Categoria: ataque

Ucrânia regista um dos maiores ciberataques desde o início da guerra

Um dos maiores ciberataques que foi registado contra a Ucrânia pode recentemente ter ocorrido, contra a operadora Ukrtelecom. De acordo com o portal Forbes, o ataque é considerado como um dos mais severos desde que a Rússia invadiu o pais em Fevereiro.

As autoridades locais afirmam que o ataque terá deixado uma grande parte da infraestrutura da entidade inacessível, por toda a Ucrânia. A investigação do mesmo ainda se encontra a decorrer para averiguar a origem do ataque e o número de sistemas afetados.

Victor Zhora, executivo do setor de telecomunicações da Ucrânia, afirma que ainda se desconhecem detalhes sobre o mesmo, nomeadamente se o ataque terá sido sobre DDoS ou algo mais extenso sobre a infraestrutura da operadora.

De notar que a Ukrtelecom é uma das maiores fornecedoras de redes telefónicas e Internet na Ucrânia. O ataque teria sido confirmado pela própria operadora em resposta a comentários sobre o Facebook, de utilizadores que reportavam a inacessibilidade dos serviços.

O sistema de mensagens da operadora no Facebook apenas informa os utilizadores que existem problemas na utilização dos serviços de internet que são fornecidos pela Ukrtelecom. De acordo com a entidade NetBlocks, que tem vindo a analisar os casos de ataques ocorridos na Ucrânia, afirma que o tráfego da operadora caiu a pique desde o início do dia.

Alp Toker, diretor da NetBlocks, afirma que a queda gradual da disponibilidade dos serviços aponta para um ataque consistente nas ultimas horas, e não para algo como um corte de um cabo ou danos na infraestrutura.

O volume de tráfego da operadora caiu para cerca de 15% em toda a região, o que faz este ataque como um dos mais destrutivos realizados contra entidades ucranianas desde o inicio dos confrontos.

28/03/2022
Ransomware mais rápido pode encriptar 53GB de conteúdos em menos de quatro minutos

Um ataque de ransomware é uma verdadeira corrida contra o tempo. Se for identificado de forma precoce, existe a possibilidade de os administradores de sistemas afetados pelos mesmos ainda conseguirem salvaguardar alguns dos dados para evitar que os mesmos sejam encriptados.

No entanto, a tecnologia também tem vindo a evoluir consideravelmente para permitir que este processo seja realizado de forma rápida. E os dados mais recentes da empresa Splunk demonstram que está cada vez mais simples e rápido para os operadores de grandes ataques de ransomware encriptarem bastante conteúdo em poucos minutos.

A empresa analisou os ransomwares mais usados na atualidade, avaliando em quanto tempo demoram a encriptar os conteúdos de um sistema – de forma a identificar qual a ameaça mais rápida. De acordo com os testes, o ransomware LockBit foi o mais rápido nesta tarefa, tendo encriptado 53GB de dados em apenas quatro minutos e nove segundos.

O teste foi realizado num sistema Windows Server 2019, contendo 98.561 ficheiros de diferentes formatos – a maioria documentos. Em teste foram usadas várias amostras de ransomware popular no mercado, entre os quais da REvil, Darkside, Babuk, Maze, LockBit, entre outros.

No total, o Lockbit foi o mais rápido a infetar os sistemas das vítimas, tendo encriptado todos os conteúdos em menos de cinco minutos de duração média – se tivermos em conta todas as amostras que foram testadas de variantes do mesmo.

Em segundo lugar encontra-se outro ransomware conhecido, o Babuk, com uma duração média de 6 minutos e 34 segundos para encriptar os conteúdos.

28/03/2022
Novo malware faz-se passar como suporte da Microsoft para infetar sistemas

É sempre necessário ter cuidado com os conteúdos que se descarrega da Internet, ainda mais quando esses surgem sobre pretextos que podem ser algo duvidosos.

A empresa de segurança SpiderLabs, da Trustwave, revelou recentemente que se encontra a propagar pela internet um novo esquema malicioso, que pode levar os utilizadores de sistemas Windows a descarregarem supostos ficheiros de suporte que são, na verdade, malware disfarçado.

O esquema começa quando os utilizadores recebem um suposto email contendo um ficheiro em anexo. O ficheiro encontra-se com a extensão .DOC, mas é na realidade um ficheiro de imagem de disco, que quando aberto em sistemas Windows monta automaticamente o disco no sistema como uma drive virtual.

