplicações do Google Tradutor e de download de MP3s. Este malware encontra-se ainda a ser distribuído sobre vários sites legítimos de partilha de software, o que faz com que possa obter algum destaque antes de ser identificado.

O mesmo terá sido criado por um programador conhecido apenas por “Nitrokod”. Apesar de ser malware focado para roubar informação sensível dos sistemas das vítimas, e instalar sistemas de mineração de criptomoedas nos mesmos, a forma como tais atividades são realizadas é o ponto chave aqui.

O malware pode permanecer inativo no sistema durante mais de um mês, de forma a evitar a deteção. Para os utilizadores, estes podem acabar por instalar um programa que até funciona como se espera, mas ao mesmo tempo o malware também é instalado em segundo plano e permanece escondido durante esse período.

Os programas desenvolvidos por este programador, à primeira vista, parecem funcionar como esperado. O adiar a instalação do malware nos sistemas possui também como principal propósito dificultar a tarefa dos utilizadores identificarem a origem do ataque.

Quando um malware se instala num sistema, normalmente isso ocorre por algo que tenha sido feito de forma recente. No entanto, com a ativação passado apenas um mês, durante este período os utilizadores certamente que realizaram várias atividades no sistema, e torna-se mais difícil identificar a sua origem.

Durante este período de um mês, o programa legitimo inicialmente descarregado vai também executando as suas atividades, nomeadamente descarregando ficheiros encriptados do site do fabricante, em períodos regulares de 15 dias, e que vão assim instalando os componentes maliciosos no sistema.

Para além disso, o malware procede ainda com a tentativa de desativar o software de segurança do sistema, ou de adicionar o mesmo como uma exclusão das pesquisas.

Como sempre, a principal forma de evitar a instalação do malware passa por os utilizadores terem atenção aos locais de onde se encontram a descarregar os seus conteúdos, sobretudo de plataformas não reconhecidas ou para apps com funcionalidades suspeitas.

29/08/2022
Ataque da Twilio pode ter afetado códigos de autenticação da Okta

Recentemente a empresa Twilio foi alvo de um ataque, de onde dados dos utilizadores da empresa podem ter sido acedidos por terceiros. A investigação ao incidente ainda se encontra a decorrer, e vão surgindo algumas informações adicionais sobre o que realmente aconteceu.

Relembrando o caso, a Twilio confirmou que no passado dia 4 de Agosto, terceiros terão conseguido obter acesso à sua infraestrutura, através do roubo de credenciais de acesso de um dos funcionários da empresa. Durante o tempo em que os mesmos estiveram com o acesso, terão sido acedidas diversas informações associadas com a empresa e com clientes da mesma.

Um desses clientes seria a Okta, uma plataforma de autenticação em duas etapas que usa a Twilio para o envio de SMS com os códigos de autenticação. No dia 8 de Agosto, a Okta terá sido informada que foi uma das clientes afetadas pelo ataque da Twilio, sendo que começou a enviar as SMS de autenticação a partir de outras entidade.

No entanto, isso não terá impedido que, durante o ataque, os códigos de SMS enviados para clientes da Okta possam ter sido verificados pelos atacantes, com o acesso que possuíam aos sistemas internos da Twilio.

Os investigadores confirmaram recentemente que foram feitos acessos não autorizados aos códigos de autenticação da Okta, e que alguns clientes da mesma podem ter sido afetados. Os códigos de autenticação que terão sido acedidos terão permanecido ativos por cinco minutos.

De notar que, segundo a investigação, não se acredita que os códigos a que os atacantes tiveram acesso foram usados para acesso a outras contas, nomeadamente a contas associadas com clientes da Okta.

28/08/2022
Algumas contas da Authy podem ter sido afetadas em ataque da Twilio

A Signal não é a única empresa que pode ter sido afetada pelo ataque realizado à Twilio, no passado dia 24 de Agosto. Para além desta entidade gerir um vasto conjunto de serviços, a mesma possui também uma aplicação de autenticação em duas etapas, a Authy.

Uma das vantagens da Authy será que mantém todos os códigos sincronizados entre dispositivos, ficando os mesmos armazenados na plataforma da Authy/Twilio. No entanto, de acordo com a descoberta do portal TechCrunch, alguns dos utilizadores desta plataforma podem ter sido igualmente afetados com o ataque recente.

De acordo com as descobertas da Twilio, cerca de 93 contas individuais de utilizadores da Authy podem ter sido afetadas pelo recente ataque à empresa. De notar que a app conta atualmente com mais de 75 milhões de utilizadores em todo o mundo.

A informação da Twilio indica que os atacantes que acederam aos sistemas internos da empresa terão usado esse acesso para obterem dados de 93 contas da Authy. A empresa afirma que já identificou todas as contas que terão sido afetadas, e que os dispositivos desconhecidos das mesmas terão sido removidos. No entanto, isto indica também que os atacantes tiveram acesso à plataforma da Authy, potencialmente obtendo acesso também aos códigos de autenticação em duas etapas que eram gerados pelos mesmos.

A empresa recomenda que os utilizadores verifiquem se existe algum dispositivo desconhecido sobre a lista de equipamentos ligados na conta, ao mesmo tempo que, para maior proteção, pode-se desativar a permissão de usar a app em mais do que um equipamento.

De relembrar que, durante esta semana, a empresa também tinha confirmado que 163 contas de clientes da mesma podem ter sido afetadas, com dados de clientes a terem sido acedidos pelos atacantes durante o período de tempo em que estes permaneceram com acesso à plataforma.

28/08/2022
Sistemas de desenvolvimento da LastPass atacados com código-fonte roubado

A Lastpass, empresa responsável pelo Gestor de senhas sobre o mesmo nome, confirmou ter sido alvo de um ataque nas suas redes internas faz cerca de duas semanas, onde podem ter sido roubados dados associados com a entidade e com os seus programas.

De acordo com o comunicado da empresa, o ataque terá ocorrido por volta do dia 10 de Agosto, embora possa ter durado durante mais tempo. Neste, os atacantes obtiveram acesso a dados de login de funcionários da empresa, os quais terão sido usados para acesso aos sistemas internos de desenvolvimento da LastPass.

Nestes sistemas, os atacantes terão obtido acesso a vários dados associados com a entidade e com as aplicações desenvolvidas pela mesma, nomeadamente com os programas respeitantes ao gestor de senhas do LastPass – o que pode incluir o código fonte do mesmo.

A empresa afirma não existirem evidências que dados dos clientes ou das suas senhas tenham sido comprometidos neste ataque. No entanto, os atacantes terão roubado uma parte do código fonte das aplicações e outras tecnologias proprietárias da Lastpass.

A empresa terá aplicado as medidas de contenção do ataque assim que o mesmo foi identificado, além de ter iniciado as tarefas de investigação do incidente. Estas medidas ainda se encontram a ser aplicadas para serem obtidos mais detalhes sobre a origem do ataque e os danos efetivamente causados.

A empresa sublinha ainda que terá reforçado a segurança interna, no entanto não deixou detalhes sobre o ataque propriamente dito ou os conteúdos roubados. De notar que a LastPass é considerado um dos maiores gestores de senha no mundo, com mais de 33 milhões de utilizadores ativos e usado por mais de 100.000 empresas.

Tendo em conta os dados sensíveis que se encontram associados a estes clientes, certamente que um ataque deste género será algo para preocupação. No entanto, todos os dados dos clientes encontram-se encriptados em “cofres”, que apenas podem ser abertos com a chave que é fornecida pelos próprios clientes – nem mesmo a LastPass possui acesso aos dados.

Ainda assim, é aconselhado que os utilizadores com contas na Lastpass ativem a autenticação em duas etapas para as suas contas, de forma a garantir uma camada adicional de segurança.

25/08/2022
Altice International alegadamente alvo de ataque ransomware

O grupo de ransomware conhecido como Hive encontra-se a atribuir a autoria de um recente ataque de ransomware para a empresa Altice International.

De acordo com o comunicado do grupo, publicado no seu site sobre a rede Tor, o mesmo alega ter atacado a empresa no passado dia 9 de Agosto de 2022. Até ao momento ainda se desconhecem exatamente quais os dados da entidade que foram afetados, sendo que a empresa não deixou qualquer comunicado sobre a situação.

O grupo Hive tem vindo a realizar ataques de larga escala em diversas entidades, com a sua atividade a propagar-se cada vez mais para grandes setores e entidades. O grupo tenta negociar com as empresas afetadas um valor para evitar a divulgação dos dados, mas não chegando a um acordo, os mesmos são publicamente disponibilizados.

De notar que, da Altice Internacional, faz parte a Altice Portugal, que é responsável por fornecer vários serviços triple-play em Portugal. Desconhece-se, para já, se o ataque terá afetado outras entidades associadas com a Altice International.

25/08/2022
Ataque da Twilio pode ter sido mais grave do que o originalmente previsto

No início do mês, a empresa Twilio confirmou ter sido vítima de um novo ataque, onde terão sido usados dados roubados de funcionários da entidade para aceder aos sistemas internos da mesma. E agora, conforme a investigação ao incidente também avança, são conhecidos mais detalhes sobre a situação.

De acordo com a empresa de segurança Group-IB, em entrevista ao portal TechCrunch, o ataque à Twilio pode ter sido mais alargado do que o inicialmente previsto. Os investigadores apontam que existe a possibilidade de o grupo de atacantes ter permanecido com acesso aos sistemas internos durante bastante tempo.

O ataque terá afetado cerca de 125 empresas que usam os sistemas da Twilio, entre as quais se encontra a empresa Signal, responsável pela aplicação de conversas privadas sobre o mesmo nome.

O ataque acredita-se ter sido realizado por um grupo conhecido como “0ktapus”, e a maioria das empresas afetadas encontram-se localizadas nos EUA ou possuem algum género de presença no pais.

