Categoria: ataque

Já ocorreram mais de 3000 ataques de ransomware em Portugal

As operações de ransomware têm várias fases. Primeiro, o cibercriminoso estuda a rede da vítima; depois ataca e examina os ativos internos. A seguir, move-se lateralmente através da rede e extrai informação. Finalmente, executa o ransomware para encriptar os dados, impedindo a sua utilização e parando as operações do alvo.

A nova tendência neste processo é que muitos dos atacantes apoiam-se em diferentes estruturas e ferramentas conhecidas como “network teaming”, que são utilizadas por pentesters – especialistas que realizam testes de penetração numa rede – e Red Teams – grupos de profissionais que testam as capacidades de segurança operacional de uma empresa através de sofisticadas simulações de ataque. Isto significa que os cibercriminosos estão a utilizar ferramentas destinadas a avaliar a eficácia da rede corporativa contra as próprias empresas.

No final de 2021, a Kaspersky registou um aumento significativo de ataques utilizando estas ferramentas. Até agora, este ano, as estatísticas da empresa indicam que, todos os dias, milhares de utilizadores portugueses são vítimas de tentativas de ataque com ferramentas como o CobaltStrike ou Metasploit, entre outras.

Analisando a imagem global das investigações de ransomware, independentemente da plataforma – desde telefones Android a servidores e estações de trabalho de Windows ou Linux – os dados são muito reveladores. Em média, até agora, este ano, as tecnologias Kaspersky registaram mais de 332 ataques de ransomware por dia, o que equivale a cerca de 11.000 ataques por mês. A Península Ibérica está entre as regiões mais afetadas por ransomware na Europa, com o número de utilizadores atacados entre Janeiro e Maio de 2022 a atingir possivelmente os 5600, de acordo com dados da Kaspersky. No caso específico de Portugal, estima-se que o número de utilizadores visados possa chegar aos 3000.

Considerando os efeitos que um único ataque de ransomware pode gerar, os números são preocupantes. Se um destes ataques passar despercebido, estar-se-á perante uma grave perda de informação que poderá ser irrecuperável, para além de ter consequências negativas para as empresas.

“Os filiados que trabalham com os vários grupos de criminosos de ransomware utilizam, dentro do seu arsenal, as mesmas ferramentas que seriam utilizadas por uma equipa envolvida em atividades de trabalho de gestão de rede para atacar as organizações. Estes agentes são especialistas em técnicas de exploração e pós-exploração, visando qualquer sistema operativo para alcançar o paciente 0, o que lhes dará primeiro acesso à organização e depois um movimento lateral para encriptar toda a organização com ransomware”, adverte Marc Rivero, analista sénior de segurança da Kaspersky.

19/07/2022
SATAn: novo ataque que recolhe dados sem fios por cabos SATA

Se pensa que o seu computador está totalmente seguro apenas porque está desligado da Internet, então uma recente descoberta pode mudar essa ideia. Um grupo de investigadores da universidade de Negev, em Israel, revelou ter descoberto uma nova forma de ataque para computadores pessoais.

De acordo com os investigadores, o ataque foi apelidado de “SATAn”, uma vez que tudo o que necessita para ser processado será uma ligação por cabos SATA. Basicamente, este ataque consiste em usar cabos SATA como forma de recolher informação de sistemas que podem até estar totalmente isolados da rede.

Os cabos são usados como uma forma de “antena” a partir do qual é possível recolher informação sensível do sistema onde se encontram, recebendo a mesma noutro local. Os investigadores afirmam que é possível recolher os dados através de transmissões sem fios a aproximadamente 6 GHz.

Para esta recolha, é usada a própria produção de energia eletromagnética dos cabos, que é gerada sempre que informação passa pelos mesmos. Apesar de esta energia não poder ser recolhida por equipamentos regulares, com recetores dedicados e focados para tal pode-se obter informação enviada pelo cabo – a qual pode ser sensível.

Os investigadores afirmam que, para já, o ataque possui mais sucesso apenas na leitura de dados – já que a escrita envolve mais requisitos. No entanto isto será suficiente para que se possa recolher informação sensível de sistemas que, doutra forma, estariam totalmente isolados.

[embedded content]

Obviamente, o roubo de dados através deste método não é dos mais eficazes, tendo em conta que existem outras interferências que podem ocorrer no processo e de outros componentes no sistema, como o processador ou gráfica. Um uso mais intensivo do mesmo pode ser suficiente para evitar a recolha dos dados, tendo apenas como base a interferência gerada.

Os detalhes do estudo podem ser verificados sobre o seguinte link.

19/07/2022
Google confirma scam de avaliações a pequenas empresas

Recentemente publicamos no TugaTech um artigo sobre como alguns donos de restaurantes e pequenas empresas estariam a ser chantageados, com recurso às avaliações do Google. O esquema começava quando as pequenas empresas recebiam mensagens de terceiros, a notificar que iriam começar a ser enviadas falsas avaliações de uma estrela na Google – prejudicando assim a imagem da mesma.

Para evitar isso, os donos dos negócios teriam de realizar um pagamento associado com a paragem e eliminação das falsas reviews. A maioria destes pagamentos seriam realizados através de cartões de oferta da Google Play Store ou Apple App Store.

Os donos das empresas ficam com poucas alternativas a não ser pagar, ou terem a sua classificação consideravelmente prejudicada – já que os mesmos não podem validar ou remover as avaliações deixadas na Google por outros utilizadores.

No entanto, parece que a Google se encontra finalmente a tomar medidas para prevenir estas situações. A empresa confirmou que vai começar a aplicar medidas para prevenir que sejam realizados este género de “ataques” contra os pequenos negócios.

A empresa afirma estar empenhada em aplicar medidas para evitar que esta situação possa ocorrer, nomeadamente com a limitação de reviews apenas aos utilizadores que efetivamente visitaram o local. Existem ainda as tradicionais medidas de prevenção de spam que a empresa utiliza nas suas plataformas – além de que os donos das entidades afetadas por este género de ataques podem também contactar diretamente a Google para requerer a revisão das classificações.

No entanto, a empresa ainda tem um grande trabalho pela frente para realmente resolver este problema. Praticamente todos os dias surgem casos de empresas que foram afetadas por este género de ataque, e é consideravelmente difícil de avaliar todos os casos, mesmo com recurso a ferramentas automáticas que a Google certamente possui ao seu dispor.

18/07/2022
Google Autenticador volta atrás na ideia de ocultar códigos por padrão

No final de Maio, a Google revelou a primeira atualização do ano para a app do Google Authenticator, que chegou com a capacidade de esconder os códigos de autorização em duas etapas até que o utilizador toque no mesmo.

A ideia seria adicionar uma camada de segurança, evitando que terceiros pudessem ver o código sem autorização. No entanto, parece que a ideia não foi muito bem recebida, tendo em conta que a Google agora lançou uma nova atualização para a sua app que, basicamente, remove esta funcionalidade.

A nova versão 5.20R4 lançada esta semana remove a opção de tocar para revelar os códigos de autenticação, sendo que os utilizadores passam a ver novamente todos os códigos mal abram a aplicação – como se encontrava anteriormente.

É importante ter em conta que os códigos de autenticação já se alteram a cada 30 segundos, portanto não se sabe bem o quanto efetiva seria esta funcionalidade de “esconder” os mesmos para a segurança dos utilizadores. Talvez pudesse evitar alguns ataques diretos, onde terceiros poderiam ver o código caso estivessem nas proximidades, mas ainda assim a vertente de ataque é bastante reduzida.

A lista de alterações da app cita ainda outras pequenas melhoras feitas na aplicação. De notar que estas atualizações nem chegaram a ser lançadas para o iOS.

17/07/2022
Existe uma nova ameaça grave para os principais navegadores na internet

Desde pelo menos Janeiro de 2022 que uma campanha de adware tem vindo a distribuir-se pela internet em massa, afetando praticamente todos os navegadores, e que pode levar ao roubo de informação pessoal dos utilizadores.

De acordo com os investigadores de segurança da empresa Palo Alto, o adware foi apelidado de ChromeLoader, tendo em conta que se injeta no navegador para levar ao roubo de informação pessoal e apresentação de publicidade agressiva. Este género de malware encontra-se normalmente em extensões, que modificam as configurações do navegador para fazerem o mesmo redirecionar os utilizadores para sites maliciosos, apresentar publicidade ou outro género de atividades que podem comprometer a segurança dos mesmos.

O malware foca-se também em redirecionar todos os pedidos de pesquisa que sejam feitos pelo navegador, analisando as queries usadas e enviando as mesmas para os servidores em controlo dos atacantes. Estes dados podem, mais tarde, ser usados para os mais variados esquemas.

O mais interessante do ChromeLoader encontra-se no facto que este tem vindo a ser constantemente atualizado, sobretudo para tentar ocultar ao máximo as suas atividades maliciosas. Os criadores do adware têm vindo a lançar diferentes versões do mesmo, focadas em tentar ocultar ao máximo as atividades do mesmo em segundo plano – portanto os utilizadores podem ser afetados sem sequer se aperceberem, a menos que tenham uma vigilância apertada para este tema.

Como referido, o malware instala-se como uma extensão nos principais navegadores, mas a vertente inicial de ataque começa pela descarga de ficheiros potencialmente maliciosos para o sistema, que acabam por instalar o malware no mesmo.

Como sempre, será aconselhado que os utilizadores tenham uma suíte de segurança instalada nos seus sistemas e contem com medidas de proteção acrescidas, o que se aplica também a empresas.

17/07/2022
Mantis é considerada uma das mais poderosas botnet da atualidade

Em Junho, a plataforma Cloudflare registou o que pode ser considerado um dos maiores ataques DDoS de sempre na internet, sendo que agora conhecem-se mais detalhes sobre o que estaria por detrás deste ataque massivo.

No seu pico, o ataque registou quase 26 milhões de pedidos por segundo, a partir de 5067 dispositivos diferentes. Apesar de se saber que este ataque teria sido originado a partir de uma botnet, desconheciam-se os detalhes de qual.

Agora sabe-se que o mesmo terá sido realizado pela botnet “Mantis”, que é apelidada como uma das mais poderosas até à data. A empresa de segurança online afirma que tem vindo a seguir os passos da botnet desde que o ataque foi registado.

Segundo a Cloudflare, esta botnet tira proveito da capacidade de processamento de pequenos dispositivos, que quando conjugados são capazes de criar uma forte onda de ataques contra possíveis vítimas. A botnet tem vindo a realizar vários ataques desde o recorde registado o mês passado.

Um dos principais motivos pelos quais esta botnet é consideravelmente perigosa encontra-se no facto de usar o poder de processamento de servidores e VPSs pela Internet. Enquanto que a maioria das botnets usam dispositivos comprometidos em rede domésticas, estes possuem capacidades de processamento consideravelmente inferiores às de um servidor.

Este é um dos motivos pelos quais a botnet é capaz de realizar ataques de DDoS em HTTPS com relativa facilitada, já que os servidores possuem consideravelmente mais recursos para tal.

