Categoria: ataque

Ransomware foca-se cada vez mais em ataques direcionados

A maioria dos ataques de ransomware são focados em tentar explorar as mais variadas falhas nos sistemas, com o objetivo de roubar e encriptar os dados dos utilizadores. A maioria dos ransomwares conhecidos são criados exatamente com o propósito de explorar as falhas existentes nos mais variados softwares do mercado.

No entanto, a Microsoft encontra-se a alertar para uma tendência de surgirem cada vez mais ransomwares geridos por humanos. Este género de ransomware é ligeiramente diferente, e para alguns, pode mesmo ser considerado mais perigoso.

Como referido inicialmente neste artigo, uma grande parte do ransomware é propagado através da exploração de falhas em geral, onde os operadores do mesmo analisam a internet à procura de vulnerabilidades – e caso seja descoberta, o ransomware é enviado para tentar explorar as mesmas.

No entanto, a Microsoft alega que existe cada vez mais ataques de ransomware que são operados de forma manual e humana, com os atacantes a serem eles mesmos a identificar as falhas e a lançar o ransomware para explorar as mesmas de forma focada para uma entidade.

Este género de ransomware é consideravelmente mais danoso para as entidades, uma vez que se refere a um ataque criado especificamente para cada parte. Um atacante que descubra uma vulnerabilidade nos sistemas de uma entidade pode lançar o ataque direto ao mesmo.

O pior será que, em muitos casos, os atacantes podem mesmo permanecer com acesso aos sistemas afetados até mesmo se a empresa reparar a falha – sendo que neste período podem tentar realizar ainda mais roubos ou pedidos de resgate.

Como recomendação, a Microsoft aconselha as empresas e individuais a aplicarem medidas restritas de acesso aos seus sistemas, e a implementarem politicas de segurança chave, que possam proteger as entidades dos atacantes.

09/05/2022
Malware é capaz de ocultar atividades pelo Registo de Eventos no Windows

Quem cria malware também tenta sempre adaptar o mesmo para ser o mais “invisível” possível para o sistema e utilizadores, mas uma recente campanha focada para o Windows coloca esta fasquia bastante elevada.

Um grupo de investigadores de segurança revelou recentemente uma nova campanha de malware que esconde as suas atividades através do Registo de Eventos do Windows.

De acordo com a empresa de segurança Kaspersky, esta afirma ter descoberto um conjunto de malwares que parecem – para já – ser bastante focados nas vítimas, e não um ataque generalizado para a plataforma. No entanto, a investigação revelou que este malware usa uma técnica algo inédita para ocultar as suas atividades.

O malware processa os comandos do ataque através do próprio registo de eventos do sistema (os logs do Windows), além de usar um ficheiro DLL modificado para que possa “ler” os comandos pelo registo, e executar os mesmos no sistema. O processo do Registo de Eventos do Windows é colocado como uma tarefa agendada no sistema, sendo que analisa os registos pelos comandos de forma recorrente.

Quando os encontra, os mesmos são processadores pelo ficheiro DLL modificado para “ler” os mesmos, e que então executa o ataque. O mais curioso será que o ficheiro DLL modificado é totalmente inofensivo quando usado sozinho – apenas quando os comandos enviados para o Registo do Windows são lidos pelo mesmo, é que então o código é executado de forma maliciosa.

De notar que esta não é a primeira vez que se explora a possibilidade de usar o Registo do Windows para realizar ataques, no entanto é a primeira vez que se confirma um malware a usar o mesmo para este género de atividades.

De momento o malware parece ser consideravelmente focado em alvos específicos, e não algo que se destine a tentar infetar o máximo de dispositivos possíveis.

09/05/2022
Costa Rica entra em estado de emergência devido a ataques de ransomware

A Costa Rica encontra-se a ser alvo de uma forte vaga de ataques de ransomware, que levam agora o governo local a declarar Estado de Emergência nacional.

O presidente Rodrigo Chaves terá declarado o Estado de Emergência depois de várias entidades governamentais terem sido alvo de ataques de ransomware, por parte do grupo conhecido como Conti.

Segundo revela o portal BleepingComputer, o grupo terá já publicado mais de 672 GB de dados pertencentes a entidades do governo da Costa Rica. A decisão de passar para o Estado de Emergência foi tomada no mesmo dia em que Rodrigo Chaves se torna o 49º presidente do pais.

Os ataques de ransomware do grupo Conti a entidades na Costa Rica terá começado durante o mês passado, com vários sites e sistemas do governo local a serem alvo de ataques massivos – e dos quais resultaram bastantes roubos de dados.

De acordo com o site do grupo, este já terá revelado publicamente cerca de 97% dos 672 GB de dados que foram roubados dos ataques. No entanto, este valor pode vir a aumentar consideravelmente, conforme os ataques também aumentem.

Um dos primeiros alvos do grupo terá sido o Ministério das Finanças, de onde o grupo terá exigido o pagamento de 10 milhões de dólares. Como o valor não foi pago, os conteúdos foram então publicados.

O presidente da Costa Rica considera que o ataque é considerado mesmo de ciberterrorismo, e encontra-se a colocar em risco várias infraestruturas do pais, bem como dos dados presentes nas mesmas.

09/05/2022
Investigadores revelam campanha de espionagem com anos de existência

Um grupo de investigadores revelou recentemente uma nova campanha de espionagem que pode, durante anos, ter afetado algumas das maiores empresas a nível mundial.

De acordo com a descoberta dos investigadores da empresa de segurança Cybereason, uma nova campanha de espionagem, apelidada de “CuckooBees”, e alegadamente suportada por entidades com ligações ao governo chinês, terá durante anos analisado informações de várias empresas e fabricantes dos EUA e vários países nos mais variados setores.

Apesar de o relatório da empresa de segurança não citar nomes concretos, as empresas encontram-se localizadas nos EUA, Europa e Ásia. A espionagem acredita-se ter sido levada a cabo por um grupo conhecido como APT 41.

Os investigadores apontam que o “CuckooBees” tinha como objetivo roubar informações privilegiadas de grandes empresas, além de tentar ocultar todas as suas atividades o melhor possível dentro das infraestruturas das empresas. Quando uma empresa era visada para ataque, o mesmo apenas terminava quando os sistemas eram efetivamente comprometidos.

A investigação dos ataques terá durado mais de 12 meses, com milhares de documentos e informações sensíveis a terem sido roubadas durante este período. O mais preocupante terá sido que, em muitos casos, as empresas nem sabiam que estavam a ser espiadas e que as informações estariam a ser recolhidas.

Os primeiros casos do ataque dentro desta campanha começaram em 2010, sendo que o volume de entidades afetadas tem vindo a aumentar desde então. Os investigadores afirmam ainda que o malware era instalado nos sistemas sobre a forma de um rootkit, consideravelmente difícil de identificar por software de segurança tradicional.

O ataque era, em muitas ocasiões, usado através de falhas que existiam em outras aplicações sobre as infraestruturas das empresas. Estas falhas eram aproveitadas para integrar o malware nos sistemas de forma indetetável.

05/05/2022
Heroku confirma ataque a base de dados dos clientes

A Heroku confirmou ter sido alvo de um ataque, onde um roubo de credenciais do Github da empresa terá sido mais grave do que o inicialmente previsto pela empresa. O ataque ocorreu o mês passado, sendo que na altura a empresa confirmou o mesmo como sendo um roubo das chaves OAuth do Github.

No entanto, agora a Heroku veio confirmar que os atacantes podem ter acedido, utilizando estes dados, a bases de dados internas da empresa, onde se inclui bases de dados que possuem informações respeitantes aos clientes da mesma.

A empresa afirma que os atacantes podem ter obtido informação limitada sobre os clientes, onde se inclui endereços de email, nomes e hashes das suas senhas – que mesmo estando protegidas, podem ser comprometidas.

Face à situação, a Heroku começou a notificar todos os utilizadores para realizarem a alteração das senhas das suas contas. Num email enviado para os clientes da plataforma, a empresa aconselha os utilizadores a realizar a alteração imediata da senha das contas, de forma a garantir a segurança das mesmas.

O email indica ainda que os utilizadores necessitam também de realizar o reset dos tokens que tenham criado para a API da plataforma, como parte das medidas de segurança implementadas.

Por sua vez, os clientes da plataforma encontram-se a apelidar toda a situação como “catastrófica”, com poucas informações fornecidas e pouca comunicação feita ao longo do tempo – até mesmo antes deste processo de reset das senhas das contas.

05/05/2022
Falha DNS pode afetar milhares de routers e dispositivos pela Internet

Uma falha recentemente descoberta sobre um componente usado em vários sistemas de DNS pode vir a deixar milhares de dispositivos da Internet das Coisas e Routers vulneráveis a ataques conhecidos como “DNS poisoning”.

Um ataque de DNS poisoning ocorre quando é possível explorar um sistema para redirecionar as vitimas, via DNS, para um website diferente do que estes pretenderiam aceder. Por exemplo, invés de aceder a google.pt, os utilizadores seriam reencaminhados para outro endereço, sendo que não existiriam qualquer indicação para as vitimas que tinham sido atacadas – até mesmo o site surgiria com todos os métodos de segurança regulares, como o certificado SSL válido.

Os investigadores da empresa Nozomi Networks revelaram, no entanto, ter descoberto uma falha sobre o componente uClibc (e a sua variante do OpenWRT “uClibc-ng”), que pode permitir realizar este género de ataques em milhares de dispositivos pela internet.

O uClibc é um módulo necessário para que os sistemas DNS funcionem sobre os mais variados sistemas e dispositivos, além de permitir que os mesmos possam realizar as diferentes tarefas necessárias sobre o serviço de DNS.

Os investigadores descobriram, no entanto, uma falha que pode permitir a atacantes explorarem o sistema para realizarem ataques, sobre certas circunstâncias. Além disso, o mais grave será que a falha pode ser realizada de forma remota, sendo que os atacantes apenas necessitam de enviar uma resposta DNS especifica para poderem explorar a mesma.