Os investigadores acreditam ainda que 9931 dados de credenciais de utilizadores podem ter sido comprometidos no ataque, com uma grande maioria a incluir também códigos de autenticação para sistemas de autenticação em duas etapas.

As empresas eram muitas vezes alvo de esquemas de phishing pelos atacantes, que usavam os dados da Twilio para tentar obter mais detalhes das contas de outras entidades. Acredita-se ainda que as informações roubadas estariam a ser enviadas diretamente para um bot no Telegram, que estaria sobre o controlo dos atacantes e onde todos os dados de login e informações importantes eram colocados.

Um dos gestores deste bot no Telegram é conhecido apenas pelo nome de “X”, embora os investigadores tenham conseguido identificar a sua conta do Twitter e do Github, com indícios de que o mesmo se encontra localizado nos EUA. De notar que a empresa Cloudflare também já tinha confirmado que os atacantes poderiam ter usado o Telegram para recolher os dados de login.

Para já não foram revelados os nomes das empresas que podem ter sido afetadas pelo ataque, mas a empresa afirma que existem nomes de grandes entidades a nível mundial, a maioria relacionada com o fornecimento de serviços técnicos, financeiros e até do mercado dos videojogos.

25/08/2022
Como realizar o reset da senha na sua conta da Plex

Recentemente a Plex começou a recomendar aos utilizadores alterarem as senhas das suas contas, depois de ter sido descoberto que os sistemas da empresa podem ter sido invadidos.

Neste recente ataque acredita-se que podem ter sido comprometidos alguns dados pessoais dos utilizadores, onde se encontra os seus emails, nomes e senhas encriptadas. Apesar de a Plex garantir que as senhas estavam seguras e encriptadas, ainda assim os utilizadores são aconselhados a realizarem a alteração das mesmas.

Neste artigo iremos verificar como pode realizar o reset da sua senha da Plex, garantindo assim mais segurança para a sua conta.

1- Caso tenha a conta aberta sobre o navegador, abra uma nova janela anónima do mesmo e aceda a este link: https://app.plex.tv/auth#?resetPassword

2- Sobre a página, introduza o seu email de utilizador – o mesmo email no qual recebe as comunicações da Plex e que utiliza normalmente para o login.

3- Se o email estiver correto, irá receber uma mensagem no mesmo com um link de validação da alteração da senha. Carregue sobre o mesmo para proceder.

4- Sobre a nova janela que irá ser aberta, deve agora ser questionado sobre a nova senha a aplicar. Introduza uma senha diferente da que estaria a usar anteriormente.

Caso pretenda, pode também neste ponto selecionar a opção de desligar todos os dispositivos na conta após a mudança da senha. Isto permite que todos os dispositivos tenham de realizar novamente o login para acederem à plataforma.

Não recebeu o email de reset da senha?

O email de recuperação da senha pode demorar alguns minutos a chegar. No entanto, caso não o receba, comece por verificar se o email introduzido na etapa de recuperação se encontra correto.

Se sim, então verifique se a mensagem não pode ter sido incorretamente filtrada para a pasta de spam.

Feito isto, a sua conta deve agora encontrar-se com uma nova senha, o que deverá ser o suficiente para garantir a segurança da mesma. No entanto, recomenda-se que ative a autenticação em duas etapas sobre a conta, para adicionar uma camada adicional de segurança na mesma.

24/08/2022
Plex confirma ataque e recomenda alteração das senhas

O Plex, um dos maiores serviços de streaming de conteúdos multimédia no mercado, confirmou ter sido alvo de um ataque recentemente, no qual dados sensíveis dos utilizadores podem ter sido acedidos por terceiros, estando agora a requerer a mudança da senha para todos os utilizadores.

A partir de um email enviado para os utilizadores da plataforma, a empresa confirma ter sido alvo de um ataque, onde existe a possibilidade de terem sido acedidas informações sensíveis dos utilizadores. Entre estas informações encontram-se os emails, nomes e senhas encriptadas dos mesmos.

Os acessos indevidos terão sido confirmados durante o dia de ontem, 23/08/2022, sendo que a empresa agiu de forma imediata para suspender as ligações. Apesar de as senhas estarem encriptadas de forma segura, a empresa refere no email que recomenda aos utilizadores realizarem o reset das mesmas o mais rapidamente possível.

A empresa sublinha ainda que os dados de pagamento dos clientes não terão sido afetados, uma vez que não se encontram sobre o mesmo sistema onde se encontram as contas dos utilizadores. A investigação ao incidente ainda se encontra a decorrer, sendo que mais informações devem ser reveladas durante os próximos dias.

Então, o que necessita de fazer?

Caso seja cliente da Plex, será aconselhado que realize de forma imediata a alteração da senha de acesso à conta da plataforma. O email enviado pela empresa deve conter todos os passos necessários para este processo.

Caso a mesma senha seja utilizada em outros locais, recomenda-se ainda que a mesma seja também alterada – embora se acredite que esta se encontre encriptada, ainda pode ser usada para ataques direcionados. A ativação da autenticação em duas etapas será outro ponto fundamental para garantir a segurança.

24/08/2022
Twitter acusado por ex-funcionário de mentir sobre bots e segurança dos dados

O Twitter tem estado sobre as notícias nos últimos tempos relativamente ao caso entre a plataforma e Elon Musk. No entanto, parece que os problemas da rede social ainda se encontram longe de terminar.

Recentemente um ex-funcionário da empresa veio deixar graves acusações contra o Twitter e as suas práticas de segurança, as quais podem ser consideradas negligentes pelo mesmo. As declarações surgem do antigo chefe de segurança do Twitter, Peiter “Mudge” Zatko, que acusa a plataforma de não ter as melhores práticas relativamente à segurança das contas de utilizadores e dos seus dados pessoais.

Em entrevista à CNN, Zatko afirma que terá sido despedido do Twitter em Janeiro deste ano, depois de ter recusado ficar quieto sobre algumas práticas internas da empresa e das suas vulnerabilidades. O mês passado, Zatko terá aberto um processo junto das autoridades norte-americanas, informando sobre estas mesmas práticas e em como o Twitter se encontra a enganar os investidores e utilizadores, juntamente com as autoridades.

Durante a entrevista à CNN, Zatko afirma ter-se juntado ao Twitter em 2020 sobre pedido direto do antigo CEO da plataforma, Jack Dorsey. Isto terá sido feito pouco depois da empresa ter sido alvo de um ataque massivo, onde contas de várias personalidades foram usadas para enviar mensagens de esquemas relacionados com Bitcoin.

Apesar de Zatko ter trabalhado na empresa até ao início deste ano, o mesmo acredita que a mentalidade da plataforma terá mudado a partir do momento que Dorsey saio do cargo de CEO da mesma, passando tal responsabilidade para o atual CEO Parag Agrawal.

As indicações deixadas por Zatko para as autoridades apontam várias falhas graves de segurança e privacidade sobre o Twitter, que podem comprometer seriamente os utilizadores. Uma das críticas mais apontadas será o facto que existem muitos funcionários internos do Twitter que possuem acesso a informações sensíveis dos utilizadores em geral.

Zatko afirma que quase metade dos 7000 funcionários da empresa possuem acesso a dados sensíveis dos utilizadores a qualquer momento, e que podem aceder a estes praticamente sem qualquer restrição. Existem ainda acusações sobre como vários funcionários possuem partes do código fonte da plataforma em portáteis usados para o trabalho e para atividades pessoais.

Existe ainda a questão relacionada com bots e contas de spam, um tema que tem estado bem ativo nos últimos tempos. Segundo Zatko, o Twitter tem vindo a ignorar este género de contas, sendo que os números reais de contas falsas na plataforma é consideravelmente acima do que a mesma afirma publicamente.

A plataforma incentiva os investidores a aumentarem o número de utilizadores ativos na plataforma, invés de remover contas associadas a bots. Existem ainda acusações sobre como a plataforma terá falhado em remover conteúdos dos utilizadores, quando tal ação é requerida.

Em resposta, o Twitter afirma que as acusações do antigo chefe de segurança da plataforma são infundadas e levadas fora de contexto. Em comunicado à CNN, o Twitter afirma que Zatko terá sido despedido devido ao seu baixo desempenho dentro da empresa e práticas inadequadas para o cargo que possuía.

Existem ainda incoerências e falhas sobre os dados apontados pelo mesmo relativamente à privacidade e segurança dos utilizadores.

Independentemente disso, as acusações de Zatko surgem numa das piores alturas para a plataforma, que se encontra a entrar numa dura batalha judicial contra Elon Musk sobre a possível venda da mesma para o multimilionário.

23/08/2022
Grupo de ransomware LockBit alvo de ataque DDoS após divulgar dados da Entrust

O grupo de ransomware LockBit confirmou ter sido o responsável por um roubo de dados da empresa Entrust, tendo ameaçado publicar os dados roubados depois de as negociações com a entidade não terem chegado a nenhum resultado.

No entanto, pouco depois de ter sido confirmado que os dados iriam ser revelados, o site do grupo que é usado para anunciar os ataques foi alvo de um forte ataque DDoS, o qual aparenta ter sido originado da própria Entrust ou de entidades diretamente relacionadas com a mesma.

A Entrust é uma empresa que se apelida líder na proteção de dados, identidades e pagamentos, fornecendo serviços para milhares de empresas no mercado. Em Julho, a entidade tinha confirmado que os seus sistemas tinham sido acedidos por uma entidade não autorizada, mas não deixou detalhes sobre o que teria sido concretamente acedido.

De notar que, da lista de clientes da Entrust, encontram-se várias entidades e agências governamentais dos EUA, pelo que o acesso a dados dos clientes da mesma poderia revelar-se uma verdadeira dor de cabeça.

No final da semana passada, o grupo LockBit confirmou ter sido a origem do ataque, tendo ainda confirmado que tentou entrar em contacto com a Entrust para negociar a não publicação dos dados roubados – o que terminou sem sucesso.