Esta botnet foca-se sobretudo em atacar plataformas cloud e de telecomunicações, meios de imprensa e publicações digitais. Apenas no último mês a botnet terá lançado mais de 3000 ataques DDoS contra diversas vitimas – a maioria analisada através da infraestrutura da Cloudflare.

A maioria das vitimas encontram-se nos EUA e Rússia, com foco também na Turquia, França, Polónia, Reino Unido, Alemanha e Ucrânia.

14/07/2022
Bandai Namco confirma ter sido vitima de ransomware

Depois de alguns rumores sobre um possível ataque de ransomware sobre a empresa Bandai Namco, agora chega a confirmação oficial que alguns dados podem ter sido acedidos e roubados por terceiros.

A empresa, responsável por algumas das maiores franquias no mercado dos videojogos, confirmou em comunicado ao portal Eurogamer que encontra-se a investigar o ataque, mas que alguns dados de clientes podem ter sido acedidos e roubados, juntamente com informação interna da mesma.

Os dados acedidos dirão respeito à divisão de brinquedos da empresa e nas regiões da Ásia, excluindo o Japão. Ainda se desconhecem detalhes sobre quais os dados que foram efetivamente acedidos, mas a empresa afirma que foram tomadas medidas assim que se verificou a intrusão. Além disso, foram também aplicadas medidas de contenção para evitar que o ransomware se propaga-se a mais sistemas.

A empresa encontra-se atualmente a avaliar os danos causados e quais os dados que foram efetivamente roubados, sendo que irá revelar mais detalhes durante os próximos dias.

13/07/2022
Esquemas de chantagem chegam agora como críticas no Google Maps

Existe uma nova forma de realizar chantagem online, que não passa propriamente por ransomware como conhecemos, mas sim por parte de avaliações.

Uma nova prática de “ransomware” começou recentemente a propagar-se na internet, sobretudo nos EUA, tendo como foco sobretudo negócios como restaurantes e hotéis, onde os mesmos são chantageados para realizarem um pagamento ou poderem ver as suas classificações em várias plataformas online a descer drasticamente.

Plataformas com o Google Maps apresentam muitas vezes informações sobre um determinado negócio ou empresa, a qual pode ser acompanhada pelas críticas deixadas por utilizadores que visitaram o lugar. Uma nova tendência que tem vindo a surgir passa por usar essas mesmas críticas como meio de chantagem para as empresas.

O ataque começa quando os donos dos negócios recebem uma ameaça, onde necessitam de realizar o pagamento de uma determinada quantia de dinheiro, ou terão uma vasta lista de avaliações negativas em plataformas como o Google Maps e Facebook.

Este foi um caso que aconteceu a Kim Alter, dono do restaurante Nightbird na cidade de São Francisco, o qual terá recebido uma mensagem no seu email depois de o negócio ter começado a receber dezenas de críticas negativas no Google Maps.

Segundo a mensagem, esta avisava o dono do restaurante que as avaliações negativas iriam continuar a menos que este realizasse o pagamento de uma determinada quantia de dinheiro em cartão da Google Play Store.

A mensagem indicava ainda que os autores do esquema seriam indianos, e que lamentavam a situação mas seria a única forma de sobreviverem. Junto da mensagem iria ainda a indicação que, quando o pagamento fosse realizado, as reviews negativas deixadas seriam também removidas.

Em comunicado ao portal New York Times, um porta-voz da Google afirma que a empresa se encontra ciente desta nova prática, e que se encontra a aplicar medidas para remover as avaliações de pessoas que não estiveram efetivamente nos locais. Desde Fevereiro deste ano que a empresa tem vindo a usar mais IA para ajudar nesta tarefa.

Este esquema pode afetar sobretudo pequenos negócios, que podem ter menos visibilidade e acabam por não ter os meios necessários para conseguirem resolver o mesmo.

12/07/2022
Bandai Namco pode ter sido vitima de ataque ransomware

A Bandai Namco pode ter sido a mais recente vítima de um ataque de ransomware. O grupo conhecido como ALPHV terá indicado no seu website da dark web que terá atacado a entidade.

De relembrar que a Namco é a editora de títulos como Elden Ring e Tekken. Até ao momento não foram revelados detalhes sobre o ataque, sendo que o site do grupo apenas indica que mais informações devem ser reveladas em breve.

No entanto, tendo em conta a atuação passada do grupo, acredita-se que os sistemas da empresa podem ter sido alvo de ransomware, e que informação nos mesmos pode ter sido comprometida antes de ser encriptada.

O grupo é conhecido por também ameaçar publicar os dados roubados publicamente caso as empresas não paguem o resgate. A Bandai Namco ainda não deixou qualquer detalhe relativamente ao ataque, no entanto, o número de ataques de ransomware contra estúdios de videojogos tem vindo a aumentar consideravelmente nos últimos anos.

Ainda o ano passado, a CD Projekt Red foi alvo de um ataque ransomware pouco depois do lançamento de Cyberpunk 2077. Os dados da empresa roubados foram posteriormente partilhados com a internet, onde se inclui o código fonte de alguns dos seus títulos.

12/07/2022
Atacante rouba meio milhão de euros em reservas falsas de Hotel em Lisboa

Um hacker terá lucrado quase meio milhão de euros através de reservas falsas, tendo usado a conta comprometida na plataforma Booking de um hotel em Lisboa.

De acordo com a CNN Portugal, o ataque terá começado com o acesso indevido à conta da plataforma Booking, bastante usada para reservas online em hotéis pelo mundo, pertencente ao Marino Boutique Hotel em Lisboa.

O atacante terá conseguido aceder à conta, tendo total controlo das reservas que eram feitas para o hotel, e a partir da qual contactava as vítimas para requerer os pagamentos – que acabavam por ser realizados para o atacante e não para o Hotel em si, sendo que a reserva nunca era realizada.

A conta terá ficado comprometida entre os dias 12 e 16 de Junho, sendo que neste período o atacante terá conseguido recolher mais de meio milhão de euros em reservas feitas pela plataforma.

Durante este período, o atacante terá também colocado o preço dos quartos no hotel a cerca de 40 euros por noite, um valor consideravelmente abaixo dos 200 a 300 euros que normalmente são cobrados.

Os proprietários do hotel terão verificado a falha no acesso à conta da Booking, mas pensaram tratar-se de uma falha sobre o sistema, pelo que não foram realizadas medidas imediatas. Apenas alguns dias mais tarde a situação foi escalada, tendo sido confirmado o ataque quando algumas vítimas estariam a chegar ao hotel para usufruir das supostas reservas.

É importante sublinhar que a plataforma da Booking fornece para os gestores de hotéis a capacidade de protegerem as suas contas com autenticação em duas etapas, exatamente para prevenir o acesso indevido à mesma. Desconhece-se, no entanto, se os proprietários do hotel estariam a usar a mesma.

Os mesmos afirmam que os prejuízos ainda estão a ser calculados, mas ponderam avançar com um processo contra a Booking, alegando que a empresa terá demorado demasiado tempo a bloquear a conta do acesso do atacante.

07/07/2022
ToddyCat: um novo grupo de cibercrime com foco em grandes empresas

Investigadores da Kaspersky alertam para campanha em curso levada a cabo por um grupo avançado de ameaça persistente (APT) chamado ToddyCat, cujo objetivo é comprometer múltiplos servidores Microsoft Exchange usando dois programas maliciosos: o backdoor Samurai e o Ninja Trojan. A campanha visava principalmente a administração pública e setor militar na Europa e na Ásia.

ToddyCat é um grupo APT relativamente novo e sofisticado, cuja atividade foi detetada pela primeira vez por investigadores da Kaspersky em Dezembro de 2020, quando levou a cabo uma série de ataques aos servidores-alvo da Microsoft Exchange. Entre fevereiro e março de 2021, a Kaspersky observou uma rápida escalada quando o ToddyCat começou a explorar a vulnerabilidade do ProxyLogon nos servidores Microsoft Exchange para comprometer múltiplas organizações em toda a Europa e Ásia.

A partir de Setembro de 2021, o grupo moveu a sua atenção para as máquinas desktop relacionadas com o governo e entidades diplomáticas na Ásia. O grupo atualiza constantemente o seu arsenal e continua a realizar ataques em 2022.

Embora não seja claro qual é o vetor inicial de infeção para as atividades mais recentes, os investigadores realizaram uma análise minuciosa do malware utilizado nas campanhas, concluindo que o ToddyCat utiliza o backdoor Samurai e o Ninja Trojan, duas sofisticadas ferramentas de ciberespionagem concebidas para penetrar profundamente em redes alvo, ao mesmo tempo que mantém persistentemente a sua furtividade.

O Samurai é um backdoor modular, utilizado na fase final do ataque que permite ao atacante administrar o sistema remoto e mover-se lateralmente dentro da rede comprometida. Este malware destaca-se porque utiliza múltiplos fluxos de controlo e declarações de casos para saltar entre instruções, o que torna difícil seguir a ordem das ações no código.

Além disso, é utilizado para lançar um novo malware denominado Ninja Trojan, uma ferramenta colaborativa complexa que permite que vários operadores trabalhem na mesma máquina em simultâneo.

O Ninja Trojan também fornece um grande conjunto de comandos, possibilitando aos atacantes controlar sistemas remotos, evitando ao mesmo tempo a deteção. É normalmente carregado na memória de um dispositivo e lançado por vários loaders.

O Ninja Trojan inicia a operação recuperando parâmetros de configuração do payload encriptado, e depois infiltra-se profundamente numa rede comprometida.

As capacidades do malware incluem a gestão de sistemas de ficheiros, o arranque de shells invertidas, o encaminhamento de pacotes TCP e até a tomada de controlo da rede em períodos de tempo específicos, que podem ser configurados dinamicamente usando um comando específico.

O malware assemelha-se também a outras estruturas pós-exploração bem conhecidas, tais como o CobaltStrike, com as características do Ninja que lhe permitem limitar o número de ligações diretas da rede visada aos sistemas de comando e controlo remoto sem acesso à Internet. Além disso, pode controlar indicadores HTTP e camuflar o tráfego malicioso nos pedidos HTTP, fazendo-os parecer legítimos através da modificação do cabeçalho HTTP e dos caminhos URL. Estas capacidades tornam o Trojan Ninja particularmente furtivo.

“O grupo ToddyCat é um sofisticado agente de ameaças com elevadas capacidades técnicas, capaz de voar sob o radar e de se tornar uma organização de alto nível. Apesar do número de loaders e ataques descobertos durante o último ano, ainda não temos uma visibilidade completa das suas operações e táticas. Outra característica notável do ToddyCat é o seu foco nas capacidades avançadas de malware – o Ninja Trojan recebeu o seu nome por uma razão. É difícil de detetar e, portanto, difícil de parar. A melhor maneira de enfrentar este tipo de ameaça é utilizar defesas multicamadas, que fornecem informações sobre bens internos e se mantêm atualizadas com as últimas informações sobre ameaças”, comenta Giampaolo Dedola, perito em segurança da Kaspersky.