Os investigadores reportaram a falha para as entidades em Setembro de 2021. Até ao momento ainda não existe uma correção para o problema que os utilizadores possam aplicar. No entanto, tendo em conta que a falha é agora do conhecimento público, espera-se que as correções comecem a ser implementadas durante os próximos dias.

Para os utilizadores, estes devem manter os seus dispositivos atualizados para as versões mais recentes do firmware, conforme disponibilizado pelos fabricantes dos mesmos. No entanto, existem muitos dispositivos mais antigos que podem vir a nunca ter a falha corrigida.

03/05/2022
SMTUC alvo de ataque ransomware do grupo LockBit

O grupo de ransomware conhecido como LockBit 2.0 aparenta ter feito uma nova vitima em Portugal, desta vez com os Serviços Municipalizados de Transportes Urbanos de Coimbra (SMTUC).

O grupo afirma ter roubado dados internos da empresa de transportes públicos de Coimbra. Até ao momento ainda se desconhecem os detalhes sobre os conteúdos roubados, mas no site oficial do grupo sobre a rede Tor é possível verificar-se a indicação que os dados serão tornados públicos dentro dos próximos 7 dias.

De acordo com a imagem partilhada pelo grupo, o roubo de dados engloba cerca de 20GB de informação, que se acredita ser de sistemas internos da empresa – tendo em conta o histórico de ataques realizados pelo grupo.

De relembrar que o grupo Lockbit terá sido igualmente a mesma entidade que, recentemente, atacou o grupo Trust in News, responsável por alguns meios de informação em Portugal, e de onde terão sido roubados dados interno da empresa.

Até ao momento a SMTUC não emitiu qualquer comunicado relativamente a este caso.

02/05/2022
SMS de correio de voz? Tenha cuidado com este esquema

Se recebeu uma mensagem SMS a indicar que possui uma nova mensagem de voz, juntamente com um link para ouvir a mesma, tenha cuidado. Este é o mais recente esquema que nos últimos dias tem vindo a propagar-se em força junto dos utilizadores em Portugal.

Na maioria dos casos, o utilizador recebe uma mensagem de texto, onde é indicado que o mesmo possui uma mensagem de voz guardada. A esta junta-se ainda um link que o utilizador, supostamente, deve aceder para ouvir a mensagem.

No entanto, é exatamente neste ponto que começa o ataque. A mensagem redireciona o utilizador para um website onde surge a informação da suposta mensagem, pedindo para que o mesmo descarregue uma aplicação para ouvir a mesma.

A aplicação que se descarrega é, no final, um trojan que possui como objetivo roubar informações bancárias, além de levar os dispositivos das vítimas que o instalem a ser usado para redistribuir o mesmo género de campanha para ainda mais números via SMS.

Apesar de, para muitos, o esquema ser claro, existe ainda um elevado número de pessoas que acabam por cair no mesmo, amplificando não apenas o envio das mensagens de spam, mas também o roubo de dados que se origina do mesmo.

A maioria das vezes as mensagens são acompanhadas de dados pessoais do utilizador, como o nome, número de telefone ou outras informações, exatamente para dar mais credibilidade ao ataque.

É importante também ter atenção na partilha destas mensagens sobre as redes sociais. Apesar de o alerta para o esquema ser importante, deve-se ter cuidado ao partilhar o link do mesmo, uma vez que este link é criado exatamente com informação pessoal de cada um dos utilizadores. Portanto, ao partilhar um link que tenha recebido, pode estar indevidamente a partilhar também o seu número de telefone ou nome.

02/05/2022
Microsoft alerta para centenas de ciberataques da Rússia contra Ucrânia

A guerra entre a Ucrânia e a Rússia não se trava apenas na frente de batalha física, sendo que o mundo virtual também possui um grande impacto para tal. E parece que os ataques neste meio têm vindo a aumentar consideravelmente.

Pelo menos é esta a indicação de um recente estudo da Microsoft, que aponta o facto que os ataques digitais da Rússia contra a Ucrânia estão a aumentar consideravelmente nos últimos tempos.

A Microsoft encontra-se a trabalhar diretamente com as autoridades da Ucrânia para analisar a vertente digital da guerra, e os dados demonstram que as forças digitais russas estão a lançar cada vez mais ataques contra o pais, e consideravelmente mais fortes.

De acordo com o relatório, já terão sido realizadas 237 operações de ataques contra a Ucrânia, com 40 dessas operações a terem sido focadas na destruição de dados de organizações do pais. Destes ataques, cerca de 40% foram focados a infraestruturas e entidades criticas para a Ucrânia que poderiam ter efeitos secundários contra várias plataformas militares e políticas do pais.

O relatório indica ainda que é esperado que os ataques venham a continuar a aumentar de intensidade e quantidade conforme os conflitos no mundo real também aumentam. As entidades russas focadas neste género de campanhas estão a aumentar consideravelmente os seus meios de ataque, o que pode ditar futuros ataques em larga escala.

Também se espera que novos géneros de malware focados para as entidades Ucranianas venham a ser verificadas durante os próximos tempos.

27/04/2022
Cloudflare afirma ter travado um dos maiores ataques HTTPS DDoS

A Cloudflare afirma ter conseguido travar um dos maiores ataques HTTPS DDoS que existe registo na Internet, com um total de 15.3 milhões de pedidos por segundo (rps).

De acordo com o comunicado da empresa, este é considerado um dos maiores ataques realizados na Internet, e é ainda mais interessante de analisar tendo em conta a forma como foi realizado.

Ao contrário do que acontece com a maioria dos ataques, este focou-se nas ligações HTTPS (seguras). A maioria dos ataques são focados em ligações HTTP, uma vez que são mais simples de realizar e económicas para os atacantes.

As ligações seguras envolvem mais processamento técnico, o que também leva a mais custos para os atacantes realizarem o mesmo. O ataque teve uma duração de apenas 15 segundos, tendo sido contra uma plataforma não especificada no campo das criptomoedas.

A empresa afirma que, em média, este género de ataques DDoS ocorrem com valores de 10 milhões de rps.

De notar também que o ataque teve origem sobretudo de IPs em datacenters, e não através do uso de botnets. Ou seja, isto indica que o ataque teve origem na sua maioria de servidores infetados ou de sistemas dedicados para este género de atividades.

No total registou-se cerca de 6000 bots únicos para lançar o ataque, com origem em 112 países, com destaque para a Indonésia, Rússia, Brasil e Índia.

A plataforma afirma que o ataque terá sido mitigado de forma automática pelos serviços de proteção da empresa, e que os clientes finais não verificaram qualquer atraso nas suas atividades face ao mesmo.

27/04/2022
DJI suspende vendas na Rússia e Ucrânia

A DJI, mais conhecida por ser a marca criadora de drones sobre o mesmo nome, confirmou que vai suspender as vendas na Rússia e também na Ucrânia, como forma de evitar que os seus produtos possam ser usados em combate.

De acordo com a Reuters, a empresa afirma que esta medida não será uma posição de apoio a nenhum pais, mas sim uma medida tomada para proteger os princípios da empresa. A empresa pretende evitar que os seus produtos possam ser usados como forma de ajudar o combate nos mais variados fins – mas é importante de sublinhar que a DJI é a primeira grande empresa da China a aplicar restrições aos dois países.

A DJI afirma que a medida terá sido tomada para prevenir que os seus drones possam causar danos aos cidadãos e militares dos dois países, não se demarcando de apoio seja à Ucrânia ou à Rússia.

De relembrar que, em Março, o vice-presidente ucraniano Mykhailo Fedorov teria apelado à DJI para deixar de vender os seus drones na Rússia, tendo em conta que as forças militares do pais estariam a usar os mesmos para criar estratégias de ataque contra a Ucrânia.

Ainda durante o mês passado, a cadeia de supermercados MediaMarkt removeu as vendas de drones da DJI, por alegadamente considerar que a empresa chinesa estaria a fornecer informações às autoridades militares russas sobre a Ucrânia, usando os produtos da mesma para tal – algo que a DJI alega não ocorrer.

Em resposta, a DJI afirma que apesar de ter confirmado a existência de várias imagens e vídeos capturados das forças militares russas a usarem os drones da DJI, a empresa não possui controlo sobre quem usa ou como os seus produtos são usados.

27/04/2022
Coca-Cola investiga suspeitas de possível ataque e roubo de dados

A Coca Cola, uma das maiores fabricantes de bebidas no mundo, encontra-se a investigar um possível ataque nas suas infraestruturas, de onde podem ter sido roubados dados internos da empresa. A empresa confirmou que se encontra a investigar os relatos de um possível roubo de quase 161 GB de dados.

O ataque teria sido confirmado pelo grupo “Stormous”, que alega ter atacado com sucesso os servidores da empresa, tendo obtido informações sensíveis da mesma que estariam presentes nos sistemas.

O grupo encontra-se a pedir cerca de 1.65 bitcoins, ou seja, 64.000 dólares, para quem pretenda comprar estes dados. Os mesmos encontram-se disponíveis para compra no site associado ao grupo.

Entre os dados supostamente obtidos encontram-se dados de login, emails e outras informações sensíveis da empresa e dos seus funcionários.

De notar que este grupo começou a ganhar destaque depois da invasão da Ucrânia por parte da Rússia, sendo que o grupo alega focar-se em todas as entidades que possam aplicar ataques contra a Rússia. No entanto, esta é a primeira vez que o grupo publica um conjunto de dados roubados por parte de ataques.

Durante a semana passada, a partir do grupo do Telegram, o grupo teria questionado aos utilizadores quais seriam as entidades que estes pretendiam ver atacadas, sendo que a Coca-Cola foi uma das mais votadas.

No passado, o grupo também tinha alegado ataques contra a Epic Games Store, mas nunca chegou a publicar os dados que poderia ter roubado dos mesmos.