Dentro deste ficheiro de imagem encontram-se dois ficheiros: uma aplicação EXE e um ficheiro de ajuda do Windows, em formato CHM. Este ficheiro de ajuda do Windows é legitimo, mas o único objetivo do mesmo será levar os utilizadores a abrirem a aplicação, que é onde o malware realmente se encontra.

Feito isso, o malware é instalado no sistema. Apelidado de “Vidar”, este malware foca-se no roubo de informação do sistema, nomeadamente de senhas guardadas no navegador e em outros locais comuns pelos gestores de senhas mais usados no mercado. Feito isso, o malware envia a informação para sistemas em controlo dos atacantes.

Além disso, o malware permanece ainda no sistema, com o potencial de descarregar outro género de malware para o mesmo, alargando assim o ataque.

25/03/2022
Site da Emma atacado para roubar dados de pagamento dos clientes

A empresa Emma – The Sleep Company, reconhecida marca na venda de colchões, revelou ter sido alvo de um ataque recentemente no seu website, que pode ter causado o roubo de dados de clientes que terão usado a plataforma online para realizarem as suas compras.

De acordo com um email enviado pela empresa para os clientes, o ataque terá ocorrido sobre a plataforma de compra online da mesma. Na mensagem é indicado que os atacantes terão injetado código malicioso no processo de compra pelo site, que teria como objetivo roubar os detalhes dos clientes e dados de pagamento. Isto inclui possíveis dados de cartões de crédito que tenham sido usados para pagamentos.

Tendo em conta a descrição, o ataque terá ocorrido sobre a plataforma usada pelo site para a concretização das encomendas. Este género de ataques é bastante vulgar de ocorrer em lojas online, tanto que empresas como a PCDiga e a OnePlus já foram alvo dos mesmos no passado.

A empresa afirma que, apesar de não existirem provas que qualquer informação pessoal ou financeira tenha sido usada com sucesso, os clientes que tenham realizado recentemente compras a partir da loja online da marca devem ficar atentos a possíveis movimentações suspeitas sobre as suas contas bancárias ou cartões.

O email não indica o período durante o qual os conteúdos maliciosos estiveram acessíveis no portal de compras do site. No entanto, caso tenha usado o mesmo de forma recente para realizar compras pela empresa, existe uma forte possibilidade de os dados introduzidos no mesmo terem sido comprometidos.

Nesta situação, será aconselhado realizar os processos indicados na mensagem da plataforma, e verificar atentamente todos os pagamentos feitos recentemente sobre os cartões de crédito usados – e em caso de atividade suspeita, aconselha-se o contacto direto com as autoridades.

O TugaTech tentou contactar a Emma relativamente a este caso, mas até ao momento ainda não obtivemos uma resposta – iremos atualizar o presente artigo conforme surjam novas informações.

25/03/2022
Google alerta para ataques de grupos da Coreia do Norte contra o Chrome

De tempos a tempos surgem ataques focados em explorar falhas que mais ninguém conhecia, e recentemente foi descoberto que grupos associados com a Coreia do Norte podem ter usado falhas no Chrome para explorar potenciais vítimas.

A Google emitiu um alerta para o facto que grupos associados com o governo norte-coreano podem ter usado falhas do Chrome – entretanto corrigidas – para realizar ataques direcionados contra determinadas vítimas.

De acordo com a Threat Analysis Group (TAG) da Google, no dia 4 de Janeiro de 2022 foi descoberto um kit de exploits que explorava falhas no Google Chrome, e que estaria a ser disponibilizado sobre alguns grupos. Pouco tempo depois, a 10 de Fevereiro, foi descoberto que pelo menos dois grupos de hackers associados com o governo da Coreia do Norte estariam a explorar estas falhas para atacarem potenciais vitimas.

A Google afirma que as falhas no Chrome foram corrigidas no dia 14 de Fevereiro, pelo que o impacto do ataque terá sido relativamente reduzido. Mas ainda assim, o suficiente para que exista o potencial risco para as vítimas.

O ataque começava quando as vítimas recebiam emails sobre possíveis propostas de emprego, associadas a sites como o ZipRecruiter ou Indeed, mas que eram na verdade versões modificadas dos mesmos com o exploit. Quando as vítimas acediam aos sites, era o suficiente para poderem comprometer a segurança dos seus sistemas.