Para saber mais sobre o ToddyCat, as suas técnicas e formas de proteger a sua rede de potenciais ataques, consulte o relatório em SecureList.

07/07/2022
Apple revela novo modo “lockdown” para proteger iPhone de espionagem

A Apple revelou uma nova funcionalidade que vai chegar em breve aos dispositivos da empresa, e deverá garantir mais proteção para potenciais alvos de spyware no iPhone, iPad e Mac.

Apelidado de “Lockdown Mode”, este novo modo do sistema operativo será um “último recurso” para prevenir que possam ser roubados dados sensíveis dos utilizadores quando estes suspeitem que os seus dispositivos estão infetados com spyware ou a ser alvo de espionagem.

O foco desta funcionalidade será para personalidades de interesse político e jornalistas, que normalmente são também os maiores alvos deste género de campanhas. Esta parece também ser a resposta da Apple a ferramentas como a Pegasus da NSO Group.

Este modo vai limitar consideravelmente o uso do sistema, bloqueando funcionalidades vitais para evitar que sejam recolhidas informações. O modo limita consideravelmente o uso que pode ser feito do sistema, mas ao mesmo tempo também bloqueia a recolha abusiva de potenciais dados para espionagem.

Por exemplo, as mensagens irão ter todas as imagens desativadas por padrão, sendo que também a pré-visualização de links irá encontrar-se desligada. O FaceTime também será desativado para chamadas recebidas e convites, a menos que o utilizador tenha aceite o contacto.

No caso do iPhone e iPad, também deixa de ser possível realizar a ligação física dos mesmos enquanto o modo estiver ativo – por exemplo, ligando o cabo a um PC.

Na navegação web, algumas funcionalidades do javascript também estarão desativadas, o que pode causar carregamentos incorretos de conteúdos pelos sites, mas evita possíveis focos de ataque.

A empresa espera que mais funcionalidades venham a ser lançadas no futuro, embora a funcionalidade venha a chegar brevemente a todas as versões mais recentes dos sistemas da empresa.

06/07/2022
Quase 9 milhões de dólares roubados da DeFi Crema Finance

A plataforma descentralizada de finanças “Crema Finance” revelou durante o dia de ontem ter sido vítima de um ataque, do qual terá resultado o roubo de 8.8 milhões de dólares em criptomoedas.

A partir do Twitter, a plataforma confirmou o ataque, bem como deixou mais detalhes sobre a origem do mesmo. Segundo a entidade, o hacker terá usado várias técnicas para conseguir infiltrar-se nas infraestruturas da empresa, levando consigo cerca de 69.500 SOL em criptomoedas, o que corresponde a 2.3 milhões de dólares, e ainda 6.5 milhões em stablecoins diversas.

Numa mensagem enviada para a carteira do grupo de hackers, a entidade oferecia 800.000 dólares em troca dos fundos roubados. A empresa também sublinhou que as carteiras usadas para o roubo encontram-se agora na lista negra, e todas as movimentações estão a ser monitorizadas.

As plataformas DeFi têm vindo a ser cada vez mais o alvo de ataques, sobretudo devido ao elevado potencial de ganhos para os atacantes. Ainda em Abril deste ano a plataforma Elephant Money foi alvo de um ataque, do qual foram roubados 11.2 milhões de dólares em criptomoedas.

A empresa Chainalysis afirma que, durante 2021, foram roubados de plataformas DeFi cerca de 2.2 mil milhões de dólares, e esse valor pode ser consideravelmente superior durante este ano, tendo em conta os roubos elevados que foram verificados nos últimos meses.

05/07/2022
80% das empresas que pagam do ransomware acabam a ser afetadas novamente

Ser alvo de um ataque de ransomware pode ser destrutivo, e ainda existem muitas empresas que aplicam fracas práticas de segurança, que muitas vezes obrigam as mesmas a realizar os pagamentos para poderem ter os seus conteúdos recuperados.

No entanto, a vasta quantidade das entidades acabam por ser novamente alvo de ataques e num relativo curto espaço de tempo.

De acordo com um recente estudo realizado pela empresa CyberReason, a grande maioria das empresas que são alvo de ataques de ransomware, e pagam para recuperar os dados, acabam por ser alvo novamente de futuros ataques em menos de 30 dias.

Os dados apontam que 73% das empresas que participaram no estudo apontaram terem sido alvo de um ataque de ransomware. Deste conjunto, 49% das empresas pagaram para reaver os seus dados de forma mitigar possíveis perdas financeiras, e 41% para acelerar o processo de recuperação dos dados.

No entanto, apesar do ataque, 80% das empresas que foram alvo dos mesmos acabaram por ser novamente atacadas em menos de 30 dias, e por vezes com valores consideravelmente mais elevados para o resgate dos novos ficheiros.

Além disso, 54% das empresas que pagaram pelo resgate verificaram que os seus dados estariam corrompidos, com 37% a ter de realizar despedimentos para suportar as perdas dos ataques e 33% tiveram de encerrar os seus negócios temporariamente.

O objetivo deste estudo será demonstrar que, mesmo pagando sobre um ataque de ransomware, nem sempre isso será a melhor forma de resolver o problema, já que as falhas que levaram ao ataque original ainda continuam a existir – ainda mais se não forem aplicadas medidas de proteção futuras.

05/07/2022
Hacker afirma ter roubado mil milhões de registos das autoridades na China

Um grupo de hacker revelou ter recentemente roubado milhões de registos associados com as autoridades chinesas, de uma base de dados da polícia de Shanghai.

De acordo com o portal Bloomberg, o grupo alega ter roubado mais de 23 TB de informação dos sistemas da polícia local, através do que aparenta ter sido um ataque de ransomware. O hacker responsável pelo ataque (ou o grupo associado ao mesmo) encontra-se agora a tentar vender a base de dados em vários marketplaces da Dark Web, com um valor final de 10 Bitcoins, o que corresponde a cerca de 198,000 dólares.

Segundo a informação revelada, a base de dados contem nomes, moradas, datas de nascimento, números de cartões de ID e números de telefone, associados com mil milhões de utilizadores chineses. Foram ainda reveladas provas do acesso aos dados, com registos criminais associados a 1995 – o que indica que podem existir ainda mais informações das autoridades por entre os conteúdos roubados.

Alguns investigadores que tiveram acesso a parte dos dados afirmam que os mesmos são verdadeiros, tendo em conta o contacto com algumas das pessoas indicadas na base de dados, que confirmaram a informação.

De momento ainda não é claro como o hacker (ou grupo) terá conseguido realizar o roubo destas informações, apesar de um ataque de ransomware ser uma das causas mais prováveis. Existem ainda relatos que os dados podem ter sido roubados de servidores inseguros da Alibaba, onde se encontra as infraestruturas das autoridades locais da cidade de Shanghai.

A dimensão dos dados roubados é algo sem precedentes, sendo que muitos investigadores encontram-se a apelidar este roubo de dados como um dos maiores de sempre na história da China.

04/07/2022
Microsoft Defender surpreende em proteção contra ransomware
O Microsoft Defender tem vindo a ficar atrás da competição no que respeita ao desempenho e proteção, com várias das principais plataformas de teste de antivírus no mercado a darem notas abaixo da expectativa ao software.

No entanto, nem tudo parece mau para o software de segurança nativo do Windows 10 e Windows 11. Ao que parece, o Defender obteve um resultado positivo no que respeita à proteção contra ransomware do portal AV-TEST.

É importante notar que este género de testes não explora todo o género de malware que existe no mercado, mas é um bom ponto de partida para analisar a proteção que um determinado antivírus fornece sobre o sistema.

E no que respeita a proteção contra ransomware, os testes da AV-TEST demonstram que o Defender tem vindo a melhorar consideravelmente. O Microsoft Defender junta-se na lista de 12 outros programas de segurança que foram considerados bons em nível de proteção contra ransomware, tendo sido capazes de identificar e bloquear o mesmo.

Da lista fazem parte os nomes:
- Avast
- AVG
- Bitdefender
- F-Secure
- G DATA
- K7 Computing
- Kaspersky
- Microsoft
- Microworld
- NortonLifeLock
- PC Matic
- VIPRE Security
No caso específico do Defender, o software de segurança foi capaz de identificar os ataques de ransomware numa fase bastante inicial do ataque, o que permitiu também ao programa bloquear a exploração das falhas e encriptação de ficheiros numa fase bastante inicial.

Apesar de o Defender ainda não ser perfeito a nível da proteção que fornece sobre o sistema, os avanços que a Microsoft tem vindo a realizar no mesmo são certamente de louvar, e capazes de criar uma solução de segurança relativamente aceitável para os utilizadores dos sistemas mais recentes do Windows.
04/07/2022
Contas do Exército Britânico no Twitter e YouTube comprometidas para esquemas de criptomoedas

As autoridades britânicas encontram-se a investigar um novo ataque às suas contas oficiais do Twitter e YouTube do Exército britânico, depois das mesmas terem sido comprometidas para propagarem esquemas relacionados com criptomoedas.

De acordo com o blog “Web3 is Going Great”, as duas contas foram comprometidas durante o fim de semana, praticamente ao mesmo tempo, sendo usadas para promover um esquema de criptomoedas. A conta do Twitter terá sido temporariamente usada para ter um design similar ao projeto “The Possessed”, um conjunto de 1000 NFTs com o preço de 0.58 Ethereum.

Durante o tempo que esteve comprometida, a conta propagou vários links para sites falsos relacionados com esquemas de criptomoedas – e que não estariam diretamente relacionadas com o projeto.

No caso do YouTube, a conta terá sido modificada para realizar uma transmissão em direto e permanente de esquemas associados com diferentes criptomoedas, prometendo aos utilizadores ganhos avultados caso enviem criptomoedas para um endereço específico. Este esquema usa o nome de Elon Musk, Jack Dorsey, entre outros para tentar captar a atenção dos utilizadores.

De momento ambas as contas já parecem ter sido restauradas para a normalidade, mas ainda não existe uma confirmação oficial da entidade sobre o ataque.,

04/07/2022
Raspberry Robin: Microsoft alerta para novo ataque a redes Windows

A Microsoft encontra-se a alertar para um novo malware que se encontra a propagar em força nos últimos tempos, e que afeta sobretudo redes que tenham computadores sobre sistemas Windows.

Apelidado de “Raspberry Robin”, este novo malware explora falhas no sistema e nas redes locais para propagar o seu ataque a vários sistemas diferentes. Este malware propaga-se sobretudo por redes internas, mas o ponto de origem tende a ser por uso de uma USB infetada com ficheiros LNK.

Quando os utilizadores carregam neste ficheiro de atalho, começam também o processos de infeção da rede local com o malware. O malware tenta ligar-se a vários servidores de controlo, de onde são descarregados conteúdos maliciosos para o sistema, tentando ainda ocultar as atividades através do uso de ligações pela rede TOR.