Face a isto, o grupo terá começado a divulgar alguns dos ficheiros roubados da empresa. No entanto, pouco depois de os primeiros dados terem sido revelados, o site do grupo foi alvo de um forte ataque DDoS, tendo ficado inacessível.

Vários investigadores de segurança que possuem ligações com os responsáveis do grupo confirmam o ataque. Azim Shukuhi, um investigador que terá estado em contacto com um dos responsáveis do grupo, conhecido apenas como “LockBitSupp”, indica que os servidores do grupo terão sido alvos de um ataque com mais de 400 pedidos por segundo de 1000 servidores diferentes.

O ataque acredita-se ter ligação com a Entrust de alguma forma não oficial, uma vez que os atacantes, sobre os pedidos feitos para os servidores do grupo de ransomware, alteraram o nome do useragent para indicar a eliminação dos dados associados com a Entrust.

O site do grupo ainda se encontra atualmente inacessível sobre a rede Tor, o que indica que pode ainda estar a verificar um largo ataque DDoS. No entanto, durante alguns períodos de tempo, o mesmo voltou a ficar ativo com uma mensagem dos responsáveis do grupo, a indicar que os dados da empresa iriam ser enviados para uma plataforma P2P, o que tecnicamente torna consideravelmente mais difícil remover os dados ou deixar os mesmos inacessíveis.

Até ao momento a Entrust não deixou qualquer comentário sobre o caso ou a possível relação entre os ataques DDoS e a o grupo.

No entanto, é importante notar que, sobre as leis norte-americanas, é ilegal realizar ataques reversos como “vingança”. Isto inclui a realização de ataques aos grupos que inicialmente realizaram um ataque sobre uma entidade, o que tem vindo a ser também alvo de algumas críticas – uma vez que poderia ser visto como uma forma de defesa das pequenas entidades.

No entanto, as autoridades consideram que esta medida apenas leva a mais atos de violência e ataques digitais invés de se tentar resolver a situação.

22/08/2022
Esquema do PayPal engana até os utilizadores mais atentos

De tempos a tempos surgem formas engenhosas de se criar esquemas pela Internet, e o mais recente pode enganar até os utilizadores mais atentos, sobretudo para quem use o PayPal para compras online.

De acordo com o portal Krebs On Security, um novo esquema encontra-se a usar o próprio PayPal para enganar vítimas desatentas. O esquema começa quando a vítima recebe um email de uma aparente cobrança, com valores elevados.

O email pode, à partida, parecer suspeito, mas se formos analisar os detalhes, podemos verificar que a mensagem foi efetivamente enviada pelo PayPal. A mensagem surge com o endereço tradicional da plataforma, e foi efetivamente enviada dos servidores do sistema de pagamento, chegando à caixa de entrada.

No conteúdo da mensagem surge a indicação de que foi criada uma nova fatura, no valor de 600 dólares – embora o valor possa variar – e que o utilizador deve aceder para realizar o pagamento. Junto a esta fatura surge ainda uma nota, que surge como tendo sido enviada pelo PayPal, a indicar que foi identificada uma atividade suspeita pela conta do utilizador, e que este deve ligar para um número de telefone de forma a resolver a situação.

O interessante deste esquema encontra-se mesmo na forma como a mensagem foi enviada. Os atacantes estão a aproveitar o sistema de criação de faturas do PayPal para enviar este género de esquema. O PayPal permite que qualquer vendedor possa criar uma fatura, enviando a mesma para o cliente.

O problema encontra-se no facto que os vendedores também podem colocar qualquer nota sobre a mensagem, o que é aproveitado para tentar levar as vítimas a ligarem para o número de telefone – sobre o pretexto de se tratar do suporte do PayPal quando estariam a ligar para os atacantes.

Como a fatura foi criada diretamente pelo PayPal, a mensagem é enviada também pelos sistemas do serviço, dai que é totalmente “legitima”, e consegue passar todos os filtros de spam – porque foi efetivamente enviada da fonte segura.

A única forma que os utilizadores podem identificar o esquema seria, possivelmente, com os erros gramaticais e na tradução feita sobre a suposta mensagem deixada pelo vendedor. Se a vítima ligar para o número que se encontra referido no email, os atacantes procedem com o ataque, e tentam roubar o máximo de informação e dinheiro possível.

As mensagens parecem estar a ser enviadas de contas roubadas do PayPal Business, ou criadas especificamente para os ataques – embora neste ponto se deva ter atenção que este género de contas necessita de várias validações, das quais os atacantes podem não conseguir completar.

22/08/2022
Nova campanha de malware afeta sites desatualizados de WordPress

Se possui um website baseado em WordPress, manter todos os conteúdos do mesmo atualizados é uma das práticas mais apropriadas para garantir também a sua segurança. E recentemente uma campanha tem tirado proveito de sites que não realizam esta tarefa regularmente.

De acordo com a empresa de segurança Securi, existe uma nova campanha ativa contra sites WordPress desatualizados, que tenta enganar as vítimas com falsos alertas de proteção DDoS da Cloudflare.

O ataque começa quando os visitantes do site recebem um alerta alegando ser da Cloudflare e do seu sistema de proteção DDoS. Este alerta leva os utilizadores a descarregar um ficheiro para os seus sistemas, concretamente um ficheiro de imagem de um disco. Este ficheiro é fornecido sobre o pretexto que o utilizador necessita de instalar um programa de segurança adicional no seu sistema para garantir a segurança do acesso.

O ficheiro, que se encontra sobre o nome de “security_install.iso”, nada mais é do que um ficheiro de imagem que contem malware, e que se o utilizador abrir no seu sistema, irá montar sobre uma drive virtual os conteúdos, abrindo portas para o ataque.

Se as vítimas instalarem o conteúdo requerido, ou abrirem o ficheiro de imagem, estarão a infetar o seu sistema com malware focado para roubar dados de acesso guardados nos navegadores e outras informações financeiras do sistema.

Todo o ataque começa a partir do momento que as vítimas acedem a um site infetado, que será sites baseados em WordPress que não foram atualizados ou que possuem falhas de segurança ativas.

Como tal, a recomendação será que os gestores de sites verifiquem se todos os seus ficheiros de temas e plugins se encontram atualizados e sem código malicioso integrado nos mesmos – ou que tenham sido modificados recentemente sem razão aparente.

21/08/2022
Grupo de ransomware LockBit confirma ataque à Entrust

O grupo de ransomware conhecido como Lockbit afirma ter realizado uma nova vítima, desta vez a entidade conhecida como Entrust.

O caso começou a ser reportado no passado mês de Junho, quando a Entrust começou a notificar alguns clientes de que teria sido alvo de um ciberataque. No entanto, na altura, não foram revelados muitos detalhes sobre o caso, embora tenha sido confirmado que alguns dados internos da empresa poderiam ter sido afetados.

Na altura, a empresa também confirmou que iria continuar as investigações, e caso fosse identificado que os dados roubados eram respeitantes a algum cliente da mesma, estes iriam ser diretamente contactados.

Agora, o grupo conhecido como Lockbit veio oficialmente confirmar ter sido a origem do ataque. A partir do seu website na rede Tor, citado pelo investigador de segurança Dominic Alvieri, o grupo confirmou ter realizado o ataque, e que se encontra a preparar para divulgar os dados roubados em menos de 24 horas.

Normalmente o grupo tende a anunciar o ataque a uma empresa e a divulgação dos dados com alguns dias de espaçamento, de forma a permitir alguma negociação. Neste caso, tendo em conta o relativo curto espaço de tempo fornecido, acredita-se que as negociações não tenham resultado em nenhum pagamento, dai que os dados serão agora divulgados.

De notar que este grupo é atualmente um dos mais ativos na esfera dos ataques de ransomware, sendo que o número de vítimas do mesmo tem vindo a aumentar consideravelmente nos últimos meses.

19/08/2022
Google regista o maior ataque DDoS da história da Internet

A Google confirmou ter bloqueado o que pode ser considerado um dos maiores ataques DDoS de todos os tempos. A empresa afirma que um dos seus clientes do Google Cloud Armor foi alvo recentemente de um ataque DDoS em larga escala, que se veio a confirmar ser também um dos maiores de sempre na história da Internet.

Segundo a Google, o ataque foi realizado sobre HTTPS e atingiu os 46 milhões de pedidos por segundo (RPS). Este é um dos maiores registos de ataques deste género na história da Internet, e ultrapassa o anterior recorde.

O ataque terá durado apenas dois minutos, escalando dos 100.000 RPS para o recorde de 46 milhões. De relembrar que o recorde anterior encontrava-se nos 26 milhões de RPS, tendo sido mitigado em Junho deste ano.

O ataque foi realizado no dia 1 de Junho, tendo começado por afetar os sistemas de distribuição de carga da entidade com 10.000 RPS. No entanto, em apenas oito minutos, o ataque aumentou para os 100.000 RPS, o que ativou também o serviço Cloud Armor da Google.

Para se ter uma ideia da magnitude deste ataque, a Google afirma que o mesmo terá sido equiparado a receber todo o tráfego da Wikipédia num dia em apenas 10 segundos. Cerca de 69 minutos depois do ataque ter começado, este seria dado como terminado.

O cliente não terá sido afetado uma vez que possuía a proteção contra este género de ataques ativa. A empresa acredita que o ataque apenas terá sido terminado porque a origem do mesmo verificou que não estava a ter o resultado pretendido, e derivado dos elevados custos de realizar o mesmo, não se manteve por mais tempo.

A Google afirma ainda que o ataque terá sido originado de apenas 5256 IPs diferentes, em 132 países, tendo sido feito sobre HTTPS, uma das formas mais complexas de ataque – uma vez que a encriptação das ligações HTTPS torna a tarefa consideravelmente mais exigente a nível de recursos.

A origem do ataque ainda não terá sido identificada, mas acredita-se que seja associada com a Botnet “Meris”, a mesma que realizou o ataque contra a Cloudflare.