26/04/2022
Ataque do Bored Ape Yacht Club leva a roubo de milhares de dólares em NFT

Vários detentores do que será um dos projetos de NFT mais conhecidos e valiosos do mercado, o Bored Ape Yacht Club, terão sido recentemente atacados com perdas avultadas.

Em causa encontra-se um ataque realizado sobre a conta do Instagram e Discord do Bored Ape Yacht Club, que terão sido comprometidas e usadas para enganar os utilizadores num esquema que pode atingir a casa dos milhares de dólares perdidos.

O ataque começou quando as contas comprometidas do projeto foram usadas para distribuir um link para um site externo, que prometia ser de um novo projeto de NFT a chegar ao mercado. Quando os utilizadores carregavam no link, eram redirecionados para uma página onde se requeria a ligação à carteira da MetaMask para autenticação.

Ao realizarem este processo, as NFTs associadas à carteira, na sua maioria de detentores de NFTs do Bored Ape Yacht Club, eram roubadas e enviadas para a carteira dos atacantes.

Pouco depois das mensagens terem surgido nas contas comprometidas, o projeto voltou-se para o Twitter para alertar para o esquema, indicando aos utilizadores para não carregarem em qualquer link enviado por esses meios.

De acordo com a CoinDesk, estima-se que os atacantes terão conseguido roubar cerca de 54 NFTs associadas com os utilizadores do projeto, num valor total estimado de 13.7 milhões de dólares. No entanto, a Yuga Labs afirma que o valor terá sido mais reduzido.

Ainda se desconhece como o atacante terá conseguido obter acesso às contas do projeto, tendo em conta que a Yuga Labs afirma que estas se encontravam protegidas com autenticação em duas etapas e seguiram fortes práticas de segurança.

A conta no OpenSea do atacante, que terá recebido os NFTs, foi entretanto bloqueada e banida da plataforma. De pouco isso irá valer para as vitimas do ataque, que perderam milhares de dólares em NFTs com o mesmo.

26/04/2022
Meta vai pagar indemnização a utilizador que teve conta atacada no Brasil

Um utilizador no Brasil terá sido indemnizado pela Meta depois de a sua conta do Instagram ter sido bloqueada após um ataque à mesma.

De acordo com o portal Consultor Jurídico, o caso terá ocorrido na cidade do Maranhão, onde o tribunal responsável pelo caso terá dado razão ao utilizador que teve a sua conta suspensa da plataforma depois da mesma ter sido alvo de um ataque.

O ataque terá acontecido a 13 de Janeiro de 2021, altura em que o utilizador perdeu acesso à conta. Neste processo, a conta terá sido suspensa devido ao envio de conteúdos em violação dos termos de serviço da plataforma – relembrando que a conta possuía 11 mil seguidores.

Na altura, a Meta teria indicado que o utilizador falhou na forma de proteção da conta, não tendo aplicado medidas para garantir que a mesma se encontrava segura. No entanto, o tribunal não considerou esta justificação como válida, sendo que agora a plataforma terá de pagar 5 mil reais – cerca de 955 euros – ao utilizador, bem como deve ainda restaurar o acesso completo à conta.

O tribunal alega que o utilizador não teria culpa direta que a sua conta tenha sido usada pelos atacantes para o envio dos conteúdos em violação dos termos da plataforma, e como tal a Meta deveria agir para restaurar os conteúdos eliminados.

Em resposta, o tribunal afirma que a Meta tinha todas as possibilidades de solucionar o problema, mas não o fez, forçando o gestor da conta a virar-se para a justiça como forma de reaver o acesso.

25/04/2022
Operadora norte-americana confirma ataque do grupo LAPSUS

A operadora de telecomunicações T-Mobile, nos EUA, confirmou recentemente que foi uma das vítimas do grupo LAPSUS – sendo que o ataque terá sido realizado faz várias semanas.

De acordo com o comunicado da empresa, o grupo terá conseguido obter acesso aos sistemas internos da mesma usando credenciais roubadas de alguns funcionários. A empresa afirma que os atacantes não terão conseguido roubar informação sensível dos clientes, sendo que os acessos indevidos terão sido rapidamente neutralizados.

A empresa afirma que os seus sistemas internos de monitorização identificaram o acesso de terceiros aos sistemas internos da empresa, usando credenciais roubadas. Apesar de não ter sido revelado quais os dados que os atacantes terão obtido acesso, a empresa afirma que estes não terão obtido qualquer informação de valor, e que os sistemas afetados não teriam informação sensível dos clientes ou de entidades governamentais.

De acordo com o jornalista Brian Krebs, analisando as comunicações do grupo no Telegram, este terá conseguido obter o código fonte de algumas das ferramentas usadas pela empresa de forma interna.

É importante relembrar, no entanto, que a T-Mobile foi afetada por vários ataques ao longo dos últimos anos. Um dos mais danosos ocorreu quando os atacantes tiveram acesso a dados de aproximadamente 3% dos clientes da empresa. Tendo em conta que a T-Mobile é uma das maiores operadoras nos EUA, este valor corresponde a um elevado conjunto de clientes finais.

Em 2019 a empresa confirmou outro ataque, de onde dados de clientes em serviços pré-pagos terão sido comprometidos, juntamente com outro ataque em 2020 onde credenciais de funcionários da empresa terão sido comprometidas e usadas para acessos indevidos.

24/04/2022
Falha pode afetar milhares de dispositivos com chips Qualcomm e MediaTek

Se utiliza um dispositivo Android, existe uma forte possibilidade que o mesmo tenha um chip da Qualcomm ou da MediaTek, tendo em conta que estas são as duas principais fabricantes de processadores para estes dispositivos.

No entanto, foi recentemente descoberta uma vulnerabilidade que pode afetar os utilizadores que tenham equipamentos com estes chips – ou seja, praticamente todos os dispositivos no mercado.

De acordo com a empresa de segurança Check Point Research, foi recentemente descoberta uma falha na forma como é implementado o Apple Lossless Audio Codec (ALAC) sobre estes chips, e que poderia permitir a execução remota de código.

O ALAC é um codec para áudio lossless, que a Apple colocou em formato open-source em 2011. Desde então, a empresa tem vindo a lançar atualizações para o codec, e permite que qualquer pessoa o utilize.

Os investigadores não revelaram muitos detalhes sobre a falha, mas esperam revelar os mesmos durante o evento CanSecWest, que se realiza em Maio de 2022. De acordo com a informação disponível, foi descoberto que devido à forma como este codec é implementado em sistemas com os chips das duas empresas, é possível realizar o envio de código remoto para um dispositivo através de um ficheiro multimédia especificamente criado para o efeito.

O atacante apenas necessita de enviar o ficheiro para a vítima, levando-a a abrir no sistema. Feito isto, a falha é explorada e o código executado. Os investigadores apelidaram este ataque de ALHACK.

A falha encontra-se na forma como os chips da MediaTek e Qualcomm realizam a descompressão do codec internamente, levando a que o código possa ser executado no sistema. As falhas terão sido comunicadas às duas empresas, que lançaram a correção para a mesma em Dezembro de 2021.

Os utilizadores que tenham as atualizações de segurança mais recentes desde Dezembro de 2021 devem também contar com a proteção contra esta falha, no entanto isso ainda deixa muitos dispositivos fora da lista, sobretudo modelos que já deixaram de receber atualizações oficialmente.

21/04/2022
Google Project Zero detetou número recorde de vulnerabilidades em 2021

A Google Project Zero é uma equipa dedicada da Google a descobrir falhas de segurança em software popular no mercado, de forma a reportar responsavelmente as mesmas. E a equipa publicou recentemente o seu relatório respeitante ao ano de 2021 com algumas novidades.

De acordo com os dados, em 2021 verificou-se um novo recorde sobre o número de vulnerabilidades descobertas pela equipa – tendo em conta que é o maior registo desde 2014. No total foram identificadas 58 falhas zero-day em 2021, um aumento das 25 que foram registadas em 2020.

Este aumento nos números não quer dizer que os ataques têm vindo a ficar mais ativos ou com maior sucesso. Pelo contrário, a identificação e correção dos mesmos é que tem vindo a tornar-se consideravelmente mais rápida e eficaz.

Isto é sem dúvida importante, porque se um ataque zero-day é rapidamente detetado e resolvido, também evita que possa causar danos maiores no mercado.

A Google também deixou os elogios para a Microsoft, Apple, Apache e a equipa do Chromium e Android por rapidamente divulgarem as vulnerabilidades quando descobertas, de forma pública, juntamente com a rápida correção das mesmas.

O número de vulnerabilidades zero-day, no entanto, pode ser consideravelmente maior, tendo em conta que muitas empresas acabam por não revelar as falhas publicamente.

No entanto, o relatório da Google Project Zero também indica que as vulnerabilidades zero-day que têm vindo a ser descobertas são cada vez mais simples de ser exploradas. Mesmo que possam não ser rapidamente identificadas, a maioria das falhas podem ser exploradas por atacantes com poucos conhecimentos – o que certamente é uma preocupação.

Em sistemas Windows, muitas das vulnerabilidades começam exatamente por um pedaço de programa remanescente do sistema: o Internet Explorer. Mesmo que este não seja o navegador padrão dos utilizadores, o mesmo ainda se encontra instalado no Windows, e é muitas vezes usado como ponto de entrada para ataques de maiores dimensões.

Felizmente, espera-se que isso venha a mudar no futuro, conforme mais sistemas deixem de ter o Internet Explorer instalado por padrão.

20/04/2022
Okta afirma que ataque do LAPSUS afetou apenas dois clientes

Em janeiro deste ano, a Okta foi uma das empresas afetadas pelos ataques do grupo Lapsus. E agora a empresa veio revelar os detalhes da investigação que tem vindo a ser feita nos últimos meses.

De acordo com o relatório agora revelado, o grupo terá conseguido aceder aos sistemas da empresa, mas de forma bastante limitada, sendo que o ataque apenas terá afetado dois clientes no final.