É importante notar que o “Raspberry Robin” não é um malware propriamente novo no mercado. Na verdade, várias empresas de segurança já o tinham reportado em inícios de 2021, e a Microsoft até confirmou que existiam indicações dos ataques terem datado de 2019. No entanto, ultimamente tem vindo a registar-se um aumento considerável no número de redes empresariais infetadas por este malware.

A empresa revela que terá descoberto o malware atualmente ativo sobre centenas de redes empresariais, e que o número continua a aumentar diariamente. O mais interessante deste malware encontra-se no facto que usa a rede TOR para comunicar com os diferentes servidores de controlo, o que oculta não apenas as atividades, mas também permite manter uma linha de comunicação para futuras instalações de mais malware nos sistemas ou até ataques de ransomware.

03/07/2022
Kaspersky revela padrões usados para maioria dos ataques de ransomware

O ransomware continua a ser uma das principais formas de ataque para os dias de hoje, não apenas por ser consideravelmente destrutivo, mas também por ter o potencial para elevados ganhos para os atacantes.

E de acordo com um recente estudo realizado pela Kaspersky, existem alguns padrões que são comuns a todos os grupos de ransomware que se encontram atualmente ativos. Estes padrões podem ser usados para o combate a este género de ataques de forma mais eficiente.

A entidade analisou alguns dos padrões de ataque de grupos como o Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit 2.0, RagnarLocker, BlackByte e BlackCat. Segundo a empresa, estes grupos são atualmente dos mais ativos no mercado, com ataques a grandes nomes de diversas indústrias, mas são também os que possuem padrões mais comuns entre si entre todos os ataques realizados.

Segundo o estudo, a maioria dos ataques são realizados tendo como porta inicial a exploração de falhas em serviços remotos, a partir dos quais são depois obtidos acessos mais elevados para prosseguir com o mesmo. Apenas uma pequena percentagem dos ataques possui de origem mensagens de phishing diretamente – um meio comum que muitos ainda acreditam ser a porta de entrada para os mesmos.

Obviamente, o objetivo final será levar à encriptação e roubo de dados, mas no processo existem padrões que são praticamente comuns a todos os grupos, e que podem agora ajudar os investigadores a terem uma forma de conseguir detetar e travar estes ataques a tempo.

01/07/2022
Malware YTStealer foca-se para os criadores de conteúdos no YouTube

Existe um novo malware pela Internet que se foca para os criadores do YouTube, com o objetivo de roubar as contas dos mesmos para publicação de conteúdos enganadores ou envio de spam para a plataforma.

Apelidado de YTStealer, este novo malware foi descoberto pelos investigadores da empresa Intezer, sendo que se foca em roubar os dados de login sobre a plataforma de vídeos da Google.

Tendo em conta que o malware foca-se sobretudo para criadores, este é distribuído a partir de supostos programas de edição de vídeos, muitas vezes fornecidos em sites de pirataria. Este pode mascarar-se sobre programas como o OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Antares Auto-Tune Pro, e Filmora.

Por vezes este pode também ser encontrado em conteúdos que os criadores usam, sobretudo a comunidade gamer, como é o caso de jogos piratas do Grand Theft Auto V, programas de cheats para CS:GO ou para Valorant. Os investigadores também o descobriram sobre alguns programas que prometem gerar acesso do Discord Nitro e Spotify Premium.

Quando este é instalado num sistema, o mesmo começa por analisar os dados do navegador, de forma a identificar se existe o potencial de o utilizador ter uma conta no YouTube como criador. Depois disso, procede ao roubo e envio de dados como o nome do canal, subscritores ativos, estado da monetização, entre outros detalhes. Estes dados são enviados para servidores em controlo dos atacantes.

Todo este processo é realizado em segundo plano, muitas vezes sem as vítimas terem exatamente noção do que está a acontecer a menos que venham processos suspeitos nos seus sistemas. O malware recolhe os tokens e cookies de acesso diretamente do navegador, para garantir que as vitimas nem sequer sejam alertadas para o caso.

As contas que são recolhidas pelo malware podem ser usadas para vários fins. Em algumas situações as mesmas são usadas para o envio de conteúdos de spam para a plataforma, aproveitando os subscritos para propagar esquemas e mais malware. Em outras situações, as contas são guardadas pelos gestores do malware, sendo colocadas à venda na Dark Web – sobretudo contas de criadores com elevados valores de subscritos na plataforma.

O mais interessante deste malware encontra-se no facto de usar os tokens das contas para acesso, o que basicamente permite contornar medidas de proteção como a autenticação em duas etapas nos sistemas infetados. Uma das formas de se proteger contra este ataque passa por sair das contas periodicamente.

29/06/2022
AMD irá investigar suposto ataque com roubo de dados

Recentemente foi revelado que a AMD poderia ter sido alvo de um roubo de dados, através de um ataque de ransomware. O roubo teria sido confirmado pelo grupo conhecido como “RansomHouse”, o qual alega ter mais de 450GB de dados em sua posse.

Segundo o portal RestorePrivacy, que analisou alguns dos dados divulgados pelos atacantes, o acesso teria sido feito a partir de terminais dos funcionários, em parte devido a estes terem senhas relativamente simples nas suas contas – o que facilitou a tarefa.

O grupo também indica nas notas do ataque que a AMD possui uma fraca segurança a nível das contas das suas redes internas e dos seus funcionários.

É importante sublinhar, no entanto, que ainda não existe uma confirmação oficial de que os dados sejam realmente pertencentes à AMD. Em resposta ao ataque, a AMD afirma que se encontra a investigar o caso, mas ainda não deixa qualquer comentário sobre se os dados são reais ou não.

De referir também que o grupo RansomHouse é relativamente novo no mercado dos ataques de ransomware, e até agora possui uma lista relativamente pequena de alvos atacados – na sua maioria pequenos websites e empresas.

29/06/2022
Axie Infinity volta ao ativo depois de roubo de 625 milhões de dólares

Depois de um dos maiores roubos de criptomoedas na história, com perdas de quase 625 milhões de dólares, a plataforma do jogo Axie Infinity encontra-se agora novamente ativa. Este título pay-to-earn encontra-se novamente a aceitar os jogadores, tendo corrigido os problemas do passado que levaram ao roubo massivo.

O roubo ocorreu derivado da existência de falhas sobre a rede Ronin, criada pela empresa responsável pelo jogo, a Sky Mavis, e que supostamente deveria facilitar as transações entre os utilizadores. Curiosamente, Axie Infinity encontra-se novamente disponível, mas vai manter-se a usar a rede da Ronin, a qual foi reativada depois de algumas auditorias externas.

Segundo a mensagem da entidade, a rede encontra-se agora com mais pontos de segurança para evitar roubos, além de ter sistemas automáticos de identificação de retiradas suspeitas, bem como moderação mais intensiva para estas transações.

De relembrar que, em meados de Março, um hacker terá conseguido roubar quase 173.600 ETH da plataforma, juntamente com 26 milhões de USDC. As autoridades atribuíram o ataque ao grupo Lazarus, embora ainda não tenha sido revelada uma confirmação oficial por parte do grupo sobre o ataque.

Se a plataforma vai conseguir recuperar do roubo será uma questão ainda a ver. Uma grande parte dos utilizadores ficaram receosos de voltar a investir na plataforma, portanto o futuro da mesma ainda será algo incerto – pelo menos em nível de voltar a ter o sucesso que teria no passado.

28/06/2022
Bots do Messenger usados para roubar contas do Facebook

Existe uma nova campanha de phishing que se encontra a propagar em força pela Internet, e a afetar sobretudo os gestores de páginas do Facebook. A nova campanha faz uso de bots criados pelo Messenger para tentar enganar as vítimas e roubar as suas contas.

Os chatbots podem ter usos bastante importantes para os utilizadores, mas também podem ser usados para o mal. E este é um exemplo deste último ponto, onde sistemas de conversa automática podem ser usados para levar os utilizadores a introduzir informações importantes das suas contas em sites maliciosos.

Segundo a empresa de segurança TrustWave, o ataque começa quando as potenciais vítimas recebem um email, supostamente do Facebook, a informar que existem violações sobre as suas contas ou páginas no Facebook, e que é necessário tomar medidas nas 48 horas seguintes ou a página será eliminada.

A mensagem de email é acompanhada por um link que direciona o utilizador para um chat do Messenger, onde este é recebido por um bot automático que inicia o processo de suposto “restauro” da conta.

No meio da conversa, o utilizador é redirecionado para um site onde deve introduzir diversa informação relativamente à sua conta do Facebook, incluindo o email de login e a senha de acesso. Obviamente, ao realizar este processo, os dados de login são enviados para os atacantes, dos quais passam a ter total controlo da conta.

A grande diferença neste género de ataque encontra-se no facto que usa um chatbot para tentar tornar todo o processo mais legitimo e rápido, e é possível que tal medida acabe por enganar algumas vítimas desatentas.

28/06/2022
Atacante da plataforma Harmony movimenta 44 milhões de dólares

Recentemente foi confirmado um ataque à rede da Horizon Bridge, onde mais de 100 milhões de dólares em criptomoedas terão sido roubados. E agora, parece que o atacante encontra-se a preparar para mover o dinheiro para tentar “limpar” o mesmo.

De acordo com o comunicado da Harmony, foi identificado que uma das carteiras que teria sido usada para o roubo terá movimentado mais de 36,000 ether (ETH), ou seja, cerca de 44 milhões de dólares, da mesma para a plataforma do Tornado Cash.

A carteira já tinha registado algumas atividades no passado, começando a semana a mover quase 22 milhões de dólares para outras três carteiras diferentes. No entanto, as carteiras encontram-se agora a preparar para o envio das criptomoedas para o Tornado Cash.

De relembrar que o Tornado Cash é um serviço bastante usado como “lavagem de criptomoedas”, onde criminosos muitas vezes enviam os seus roubos para tentar evitar a identificação dos mesmos. Este serviço reparte o valor de entrada por uma carteira “geral”, que depois distribuir os pagamentos para diferentes carteiras consideradas como “limpas”.

Apesar de a blockchain registar todas as transações publicamente, esta atividade torna consideravelmente mais difícil a analise das movimentações – embora não impossível.

A carteira principal usada para o ataque ainda possui, na data de escrita deste artigo, quase 49,000 ether, ou cerca de 59 milhões de dólares registados do roubo.

28/06/2022
AMD alegadamente alvo de ataque ransomware com 450GB de dados roubados

A AMD pode ter sido a mais recente vítima de um ataque de ransomware, depois de um grupo conhecido como RansomHouse ter confirmado o roubo de dados da empresa.

Segundo o site associado ao grupo, este alega ter atacado os servidores da AMD, roubando mais de 450 GB de dados dos mesmos. O ataque e consequente roubo teriam ocorrido a 5 de Janeiro de 2022, mas apenas agora foi divulgado e confirmado pelo grupo.