18/08/2022
Esquemas de scam agora usam pens USB para enganar as vítimas

De tempos a tempos surgem esquemas onde o nome da Microsoft é usado para tentar enganar as vítimas. Isto é comum em emails e até chamadas falsas de suporte, mas parece que existe também um novo formato de ataque a surgir cada vez mais.

De acordo com a agência de notícias Sky News, encontram-se a ser comercializadas em vários sites da internet pens USB falsificadas, que dizem ser de vário software da Microsoft – como o Windows ou Office – quando na realidade possuem no seu interior conteúdo malicioso, focado em infetar os sistemas das vítimas.

No exemplo que foi revelado, o esquema começa com a venda de uma pen para um software da empresa, neste caso o Office Professional Plus. Quando o utilizador liga a pen no seu sistema, o programa começa a instalação normalmente, mas ao mesmo tempo inicia também em segundo plano a infeção do sistema – que neste caso passa por alterar algumas configurações para apresentar mensagens de alerta ao utilizador, levando o mesmo a ligar para um falso número de suporte.

A partir dai, as vítimas entram em contacto com os scammers, que passam então para o esquema propriamente dito, e de onde tentam extorquir o máximo de dinheiro possível com falsas subscrições e trabalhos de reparação.

Um porta-voz da Microsoft afirma que a empresa encontra-se atenta a este género de situações, tomando medidas imediatas para neutralizar os atacantes e os produtos contrafeitos.

18/08/2022
Site de venda de skins para CS:GO com 6 milhões de dólares roubados

A plataforma conhecida como “CS.MONEY”, um dos maiores sites de venda e compra de skins e itens cosméticos para o jogo CS:GO, foi recentemente algo de um ataque. Acredita-se que os atacantes terão roubado mais de 20.000 itens, valendo no total 6.000.000 dólares.

Counter-Strike: Global Offensive não precisa de apresentações, sendo um dos jogos FPS mais populares de todos os tempos. O mesmo possui uma das maiores comunidades do mundo gaming, e isto envolve também a compra e venda de itens para o mesmo, nomeadamente skins.

O CS.MONEY era considerado por muitos como uma das maiores plataformas do género, onde os utilizadores poderiam vender e comprar as suas skins. No entanto, recentemente o site deixou de se encontrar online, com a entidade a confirmar ter sido vítima de um ataque.

A plataforma tinha mais de 16,500,000 dólares em itens virtuais para o jogo, mas devido ao ataque esse valor cai agora consideravelmente.

A partir do Twitter, os responsáveis pelo site confirmaram o ataque e o roubo de conteúdos. Atualmente o site encontra-se offline faz quase três dias, enquanto que as equipas por detrás do mesmo continuam a tentar restaurar a normalidade. No entanto, isso não impediu que 20.000 itens tivessem sido roubados, no valor de seis milhões de dólares.

Segundo o investigador de segurança Timofey Sobolevky, os atacantes terão conseguido aceder às chaves de autenticação da plataforma com a Steam, o que basicamente deu controlo de todas as contas onde os itens dos utilizadores estariam guardadas. Feito isso, foi uma questão de o atacante transferir os conteúdos para diferentes contas.

Inicialmente os atacantes começaram por enviar as skins roubadas para os seus próprios perfis da Steam, mas pouco tempo depois começaram a enviar as mesmas para utilizadores totalmente aleatórios do jogo. Apenas depois de uma queda drástica de itens disponíveis na plataforma, e do alerta de vários utilizadores para transações suspeitas, é que os atacantes foram bloqueados do acesso.

De notar que a Valve, a dona da Steam, ainda pode intervir para reverter todas as transações fraudulentas que foram feitas sobre os itens roubados, mas até ao momento não existe confirmação de que tal vá ser realizado pela entidade.

16/08/2022
DigitalOcean afirma que endereços de email de clientes foram afetados em ataque na Mailchimp

A plataforma de serviços cloud DigitalOcean confirmou que pode ter sido vítima de um recente ataque sobre a plataforma de email marketing da Mailchimp, onde os endereços de email de clientes da entidade podem ter sido comprometidos.

No passado dia 12 de Agosto, a Mailchimp confirmou que um conjunto de contas relacionadas com o mercado das criptomoedas na sua plataforma podem ter sido afetadas, com os atacantes a obterem acesso a algumas ferramentas internas da empresa usadas por clientes da mesma.

Apesar de os detalhes sobre este incidente ainda serem escassos, a DigitalOcean confirmou que pode ter sido uma das afetadas. A empresa afirma que, derivado desta falha da Mailchimp, os atacantes podem ter acedido a uma conta usada pela DigitalOcean para o envio de material de publicidade para os seus clientes, e que endereços de email dos mesmos podem ter sido comprometidos no processo.

A empresa afirma ter descoberto que a Mailchimp teria suspendido a conta da DigitalOcean, alegando que a mesma violava os termos de serviço da empresa. Na mesma altura, a empresa afirma ter recebido comunicações de clientes que estariam a receber pedidos de alteração das suas senhas na plataforma, sem terem pedido as mesmas.

A DigitalOcean acredita que a sua conta da Mailchimp teria sido comprometida no ataque associado com a Mailchimp, sendo usada para o envio de mensagens fraudulentas para os utilizadores, o que terá levado à suspensão. Os atacantes podem, neste processo, ter obtido acesso aos endereços de email de alguns dos clientes da empresa que estariam nestas listas de marketing.

A empresa afirma que entrou imediatamente em contacto com a Mailchimp, para verificar o motivo da suspensão, e que apenas dois dias depois a entidade terá informado que a conta foi suspensa devido ao acesso indevido de terceiros à mesma.

Até ao momento, a Mailchimp não deixou detalhes concretos sobre o caso ou a forma como o incidente terá afetado os clientes da mesma. A pequena mensagem deixada pela empresa não esclarece todas as questões relativas ao ataque, nomeadamente que género de conteúdos podem ter sido acedidos e quais os clientes potencialmente afetados.

A DigitalOcean afirma que o seu sistema de autenticação em duas etapas salvaguardou algumas das alterações de senhas e acesso das contas dos utilizadores, sendo que a empresa espera agora tornar esta medida algo obrigatório para todos os utilizadores da plataforma.

16/08/2022
1900 utilizadores do Signal afetados com ataque da Twilio

Recentemente a plataforma da Twilio foi alvo de um ataque, o qual afetou alguns sistemas internos da empresa. O atacante terá conseguido usar dados roubados de um funcionário para ter acesso a sistemas internos da entidade, juntamente com algumas informações de clientes da mesma.

Na altura do ataque, a empresa tinha confirmado que cerca de 125 clientes podem ter sido afetados pelo ataque, com algumas informações pessoais acedidas – onde se inclui números de telefone e outros dados pessoais, mas não tokens de acesso. No entanto, a empresa não clarificou quais os clientes afetados, o que pode incluir grandes nomes com bastantes mais clientes por detrás.

Agora sabe-se que um desses clientes pode ser a Signal, a aplicação reconhecida pelo seu serviço de mensagens encriptadas ponta a ponta. De acordo com a entidade, cerca de 1900 utilizadores podem ter sido afetados pelo ataque da Twilio, com os números de telefone ou validação SMS afetados, e com os códigos de autenticação potencialmente comprometidos durante o período em que os atacantes estiveram nos sistemas da entidade Twilio.

Os atacantes podem ter usado os números de telefone e o acesso para os códigos de autenticação como forma de registar o mesmo noutros dispositivos. De acordo com a Signal, acredita-se que dos 1900 utilizadores potencialmente afetados, pelo menos três números de telefone foram ativamente pesquisados pelos atacantes, e um deles terá mesmo sido registado noutro dispositivo.

Apesar de este acesso não fornecer o acesso às mensagens ou contactos, uma vez que estes ficam armazenados no dispositivo, a Signal alerta para o facto que este registo do número de telefone noutro dispositivo pode permitir aos atacantes enviar mensagens como sendo do número desse utilizador.

Para os utilizadores afetados, a Signal afirma que vai desligar todos os logins feitos sobre a plataforma, forçando os utilizadores a realizarem novamente o login nas suas contas e nos dispositivos corretos, como medida de prevenção.

Este problema levantou também novamente críticas ao Signal, que apesar de ser considerada uma das plataformas mais seguras para o envio de mensagens encriptadas, ao mesmo tempo é também alvo de críticas por apenas permitir que os utilizadores se registem usando números de telefone – e não algo mais simples, como um nome de utilizador.

15/08/2022
Phishing por chamadas telefónicas aumentou quase 625%

Se possui um número de telefone ativo, possivelmente já deve ter recebido algum género de chamada de publicidade ou até de algum esquema pelo mesmo. E se tem também verificado um aumento deste género de casos, não será coincidência.

De acordo com um recente estudo da empresa Agari, respeitante ao segundo trimestre de 2022, o volume ataques de phishing aumentou de forma considerável, sobretudo sobre um ponto em particular.

Os dados apontam que o phishing aumentou cerca de 6% em comparação com o primeiro trimestre de 2022. No entanto, foi sobre o Vishing que se verificou um considerável aumento de 625% nos ataques realizados.

Vishing é uma forma de phishing onde é usada a voz para realizar o ataque – “voice phishing”. Normalmente isto ocorre em chamadas telefónicas, que tentam enganar os utilizadores para os mais variados fins.

O estudo aponta que, durante o passado trimestre, o número de chamadas de Vishing aumentou quase 625% face aos períodos anteriores. A maioria dos ataques são realizados através de chamadas telefónicas onde são as vítimas a contactarem os atacantes de forma direta – na maioria dos casos porque receberam algum género de mensagem a informar para realizarem o contacto com urgência devido aos mais variados fins.