A investigação chegou à conclusão que o grupo esteve em controlo de um computador de trabalho interno durante cerca de 25 minutos, a 21 de Janeiro, e que durante esse período pode ter recolhido alguma informação de dois clientes da empresa.

O sistema em questão era usado por operadores de suporte da empresa, e apesar de ter acesso a alguma informação dos clientes, não teria capacidade de aceder a informações mais sensíveis ou realizar ações potencialmente danosas nas contas dos mesmos.

De notar que a empresa conta com mais de 15.000 clientes, e mais de 100 milhões de utilizadores ativos, pelo que o acesso a dados sensíveis poderia ter sido consideravelmente pior. No entanto, a investigação aponta que os atacantes não terão conseguido realizar qualquer atividade mais drástica, como a alteração de senhas ou roubo de dados sensíveis.

A empresa também alega que houve erros na forma como o ataque foi inicialmente gerido. No comunicado inicial do ataque, a empresa alegou que 2.5% dos seus utilizadores podem ter sido afetados com dados acedidos pelos atacantes – algo que não veio a confirmar-se.

A empresa afirma ainda que, apesar dos erros iniciais, esta terá apreendido com as falhas para também facultar informação mais consistente no futuro.

20/04/2022
BlackCat é um dos grupos de ransomware em maior crescimento nos últimos meses

O novo relatório da Kaspersky, ‘A bad luck BlackCat‘, revela detalhes sobre dois ciberataques protagonizados pelo grupo de ransomware BlackCat. A complexidade do malware utilizado, combinada com a vasta experiência dos indivíduos responsáveis, fazem do grupo um dos principais intervenientes no panorama atual de ransomware. As ferramentas e técnicas que o grupo implementa durante os seus ataques confirmam a ligação entre o BlackCat e outros grupos de ransomware, tais como BlackMatter e REvil.

O grupo de ransomware BlackCat funciona pelo menos desde dezembro de 2021. Ao contrário de outros ataques de ransomware, o malware BlackCat utiliza a linguagem de programação Rust. Graças às capacidades avançadas de compilação cruzada do Rust, o BlackCat pode visar tanto sistemas Windows como Linux. Por outras palavras, o BlackCat introduziu grandes avanços e uma mudança nas tecnologias utilizadas para contornar os desafios do desenvolvimento ransomware.

Além disso, afirma ser sucessor de grupos muito conhecidos de ransomware, como o BlackMatter e o REvil. Dados sugerem que pelo menos alguns membros do novo grupo BlackCat têm ligações diretas com o BlackMatter, uma vez que utilizam ferramentas e técnicas que já foram amplamente utilizadas por este.

No novo relatório ‘A bad luck BlackCat’, investigadores da Kaspersky revelam novos detalhes sobre dois ataques de particular interesse. Um demonstra o risco que representam os recursos partilhados de hospedagem de cloud, o outro destaca a abordagem ágil do malware personalizado que é utilizado pelo grupo BlackMatter e reutilizado pelo BlackCat.

O primeiro caso diz respeito a um ataque contra um fornecedor vulnerável de ERP (planeamento de recursos empresariais) no Médio Oriente que albergava vários websites. Os atacantes implementaram simultaneamente dois executáveis diferentes no mesmo servidor físico, dirigidos a duas organizações diferentes que estavam virtualmente alojadas no mesmo. Embora o grupo tenha confundido o servidor infetado com dois sistemas físicos diferentes, os atacantes deixaram vestígios que foram importantes na determinação do estilo de funcionamento do BlackCat.

Os investigadores da Kaspersky descobriram que os cibercriminosos exploram o risco de ter ativos partilhados nos recursos da Cloud. Além disso, neste caso, o grupo implementou ainda um ficheiro Mimikatz em série juntamente com executáveis e utilitários de recuperação de senhas de rede Nirsoft. Um incidente semelhante teve lugar em 2019, quando o REvil, um grupo predecessor da atividade do grupo BlackMatter, pareceu penetrar um serviço cloud que dava apoio a um grande número de centros dentários dos EUA. É muito provável que o grupo BlackCat também tenha adotado algumas destas antigas táticas.

O segundo caso tem como visada uma empresa de petróleo, gás, mineração e construção na América do Sul e evidencia a ligação entre a atividade do ransomware BlackCat e do BlackMatter. O grupo por detrás deste ataque de ransomware (que parece ser diferente do caso anterior), não só tentou implementar o ransomware BlackCat na rede-alvo, como conseguiu conduzir esta tentativa através da instalação de um recurso de transferência de informação personalizado – o “Fendr”, de acordo com os especialistas, conhecido anteriormente por ExMatter e utilizado até então exclusivamente pelo grupo BlackMatter.

“Depois de os grupos REvil e BlackMatter terem cessado as operações, era apenas uma questão de tempo até que outro grupo de ransomware tomasse o seu lugar. O conhecimento para desenvolvimento de malware, a escrita de raiz numa linguagem de programação invulgar, e a experiência na manutenção de infraestruturas estão a tornar o grupo BlackCat num dos principais agentes de cibercrime no panorama do ransomware.

Analisando estes incidentes, destacamos as principais características, ferramentas e técnicas utilizadas pelo BlackCat ao penetrar nas redes das suas vítimas. Este conhecimento ajuda-nos a manter os nossos utilizadores seguros e protegidos de todas as ameaças, conhecidas e desconhecidas. Instamos a comunidade de cibersegurança a unir forças e trabalhar em conjunto contra novos grupos de cibercrime para um futuro mais seguro”, diz Dmitry Galov, investigador de cibersegurança da equipa global de Investigação e Análise da Kaspersky.

19/04/2022
MetaMask alerta utilizadores com backups ativos no iCloud

Caso seja utilizador da plataforma MetaMask em dispositivos da Apple, e tenha ativado o backup de dados para o iCloud, talvez seja recomendado verificar se os mesmos estão desativados, ou poderá estar aberto a possíveis ataques que levam ao roubo de criptomoedas das carteiras.

A MetaMask encontra-se a alertar os utilizadores da carteira de criptomoedas no iOS para um novo esquema, que pode levar ao roubo dos itens digitais das mesmas através do iCloud. Este caso foi exatamente o que aconteceu a Domenic Lacovone, um trader de criptomoedas que recentemente perdeu 650.000 dólares em várias criptomoedas e NFTs depois do ataque.

Segundo Lacovone, o esquema terá começado quando o mesmo começou a receber emails para realizar o reset da senha da sua conta da Apple. Pouco depois, o mesmo recebeu também uma suposta chamada da Apple, a informar que existiam atividades suspeitas sobre a conta do utilizador.

Inicialmente Lacovone acreditava que se tratava de um esquema, mas a chamada foi realizada por um número identificado como “Apple”, e quanto este tentou contactar a entidade novamente, este parecia ter chegado diretamente à empresa, que voltou a frisar sobre a atividade suspeita da conta.

A pessoa ao telefone com Lacovone teria informado o mesmo que este necessitava de um código de segurança único que a empresa iria enviar para o seu iPhone, de forma a validar a identidade. Este código necessitava de ser dito depois à pessoa no telefone.

Depois do código ter sido fornecido, e em menos de dois segundos, a carteira da MetaMask de Lacovone tinha sido inteiramente “limpa”.

O scammer terá obtido acesso à conta da Apple de Lacovone, sendo que tudo o que necessitava para o acesso era o código de autenticação em duas etapas, que o próprio Lacovone forneceu. Feito isto, o atacante teve acesso ao backup da MetaMask no iCloud, que foi usado para roubar as criptomoedas da conta.

Este ataque foi possível de ser realizado uma vez que a MetaMask guarda no iCloud o ficheiro contendo a senha de 12 palavras para restaurar a conta. Esta senha, estando na posse dos atacantes, pode ser usada para levar ao roubo dos dados.

Depois do ataque, a MetaMask confirmou que realmente se tratava de uma falha, e apela agora aos utilizadores para desativarem o backup para o iCloud. Além disso, fica também o alerta que empresas como a Apple nunca contactam diretamente os utilizadores sobre possíveis questões como contas comprometidas ou atividade suspeita.

19/04/2022
Ucrânia afirma que hackers russos tentaram destabilizar fornecimento elétrico sem sucesso

As autoridades na Ucrânia revelaram que forças militares russas terão tentado interromper o fornecimento de energia no pais, através de ataques sobre as plataformas digitais da mesma, mas sem sucesso.

De acordo com a CERT-UA, forças militares russas terão tentado obter acesos a infraestruturas internas dos centros de distribuição de energia da Ucrânia, no sentido de eliminarem todos os dados existentes nos mesmos. Este ataque, se realizado com sucesso, teria desligado toda a infraestrutura deste fornecedor de energia.

Esta não é a primeira vez que grupos associados com o governo russo tentam realizar ataques contra plataformas digitais de energia na Ucrânia. Na verdade, em 2014 e 2015 alguns residentes da cidade de Kyiv estiveram durante algumas horas sem eletricidade depois de um grupo conhecido como “Sandworm” ter realizado ataques contra a infraestrutura de energia do pais.

Segundo a empresa de segurança ESET, que ajudou as autoridades ucranianas a mitigar o ataque agora realizado, acredita-se que terá também sido orquestrado pelo grupo “Sandworm”. Este grupo é bem reconhecido por ter ligações com o governo Russo.

Para além da ESET, também a Microsoft ajudou nos esforços para combater este ciberataque. Os investigadores afirmam que os atacantes terão conseguido obter acesso limitado a alguns sistemas dentro das infraestruturas deste fornecedor, mas foram rapidamente bloqueados sem terem causado qualquer impacto na rede elétrica do pais.

12/04/2022
Qbot adapta-se para infetar sistemas Windows através de instaladores

Os gestores do malware conhecido como “Qbot” voltaram ao ataque, e desta vez parecem estar focados para sistemas que tenham o Windows instalado, aproveitando programas de instalação no mesmo.