A mensagem deixada pelo grupo sobre o ataque indica que o mesmo terá sido realizado devido às fracas medidas de segurança da AMD, nomeadamente sobre contas de funcionários. Esta indicação aponta que a origem do ataque pode ter ocorrido derivado do roubo de credenciais associadas a funcionários da AMD.

O grupo afirma ainda que algumas das contas associadas aos funcionários possuíam senhas básicas como “123456” ou “password”, o que facilitou o acesso. De momento ainda se desconhecem os detalhes relativamente aos dados roubados, sendo que a AMD também não deixou qualquer comentário sobre o mesmo.

27/06/2022
Ransomware LockBit agora esconde-se sobre falsas reivindicações de copyright

Existem várias formas sobre como malware pode chegar a instalar-se num sistema, mas um dos mais propagados nos últimos tempos tem vindo a ser o ransomware. Sobretudo devido aos elevados ganhos que podem trazer para quem distribui o mesmo.

E agora, foi descoberto que afiliados do ransomware Lockbit podem estar a distribuir o mesmo de uma forma algo diferente do vulgar: usando reivindicações de direitos de autor (copyright).

De acordo com os investigadores da empresa de segurança AhnLab, o ataque começa quando as vítimas recebem mensagens de email, supostamente sobre violações de direitos de autor em algum conteúdo – como é o caso de um website ou vídeo do YouTube.

A mensagem vem mascarada como uma possível violação de direitos de autor, contendo em anexo os ficheiros com mais informações sobre o caso. No entanto, estes ficheiros são na realidade o ransomware, que uma vez executado no sistema, começa o processo de encriptação dos conteúdos.

O foco deste ataque passa por entidades que tenham uma vertente online, como é o caso de um website, e onde as vítimas podem acabar por receber um email com teor de urgência – elevando também o pânico para essas entidades.

Isso pode levar a que algumas vítimas acabem por executar o malware nos seus sistemas sem as devidas precauções previamente.

27/06/2022
Plataforma Horizon da Harmony algo de roubo de 100 milhões de dólares

No passado dia 23 de Junho de 2022, um hacker terá conseguido roubar mais de 100 milhões de dólares da plataformas de blockchain Harmony Horizon bridge, durante 11 transações diferentes que foram feitas no serviço.

Um serviço de Bridge na Blockchain permite que os utilizadores possam mover os seus ativos digitais entre diferentes blockchains. Este era o propósito desta entidade, que ajuda os utilizadores a realizarem essa transição diretamente.

Pouco depois de o ataque ter sido confirmado, a Harmony confirmou ter suspendido todas as transações da Horizon bridge para prevenir outros ataques. As várias autoridades foram também contactadas e encontra-se atualmente a ser realizada uma investigação do sucedido.

A empresa também confirmou o ataque via o Twitter, tendo prometido mais informações assim que for possível. De momento as investigações das autoridades ainda se encontram a decorrer, pelo que não foi possível obter mais detalhes.

Este é também o terceiro maior roubo associado a criptomoedas que se regista este ano.

25/06/2022
Recebeu uma confirmação de pagamento do PayPal? Cuidado, pode ser fraude
A Avanan alerta para uma nova ciberameaça que se aproveita da marca Paypal. Em novembro, a Check Point Software informava de um ataque semelhante com a Amazon. Os atacantes aproveitavam-se de links legítimos da Amazon, incitando o utilizador a realizar uma chamada telefónica para cancelar um pedido fictício.

Agora, foi descoberta uma campanha idêntica, desta vez utilizando a identidade do Paypal. À semelhança do que aconteceu com a Amazon, a única forma de “cancelar” o pedido de pagamento é fazendo uma chamada telefónica. Desde abril de 2022, os investigadores da Avanan identificaram um aumento do número de ciberataques com base na imitação de marcas populares, como o Paypal. Nestes ataques, os utilizadores recebem um e-mail de confirmação de pagamento de um suposto pedido com indicação de que para cancelar esse mesmo pagamento devem contactar um número telefónico de assistência. Nesta chamada, os atacantes tentarão extorquir informação.

Metodologia de ataque

Os atacantes enviam o que parece ser um pedido de confirmação de pagamento do Paypal. Neste e-mail, o utilizador é informado de que comprou mais de 500 dólares em DogeCoin. Para cancelar o pedido, há uma indicação de um número de telefone para assistência ao cliente.

A ideia não é apenas obter informação financeira, mas também o número de telefone do utilizador final. Esta tática assenta na recolha de contactos telefónicos. Assim, em vez de procurar obter credenciais para logins online, recolhe facilmente o contacto através da função de identificação de chamadas, o que permite os atacantes realizar uma série de ataques, quer através de mensagens de texto, como chamadas ou mesmo WhatsApp.

De acordo com a investigação, o número que aparece no e-mail está sediado no Havai, estando relacionado com outras campanhas maliciosas passadas. Quando o utilizador telefona, é lhe pedido o número do cartão de crédito e CVV para “cancelar” a cobrança. O sucesso deste ataque explica-se também pela inexistência de um link clicável malicioso. Quando existem links maliciosos num corpo de e-mail, a própria solução de segurança do correio eletrónico pode verificá-los, bloqueando-os se for o caso. Uma vez que o ataque se baseia meramente em táticas de engenharia social, a deteção é mais difícil.

“As grandes marcas de pagamento são das mais imitadas porque os utilizadores tendem a confiar nos seus e-mails. Para evitar estes ataques, é crucial que os utilizadores estejam alerta e tenham conhecimentos básicos de cibersegurança que lhes permitam identificar qualquer intenção maliciosa. Empresas como a Paypal, Amazon ou Microsoft são claramente um objetivo para os atacantes, pelo que deve ter-se atenção acrescida quando somos confrontados com qualquer pedido de informação pessoal,” alerta Rui Duro, Country Manager da Check Point Software Technologies.

Práticas de segurança para evitar ameaças como esta:
1. Verifique o endereço de correio eletrónico do remetente.
2. Verifique a conta PayPal e confirme a legitimidade do pagamento.
3. Não inclua grandes empresas nas listas de permitidos, uma vez que estas tendem a estar entre as mais imitadas.
4. Não ligue a números desconhecidos.
23/06/2022
Adobe Acrobat Reader impede software antivírus de analisar ficheiros PDF

Uma das funcionalidades que existe na maioria dos programas de antivírus encontra-se sobre a proteção de ficheiros maliciosamente modificados em vários programas, como é o caso de ficheiros do Word, Excel ou PDF.

Para realizar estas atividades, os softwares de segurança necessitam de analisar antecipadamente os ficheiros para poderem validar a sua origem. No entanto, segundo a empresa de segurança Minerva Labs, a Adobe encontra-se a ativamente bloquear a capacidade de vários softwares antivírus analisarem os ficheiros PDF abertos pelo programa.

O Adobe Acrobat Reader encontra-se a bloquear mais de 30 programas de segurança diferentes de conseguirem analisar os ficheiros PDF antes de serem abertos no mesmo. Da lista inclui-se os programas da Trend Micro, BitDefender, AVAST, F-Secure, McAfee, 360 Security, Citrix, Symantec, Morphisec, Malwarebytes, Checkpoint, Ahnlab, Cylance, Sophos, CyberArk, Citrix, BullGuard, Panda Security, Fortinet, Emsisoft, ESET, K7 TotalSecurity, Kaspersky, AVG, CMC Internet Security, Samsung Smart Security ESCORT, Moon Secure, NOD32, PC Matic e SentryBay.

A única exceção encontra-se sobre o Microsoft Defender, a solução de segurança que se encontra nativa no Windows 11, e que curiosamente pode realizar a validação dos ficheiros PDF.

Com este bloqueio, os softwares de segurança ficam impedidos de identificar potencial código malicioso em ficheiros PDF maliciosamente modificados para tal, o que abre portas para que ataques sejam realizados através deste formato.

Segundo os investigadores, para os programas de segurança analisarem conteúdos dentro de aplicações no sistema, estes necessitam de injetar ficheiros DLL nos processos que são abertos. No entanto, no caso da Adobe, a empresa encontra-se a impedir que tal atividade seja realizada, consequentemente impedindo a capacidade de proteção dos sistemas de segurança.

A Minerva Labs afirma que esta medida da Adobe pode ser considerada bastante grave, já que abre as portas para que possíveis ficheiros infetados acabem por executar código malicioso no sistema, sem que os softwares de segurança tenham a capacidade de prevenir tal ataque – e de realizarem a tarefa para o qual foram criados.

Em resposta, a Adobe afirma que o bloqueio encontra-se a ser aplicado tendo em conta que existem incompatibilidades com alguns programas de segurança que podem impedir o correto carregamento de conteúdos do seu leitor de PDFs. No entanto, esta prática apenas acontece com software da Adobe, já que outros leitores de PDFs no mercado não possuem qualquer problema com softwares de segurança existentes.

22/06/2022
Ataques de ransomware a organizações de saúde aumentaram 94% em 2021
A Sophos publicou um novo relatório sobre o setor da saúde, “The State of Ransomware in Healthcare 2022“. Os resultados revelam um aumento de 94% nos ataques de ransomware às organizações inquiridas – de facto, em 2021 66% das instituições de serviços de saúde foram atacadas, contra 34% no ano anterior.

O lado positivo é, no entanto, que as instituições deste setor estão a melhorar a sua forma de lidar com as consequências dos ataques de ransomware, de acordo com os dados do inquérito: 99% das organizações atingidas receberam de volta pelo menos alguns dos seus dados após os cibercriminosos os terem encriptado durante os ataques.

Outras conclusões deste estudo sobre o ransomware no setor da saúde incluem:
- As organizações de cuidados de saúde registaram o segundo maior custo médio de recuperação de ransomware (1.75 milhões de euros), levando em média uma semana a recuperar de um ataque;
- 67% das organizações acredita que os ciberataques são mais complexos, com base na sua experiência de como estes têm vindo a mudar durante o último ano. O setor da saúde foi o que registou a percentagem mais elevada de ataques;
- Embora as organizações de saúde sejam as que mais frequentemente pagam o resgate (61%), são também as que o pagam o menor valor médio (aprox. 187 mil euros), em comparação com a média global de 769 mil euros (em todos os setores inquiridos no estudo);
- Das organizações que pagaram o resgate, apenas 2% recebeu todos os seus dados de volta;
- 61% dos ataques neste setor resultou em encriptação, 4% abaixo da média global (65%).
“Os ataques de ransomware a organizações de saúde são mais complexos do que noutras indústrias, tanto em termos de proteção como de recuperação,” afirmou John Shier, Senior Security Expert da Sophos. “Os dados que as organizações de saúde recolhem são extremamente sensíveis e valiosos, o que os torna muito apetecíveis para os atacantes. Para além disso, a necessidade de acesso eficiente e generalizado a este tipo de dados – para que os profissionais de saúde possam prestar os cuidados adequados – implica que a típica autenticação de dois fatores e as táticas de defesa ‘Zero Trust’ nem sempre sejam viáveis.