Normalmente os atacantes apresentam às vítimas um contacto inicial, com um problema, e apresentam o número de telefone como opção para resolver o mesmo. Por exemplo, pode ser uma cobrança elevada sobre um cartão de crédito ou sobre um serviço online que os utilizadores podem ou não usar.

Apesar de este género de esquemas ser mais realizado sobre os EUA, nos últimos meses tem vindo a chegar também a mais países. E será recomendado que esteja atento a qualquer mensagem que indique que deve ligar para números de telefone desconhecidos – em caso de dúvida, entre em contacto com as entidades pelos meios oficiais disponíveis nas suas plataformas oficiais.

15/08/2022
Twilio: 125 clientes da empresa afetados em recente ataque

Recentemente a empresa Twilio foi alvo de um ataque, onde terão acedido a dados internos da empresa através de credenciais roubadas de funcionários da mesma. Analisando o ataque, foi agora confirmado que os dados de 125 clientes da empresa podem ter sido afetados.

Segundo o comunicado da empresa, os atacantes terão conseguido aceder a alguma informação associada com 125 clientes da entidade, mas nenhum destes dados terá sido diretamente comprometido de forma grave nem eram respeitantes a dados de autenticação.

De notar que a Twilio é responsável pela aplicação Authy, usada para diferentes sistemas de autenticação em duas etapas. A empresa afirma que os dados destes clientes usados para autenticação não foram afetados, e os mesmos terão sido prontamente notificados.

De relembrar que o ataque começou quando vários funcionários da empresa terão sido alvos de um ataque de phishing, o qual terá comprometido a informação de login em sistemas internos. Estes dados terão sido depois usados para aceder a informação interna da empresa.

A empresa afirma ainda que terá entrado em contacto com as várias operadoras que foram responsáveis pelos números de telefone de onde os ataques de SMS ocorreram contra os funcionários, de forma a desativar os números usados. A investigação ainda se encontra de momento a decorrer.

12/08/2022
Backdoor escassamente detetado visa governos e ONGs de todo o mundo

Especialistas da Kaspersky chamam à atenção para backdoor por detetar configurado como módulo malicioso dentro dos Serviços de Informação da Internet (IIS), um conhecido servidor web editado pela Microsoft.

Assim que disseminado, o SessionManager permite a realização de uma série de atividades maliciosas, desde a recolha de e-mails ao total controlo da infraestrutura da vítima. Utilizado pela primeira vez no final de maio de 2021, o backdoor recém-descoberto visou instituições governamentais e ONGs em África, Sul Asiático, Europa e Médio Oriente. A maior parte das organizações visadas têm até à data a sua segurança comprometida.

Em dezembro de 2021, a Kaspersky descobriu o “Owowa”, um até então desconhecido módulo IIS que rouba as credenciais inseridas por um utilizador ao entrar no Outlook Web Access (OWA). Desde então, os especialistas de cibersegurança têm estado atentos às novas oportunidades para a atividade cibercriminosa – tornou-se claro que implementar um backdoor no IIS é uma tendência de ataque para os cibercriminosos, que anteriormente se aproveitaram de uma das vulnerabilidades “ProxyLogon-type” existentes nos servidores do Microsoft Exchange. Numa investigação recente, os especialistas Kaspersky deram conta de um novo backdoor malicioso, apelidado SessionManager.

O backdoor SessionManager permite aos atacantes manterem um acesso persistente, furtivo e resistente a atualizações. Uma vez dentro do sistema da vítima, os cibercriminosos por detrás da ameaça podem aceder a e-mails da empresa, instalar outros tipos de malware ou gerir clandestinamente servidores comprometidos, que podem ser utilizados como infraestrutura maliciosa.

Uma característica distintiva do SessionManager é a sua reduzida taxa de deteção. Identificadas primeiramente pelos investigadores da Kaspersky no início de 2022, algumas das amostras do backdoor não foram categorizadas como maliciosas pela maior parte dos serviços mais conhecidos de scanning de ficheiros online.

Até à data, o SessionManager está ainda implementado em mais de 90% das organizações visadas, de acordo com o scan de Internet realizado pelos investigadores da Kaspersky.

De forma geral, 34 servidores de 24 organizações da Europa, Médio Oriente, Sul asiático e África foram comprometidos pelo SessionManager. O atacante que opera a ameaça mostra especial interesse em ONGs e entidades governamentais, contudo, entre os visados, constam também organizações médicas, empresas petrolíferas, empresas de transporte, entre outros.

Devido à vitimologia semelhante e ao uso da variante comum “OwlProxy”, os peritos da Kaspersky acreditam que o módulo malicioso IIS pode ter sido alavancado pelo atacante GELSEMIUM, como parte das suas operações de espionagem.

“A exploração das vulnerabilidades do servidor exchange está entre as favoritas dos cibercriminosos que estão desde o primeiro trimestre de 2021 a tentar aceder a infraestruturas-alvo. Foram mote para uma série de campanhas de ciberespionagem que durante muito tempo passaram despercebidas. O recém-descoberto SessionManager ficou um ano por detetar e continua ativo. Face à exploração maciça e sem precedentes das vulnerabilidades do lado dos servidores, a maioria profissionais de cibersegurança estavam ocupados a investigar e a responder às primeiras infrações identificadas. Em resultado, ainda é possível, meses ou anos depois, encontrar atividades maliciosas relacionadas, e é provável que seja assim por muito tempo,” comenta Pierre Delcher, Senior Security Researcher na Global Research and Analysis Team da Kaspersky.

“Ganhar visibilidade para ciberameaças reais e recentes é essencial para as empresas protegerem os seus bens. Ataques como este podem resultar em perdas financeiras ou reputacionais significativas e podem perturbar as operações de um alvo. A informação sobre ameaças é a única componente que pode permitir uma antecipação fiável e atempada de tais ameaças. No caso dos servidores Exchange, nunca é demais salientar: as vulnerabilidades do ano passado tornaram-nos alvos perfeitos, qualquer que seja a intenção maliciosa, pelo que devem ser cuidadosamente auditados e monitorizados para implantes ocultos, se ainda não o foram,” acrescenta Pierre.

10/08/2022
Cisco confirma ter sido vitima de roubo de dados em recente ataque

A Cisco confirmou ter sido a mais recente vitima do grupo de hackers conhecido como “Yanluowang”, que terão obtido acesso a dados interno da empresa em Maio, e desde então terão tentado extorquir a mesma para evitar a divulgação dos dados.

De acordo com o comunicado da empresa, que confirmou o ataque, este apenas terá afetado um sistema usado por um dos funcionários, o qual teve as suas credenciais de acesso comprometidas e permitiu o acesso dos atacantes aos sistemas internos da entidade.

Segundo a mesma, o ataque terá ocorrido em Maio de 2022, e a empresa começou a tomar as medidas preventivas para evitar a propagação do mesmo assim que identificou o roubo. A empresa indica ainda que não terão sido comprometidos dados associados com clientes ou produtos da entidade, incluindo dados sensíveis da marca.

Desde que o ataque foi realizado, o grupo responsável pelo mesmo terá tentado entrar em contacto com a empresa, exigindo o pagamento de determinadas quantias de dinheiro para evitar a divulgação pública dos dados.

Acredita-se que os hackers associados ao grupo Yanluowang terão invadido os sistemas da empresa através do uso de credenciais comprometidas de um dos funcionários da mesma. Apesar de o grupo ser conhecido por também encriptar os ficheiros dos sistemas, depois de roubar os mesmos, a Cisco afirma não ter verificado tal atividade nos sistemas afetados pelo ataque.

10/08/2022
Google Workspace agora com mais proteção contra contas comprometidas

Os utilizadores do Google Workspace vão começar a ter um novo sistema de proteção ativo por padrão, que pode ajudar nos casos em que contas tenham sido comprometidas.

Segundo a empresa, o Workspace vai começar a integrar uma nova funcionalidade de verificação de identidade sempre que se identifiquem atividades suspeitas ou arriscadas para a segurança e privacidade.

Esta funcionalidade vai questionar os utilizadores para validarem a sua identidade quando estes acedem a determinadas funções da plataforma. A validação pode ser feita usando os métodos de autenticação em duas etapas que tenham sido configurados sobre as contas.

Com esta camada adicional de segurança, a Google espera que se possam prevenir roubos ou atividades ilícitas até mesmo em contas que tenham sido comprometidas. Como será necessária a validação para estas ações, o atacante não possui forma de manter o ataque com sucesso durante todo o processo.

De notar que os administradores das contas de empresa podem sempre desativar este sistema de verificação, embora seja por um período de tempo limitado. A Google indica que tal medida pode ser feita caso os utilizadores estejam presos sobre ecrãs de validação de identidade, e necessitem de aceder às ferramentas.

A autorização será fornecida apenas de forma temporária – por dez minutos – sendo que finalizado este tempo volta a ativar-se automaticamente. A empresa também recomenda que tal medida seja apenas realizada depois de se validar que o utilizador realmente necessita da mesma e que é a pessoa verdadeira a realizar o pedido.

Esta novidade vai começar a ser introduzida sobre todas as contas durante os próximos meses.

10/08/2022
Esquema elaborado leva a roubo de contas do Instagram em Portugal

Recentemente temos vindo a verificar uma crescente onda de ataques associados a contas do Instagram, onde as vítimas podem ser enganadas com uma simples mensagem. O TugaTech tem vindo acompanhar uma tendência que parece estar a aumentar consideravelmente.

O foco dos ataques parece ser contas do Instagram, independentemente do número de seguidores que as mesmas tenham. O ataque começa quando as potenciais vítimas recebem uma mensagem alegando ser uma determinada entidade, e onde estas devem fornecer determinados dados para diferentes ações.

Um dos exemplos que o TugaTech analisou parte de uma conta associada a um parque aquático em Portugal. Esta conta, que tinha sido anteriormente comprometida, estaria a pedir aos utilizadores que seguem a mesma os mais variados detalhes, entre os quais o email e número de telefone.