De acordo com as descobertas mais recentes, este malware encontra-se agora a ser adaptado para tirar proveito do Windows, infetando ainda mais sistemas e roubando ainda mais dados.

O Qbot é um malware conhecido faz já alguns anos, sendo que a sua distribuição é normalmente por mensagens de email maliciosas. Estas mensagens possuem ficheiros do Office com macros que, quando ativadas, descarregam a versão final do malware para o sistema.

A Microsoft tem vindo, no entanto, a dificultar a vida para quem gere campanhas de malware por este formato, com a desativação por padrão de macros no Office – e tornando a sua ativação consideravelmente mais difícil. Por isso mesmo, os criadores do Qbot parecem agora estar a voltar-se para a distribuição do mesmo por ficheiros de instalação modificados.

Os ficheiros, na sua maioria .MSI, são fornecidos como anexos nas mensagens de email da campanha do mesmo, tentando levar os utilizadores a instalarem o programa no sistema sobre os mais variados pretextos.

De relembrar que o Qbot é conhecido desde, pelo menos, 2007. Este foca-se em roubar dados bancários das vitimas, bem como informações pessoais e o máximo de dados financeiros das mesmas, além de abrir as portas para instalação de outro género de malware.

Tendo em conta o seu histórico na Internet, o Qbot tem vindo a ser usado também por vários grupos de ransomware para infetar as redes internas das empresas, e levar a ainda mais roubos de dados.

12/04/2022
Vários routers da D-Link estão vulneráveis a ataques remotos

Os routers são muitas vezes uns dos equipamentos esquecidos, que apesar de funcionarem para um propósito, quando chegam ao seu fim de vida também podem comprometer seriamente a segurança dos utilizadores.

Nem sempre estes recebem a atenção necessária, e talvez por isso ainda existam muitos routers vulneráveis até em ambientes domésticos. Com isto em conta, as autoridades dos EUA encontram-se agora a alertar sobretudo que tenham routers da D-Link, para uma nova vulnerabilidade descoberta sobre os mesmos que pode comprometer a segurança dos utilizadores.

Segundo as autoridades, vários modelos de routers descontinuados da D-Link encontram-se vulneráveis a ataques remotos, que podem permitir aos atacantes obterem acesso a informações potencialmente sensíveis. Em causa encontram-se os modelos de routers D-Link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L, e DIR-836L.

Segundo os investigadores da Malwarebytes Labs, estes routers encontram-se vulneráveis a um ataque que, quando explorado, pode permitir a utilizadores remotos obterem acesso ao mesmo, assim como a toda a informação que é transmitida por este.

Infelizmente todos os dispositivos da lista fazem parte dos equipamentos já descontinuados da empresa, e portanto não vão receber atualizações futuras. Ou seja, quem ainda esteja a usar estes routers, encontra-se afetado pelas falhas, e não irá receber atualizações para as mesmas.

A única forma de garantir total proteção será através da substituição completa do router. O modelo mais recente da lista será o 810L, e mesmo este deixou de receber atualizações em 2019.

12/04/2022
Panasonic confirma ter sido alvo de novo ataque de ransomware

A fabricante japonesa da Panasonic confirmou ter sido a mais recente vítima de um ataque informático, desta vez nas suas operações sobre o Canadá. Este é o segundo ataque que a empresa regista do género depois de ter sofrido o mesmo faz menos de seis meses.

De acordo com o portal TechCrunch, o ataque terá sido sobre uma variante de ransomware, que algumas fontes apontam que terá sido sobre o grupo conhecido como “Conti”, o qual fornece serviços de ransomware (ransomware-as-a-service).

Estes géneros de ataques são normalmente realizados sobre um formato de afiliação, onde os atacantes recebem uma parte do dinheiro do resgate, caso seja pago, sendo o restante fornecido para os criadores do mesmo.

O grupo afirma ter roubado ainda 2.8GB de dados da Panasonic Canada durante o processo, prometendo divulgar os dados publicamente caso o resgate não seja pago. Entre os dados encontram-se informações internas da empresa e relatórios financeiros da divisão da Panasonic no Canadá.

A empresa terá também confirmado o ataque, mas sem adiantar detalhes do mesmo. Apenas terá sido indicado que o mesmo afeta a divisão da entidade no Canadá e não terá sido distribuída para outros países.

A empresa afirma ainda que se encontra a trabalhar para restabelecer a normalidade das operações, sendo que irá continuar a trabalhar com todas as entidades afetadas para mitigar o problema. De notar que, até ao momento, ainda não existe a confirmação que os atacantes tenham requerido um resgate para os dados.

É importante relembrar que, em Novembro do ano passado, a empresa também tinha confirmado um ataque na sua rede interna, do qual terceiros poderão ter obtido acesso a alguns dados nos sistemas da empresa. Dois meses depois, foi confirmado que alguma informação de estagiários e candidatos podem ter sido acedida indevidamente.

Em Dezembro de 2020 também a divisão da Índia da Panasonic foi alvo de um ataque de ransomware, de onde se acredita que tenham sido roubados 4GB de dados.

11/04/2022
Site do PCP encontra-se indisponível desde o início da tarde

O site associado com o Partido Comunista Português (PCP) encontra-se atualmente indisponível, depois de ter sofrido um suposto ataque externo que terá causado a sua inacessibilidade.

Desde o inicio da tarde de hoje, às 17H00, que o site se encontra inacessível para os utilizadores, apresentando apenas um erro de carregamento quando se tenta aceder. Até ao momento não existem detalhes sobre a origem do ataque, no entanto, segundo revela a CNN Portugal, o site encontra-se a ser alvo de um ataque de um grupo não identificado pró-Ucrânia.

O ataque encontra-se a afetar também os sites de várias entidades regionais, que apresentam a mesma mensagem de erro. No entanto, o site do jornal associado ao PCP, o Avante, ainda se encontra disponível sem falhas por enquanto.

Iremos atualizar esta informação conforme sejam revelados mais detalhes sobre o ataque.

08/04/2022
Continente Online e Cartão Continente voltam a ficar ativos

Depois do ataque informático que a Sonae sofreu no passado dia 30 de Março, e depois de quase uma semana com as plataformas do Continente Online e Cartão Continente inacessíveis, a empresa confirma agora que estas voltam a ficar disponíveis para os utilizadores.

Segundo o comunicado da Sonae MC, os clientes podem agora voltar a usar a plataforma online do Continente, juntamente com todos os serviços do mesmo, onde se inclui a aplicação para dispositivos móveis e o Cartão Continente nas lojas.

A empresa refere que “continua a trabalhar em estreita articulação com o Centro Nacional de Cibersegurança para evitar novos ataques desta natureza.”.

Além disso, é ainda referido no comunicado que “não há a evidência de que os dados pessoais de clientes tenham sido afetados. Esta constatação decorre do profundo trabalho forense que tem vindo a ser realizado nos últimos dias. Os dados bancários associados ao serviço Continente Pay, continente.pt, wells.pt não estão nos sistemas da MC, pelo que esta informação não foi de todo comprometida, uma vez que é do domínio único e exclusivo das entidades financeiras.”

De notar que, durante o dia de ontem, foi no entanto confirmado que os sistemas internos da Sonae MC sofreram um ataque de ransomware, do qual terão sido recolhidos dados da mesma – embora não seja claro se existem informações concretas de clientes ou apenas de sistemas internos da Sonae.

06/04/2022
Grupos na China usam VLC para distribuir malware em nova campanha

Foi recentemente descoberto que um grupo de hackers com ligações ao governo chinês encontra-se a usar uma falha no leitor multimédia da VLC para infetar sistemas. Este ataque parece ser focado para campanhas de espionagem e contra entidades não governamentais em pelo menos três continentes diferentes.

De acordo com os investigadores da empresa de segurança Symantec, os atacantes encontram-se relacionados com um grupo conhecido como “Cicada”, o qual se encontra em atividade faz mais de 15 anos – pelo menos desde 2006, tendo já alterado de nome várias vezes.

Os investigadores afirmam que esta campanha em específico terá começado em meados de 2021, mas ainda se encontrava ativa em Fevereiro de 2022 e, possivelmente, nos dias de hoje.

Acredita-se que o grupo esteja a usar o VLC para infetar os sistemas e ativar o malware nos mesmos, que depois são usados para distribuir outro género de malware – como spyware, ransomware, etc.

O grupo cria versões modificadas do VLC, focadas para serem distribuídas sobre as entidades em foco para o ataque. Estas versões contam com ficheiros modificados especificamente para ativar o malware nos sistemas, enquanto que o programa continua a funcionar na normalidade.

Uma grande parte das vitimas desta campanha parecem ser entidades relacionadas com governos de vários países, bem como entidades não governamentais no setor da educação e religioso.

06/04/2022
Vevo confirma ataque que permitiu vandalizar canais do YouTube de artistas

Durante o dia de ontem, os canais de YouTube de vários artistas da VEVO começaram a publicar vídeos no que seria rapidamente considerado um ataque. Entre os nomes de artistas afetados encontram-se Drake, Taylor Swift, Lil Nas X, The Weeknd, Eminem, Ariana Grande, Harry Styles, Kanye West, Michael Jackson, entre outros.

O ataque aos canais estaria a ser reivindicado por um utilizador no Twitter sobre o nome de “@lospelaosbro”, que enviava para os canais diversos vídeos com conteúdos estranhos dos mais variados formatos.

Mais tarde, a Vevo veio a confirmar que teria sido alvo de um ataque, no qual um utilizador não autorizado estaria com acesso à sua plataforma, e portanto, com capacidade de enviar vídeos para os canais que fazem parte desta rede.

A entidade afirma que o utilizador teria permissões consideravelmente limitadas, mas que permitiam o envio dos conteúdos, e do qual terá sido explorado. Foi ainda referido que, face ao incidente, a empresa reviu todos os acessos para impedir novas tentativas de exploração.