Isto deixa as organizações de saúde particularmente vulneráveis e, quando atacadas, muitas optam por pagar um resgate para manter o acesso aos dados pertinentes, e muitas vezes fundamentais para salvar a vida dos pacientes. Devido a estes fatores únicos, as organizações de saúde necessitam de ampliar as suas defesas contra o ransomware, combinando a tecnologia de segurança com threat hunting liderado por humanos, para se defenderem contra os ciberatacantes sofisticados de hoje em dia.”

Há cada vez mais organizações da área da saúde (78%) a optar por contratar ciberseguros – contudo, 93% destas reporta mais dificuldades em obter cobertura de apólices no último ano. Com o ransomware a ser o maior impulsionador de pedidos de seguros, 51% relata que o nível de cibersegurança necessário para se qualificar é maior, colocando mais pressão sobre as instituições de saúde com orçamentos mais baixos e menos recursos técnicos disponíveis.

À luz dos resultados do inquérito, os especialistas da Sophos recomendam as seguintes melhores práticas para todas as organizações, em todos os setores:
- Instalar e manter defesas de alta qualidade em todos os pontos do ambiente de uma organização. Rever regularmente os controlos de segurança e certificar-se de que continuam a satisfazer as necessidades da organização;
- Reforçar o ambiente de TI, procurando e colmatando as principais lacunas de segurança: dispositivos sem patches, máquinas desprotegidas e portas de Remote Desktop Protocol abertas. As soluções de Deteção e Resposta Ampliadas (Extended Detection and Response – XDR) são ideais para ajudar a suprir estas lacunas;
- Fazer backups e praticar o seu restauro para que a organização possa voltar a funcionar o mais rapidamente possível, com o mínimo de transtorno;
- Procurar proativamente ameaças para identificar e deter os adversários antes que estes possam executar os seus ataques – se a equipa não tiver tempo ou competências para o fazer internamente, sugere-se a subcontratação de um especialista em Deteção e Resposta Geridas (Managed Detection and Response – MDR);
- Estar preparado para o pior. Saber o que fazer se ocorrer um ciberataque e manter o plano de ação atualizado.
O relatório “The State of Ransomware in Healthcare 2022” está disponível no website da Sophos. O estudo inquiriu 5.600 profissionais de TI, incluindo 381 no setor dos cuidados de saúde, em organizações de média dimensão (100-5.000 colaboradores) em 31 países.
22/06/2022
Dispositivos NAS da QNAP sobre nova onda de ataques de ransomware

Os utilizadores de dispositivos NAS da QNAP estão a ter a história novamente a repetir-se, com a confirmação que se encontra ativo mais um ataque contra os dispositivos da empresa. Os ataques encontram-se a ser realizados por um grupo bem conhecido da empresa, sobre o nome de “ech0raix”.

Como se sabe, um ataque de ransomware ocorre quando os atacantes bloqueiam os ficheiros das vítimas, obrigando as mesmas a realizarem pagamentos para obterem novamente acesso aos conteúdos. Um dos operadores deste género de operações é conhecido como “ech0raix”, e recentemente o grupo começou a focar-se em dispositivos da QNAP.

De acordo com o portal Bleeping Computer, os ataques começaram a ser identificados no dia 8 de Junho, contra dispositivos vulneráveis da QNAP. Apesar de terem sido confirmados relatos de centenas de vítimas, o número final pode ser consideravelmente superior. A empresa ainda não confirmou detalhes sobre este novo ataque, pelo que os dados oficiais não são conhecidos.

Os utilizadores que tenham dispositivos NAS da QNAP são aconselhados a tomarem as tradicionais medidas de precaução, como de manterem as senhas atualizadas e diferentes das padrão, evitarem as portas sobre números padrão e limitarem o acesso de IPs na rede. Além disso, recomenda-se ainda a desativação de funcionalidades como o UPnP.

Este é apenas mais um ataque focado contra utilizadores de dispositivos da QNAP, que nos últimos meses tem vindo a ser alvo de um constante volume elevado de ataques e exploração de vulnerabilidades.

21/06/2022
Hertzbleed: uma nova vulnerabilidade que afeta processadores Intel e AMD

Existe mais uma grave vulnerabilidade que afeta sistemas com processadores tanto da AMD como da Intel, e que pode ser aproveitada para realizar ataques conhecidos como “side channel”.

A falha ficou conhecida como Hertzbleed, e se explorada, pode permitir o roubo de chaves criptográficas armazenadas internamente nos processadores. Para roubar esta informação, são recolhidos vários dados do processador, como é o caso do tempo de resposta, consumo de energia e frequência de clock, entre outros, que depois são usados para realizar o ataque.

Neste caso, o Hertzbleed analisa as variações da frequência de clock do processador e do consumo de energia, que depois podem ser convertidos em dados, neste caso as chaves de encriptação do sistema. Se explorada, a falha permite obter as chaves de encriptação do padrão AES (Advanced Encryption Standard), que são padrão em todos os processadores da Intel e nos modelos da AMD com a arquitetura Zen 2 e Zen 3.

Apesar de estes modelos mais recentes da AMD terem sido os indicados no relatório dos investigadores responsáveis pela descoberta da falha, os mesmos acreditam que esta falha pode ser explorada em praticamente qualquer processador X86 no mercado.

É importante notar, no entanto, que existe uma extrema exploração técnica para conseguir usar a falha, motivo pelo qual a Intel foi uma das primeiras a indicar que esta falha, apesar de existir, não possui um risco prático. A mesma poderia demorar horas ou até mesmo vários dias para permitir o roubo das chaves de encriptação.

No entanto, a empresa confirmou que vai lançar uma atualização das drivers dos seus processadores mais recentes para tentar mitigar o problema. Uma das formas recomendadas pelos investigadores para mitigar o Hertzbleed passa por desativar o Turbo Boost no caso de plataformas Intel, ou o Precision Boost no caso de processadores AMD – mas isso pode ter impacto no desempenho final do sistema.

Por agora ainda se desconhece se esta falha pode ser explorada sobre outras arquiteturas, como a ARM.

15/06/2022
Espaço aéreo da Suíça esteve totalmente encerrado devido a falha informática

Durante o inicio do dia de hoje, o espaço aéreo na Suíça esteve encerrado devido a uma falha informática, que afetou o sistema de controlo aéreo no pais. Esta falha terá deixado milhares de passageiros nos aeroportos da cidade de Zurich e Genebra, sem os voos que estavam previstos.

De acordo com a Skyguide, empresa responsável pelo controlo de tráfego aéreo no pais, as causas iniciais da falha não foram reveladas, mas várias fontes têm vindo a apontar as possíveis causas para o mesmo, que vão desde uma falha de software usado pela entidade, até problemas mais graves, como o caso de um ataque informático.

Face aos rumores que surgiram nas horas seguintes, a Skyguide foi obrigada a emitir um comunicado pelo Twitter, deixando claro que o problema terá ocorrido devido a uma falha num componente informático, associado a um sistema critico para o funcionamento da plataforma.

Por volta das 8H12, a entidade confirmava que a falha tinha sido corrigida e que o espaço aéreo encontrava-se novamente aberto.

No entanto, esta falha terá obrigado vários voos agendados para o pais a terem de realizar a alteração das suas rotas para países vizinhos, deixando vários passageiros com alterações de trajetos. Os dados mais recentes apontam que cerca de 2000 pessoas terão sido afetadas por esta falha.

15/06/2022
Cloudflare confirma um dos maiores ataques DDoS de sempre

A plataforma da Cloudflare confirmou, numa recente mensagem no seu blog, ter mitigado com sucesso um dos maiores ataques DDoS que existe registo na história da Internet.

De acordo com a empresa, o ataque DDoS (no formato de HTTPS DDoS) teve mais de 26 milhões de pedidos realizados por segundo. O ataque terá sido direcionado contra um website não referenciado, sendo que o volume de pedidos terá sido feito a partir de sistemas comprometidos e dispositivos da Internet das Coisas.

No total, a plataforma afirma que foram usados mais de 5000 sistemas diferentes para realizar o ataque. Apesar de ser um volume relativamente pequeno, a conjugação de pequenos dispositivos com grandes servidores permitiu elevar consideravelmente a largura do ataque.

Em média, cada plataforma originária do ataque estaria a realizar 5200 pedidos por segundo contra a vítima. Existem botnets conhecidas com valores consideravelmente mais elevados de dispositivos, mas ao mesmo tempo que não possuem a capacidade de pedidos que foi usada para este ataque.

A Cloudflare afirma que este ataque terá atingido as proporções mais elevadas, com menos dispositivos de origem, devido ao facto de terem sido usados servidores virtuais e dedicados comprometidos.

É também importante referir que o ataque foi realizado sobre HTTPS, que é tecnicamente mais exigente a nível de recursos, devido ao processamento necessário para a realização das ligações seguras.

Por entre os países onde se encontravam os dispositivos usados para o ataque, a grande maioria estaria na Indonésia, seguindo-se os EUA, Brasil e Rússia.

14/06/2022
“Overwatch 2” vai chegar em free-to-play para todos

A Activision Blizzard pode ainda não ter sido completamente adquirida pela Microsoft, mas a editora possui a sua presença sobre o showcase da Xbox e Bethesda, sendo que aproveitou o mesmo para revelar algumas novidades sobre Overwatch 2.

A empresa revelou um pequeno trailer de Overwatch 2, juntamente com a indicação que o jogo vai oficialmente chegar a 4 de Outubro a todas as plataformas em early acess. Foi também confirmado que o jogo vai ser free-to-play, e que vai ser lançado pelo menos mais uma versão Beta antes da versão final.

O trailer do jogo revelou a chegada do novo herói, Junker Queen, sendo que se espera que o mesmo venha a ser uma personagem jogável como parte do próximo Beta, contando com uma caçadeira e armas de combate próximo. O trailer revela ainda a nova habilidade para Zenyatta, que incapacita os inimigos com um ataque melee.

[embedded content]

Tendo em conta que a editora pretende que os jogadores adotem o novo Overwatch 2, a versão original do Overwatch também vai entrar em formato free-to-play. Quem tenha adquirido o jogo antes de 23 de Junho vai receber o Founders Pack, que conta com vários itens adicionais – no entanto, os jogadores necessitam de entrar nas suas contas até 5 de Dezembro para receberem o pack.

De notar que, com a chegada de Overwatch 2 a 4 de Outubro, apenas o modo player-vs-player (PvP) vai encontrar-se disponível. As missões co-op vão chegar mais tarde. Esperam-se ainda novos mapas, novas formas de jogo e muita ação, como é de prever em qualquer titulo deste género.

13/06/2022
Tenha cuidado ao pesquisar pelo CCleaner no Google

O CCleaner é uma popular ferramenta de otimização do Windows, que apesar de todas as controvérsias no passado, ainda continua a ser usada por milhares de utilizadores. Para muitos, quando se pretende descarregar o programa, uma das formas de o realizar será aceder a um motor de pesquisa como o Google e pesquisar pelo nome do programa.