Se o utilizador fornecer estes dados, encontra-se diretamente a iniciar o ataque para a sua conta. A maioria dos utilizadores possui as suas contas pessoais associadas aos seus números de telefone.

Os atacantes começam por enviar um pedido de recuperação da senha usando o número de telefone, e depois questionam a vítima sobre se esta terá recebido algum link ou código especifico do Instagram. Se as vítimas acederem ou fornecerem esse código/link, passam automaticamente a dar controlo das contas para os atacantes.

Num dos exemplos que o TugaTech teve acesso de uma das vítimas, esta terá partilhado a imagem que estaria a receber links de reposição da senha das suas contas com os atacantes. Isto terá sido o suficiente para levar ao roubo da conta.

Após obterem acesso, são alterados os dados de email e o número de telefone, além de ser ativada a autenticação em duas etapas. A partir daqui, começam os problemas para as vítimas, que nesta altura perdem o total controlo das suas contas.

As vítimas não recebem qualquer email do Instagram a notificar para a alteração do número de telefone ou do email – e quando recebem, este não possui qualquer forma de cancelar.

A piorar a situação, mesmo que as vítimas consigam realizar a recuperação da senha da conta, uma vez que foi ativada a autenticação em duas etapas, é necessário um código extra do qual estes não possuem acesso – ou seja, as vítimas ficam sem total acesso às suas contas, mesmo tendo a senha recuperada.

Uma vez que o email e número de telefone associado à conta foram alterados, mesmo que a vítima tente realizar a recuperação dos códigos de acesso, os dados vão ser enviados para os dispositivos dos atacantes.

Este é um esquema elaborado, mas bastante eficaz. A ativação da autenticação em duas etapas por parte do sistema dos atacantes faz com que as vítimas deixam de conseguir aceder à conta, mesmo que recuperem os dados.

> O que fazer se for atacado?

Caso tenha perdido o acesso à conta do Instagram, acima de tudo tente manter a calma. O processo deve ser feito o mais rapidamente possível, mas deve manter a cabeça fria sobre todo o período de tempo.

Em nenhuma circunstância deve remover a conta do Instagram no seu smartphone ou num dispositivo onde a mesma anteriormente se encontrava, ou reinstalar a app de todo.

Essa ligação (mesmo que a conta tenha sido pirateada) é o que garante que o seu dispositivo ainda é reconhecido como um equipamento fidedigno, e que dá mais possibilidade de recuperar os dados.

Feito isto, tente usar as ferramentas de recuperação da conta existentes no momento do login. Use a opção de que “Esqueceu-se da senha” e de “Obter ajuda para o login”.

Caso os pedidos de recuperação sejam feitos para um email ou número de telefone dos quais não possui controlo, nas etapas de recuperação selecione a opção de que não possui acesso ao email/telefone de validação. Isto surge quando tenta pedir ajuda no ecrã onde é requerido o código de acesso da autenticação em duas etapas.

O Instagram pode pedir um pequeno vídeo para validar a sua identidade. Enviando o mesmo, o pedido pode demorar até 4 dias a ser processado. Durante este período, evite tentar aceder à sua conta, e não remova a aplicação do Instagram do smartphone.

Se o Instagram validar o mesmo com sucesso, irá receber um email contendo um código de validação único. Este é o código que deve usar quando a plataforma pedir para o validar sobre a autenticação em duas etapas.

Feito isto, deverá ter de volta o acesso à sua conta. O mais rapidamente possível comece por alterar a senha de acesso da conta, além de alterar o email e número de telefone associados com a mesma. Isto pode ser feito sobre a secção de “Definições” do Instagram, na categoria de Segurança.

O processo, infelizmente, não é muito claro para todos os utilizadores, e vai depender de ter a conta anteriormente ligada sobre um dispositivo em particular. Além disso, nem sempre a validação é positiva.

A melhor forma de garantir a segurança da sua conta passa por ativar a autenticação em duas etapas para o seu dispositivo, e evite partilhar qualquer link ou código com terceiros, sobretudo quando estes são enviados de forma aleatória.

09/08/2022
Valverde Hotel em Lisboa alvo de ataque ransomware

O Valverde Hotel, localizado em Lisboa, terá sido a mais recente entidade nacional a ser alvo de um ataque de ransomware.

O grupo conhecido como “LV” alega ter realizado o roubo de aproximadamente 10 GB de dados da empresa, o que inclui diversa informação pessoal tanto de funcionários como de clientes. Este grupo é conhecido por realizar ataques no formato de ransomware, explorando falhas sobre os sistemas das entidades.

Até ao momento ainda se desconhecem detalhes sobre a origem do ataque, sendo que não foi deixada nenhuma confirmação oficial da entidade. No entanto, o grupo alega ter em sua posse diversos documentos e informações associadas com a empresa, de onde se inclui cartões de cidadão, faturas, recibos de vencimento de funcionários e outros documentos internos e financeiros da entidade.

De notar que, até ao momento, ainda se desconhece se dados de clientes do Hotel terão sido afetados sobre este ataque. Apesar de o grupo alegar ter em sua posse vários dados internos, não é possível confirmar se os mesmos dizem apenas respeito a funcionários ou também a clientes do mesmo.

09/08/2022
EUA aplicam sanções à plataforma da Tornado Cash

As autoridades norte-americanas decidiram sancionar a plataforma Tornado Cash, por alegadamente a mesma ter sido usada para a lavagem de mais de 7 mil milhões de dólares em criptomoedas desde 2019.

Esta plataforma é bem conhecida por criminosos como forma de realiza a “lavagem” de criptomoedas roubadas, distribuindo as mesmas por diferentes carteiras. A plataforma é bem conhecida por ser usada para este género de atividades, e foi uma das responsáveis por realizar a lavagem de quase 455 milhões de dólares roubados num dos maiores ataques de criptomoedas que existe registo.

A plataforma foi usada para a lavagem de criptomoedas roubadas pelo grupo conhecido como Lazarus, que em Abril deste ano roubo 620 milhões de dólares em Ethereum sobre um ataque à Axie Infinity.

Ao longo dos anos, a Tornado Cash foi também usada para outros esquemas e roubos, onde os criminosos tentam usar a plataforma para ocultar as transações. Apesar de não ser impossível continuar a seguir o dinheiro, uma vez que todas as transações ficam registadas na blockchain, serviços como o Tornado Cash tornam esta tarefa consideravelmente mais difícil.

Desta forma, as autoridades norte-americanas agora consideram que a plataforma é uma ameaça para a segurança nacional dos EUA, ajudando criminosos a realizarem a lavagem de dinheiro.

De notar que esta não é a primeira plataforma do género que é sancionada pelos EUA. Em Maio, a plataforma da Blender também foi alvo de medidas por parte das autoridades norte-americanas, depois de ter sido usada pelo grupo Lazarus para a lavagem de criptomoedas roubadas de diversos serviços online.

No entanto, a Tornado Cash é uma das plataformas mais conhecidas para esta finalidade, e certamente uma das que terá mais impacto para o mercado dos cibercrimes.

08/08/2022
Twilio confirma acesso indevido a dados pessoais de clientes

A empresa Twilio confirmou que alguns dados pessoais de clientes da entidade podem ter sido acedidos de forma ilegítima, depois de um grupo de atacantes ter conseguido aceder aos sistemas internos da entidade através de um ataque a um dos funcionários.

A Twilio conta com mais de 5000 funcionários espalhados por 26 escritórios, em 17 países diferentes. A plataforma fornece serviços de email, chat e SMS empresarial, tendo mais de 150.000 clientes em todo o mundo.

De acordo com o comunicado da entidade, esta afirma que, a 4 de Agosto de 2022, foi confirmado o acesso a um dos sistemas internos da empresa por terceiros, nos quais os dados pessoais de alguns clientes da mesma podem ter sido acedidos e comprometidos.

O ataque terá usado engenharia social para levar ao roubo das credenciais de um dos funcionários da empresa. O atacante terá depois usado esses mesmos dados para aceder aos sistemas internos da entidade.

A empresa afirma que o funcionário afetado terá sido alvo de um elaborado esquema de phishing, via SMS. No entanto, a empresa não adianta detalhes sobre o número de funcionários que podem ter sido afetados ou dos clientes da empresa a que os dados foram acedidos.

A empresa afirma que os atacantes terão enviado uma mensagem SMS para os funcionários, com um link externo, a informarem os mesmos que necessitavam de realizar o update das suas senhas. No entanto, o link da mensagem redirecionava para um site em controlo dos atacantes, onde eram pedidos os dados de acesso anteriores – e que foram usados depois para o ataque.

A Twilio afirma que já terá revogado as senhas de todos os funcionários, embora ainda se encontre a realizar a investigação do incidente. Os clientes afetados também já se encontram a ser contactados pela empresa.

08/08/2022
Milhares de carteiras da Solana foram roubadas do dia para a noite

A blockchain da Solana encontra-se sobre ataque, sendo que do dia para a noite milhares de carteiras na mesma foram completamente drenadas num ataque de origem ainda desconhecida – num total de milhões de dólares.

O ataque foi confirmado durante o dia de ontem, onde a Solana afirmou pelo Twitter que estaria a investigar um possível roubo de fundos das carteiras de utilizadores na plataforma. Na altura, a empresa afirmou que cerca de 7767 carteiras teria sido afetadas.

No entanto, este valor pode ser ligeiramente superior, sendo que os dados da empresa Elliptic apontam que foram afetadas 7936 carteiras com perdas avaliadas em mais de 5.2 milhões de dólares em criptoativos.

A Solana afirma que as carteiras afetadas devem ser consideradas como comprometidas, e os donos das mesmas devem mudar os seus criptoativos para variantes baseadas em hardware.

Até ao momento ainda se desconhece qual a falha que foi explorada para realizar este roubo. Algumas fontes apontam, com base no facto que as transações dos roubos encontram-se assinadas pelos donos das carteiras, que pode ser algum género de compromisso massivo de várias chaves privadas – e não diretamente uma exploração de falhas na tecnologia blockchain da Solana.