De relembrar que a Vevo é detida por nomes como a Sony Music Entertainment, Universal Music Group e Warner Music Group, sendo que esta refere controlar uma das maiores redes de artistas musicais no YouTube.

06/04/2022
Ataque da Sonae e Continente: 27 GB de dados roubados por ransomware

No passado dia 30 de Março, o grupo Sonae foi alvo de um ataque informático do qual terá deixado vários sistemas internos da empresa inacessíveis, incluindo também as plataformas do Continente Online e do Cartão Continente.

A empresa ainda não deixou detalhes concretos sobre o ataque, apesar de terem passado mais de seis dias desde o mesmo. No entanto, foi hoje confirmado que o ataque terá sido de ransomware, de onde foram roubados dados internos da mesma.

O ataque terá sido realizado pelo grupo conhecido como RansomEXX, sendo que este divulgou na rede TOR mais de 27GB de dados associados com a empresa. Ainda se desconhece se esta informação possui dados de clientes ou associados à plataforma online do Continente.

Até ao momento a Sonae apenas deixou o comunicado que se encontra a trabalhar para restaurar o acesso aos sistemas. A plataforma online do Continente ainda se encontra indisponível, juntamente com o sistema para uso do cartão continente e a sua app.

05/04/2022
Cash App confirma acesso indevido a dados dos clientes por antigo funcionário

A aplicação Cash App pode não ser muito popular em Portugal, focada sobretudo para os EUA, mas conta com uma elevada base de utilizadores. E, portanto, um ataque nesta plataforma, é sem dúvida de grande impacto.

Foi exatamente isso que a empresa Block, gestora da aplicação Cash App, confirmou durante o dia de hoje. Segundo o portal TechCrunch, a Block (antiga Square) terá preenchido um documento para as autoridades financeiras dos EUA, informando que uma fonte interna da empresa terá acedido indevidamente aos dados de clientes no dia 10 de Dezembro.

Segundo o relatório, a empresa afirma que o funcionário tinha acesso regular a dados internos da empresa enquanto se mantinha a trabalhar na mesma. No entanto, este terá usado esses dados de acesso depois de ter sido despedido para aceder à plataforma e a dados nesta presente.

Entre os dados que terão sido acedidos encontram-se nomes completos e números das contas dos utilizadores – associados com os números de telefone – juntamente com outras informações privadas. A empresa não revelou, no entanto, o número de utilizadores que foram afetados.

No entanto, a empresa refere que vai contactar mais de 8.2 milhões de utilizadores (antigos e atuais) da app sobre o incidente. É também referido que nenhuma outra informação pessoal dos utilizadores terá sido acedida para além dos nomes, e que a mesma apenas afetou os utilizadores em solo dos EUA.

05/04/2022
Continente Online continua inacessível seis dias depois do ataque

No passado dia 30 de Março começaram os problemas para a plataforma do Continente, da MC Sonae. Subitamente, o site de uma das maiores cadeias de supermercados em Portugal ficou inacessível, no que mais tarde se veio a confirmar ter sido derivado de um ataque informático.

O ataque terá afetado tanto a plataforma online da empresa como também o sistema de cartões continente. Apesar de o ataque ter ocorrido no dia 30 de Março, seis dias depois ainda não existe uma informação concreta sobre o que aconteceu, tanto que as plataformas também continuam inacessíveis.

Quando se tenta aceder ao site do Continente Online, o mesmo apresenta apenas uma mensagem a indicar que se encontra “temporariamente indisponível”. Também nas lojas ainda não é possível realizar compras usando o cartão Continente.

Nas plataformas sociais da entidade a mesma não deixa qualquer menção relativamente ao incidente, nem mesmo ao facto que o site se encontra indisponível, embora ainda continue a realizar publicações de outros conteúdos na normalidade.

O TugaTech tentou contactar a MC Sonae, mas até ao momento ainda não obtivemos qualquer resposta, tanto sobre o ataque inicial como mais informações posteriores.

Ao Observador, a entidade afirma que se encontram a ser repostos os serviços de forma progressiva, e que as lojas do grupo ainda continuam a funcionar. No entanto, estas informações não clarificam detalhes sobre o ataque, a origem do mesmo ou se existem dados dos clientes que podem ter sido comprometidos.

De relembrar que o Continente Online é uma das maiores plataformas de retalho a nível nacional, sendo que permite aos clientes realizarem as compras pelo mesmo. A plataforma conta a possibilidade de os utilizadores realizarem as encomendas dos seus produtos, e como tal, existe um vasto conjunto de informação pessoal e sensível nestes sistemas.

Além disso, existe ainda a informação associada com os próprios Cartões Continente, que será também um dos sistemas afetados tendo em conta a indisponibilidade do serviço.

Até ao momento ainda não se sabe se algum dos dados dos clientes da plataforma poderá ter sido comprometido. A falta de comunicação da entidade não ajuda a obter informações sobre este caso também.

É importante notar que nem todos os ataques resultam em roubo de dados. No entanto, a falta de informação será o principal problema que existe nesta situação, mesmo que as investigações do incidente ainda estejam a ser realizadas. Até ao momento, também nenhum grupo ou entidade terá assumido a autoria do ataque publicamente.

05/04/2022
Vários canais de artistas no YouTube alvo de ataque: Justin Bieber, Eminem, Kanye, entre outros

Vários canais do YouTube de reconhecidos artistas mundiais terão sido atacados durante o dia de hoje, por um grupo conhecido apenas como “Los Pelaos”.

Os canais do YouTube de artistas como o Justin Bieber, Eminem, Drake, Travis Scott, Kanye West, Thee Weekend, Juice Wrld, entre outros, terão sido alvo de um ataque, onde foi enviado um vídeo para os mesmos com a música do cantor espanhol Paco Sanz, polémico pelos seus conteúdos na plataforma.

Até ao momento ainda se desconhecem detalhes sobre como o ataque terá sido realizado, sendo que os vídeos ainda se encontram acessíveis na plataforma. Iremos atualizar o presente artigo quando forem conhecidas mais informações.

05/04/2022
Inverse Finance perde quase 15 milhões de dólares de cripto em recente ataque

Um recente ataque na plataforma DeFi da Inverse Finance terá levado ao roubo de quase 15 milhões de dólares em criptomoedas, no que é mais um ataque a surgir a este género de plataformas – e seguindo outros de grande relevo nas últimas semanas.

A confirmação do ataque terá sido feita pela própria entidade a partir do Twitter, onde é referido que o atacante terá conseguido manipular os sistemas do protocolo para obter ganhos injustos com a compra e venda de tokens a preços consideravelmente mais baratos.

A empresa acredita que os fundos terão sido retirados das carteiras de utilizadores na plataforma, mas que esta encontra-se a tratar de tentar restabelecer as perdas junto dos afetados. Entretanto foi também deixado o apelo para que o atacante devolva os tokens roubados, em troca de um pagamento por bug bounty.

Este é mais um roubo na casa dos milhões a ocorrer sobre o mercado das criptomoedas, que nas últimas semanas tem vindo a ser alvo de vários ataques similares contra grandes empresas e entidades no mercado.

05/04/2022
Ataque na Mailchimp resulta em emails de phishing e roubo de dados

A Mailchimp, reconhecida plataforma de gestão de listas de emails na Internet, revelou ter sido alvo de um ataque recentemente, do qual os atacantes tiveram controlo sobre 319 contas de entidades associadas com o meio das criptomoedas e instituições financeiras.

De acordo com a empresa, a 26 de Março de 2022 foi identificado o acesso indevido às plataformas internas da entidade, na qual se estaria a aceder a várias informações pessoais de clientes na plataforma.

Segundo a empresa, o ataque terá começado por fontes externas, que enganaram funcionários da Mailchimp, no que terá resultado o roubo das suas credenciais de acesso a várias ferramentas internas. Com a posse desta informação, os atacantes terão começado a aceder aos conteúdos de várias contas de clientes no serviço, focando-se sobretudo em contas associadas com entidades financeiras e no espaço das criptomoedas.

Uma das plataformas afetadas terá sido a Trezor, criadores de uma carteira de criptomoedas física com o mesmo nome, e no qual os utilizadores na lista de email da empresa devem ter recebido vários emails a informar sobre a necessidade de atualizar as chaves de segurança das mesmas – que no final, levava ao roubo das mesmas por parte dos atacantes.

A MailChimp veio mais tarde confirmar que os emails terão sido enviados como parte do ataque que a entidade sofreu, e não diretamente por um ataque da Trezor. A empresa aconselhou os utilizadores a evitarem abrir qualquer género de mensagem que seja enviada em nome da Trezor.

No entanto, de acordo com as informações da MailChimp, cerca de 319 contas terão sido afetadas, portanto a lista pode ser consideravelmente superior. De notar que, destas contas, cerca de 102 tiveram os seus dados exportados pelos atacantes – o que inclui não apenas a informação da conta, mas também de subscritos na mesma e das listas de emails criadas.

A empresa termina a referir que o ataque, assim que identificado, foi rapidamente neutralizado. De momento ainda se encontram a decorrer as investigações do incidente, não tendo sido revelada mais informação.

04/04/2022
1400 ETH de um dos maiores roubos de criptomoedas movimentam-se

Durante a semana passada, a Ronin Network revelou que a plataforma do jogo Axie Infinity teria sido atacada, onde foram roubados mais de 625 milhões de dólares em criptomoedas, entre USDC e Ether. Este roubo foi rapidamente colocado na lista dos maiores realizados na história de todas as criptomoedas.

E aparentemente, o atacante não possui planos de devolver o dinheiro roubado. Recentemente mais de 1400 ETH da carteira usada para o ataque foram movimentados para a plataforma de privacidade Tornado Cash. Esta plataforma é bem conhecida por ser usada por criminosos para tentar ocultar os roubos feitos.