No entanto, se costuma realizar esta tarefa, talvez seja melhor ter cuidado sobre onde exatamente acede. Isto porque foi recentemente identificada uma nova campanha focada em enganar os utilizadores que procurem pelo CCleaner no Google.

De acordo com a empresa de segurança Avast, foi descoberta uma nova campanha de malware sobre o nome de “FakeCrack”, que usa os resultados de pesquisa do Google para tentar enganar os utilizadores a descarregarem versões maliciosas do CCleaner.

A campanha usa a publicidade do Google para surgir nos primeiros resultados da pesquisa, que será onde existe a maior possibilidade de os utilizadores carregarem primeiro. Além disso, o ataque afeta também quem procura versões pirateadas do CCleaner Pro, onde o mesmo sistema de publicidade é usado para apresentar sites onde, supostamente, se poderia descarregar a versão.

Os investigadores afirmam que nem sempre a campanha usa a publicidade da Google para tentar enganar os utilizadores. Muitas vezes são criados sites específicos para fornecerem versões modificadas do programa, que se focam em quem ativamente procura por este género de software pirateado.

As vitimas são muitas vezes levadas para sites que fornecem ficheiros ZIP, onde supostamente se encontra o programa pirata. Estes ficheiros estão protegidos por senha para evitar a deteção por softwares de antivírus, e encontram-se armazenados em várias plataformas de alojamento cloud.

Se os utilizadores instalarem os programas nos seus sistemas, acabam por estar a instalar malware focado em roubar dados de login a partir de navegadores como o Google Chrome, carteiras de criptomoedas e outras informações sensíveis.

O malware também é capaz de instalar um programa de monitorização da Área de Transferência do Windows, que identifica quando o utilizador copia uma carteira de criptomoedas para o mesmo, e altera o código da mesma para carteiras em controlo dos atacantes.

Os investigadores acreditam que mais de 10.000 utilizadores são infetados todos os dias com este género de malware, tendo em conta também que a campanha encontra-se ativa e a ser bastante explorada.

08/06/2022
macOS Ventura vai requerer permissões para envio de dados via USB-C

A Apple parece estar bastante focada em melhorar a segurança dos utilizadores sobre o macOS Ventura. A mais recente versão do sistema operativo da empresa conta com várias novidades, e uma delas encontra-se sobre o novo sistema de permissões via USB-C.

De acordo com o portal The Verge, o macOS Ventura vai agora requerer que os utilizadores autorizem cada vez que um dispositivo ligado via USB-C pretenda enviar ou aceder a dados do sistema. Esta medida pode limitar uma variante de ataque, evitando possíveis roubos de dados apenas usando a ligação, bem como evitar que dispositivos danificados possam enviar ou recolher dados incorretamente.

Esta nova funcionalidade de segurança vai encontrar-se ativa por padrão, mas não vai afetar acessórios que sejam ligados durante o processo de upgrade do sistema. Além disso, também não vai bloquear monitores externos, adaptadores de energia e outros hubs aprovados pela empresa.

Os dispositivos que sejam ligados ainda vão continuar a poder receber energia, mesmo que os utilizadores não autorizem o envio de dados. Isto pode ser útil, por exemplo, para carregar um smartphone mas quando não se pretende que o mesmo tenha acesso ao sistema.

Esta medida também não impede que sejam realizados ataques físicos nas portas, através do uso de USB maliciosas focadas em fornecer uma voltagem elevada para danificar a porta ou dispositivo.

07/06/2022
Yuga Labs confirma novo ataque ao Discord do Bored Ape Yacht Club

O servidor do Discord associado ao projeto do Bored Ape Yacht Club foi novamente atacado no final desta semana, com os atacantes a terem conseguido roubar mais de 200 ETH em NFTs do mesmo.

O ataque foi confirmado pela Yuga Labs no final desta semana, cerca de 11 horas depois dos rumores deste ter ocorrido terem começado a surgir pelo Twitter. O ataque terá tido como origem a conta do gestor de comunidade do projeto, Boris Vagner, na qual a sua conta do Discord teria sido invadida.

Os atacantes procederam depois ao envio de links maliciosos pela conta para vários utilizadores do projeto, o que terá resultado num roubo estimado de 145 ETH, ou certa de 260.000 dólares, em NFTs. O ataque já foi rastreado a pelo menos quatro carteiras diferentes.

A Yuga Labs confirmou o ataque algumas horas depois de os primeiros relatos terem começado a surgir no Twitter, inicialmente numa descoberta pelo utilizador “NFTHerder”. A investigação relativamente ao ataque ainda se encontra a ser realizada.

05/06/2022
Sega Mega Drive Mini 2 confirmada com mais de 50 títulos

As consolas retro ainda continuam a ter uma legião de fãs por todo o mundo, e exatamente no pico dessa fúria, a Sega revelou no mercado a Mega Drive Mini. Agora a empresa volta ao ataque com a nova versão da consola, a Sega Mega Drive Mini 2.

Durante um recente evento transmitido pela empresa, foi oficialmente confirmado que a Sega Mega Drive Mini 2 vai chegar ao mercado com várias novidades e algumas melhorias que vão certamente cativar os fãs da consola.

A consola vai ter pré-instalados mais de 50 títulos diferentes, sendo que também existe suporte para o Mega Drtive e Mega CD. Sonic CD, Virtua Racing, Shining Force CD, e Popful Mail são alguns dos nomes que foram confirmados para lançamento.

A empresa garante ainda que vão existir extras que não se encontravam no modelo original, que devem melhorar ainda mais a experiência dos jogadores. Mas para já ainda não foi revelada a lista completa de títulos que vão encontrar-se disponíveis.

[embedded content]

No pacote base os fãs vão receber a consola (ou a versão mini desta), juntamente com o comando autêntico e em tamanho real, um cabo HDMI e a ligação à energia via USB. Para os fãs da Sega CD, existe ainda um addon que pode ser comprado em separado, mas será apenas para efeitos estéticos.

Espera-se que esta versão chegue ao Japão no dia 27 de Outubro de 2022, com um preço aproximado de 75 dólares. Ainda se desconhecem detalhes sobre o possível lançamento global da mesma.

03/06/2022
Foxconn confirma ataque de ransomware a fábrica no México

No passado dia 31 de Maio, o grupo de ransomware conhecido como Lockbit 2.0 realizou um ataque à filial da Foxconn no México, algo que a empresa agora confirma como tendo sido verdade.

Segundo o comunicado da empresa, a Foxconn na cidade de Tijuana, no México, foi alvo de um ataque de ransomware, onde os atacantes terão roubado diversa informação interna da empresa e encriptado os conteúdos no processo. Apesar de a empresa não ter confirmado detalhes sobre o grupo que realizou o ataque, no site da rede TOR o grupo Lockbit 2.0 já confirmou ter realizado o mesmo, tendo dado o prazo de 10 dias para a disponibilização dos dados roubados.

A fábrica é responsável por produzir, sobretudo, painéis LCD para TVs, que depois são comercializadas para os EUA. A empresa refere que, depois do ataque, foram tomadas todas as medidas para retomar a normalidade, e que a produção encontra-se novamente em valores regulares.

03/06/2022
Subsistema de Linux para Windows cada vez mais usado para ataques de malware

A Microsoft começou finalmente a integrar partes do Linux dentro do Windows para os utilizadores interessados em usar o mesmo, que culminaram no Windows Subsystem for Linux (WSL). No entanto, se este sistema pode ser benéfico para os utilizadores que pretendem ter acesso ao Linux sem saírem do ambiente do Windows, ao mesmo tempo também é benéfico para quem realiza ataques.

O WSL permite que seja possível correr código binário do Linux diretamente do Windows, emulando o kernel do sistema. No entanto, com a crescente adoção do WSL, também começaram a surgir malwares que tentam explorar este sistema para realizar ataques.

Os primeiros casos de malware a explorar o WSL foram detetados em Setembro de 2021, mas desde então parece que os números aumentaram consideravelmente. De acordo com os investigadores da empresa de segurança Black Lotus Labs, existem cada vez mais malwares que são focados em explorar as funcionalidades do WSL para tentarem infetar o sistema, ao mesmo tempo que ocultam ao máximo as suas atividades.

Um dos mais recentes que parece ter vindo a propagar-se em força foca-se em roubar dados de autenticação dos navegadores dos utilizadores, além de que pode receber comandos de controlo diretamente do Telegram.

Segundo os investigadores, uma das amostras descobertas recentemente trata-se de um malware-bot, que é capaz de receber comandos diretamente de canais específicos do Telegram, em controlo dos atacantes, e roubar credenciais de login de navegadores como o Chrome e Opera no sistema. Os dados roubados são depois enviados diretamente para esses canais do Telegram, sendo guardados pelos atacantes.

Para realizar este ataque, o malware explora o WSL no Windows, executando o código python necessário para tal neste ambiente. Além de recolher os dados de login, o malware pode ainda obter outras informações das vítimas, como os dados do sistema, identificação e dados pessoais.

Curiosamente, quando analisado pelo software do VirusTotal, apenas duas soluções de segurança das mais de 57 analisadas confirmavam o malware como tendo atividades maliciosas.

Conforme o WSL venha a tornar-se mais popular, também se espera que mais malware venha a tentar tirar proveito do mesmo para infetar os sistemas, ou até explorado vulnerabilidades desse sistema para tal.

30/05/2022
“Alien” é o novo spyware descoberto para Android

Os utilizadores do Android devem ter atenção a um novo spyware que se encontra a ser distribuído para o sistema, conhecido como “ALIEN”, e o qual é distribuído sobre outro malware, conhecido como “PREDATOR”.

De acordo com a Threat Analysis Group (TAG) da Google, este spyware é usado para campanhas focadas em determinados utilizadores, e existem atualmente pelo menos três confirmações de campanhas ativas.

Acredita-se que o spyware tenha sido desenvolvido pela empresa Cytrox, da Macedónia, e que é vendido como um software comercial de espionagem para terceiros – sejam ou não a entidades associadas com governos.

O “Alien” em particular usa diversas falhas zero-day para tentar infetar os sistemas, e caso consiga, começa a recolher o máximo de informação possível sobre as vítimas. Parece que os criminosos encontram-se a tentar explorar o máximo de falhas possíveis antes destas serem corrigidas, com o objetivo de levar a uma mais elevada taxa de sucesso na instalação sobre os sistemas da vítimas.

A maioria das vítimas começam por ser infetadas através de campanhas de phishing via email, onde são contactadas para acederem a determinados links a partir do qual se inicia o ataque. Entre as tarefas que o spyware pode realizar encontra-se a recolha de mensagens SMS, emails, contas ativas nos dispositivos, apps instaladas, além de recolher fotos, vídeos e som diretamente do sistema.

23/05/2022
Sites de phishing agora usam chatbots para roubar dados pessoais

Os ataques de phishing continuam a ser dos mais realizados pela internet, mas ao mesmo tempo, também é os que possuem uma maior possibilidade de recompensa para os criadores dessas campanhas.