No entanto, todas as indicações até ao momento são apenas rumores, sendo que a investigação do incidente ainda se encontra a ser realizada – e certamente que mais detalhes devem ser conhecidos em breve.

04/08/2022
Se utiliza o serviço de email da Microsoft tenha cuidado com este phishing

Se utiliza o serviço ou cliente de email da Microsoft, talvez seja melhor ter cuidado com os links onde carrega. Isto porque existe uma nova campanha ativa contra clientes desta plataforma, com o objetivo de roubar as contas de email e até contornando a autenticação em duas etapas.

De acordo com a empresa de segurança Zscaler, foi descoberta recentemente uma nova campanha de phishing tendo como alvo utilizadores do serviço de email da Microsoft. De acordo com os investigadores, a campanha foca-se sobretudo para empresas que usam esta plataforma, sendo que a mesma é capaz de contornar algumas das medidas básicas de segurança, como é o caso da autenticação em duas etapas.

Este género de ataque é conhecido como “adversary-in-the-middle (AiTM)”. Basicamente, a campanha coloca um elo de ligação entre os atacantes e as vítimas, onde são recolhidos em tempo real os conteúdos de autenticação em duas etapas. Ou seja, se a vitima se autenticar num dos sites falsos criados para recolha dos dados de login nas contas de email, ao ser questionado pela autenticação em duas etapas, estará a enviar diretamente esse pedido pelos sistemas dos atacantes como intermédio.

Este é um método complexo, dai que o ataque parece estar a ser bastante focado para empresas especificas. O esquema começa quando essas entidades recebem uma mensagem de phishing de alguns endereços que fora para já identificados.

Como sempre, ter atenção ao local onde se encontra a colocar os seus dados de login será o primeiro passo para garantir alguma prevenção contra este género de ataques.

04/08/2022
Consumidores são também afetados com perdas de ataques a empresas

Os casos de roubos de dados de empresas têm vindo a aumentar consideravelmente ao longo dos últimos tempos, com o crescente aumento também no número de ataques focados contra as mesmas.

Quando um destes ataques ocorre, normalmente espera-se que as empresas tenham algum género de prejuízo financeiro. No entanto, isto afeta não apenas a empresa, mas também os seus clientes de forma indireta.

Pelo menos esse é o resultado de um recente estudo realizado pela IBM Security, que analisou os padrões relacionados com os ataques e roubos de dados em mais de 550 organizações a nível mundial. Destas empresas, cerca de 80% foram vítimas de roubos de dados mais do que uma vez.

O mais interessante, no entanto, encontra-se no facto que o estudo também indica que, com o aumento dos ataques, os consumidores são indiretamente afetados pelos prejuízos das entidades. Em 60% dos casos os consumidores acabaram por ter aumentos de preços nos produtos ou serviços que eram fornecidos.

[embedded content]

Este aumento de preços estaria relacionado unicamente com o próprio ataque e roubo de dados, que aumentam os prejuízos para as empresas e, consequentemente, obrigam a essa necessidade. Não se engloba, portanto, o próprio aumento de preços associado com o mercado global.

Continua a ser fundamental para as empresas terem políticas de segurança apertadas para evitar este género de ataques e roubos de dados, bem como planos de contingência para proteger na eventualidade dos mesmos acontecerem.

03/08/2022
Hacker roubam 200 milhões de dólares da plataforma DeFi Nomad

O protocolo Nomad foi a mais recente vitima de um ataque, onde se acredita que tenham sido roubados mais de 200 milhões de dólares em criptomoedas.

O protocolo Nomad é usado como bridge para as redes de blockchain Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) e Milkomeda C1. No início desta segunda feira, no entanto, várias fontes confirmaram que a plataforma terá sido alvo de um ataque, praticamente esvaziando os fundos da mesma.

Cerca de 190.7 milhões de dólares em tokens foram roubados da plataforma, com os fundos atualmente disponíveis da plataforma DeFi a atingirem apenas 12.000 dólares. A Nomad ainda não confirmou exatamente como os atacantes foram capazes de realizar o roubo, mas algumas fontes apontam que poderá ter sido derivado de uma recente atualização feita no protocolo, que terá deixado em aberto falhas que foram exploradas para levar ao roubo.

A falha poderia permitir aos utilizadores falsificarem transações, recebendo mais valores do que os reais. Por exemplo, um atacante poderia realizar uma transação de apenas 1 ETH, mas receber em retorno pelo protocolo mais de 100 ETH.

Isto seria possível devido a uma falha existente sobre o protocolo, a qual permitiria a realização das transações sem serem validadas corretamente.

Numa mensagem deixada sobre o Twitter, a plataforma alerta os utilizadores para terem cuidado com contas que aleguem ser a plataforma e que possam requerer ainda mais fundos dos utilizadores. No entanto, não foram revelados mais detalhes sobre a origem do ataque ou das medidas tomadas.

Este ataque surge apenas alguns dias depois de a plataforma ter confirmado algumas parcerias de peso, com nomes como a Coinbase Ventures, OpenSea e Crypto.com, as quais também terão investido na entidade.

02/08/2022
Elon Musk volta a deixar críticas contra o Twitter

Elon Musk continua numa batalha cerrada com o Twitter, dentro e fora dos tribunais. Depois de se ter excluído da compra da plataforma, num caso que ainda promete manter-se durante algum tempo nos tribunais, agora Musk volta a deixar críticas para a plataforma sobre a sua conta pessoal.

A partir do seu Twitter, Elon Musk deixou uma mensagem recentemente sobre como a interação das mensagens dos utilizadores têm vindo a ser consideravelmente baixa nos últimos dias, questionando também a comunidade se sentiram tal impacto.

A mensagem de Musk parece ser um claro ataque contra a plataforma, indicando possíveis problemas no alcance das mensagens, e deixando ainda mais fogo sobre a guerra criada entre as duas partes.

No entanto, é também importante ter em conta que, como é habitual nesta altura do ano, as interações no Twitter – e praticamente em todas as redes sociais – são consideravelmente mais reduzidas que o habitual.

No período do verão, onde se também realizam as férias, existe menos interação com as principais redes sociais, e isso pode ser sentido na forma como as publicações são vistas ou a quantidade de pessoas que alcançam.

Este fenómeno não é recente, e praticamente todos os anos se verificam quedas na interação durante o verão. No entanto, existem algumas áreas onde se verificam aumentos, como é o caso do aumento de uso das redes sociais para partilha de detalhes sobre festivais e praia – um tema completamente diferente do que Elon Musk normalmente discute.

01/08/2022
Cuidado com novo malware que se distribui pelo Discord

O Discord é uma plataforma bastante usada hoje em dia, que permite aos utilizadores comunicarem rapidamente – e apesar de o foco ser sobretudo para os gamers, a plataforma tem vindo a ser usada também como forma de comunicação em geral.

Com isto, a mesma torna-se também atrativa para atacantes, que tentam aliciar as suas vítimas pelo serviço. E recentemente o número de campanhas de malware que se têm vindo a propagar pelo Discord aumentou drasticamente, sendo que os utilizadores devem ficar atentos.

De acordo com os investigadores de segurança Igor Kuznetsov e Leonid Bezvershenko, foi registado um aumento nas campanhas de malware a distribuir-se pelo Discord, nomeadamente de um malware conhecido como “Volt Stealer” e “Lofy Stealer”.

Estes dois malwares, se infetarem o sistema das vítimas, acabam por roubar dados pessoais das mesmas e sobretudo os seus dados bancários e de pagamento.

Na grande maioria dos casos o ataque começa com as vítimas a serem contactadas por contas falsas para os mais variados pretextos. No entanto, a grande maioria é redirecionada para sites externos ou são enviados anexos que são indicados para serem abertos, e onde começa então a ser executado o ataque.

Se os conteúdos forem executados no sistema, acabam por instalar o malware no mesmo, permanecendo em segundo plano a recolher a informação necessária. Os dados são recolhidos de plataformas como o navegador ou até sites que estejam guardados no mesmo.

Como sempre, recomenda-se extremo cuidado com mensagens que sejam recebidas de contactos desconhecidos, sobretudo quando estes requerem o acesso a sites externos para as mais variadas tarefas ou enviem documentos para download.

29/07/2022
Ataques de Ransomware aumentam mas com menos vítimas a pagarem

O ransomware ainda é um género de ataque que tem vindo a prevalecer, em parte pelos lucros que pode gerar para as entidades que acabam por roubar os dados. Muitas empresas optam por pagar para recuperar os ficheiros ou apenas para evitar que os mesmos sejam publicamente revelados.

No entanto, se o mercado mundial tem vindo a passar por uma forte crise, parece que os operadores dos principais ransomwares no mercado também enfrentam algumas dificuldades.

De acordo com os dados da empresa de análise do mercado Coveware, os pagamentos a grupos de ransomware devido aos seus ataques caiu drasticamente durante o passado trimestre, em parte porque existem cada vez menos vítimas a pagar pelo resgate.

Os dados demonstram que, durante o segundo trimestre do ano, o pagamento médio dos resgates encontrou-se nos 228.125 dólares, o que representa um aumento de quase 8% em relação ao primeiro trimestre do ano.

No entanto, o pagamento médio de resgate por parte das vítimas encontra-se agora em cerca de 36.360 dólares, o que corresponde a uma queda de 51% face ao trimestre anterior. Ou seja, apesar de existirem mais pagamentos recebidos pelos atacantes, as vítimas encontram-se a pagar menos.

O relatório indica que esta queda pode ser justificada com as mudanças de estratégia de muitos grupos de ransomware, que começaram a focar-se em entidades no mercado intermédio. Por sua vez, também existe cada vez mais empresas que se recusam a realizar os pagamentos, sobretudo quando são realizados pedidos de resgate com valores inconsideradamente elevados.