O funcionamento da Tornado Cash é bastante simples. A Blockchain regista todas as transações que são feitas, como tal, um roubo é rapidamente identificado com a carteira associada – mesmo que não se conheça o autor da mesma. O que o Tornado Cash faz é tentar mascarar este pagamento, distribuindo o mesmo por pequenas carteiras de criptomoedas até chegar a uma carteira do atacante.

As criptomoedas são transferidas para uma carteira central, que depois distribui o valor por todas as restantes mais pequenas. Isto permite que, mesmo que os registos estejam publicamente acessíveis, não se conhece exatamente o destino final das moedas virtuais.

Com isto em mente, os atacantes da Axie Infinity começaram a transferir 1400 ETH para esta plataforma, potencialmente para ocultar o rasto das criptomoedas. No total, isto corresponde a cerca de 4,9 milhões de dólares face ao valor atual do mercado das criptomoedas.

De notar que esta transação é apenas uma parte do que foi roubado no ataque, embora tenham já sido realizadas várias transações nos últimos dias para carteiras mais pequenas, de valores como 1 ou 10 ETH.

04/04/2022
Scammers usam Discord de grandes projetos NFT para propagar esquemas

O Discord é um dos meios mais populares para a conversa de grandes projetos NFT no mercado, entre os quais se encontra nomes como o Bored Ape Yacht Club. É por este meio que os utilizadores tendem a discutir sobre as NFTs e vários outros temas, bem como por onde recebem novidades sobre o projeto.

No entanto, de acordo com o portal Motherboard, nos últimos tempos estes canais têm vindo também a ser usados para os mais variados esquemas. Alguns utilizadores reportam que têm vindo a perder elevadas quantias de dinheiro em ataques realizados sobre os mesmos – entre um dos mais populares encontra-se o ataque usando os próprios bots que se encontram na plataforma.

Os atacantes tentam comprometer bots que estejam presentes no canal de discussão do Discord, ou criam contas similares aos mesmos, para tentar enganar potenciais vítimas. Na maioria dos casos, são partilhados links para sites externos que prometem as mais variadas ofertas.

Existem ainda bots que usam estes projetos para criar spam a outros projetos – que por sua vez são, na maioria dos casos, esquemas. Os links partilhados levam os utilizadores para sites maliciosos, criados com o objetivo de roubar as criptomoedas dos utilizadores levando os mesmos a crer que fazem parte de um novo projeto.

Mesmo que os utilizadores mais atentos sejam capazes de rapidamente identificar este género de esquemas, alguns utilizadores podem acabar por ser enganados, levando a perdas avultadas. Como sempre, é recomendado que se tenha total atenção aos projetos que se encontram a financiar usando criptomoedas, sobretudo tendo em conta a volatilidade dos mesmos – e o facto que existe uma elevada percentagem dos mesmos que podem ser considerados maliciosos.

02/04/2022
Falsas carteiras de criptomoedas estavam disponíveis na Google Play Store

A Google Play Store ainda é um dos locais mais seguros para os utilizadores descarregarem as suas aplicações, no entanto isso não quer dizer que todas as apps disponíveis na plataforma sejam totalmente seguras.

De tempos a tempos algumas apps maliciosas conseguem enganar a Google e chegar aos utilizadores, e foi exatamente isso que a empresa de segurança ESET recentemente revelou. Segundo o relatório da empresa de segurança, foram recentemente identificadas 13 aplicações maliciosas na Play Store, que se faziam passar por carteiras de criptomoedas para os utilizadores.

No entanto, quando instaladas, as mesmas procediam ao roubo de credenciais dos dispositivos, e das próprias chaves das carteiras, enviando as mesmas para sistemas em controlo dos atacantes.

O ataque começava quando os utilizadores eram reencaminhados por um website malicioso para descarregarem a app, indicando que teria vantagens para o mesmo. Normalmente estes links eram enviados por mensagens de spam no Telegram e Facebook.

No entanto, as apps acabavam por roubar os dados dos utilizadores uma vez instaladas nos seus dispositivos, ao mesmo tempo que também roubavam qualquer transação que fosse realizada com as “falsas carteiras”.

As aplicações foram, entretanto, removidas da Play Store por violarem os termos da loja.

01/04/2022
Dois jovens detidos no Reino Unido por relações ao grupo Lapsus

Depois das autoridades terem apertado o certo ao grupo LAPSUS, agora as autoridades do Reino Unido confirmaram ter detido dois jovens de terem associações diretas com o grupo.

De acordo com a BBC, os menores terão 16 e 17 anos e encontram-se acusados de terem praticado vários crimes online, entre os quais se encontra o ataque a várias instituições. Os mesmos deverão ser presentes no Tribunal de Magistrados de Highbury Corner ainda durante esta sexta feira, mas vão permanece sobre a custódia das autoridades.

De relembrar que o grupo tem vindo a realizar ataques de elevado relevo para várias entidades, entre as quais se encontram nomes como a Microsoft, Nvidia, Samsung e até mesmo empresas em Portugal como o Grupo Impresa.

Durante a semana passada o FBI também lançou uma campanha para obter informações do grupo, oferecendo mesmo recompensas a quem fornece-se informações credíveis que levassem aos autores dos ataques.

Ainda durante a semana passada, as autoridades Londrinas também tinham confirmado que sete pessoas foram detidas, com idades entre os 16 e 21 anos, no Reino Unido por ligações ao grupo, mas na altura os mesmos tinha saído em liberdade.

01/04/2022
Iberdrola confirma ataque que afetou dados de 1.3 milhões de clientes

A Iberdrola confirmou ter recentemente sido vítima de um ataque informático na sua filial em Espanha, que poderá ter afetado mais de 1.3 milhões de clientes.

De acordo com o comunicado da empresa, os atacantes não terão obtido acesso a sistemas de pagamento ou a informações bancárias, mas é possível que tenham obtido acesso aos sistemas onde constam informações dos próprios clientes.

A empresa afirma que o ataque terá ocorrido no passado dia 15 de Março, e que foi resolvido no mesmo dia. Devido à prontidão da empresa, o ataque terá sido bloqueado quase de imediato, sendo que os atacantes apenas conseguiram aceder a informação básica como o Nome, Apelido e números de identificação dos clientes da empresa de energia.

Segundo o ElPais, o ataque terá sido seguido de várias outras tentativas de intrusão, mas que foram igualmente bloqueadas. A Iberdrola terá ainda avançado com a apresentação de uma queixa junto das autoridades, que ainda se encontram a investigar o incidente.

De momento ainda se desconhece se os dados terão sido efetivamente roubados ou apenas acedidos. A Iberdrola deverá emitir um comunicado com mais informações em breve.

31/03/2022
Vítima do ransomware Lockbit estima 42 milhões de dólares em perdas

Não existem dúvidas que o ransomware continua a ser um dos maiores problemas dos últimos tempos, sendo que várias empresas têm vindo a ser afetadas pelo mesmo. Normalmente existem dois caminhos para recuperar os conteúdos ou evitar que os mesmos fiquem disponíveis publicamente: ou se paga o resgate, ou recupera-se o conteúdo de backups.

Nem todas as empresas pagam o valor do resgate, mas isso não impede que os custos de recuperar o ataque seja avultados. A empresa Atento, um fornecedor de serviços CRM, revelou recentemente os seus relatórios financeiros relativos a 2021, e onde surgem mais de 42.1 milhões de dólares sobre perdas associadas com um ataque ransomware que a empresa sofreu esse ano.

Este valor corresponde a cerca de 34.8 milhões de dólares associados com as perdas de receitas do ataque, juntamente com 7.3 milhões para mitigar o mesmo. Dentro destes valores encontram-se ainda as medidas adicionais de segurança que foram adotadas pela empresa para melhorar a sua infraestrutura.

Neste caso, a empresa foi alvo de um ataque pelo ransomware LockBit, o qual é conhecido por roubar os dados das vítimas, para além de os encriptar, no objetivo de mais tarde partilhar a informação roubada publicamente. Os ficheiros da empresa ainda se encontram disponíveis no site do grupo, o que indica que o resgate não terá sido pago pela mesma.

31/03/2022
Spring4Shell: nova vulnerabilidade zero day afeta popular framework

Qualquer vulnerabilidade considerada como zero-day pode ter graves impactos para os utilizadores, e levar a roubos de dados ou ataques dos mais variados géneros se não for corrigida a tempo. E recentemente surgiu mais um exemplo disso com uma popular framework para Java, conhecida como Spring.

A 30 de Março de 2022 começaram a surgir rumores de uma possível falha que poderia permitir executar código de forma remota, focada na Framework Spring. O ataque focava-se no Spring Core da framework, e se explorada, poderia permitir aos atacantes executar código de forma remota no mesmo.

De notar que a Spring é gerida por uma empresa subsidiária da VMWare, sendo usada em várias aplicações no mercado, baseadas no código Java. Tendo em conta que se trata de um modulo open source, é largamente ativo pela comunidade de programadores.

Apesar de a investigação da falha ainda se encontrar a ser feita por vários investigadores de segurança, a empresa Rapid7 já confirmou que a mesma se encontra ativa e pode afetar sistemas que fazem uso desta framework. Num dos exemplos de teste, os investigadores conseguiram explorar a falha através de um servidor baseado em Tomcat.

Através da exploração da mesma, atacantes podem colocar ficheiros maliciosos nos sistemas, que depois podem ser usados para aceder aos conteúdos das máquinas.

Apesar de a mitigação do problema ainda se encontrar a ser analisada, os programadores são aconselhados a manterem o código das suas aplicações atualizados para as versões mais recentes, que futuramente devem incluir as correções da falha.

31/03/2022
Globant confirma roubo de 70GB de ficheiros após ataque informático

A empresa de desenvolvimento de software “Globant” confirmou recentemente ter sido a mais recente vítima do grupo Lapsus, depois de o mesmo ter obtido acesso a alguns sistemas da entidade.