De tempos a tempos surgem formas engenhosas que os criminosos usam para tentar enganar as vítimas, e o caso mais recente passa por usar chatbots para agilizar todo o processo.

Um grupo de investigadores da empresa de segurança Trustwave revelou ter descoberto um novo ataque em curso, que tenta aproveitar os potenciais das mensagens de bots para enganar as vítimas.

O ataque começa, como seria de esperar, com um email falso enviado em nome de alguma entidade – normalmente empresas de transporte – a indicar que o utilizador necessita de validar alguns dados e realizar o pagamento do transporte para reaver a sua encomenda.

No entanto, quando a vítima acede ao link que é indicado no email, é apresentado a um sistema de chat automático, que coloca várias questões para tentar recolher o máximo de dados possíveis. Feito isso, é procedido com o envio do link onde o utilizador deve introduzir os seus dados para o pagamento – que, como seria de esperar, trata-se de uma página falsa focada em roubar esses mesmos dados.

O uso de um sistema automático de chat tenta tornar todo o processo não apenas mais rápido, mas também mais credível para os utilizadores finais. Apesar de ser visível que se está a falar com um bot, muitas empresas usam estes sistemas para as suas tarefas, portanto também existem muitas vítimas que podem acabar por cair no esquema sem se aperceberem.

O uso destes sistemas mais “genuínos” para campanha de phishing têm vindo a aumentar consideravelmente, o que também pode ajudar a aumentar a taxa de sucesso dos ataques – e infelizmente, o número de vítimas.

19/05/2022
Burlas na Internet aumentam 22% no início do ano

A Internet continua a ser um dos principais veículos de vendas para muitas empresas, mas ao mesmo tempo é necessário também ter cuidado com os pagamentos que são feitos pela mesma, já que nem todos são considerados seguros.

De acordo com os dados mais recentes da plataforma Portal das Queixas, entre Janeiro e Abril deste ano, o numero de burlas online aumentou cerca de 22% em comparação com igual período de 2021.

Uma nova tendência que tem vindo a aumentar encontra-se na criação de falsas lojas de vendas de produtos como roupa e eletrónicos, imitando marcas reconhecidas no mercado, mas criando as suas versões falsas.

Estes sites tendem a manter o estilo dos sites verdadeiros das entidades, até com os mesmos produtos e meios de pagamento. No entanto, os dados que sejam introduzidos nos mesmos são muitas vezes roubados para outros fins ou são feitos pagamentos fraudulentos com os mesmos.

Marcas como a a Tiffosi, a Lefties e a Wizink estão entre as mais usadas para este género de esquemas na Internet. No caso da Wizink, o meio de ataque mais vulgar encontra-se sobre o phishing, onde são enviados emails contendo informação falsa e reencaminhando os utilizadores para sites maliciosos onde são roubadas informações pessoais e sensíveis dos mesmos.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem sempre ter o máximo cuidado sobre os locais onde realizam as compras online. Avaliar se a plataforma onde se encontram é legitima, mesmo que aparente ser de uma marca reconhecida.

Sempre que possível, deve-se também evitar aceder a links enviados de desconhecidos em emails e mensagens diretas em plataformas como o WhatsApp, Messenger ou diretamente via SMS.

19/05/2022
Agência Lusa é o mais recente alvo de ataque informático

Seguindo a onda de ataques que têm vindo a afetar várias entidades em Portugal, a Agência Lusa parece ter sido a mais recente vítima.

De acordo com o comunicado do presidente do Conselho de Administração, Joaquim Carreira, a entidade afirma que se encontra a aplicar todas as medidas de mitigação do problema junto das entidades responsáveis pelos departamentos da empresa, sendo que espera resolver a situação o mais rapidamente possível.

Até ao momento ainda se desconhece a extensão dos danos causados, no entanto, o comunicado informa ainda que este já terá sido notificado às autoridades competentes. Atualmente os serviços da entidade encontram-se inacessíveis, sendo que a mesma deixa o pedido de desculpas pelo transtorno causado.

Esta é mais uma entidade em Portugal que parece ser a vítima das recentes ondas de ataque, as quais começaram no início do ano e já afetaram várias entidades. Ainda de forma recente foi confirmado que os SMTUC terão sido alvo de um ataque de ransomware, com vários dados internos roubados no processo e divulgados online.

14/05/2022
Site e serviços dos SMTUC inacessíveis após ataque informático

Durante a semana passada foi confirmado que os Serviços Municipalizados de Transportes Urbanos de Coimbra (SMTUC) foram alvo de um ataque informático, realizado pelo grupo de ransomware conhecido como Lockbit.

O grupo terá disponibilizado o prazo de aproximadamente oito dias depois do ataque ter sido confirmado, altura em que realizaria a publicação dos ficheiros roubados caso a empresa não pagasse o resgate. Como tal não aconteceu, recentemente os dados foram publicados no site da rede Tor associado ao grupo.

No entanto, desde o início da tarde de hoje, que existem várias confirmações que os sistemas internos da SMTUC e o próprio website da entidade se encontram inacessíveis, sem explicação aparente.

O website encontra-se a apresentar uma mensagem de erro no carregamento. Antes do ataque, e até mesmo durante o período em que o mesmo esteve pendente de publicação dos conteúdos roubados, o site manteve-se em funcionamento. No entanto, durante o inicio da tarde de hoje este começou a apresentar falhas, estando atualmente inacessível. Da mesma forma, existem fontes próximas da empresa que afirmam que vários sistemas internos da mesma encontra-se atualmente com falhas.

Até ao momento não existe qualquer confirmação oficial dos SMTUC sobre o motivo da inacessibilidade.

11/05/2022
Malware esconde-se em resultados de pesquisa do Google como PDFs

Da próxima vez que for realizar uma pesquisa da Google, sobretudo em resultados mais “escondidos”, talvez seja melhor ter atenção aos conteúdos que descarrega.

Isto porque foi recentemente descoberto que existe uma nova campanha de distribuição de ficheiros malicioso, que se encontra a aproveitar o SEO da Google para distribuir os conteúdos pelos resultados de pesquisa.

De acordo com a empresa de segurança Netskope, foi descoberta uma nova campanha de malware e esquemas online que aproveita o SEO da Google para distribuir os conteúdos. Segundo os investigadores, verificou-se nos últimos 12 meses um aumento de 450% nas atividades de ficheiros PDF de phishing que se encontram a ser distribuídos por pesquisas da Google.

Os atacantes tentam explorar o SEO de determinados conteúdos para que os ficheiros maliciosos sejam apresentados nos resultados de pesquisa, muitas vezes levando os utilizadores a enviarem dados privados ou a descarregarem conteúdo malicioso de outros locais.

Como exemplo, podem ser PDFs de faturas ou de páginas falsas de login, que reencaminham as potenciais vítimas para sites efetivamente maliciosos. O mais grave desta campanha encontra-se no facto que as vítimas são “angariadas” dos próprios resultados de pesquisa, através de termos onde os atacantes tenham ganhar alguma visibilidade.

Obviamente, este género de ataque vai muito além de apenas o Google, e pode afetar também outros motores de pesquisa como o Brave Search ou o Bing. A maioria dos resultados não surgem logo nas primeiras páginas, mas sim nas mais avançadas, mas ainda assim pode ser o suficiente para levar aos ataques.

11/05/2022
Dados internos da SMTUC publicados na Internet após ataque

No passado dia 2 de Maio foi confirmado que os Serviços Municipalizados de Transportes Urbanos de Coimbra (SMTUC) teriam sido alvo de um ataque informático, do qual os atacantes – o grupo conhecido como Lockbit 2.0 – teria roubado cerca de 20GB de informação.

O grupo teria confirmado o ataque, e deixou no seu site da rede Tor que iria publicar os conteúdos roubados a menos que fosse realizado entretanto o pagamento. No entanto, isso parece não ter ocorrido, sendo que as informações foram agora disponibilizadas na plataforma do grupo.

Os ficheiros agora revelados contêm informações sensíveis da empresa, entre os quais se encontram recibos de vencimento e outros dados pessoais dos funcionários e executivos da SMTUC. Não se acredita que, para já, existam dados de utilizadores finais dos serviços da SMTUC, mas a informação recolhida continua a ser consideravelmente danosa de se encontrar disponível publicamente.

Até ao momento, a Câmara Municipal de Coimbra não deixou qualquer comentário relativamente ao ataque, remetendo apenas para a informação que já tinha sido confirmada no dia em que o ataque teria sido realizado – indicando que as autoridades competentes já foram notificadas.

Em comunicado ao jornal Expresso, a SMTUC afirma que a plataforma teria sido alvo de um ataque, mas que a situação foi contida pela entidade que realiza a gestão da mesma. No entanto, a revelação dos dados agora sobre o portal na rede Tor do Lockbit aponta que essa informação chegou a ser efetivamente roubada.

O ransomware terá sido o mesmo que foi também usado para a entidade Trust In News, na qual os conteúdos são roubados antes de serem encriptados. No final, é feito o pedido de resgate para que os mesmos não sejam publicados online.

A SMTUC ainda não deixou qualquer comentário oficial relativamente aos dados divulgados. O TugaTech tentou entrar em contacto com a mesma, mas sem sucesso.

11/05/2022
Colégio Lincoln encerra atividades após ataque de ransomware

O Colégio Lincoln nos EUA, um colégio liberal de artes na zona rural de Illinois, revelou que vai encerrar as suas atividades depois de quase 157 anos de história, derivado de dois fatores: a pandemia e um recente ataque de ransomware.

De acordo com o comunicado da instituição, a decisão não terá sido fácil, mas não existia alternativa, derivado de todos os acontecimentos recentes, que causaram graves prejuízos para a instituição. O ataque de ransomware terá sido a gota de água que levou ao encerramento da mesma, apesar desta ter sobrevivido a vários outros eventos anteriores nos seus 157 anos de história – entre os quais se encontram duas grandes guerras mundiais, a crise de 2008 e a Grande Depressão.

De acordo com a NBC, a instituição foi vítima de um ataque de ransomware em dezembro de 2021, o qual terá comprometido várias informações sensíveis da entidade, e uma grande parte dos registos institucionais. Apesar de nenhuma informação pessoal ter sido comprometida, a instituição afirma que uma grande parte dos seus sistemas encontravam-se afetados, impossibilitando a gestão de tarefas do dia a dia.

Apesar de a instituição ter conseguido recuperar a normalidade em Março de 2022, tal não aconteceu sem um grande impacto financeiro, o que terá sido agravado igualmente pelos anos anteriores da pandemia. Esta conjugação de eventos terá causado com que a instituição tomasse a decisão de encerrar as suas atividades já no próximo semestre.

É importante notar que os ataques de ransomware contra instituições de ensino, sobretudo nos EUA, têm vindo a aumentar consideravelmente. Apenas o ano passado, segundo o relatório d empresa Emsisoft, mais de 1000 instituições de ensino foram afetadas por alguma forma de ransomware.

10/05/2022