A nível dos grupos de ransomware mais ativos durante este trimestre, o BlackCat regista o primeiro lugar da tabela, tendo realizado 16.9% dos atacantes. O Lockbit 2.0 encontra-se em segunda posição com 13.1% acompanhado de perto pelo Hive com 6.3%.

Também se verificou um crescimento nos Ransomware-as-a-service, onde novas técnicas de ransomware são fornecidas para afiliados – com a procura por este género de serviços a aumentar consideravelmente.

28/07/2022
Registado um dos maiores ataques DDoS de sempre na Europa

Foi confirmado um dos maiores ataques DDoS alguma vez realizado na Europa, que ocorreu durante este mês sobre um cliente da empresa Akamai.

De acordo com o comunicado da empresa, esta afirma ter mitigado o que pode ser um dos maiores ataques DDoS registados na Europa. Na verdade, a empresa afirma que tem estado sobre constantes ataques ao longo dos últimos 30 dias, e que a intensidade dos mesmos tem vindo a aumentar drasticamente.

O ataque recorde foi registado no dia 21 de Julho, tendo durado cerca de 14 horas no total, e com picos máximos de intensidade de 853.7 Gbps e 659.6 Mpps (milhões de pacotes por segundo). A empresa não revelou detalhes sobre o cliente que foi alvo do ataque, mas afirma que o mesmo foi mitigado com sucesso e que afetou vários IPs diferentes.

Além disso, o mesmo cliente terá sido alvo de quase 75 DDoS ao longo dos anteriores 30 dias, sendo que todos os ataques foram mitigados igualmente. A empresa afirma que o ataque teve origem de uma sofisticada botnet, que conta com milhões de dispositivos infetados e preparados para lançar ataques a qualquer momento.

De notar que os ataques DDoS tem vindo a aumentar consideravelmente ao longo dos últimos meses, sobretudo na intensidade que os mesmos atingem. Ainda de forma recente foi mitigado um ataque de larga escapa pela Cloudflare, que teve origem na botnet Mantis, e terá atingido picos de 26 milhões de RPS – um dos mais poderosos que existe registo na história da Internet.

28/07/2022
Este malware agora pode infetar o Windows através da Calculadora

O malware QBot não é novo no mercado, e na realidade faz alguns meses que os investigadores de segurança o analisam extensivamente. No entanto, de forma recente este começou a propagar-se com um formato diferente.

As mais recentes variantes do malware agora são capazes de se instalar em sistemas Windows usando apenas… a calculadora. Este ataque pode ser realizado devido ao que é conhecido como um ataque lateral de injeção de DLL, onde ficheiros DLL do Windows são substituídos por versões maliciosas.

De acordo com o investigador de segurança ProxyLife, o malware encontra-se a tirar proveito desta forma de ataque para infetar sistemas Windows 7 desde, pelo menos, 11 de Julho. Felizmente a falha apenas pode ser explorada em versões antigas do Windows, sendo que a partir do Windows 10 em diante não é possível explorar a falha.

Este é, no entanto, mais um alerta sobre a importância de manter o sistema operativo atualizado. O Windows 7, apesar de se encontrar em fim de vida, ainda é bastante usado no mercado, o que abre portas para possíveis explorações por malware para falhas que não vão ser mais corrigidas.

25/07/2022
Hackers atacam rádio na Ucrânia para distribuir falsa informação sobre Zelenskiy

Durante esta semana, uma das principais estações de rádio na Ucrânia, associada ao governo, foi alvo de um ataque, tendo difundido por várias horas desinformação relativamente ao presidente Zelenskiy.

De acordo com as autoridades locais, o ataque terá ocorrido aos servidores da TAVR Media, tendo afetado a transmissão do sinal para diferentes regiões. De notar que a TAVR Media opera um conjunto de rádios na Ucrânia, entre as quais a Hit FM, Radio ROKS, KISS FM, Radio RELAX, Melody FM, Nashe Radio, Radio JAZZ, Classic Radio, e Radio Bayraktar.

A mensagem indicava que Zelenskiy estaria num estado critico de saúde, e sobre tratamento intensivo médico. O comunicado da empresa, e do próprio presidente horas mais tarde, refere no entanto que a informação partilhada não seria verdadeira, e que a mesma terá sido difundida como parte de um ataque coordenado contra a mesma.

A partir do Instagram, Zelenskyi publicou um pequeno vídeo onde negava as informações transmitidas pela rádio, indicando que as mesmas estariam relacionadas com mais uma campanha de desinformação das autoridades russas. No vídeo Zelenskyi demonstrou como estava no escritório e que se encontrava bem de saúde.

Este género de campanhas de desinformação tem vindo a ser vulgares, com entidades atacadas exatamente para propagarem desinformação sobre as duas partes. Estes conteúdos podem surgir nos mais variados formatos, seja através de uma informação de rádio ou até mesmo recorrendo a conteúdos deepfake.

22/07/2022
Falha zero-day do Chrome usada para infetar jornalistas com spyware

A empresa de segurança Avast encontra-se a alertar para um novo spyware, que se encontra a explorar uma falha de segurança no Google Chrome para espiar jornalistas em vários países. O spyware foi apelidado de “DevilsTongue”, tendo sido criado pela empresa “Candiru”.

O spyware faz uso de uma falha zero-day no Google Chrome, que quando explorada, pode permitir aos atacantes executarem código remoto no sistema. Com isto, é apenas uma questão de tempo até que o spyware seja instalado no sistema.

Os investigadores da Avast afirmam que o spyware terá sido criado com foco para espiar jornalistas, portanto não será propriamente focado para a comunidade em geral. No entanto, existe a possibilidade do spyware se instalar em sistemas que não sejam o alvo final.

A Google corrigiu a vulnerabilidade zero-day que estaria a ser explorada no passado dia 4 de Julho, altura em que foi lançado um patch para o navegador – na altura considerado importante de ser instalado, mas sem detalhes sobre exatamente o que corrigia.

Agora sabe-se que o objetivo seria corrigir a falha explorada por este spyware.

O ataque poderia ser ainda bastante intrusivo, em parte porque poderia ser executado sem qualquer ação dos utilizadores. Estes apenas necessitavam de aceder a um site maliciosamente comprometido para explorara a falha, e poderiam ficar em risco.

A falha afetava o sistema de WebRTC do navegador, e tendo em conta que esta tecnologia também se encontra sobre outros navegadores, nomeadamente o Safari da Apple, estes também poderiam encontrar-se vulneráveis a serem explorados.

21/07/2022
Novo malware possui como alvo os utilizadores do macOS

Um grupo de investigadores de segurança revelou ter descoberto um novo malware focado para os sistemas da Apple, e capaz de recolher diversa informação sensível dos mesmos.

Os investigadores da empresa ESET apelidaram a este novo malware de “CloudMensis”, tendo em conta que o mesmo usa os serviços de armazenamento cloud para realizar algumas das suas operações.

O malware, que era até agora desconhecido, comunica com os atacantes através de plataformas publicas de alojamento cloud, onde o mesmo envia não apenas os dados que recolhe dos sistemas Mac infetados, mas também vai buscar comandos para usar no sistema remoto.

Os investigadores acreditam que este malware pode ser um dos motivos que terá levado a Apple a introduzir recentemente o novo modo “Lockdown”, que bloqueia praticamente todas as funções do sistema em caso de suspeita de espionagem.

O malware foi inicialmente descoberto em Abril de 2022, sendo que faz uso de plataformas como o pCloud, Yandex Disk e Dropbox para realizar o envio e recolha de ficheiros, e como forma de comunicação central.

Até ao momento os investigadores não conseguiram descobrir como os sistemas terão sido originalmente infetados com o malware. No entanto, os investigadores foram capazes de verificar que o mesmo é realizado em duas fases: a primeira será quando o malware se instala no sistema, através da exploração de falhas ou por ação direta, e a segunda fase será quando este começa a comunicar com os serviços de armazenamento cloud.

Tendo em conta que os dados são enviados para aparentes serviços cloud, nem mesmo a filtragem de dados poderá ajudar a identificar o ataque – afinal de contas, o tráfego gerado será para essas plataformas, que são legitimas.

Os investigadores acreditam que o malware terá começado a ser propagado em Fevereiro de 2022, mas ainda se encontra focado apenas para algumas vitimas especificas, que possivelmente são escolhidas pelos atacantes.

19/07/2022
Hackers divulgam 4GB de dados internos de funcionários da Roblox

Roblox é possivelmente um dos videojogos mais conhecidos dos últimos anos, tendo uma larga comunidade de jogadores a nível mundial. Como tal, é certamente preocupante quando surge notícias de um possível roubo de dados associado com a empresa.

Recentemente um grupo de hackers afirma ter atacado os sistemas internos da Roblox Corporation, roubando diversa informação interna associada com a empresa e funcionários.

De acordo com o portal Cybernews, por entre os documentos roubados encontram-se identificações, listas associadas com os criadores do jogo, endereços de email e outras informações sensíveis.

Tendo em conta que existem documentos associados com criadores e jogadores de Roblox, existe a possibilidade que alguma informação pessoal dos mesmos também se encontre por entre os documentos roubados. No total estima-se que tenham sido roubados cerca de 4GB de documentos internos.

Em comunicado, a Roblox confirma o roubo de dados, indicando que os mesmos foram obtidos através de uma extorsão feita a empresa – possivelmente de um ataque ransomware – no qual a mesma não terá realizado o pagamento. A empresa afirma ainda que agiu rapidamente, tendo tomado as medidas necessárias para avaliar a situação com experts.

Os documentos, tendo em conta que a empresa não realizou o pagamento, foram divulgados publicamente num fórum da dark web. É importante relembrar que esta não é a primeira vez que a Roblox é alvo de roubo de dados, mas no passado afetou sobretudo os jogadores, e não a empresa em si.

19/07/2022