De acordo com o comunicado da empresa, esta afirma que os atacantes terão obtido acesso limitado a alguns sistemas de desenvolvimento, a partir do qual poderão ter sido roubados dados de código fonte de várias apps e associados com várias empresas.

A empresa afirma que, assim que foram identificados os acessos indevidos, foram também ativados todos os mecanismos de segurança para bloquear os mesmos, bem como analisada a extensão do roubo de dados. Nesta análise, a empresa afirma que os atacantes tiveram acesso a uma quantidade limitada de dados e código fonte de várias apps – num total de 70GB de conteúdos – dados que foram posteriormente partilhados pelo grupo no Telegram.

O grupo partilhou ainda dados de acesso associados a contas de administração da entidade, alegando que o grupo possui fracas medidas de segurança. Vários investigadores de segurança apontam que o roubo de dados pode ter começado por ataques diretos contra funcionários da entidade, a partir do qual o grupo terá obtido acesso administrativo aos sistemas e começou a roubar os dados.

De relembrar que o grupo Lapsus tem vindo a atacar perfis de elevado relevo no mercado ao longo das últimas semanas, como é o caso da Microsoft, Nvidia, Samsung, entre outras. O grupo encontra-se igualmente em foco pelas autoridades, com o próprio FBI a fornecer recompensas para quem fornecer informações que possam levar à detenção de membros do grupo.

31/03/2022
Meta terá pago para prejudicar imagem do TikTok com o público

A Meta tem vindo a travar uma batalha acesa contra o TikTok, seja retirando algumas ideias para funcionalidades ou, conforme os detalhes mais recentes parecem revelar, tentando afetar a imagem da empresa.

De acordo com o The Washington Post, que obteve diversos emails internos da Meta, a empresa terá tentado pago a vários consultores políticos da firma Targeted Victory para realizarem uma campanha de ataque direto à imagem do TikTok.

A campanha tinha em vista propagar informação enganadora sobre a plataforma de vídeos, sobretudo na tentativa de acusar o TikTok de prejudicar a saúde dos mais jovens – quer fosse essa acusação fundamentada ou não. A campanha ditava ainda informações sobre a possibilidade do TikTok partilhar informação dos utilizadores com empresas na China.

O objetivo da Meta seria colocar o TikTok na mira das críticas do público sobre a saúde mental dos mais jovens que usam a plataforma, sobretudo para a vertente política, ao mesmo tempo que a Meta melhorava a imagem do Facebook.

Em comunicado ao portal The Post, um porta-voz da Meta afirma que todas as plataformas devem enfrentar um nível de análise das suas práticas com base no crescimento que tenham. Por sua vez, o TikTok demonstrou-se preocupado com o facto que a Meta poderia estar a pagar a uma entidade para propagar desinformação sobre a empresa e os seus serviços.

Tendo em conta que o TikTok é, atualmente, uma das maiores rivais para o Facebook e Instagram, não será de estranhar ver a Meta a aplicar algumas medidas para prejudicar a imagem publica dessas entidades – algo que vários documentos no passado já comprovaram que a empresa realiza, como é o caso dos documentos citados por Frances Haugen.

30/03/2022
Grupo Sonae alvo de ataque: site do Continente indisponível

O Grupo Sonae, responsável pelos hipermercados Continente em Portugal, terá sido durante o dia de hoje alvo de um largo ataque informático.

Segundo avança a Sic Noticias, todas as plataformas online da empresa encontram-se atualmente inacessíveis. Em comunicado, a SONAE confirma que várias plataformas do grupo encontram-se sobre um ataque informático desde as 2 da manha do dia de hoje. É ainda referido que estão a ser feitos os possíveis para repor a normalidade o mais rapidamente possível.

As lojas físicas da marca aparentam encontrar-se em funcionamento, mas o sistema de pagamentos com o Cartão Continente encontra-se indisponível.

De momento ainda se encontra a ser realizada a investigação sobre a extensão do ataque, não tendo sido revelado se existe a possibilidade de dados terem sido comprometidos.

30/03/2022
YouTube Vanced agora é considerado “malware” pela Google

No início do mês, a equipa do YouTube Vanced, popular aplicação alternativa ao YouTube, revelou que iria encerrar as suas atividades e deixar de atualizar a aplicação derivado de “questões legais”.

Rapidamente se chegou à conclusão que a medida teria sido tomada pela Google, que lançou o ataque contra a aplicação. De relembrar que o YouTube Vanced era uma aplicação que usava a base do YouTube, mas adicionava alguns extras como o bloqueador de publicidade e a reprodução em segundo plano – similar ao que se encontra no YouTube Premium.

Agora, os utilizadores que tenham o Google Play Protect ativo no Android, e ainda mantenham a aplicação instalada nos seus dispositivos, devem começar a receber uma notificação que a mesma é considerada como “malware”.

Segundo o portal 9to5Google, a Google terá começado a usar o Google Play Protect para notificar os utilizadores com a app instalada, informando que a mesma é considerada como malware e deve ser removida.

De momento, o aviso parece focar-se sobre o “Vanced Manager”, que seria a aplicação necessária para instalar e atualizar o YouTube Vanced. No entanto, a empresa deve brevemente alargar o sistema para incluir também as versões modificadas do YouTube e YouTube Music criadas pelo mesmo.

Não se conhece exatamente o motivo pelo qual a Google considera a aplicação como malware, tendo em conta que a mesma não aparenta possuir este género de atividade maliciosa. No entanto, a mesma permite descarregar a aplicação que a empresa claramente não pretende ver no mercado.

30/03/2022
Grupo Sonae sobre ataque: site do Continente indisponível

O Grupo Sonae, responsável pelos hipermercados Continente em Portugal, terá sido durante o dia de hoje alvo de um largo ataque informático.

Segundo avança a Sic Noticias, todas as plataformas online da empresa encontram-se atualmente inacessíveis. O TugaTech confirmou que o site online da entidade encontra-se atualmente “em manutenção”.

As lojas físicas da marca aparentam encontrar-se em funcionamento, mas o sistema de pagamentos com o Cartão Continente encontra-se indisponível.

A Sonae ainda se encontra a avaliar o ataque. O TugaTech tentou entrar em contacto com a Sonae para obter mais informações, sendo que iremos atualizar o presente artigo conforme surjam mais detalhes.

30/03/2022
Segundo maior roubo de criptomoedas de sempre: 600 milhões de dólares

De acordo com a Forbes, um dos maiores roubos de criptomoedas no mercado pode ter sido recentemente realizado. Em causa encontra-se um recente ataque contra a Ronin Network, entidade responsável pelo videojogo “Axie Infinity”, o qual recompensa os utilizadores com tokens NFT.

Ao que tudo indica, a plataforma terá sido atacada durante a semana passada, do qual resultou o roubo de mais de 600 milhões de dólares em criptomoedas. A confirmar-se, este roubo é o segundo maior na história das criptomoedas.

Em comunicado, a Ronin Network informou os seus utilizadores que tinha sido verificada uma intrusão nos sistemas da entidade durante o dia 23 de Março. Os atacantes terão conseguido obter acesso às infraestruturas de pagamentos da plataforma, de onde foram roubados 173.600 tokens em Ether, e mais de 25.5 milhões em USDC. A empresa afirma que terá obtido conhecimento do ataque depois de um utilizador não ter conseguido extrair 5 mil tokens ether da mesma.

Atualmente todas as transações da plataforma da empresa encontram-se suspensas, o que deixa os utilizadores da mesma incapazes de movimentarem as suas carteiras.

29/03/2022
Sites do WordPress comprometidos usados para realizar ataques DDoS

A guerra entre a Rússia e a Ucrânia tem vindo a causar grandes mudanças a nível da internet, e agora foi descoberta uma nova campanha que possui como alvo as plataformas ucranianas, usando para tal instalações comprometidas em outros sites.

De acordo com a equipa de investigadores MalwareHunterTeam, sites do WordPress comprometidos estão a ser usados para injetar scripts que, quando acedidos pelos visitantes, lançam ataques DDoS através do navegador contra diversos sites da Ucrânia associados com o governo.

Sobre os sites afetados, os atacantes exploram as mais variadas vulnerabilidades para injetarem um script que, quando carregado pelos visitantes do site, utiliza os seus sistemas para lançar os ataques. Apesar de uma visita por si só ser consideravelmente pequena para realizar um ataque, se tivermos em conta todos os visitantes de um website isto pode elevar consideravelmente a possibilidade de ataque.

O script força os sistemas dos utilizadores a realizarem mais de 1000 ligações ao mesmo tempo contra estes sites do governo ucraniano durante todo o período de tempo que os utilizadores estiverem nos mesmos.

Os utilizadores não possuem conhecimento que os seus sistemas estão a ser usados para ataques, sendo que todo o processo ocorre em segundo plano. A única indicação de tal seria uma eventual lentidão do navegador ou da internet.

Para evitar possíveis sistemas de proteção contra ataques, como o Cloudflare ou Acamai, os atacantes usam uma query aleatória com cada pedido, que vai diretamente para os servidores das vítimas.

29/03/2022
Among Us está de volta ao online depois de falhas no fim de semana

Depois de um fim de semana de problemas, os servidores do jogo Among Us encontram-se novamente acessíveis para a comunidade. Os servidores do popular jogo começaram a verificar problemas no final de sexta-feira, quando foi confirmado que estariam a ser alvo de ataques DDoS.

A Innersloth, estúdios responsáveis pelo jogo, confirmaram pelo Twitter que os seus sistemas estariam a enfrentar um largo ataque DDoS, que terá levado à inacessibilidade dos mesmos durante praticamente 3 dias. Apenas hoje, 28/03, os sistemas voltaram finalmente a ficar ativos.

A partir do Twitter foi confirmado que os sistemas estão novamente estáveis, e que a monitorização dos mesmos irá ser mantida durante as próximas horas. De notar que a falha afetou uma grande parte dos utilizadores que se encontravam a tentar aceder aos servidores da América do Norte e Europa.

28/03/2022