A Google afirma ainda que os atacantes teriam realizado várias tentativas de ocultar o ataque, através de diferentes métodos. Como sempre, o recomendado será que os utilizadores mantenham os seus navegadores atualizados para as versões mais recentes disponíveis.

24/03/2022
Nestlé nega ter sido alvo de ataque informático

Recentemente surgiram rumores que a Nestlé, empresa sediada na Suíça, teria sido alvo de um ataque informático. O ataque teria sido confirmado pelo Twitter como estando relacionado ao grupo Anonymous, e onde o mesmo teria obtido 10GB de dados da empresa – o que incluiria senhas, emails e dados de clientes.

No entanto, em comunicado ao portal The Record, um porta-voz da empresa revelou mais detalhes sobre o caso. Segundo o mesmo, as indicações do ataque e roubo de dados não possuem fundamento, sendo que o mesmo diz respeito a um ataque realizado no inicio de Fevereiro.

De acordo com o comunicado, o ataque terá sido feito em Fevereiro deste ano, mas sobre um pequeno website de teste da empresa, que indevidamente terá sido colocado online. Os dados contidos no mesmo seria apenas para efeitos de teste, e como tal não representativos dos dados reais dos clientes ou da empresa.

De relembrar que o grupo teria divulgado a base de dados como forma de protesto pela empresa ainda não ter realizado qualquer medida contra a Rússia, e de manter as suas atividades na normalidade.

Vários peritos em segurança digital, depois de analisarem a base de dados divulgada, também indicaram que a mesma deveria tratar-se de uma plataforma de testes, e que claramente essa indicação estava referida nos ficheiros.

24/03/2022
Okta confirma que 2.5% dos seus clientes foram afetados em ataque

A Okta, uma empresa dedicada ao fornecimento de serviços para a gestão de acessos, confirmou recentemente que foi o alvo de um ataque, confirmado entretanto como tendo sido realizado pelo grupo Lapsus.

A empresa confirmou em comunicado que os atacantes terão conseguido aceder aos dados de alguns dos clientes, com cerca de 2.5% dos seus clientes afetados. No final isto corresponde a cerca de 375 clientes que terão sido afetados pelo ataque.

Segundo o comunicado da Okta, o ataque terá ocorrido em Janeiro deste ano, onde os atacantes usaram um computador portátil de um dos funcionários para obterem acesso à plataforma. A partir dai, os atacantes terão conseguido aceder a algumas das plataformas internas da Okta, além dos seus sistemas de comunicação via o Slack.

O grupo terá tido cerca de cinco dias de acesso a este dispositivo, entre os dias 16 e 21 de Janeiro de 2022, a partir do qual vária informação terá sido recolhida. Isto é também confirmado pelas imagens que foram reveladas pelo grupo sobre o acesso aos sistemas da Okta, e que teriam a data de 16 de Janeiro.

A empresa afirma, no entanto, que os dados que o grupo terá obtido serão consideravelmente limitados. Como o ataque terá sido feito sobre um portátil de um funcionário de suporte, este apenas teria acesso a algumas ferramentas de controlo e gestão das contas dos utilizadores – que, apesar disso, ainda inclui alguma informação potencialmente sensível. Os atacantes também teriam a capacidade de realizar o reset das senhas das contas dos clientes ou dos seus métodos de autenticação em duas etapas.

No entanto, apesar de ser possível o reset das senhas, o grupo não terá obtido acesso a qualquer senha dos clientes, tendo em conta que essa informação não será algo que os assistentes de suporte da Okta também tenham acesso.

Os utilizadores afetados deverão ser diretamente contactados pela empresa com mais informações sobre o caso e como poderão proteger as suas contas.

23/03/2022
Microsoft confirma que grupo Lapsus roubou parte do seu código fonte

Recentemente surgiram noticias que a Microsoft poderia ter sido o mais recente alvo do grupo Lapsus. O grupo tinha partilhado, no inicio desta semana, os dados associados com a Microsoft, onde se inclui o código fonte parcial do Bing, Bing Maps e da Cortana, em cerca de 37GB de dados.

Isto surge também depois de o grupo ter partilhado uma imagem, por alguns minutos, onde indicava que teria obtido acesso à plataforma interna da Microsoft responsável pelo desenvolvimento de alguns dos seus serviços.

E agora a Microsoft veio oficialmente confirmar o ataque. A partir do seu blog, a Microsoft confirmou que o grupo, que internamente é conhecido como “DEV-0537”, terá comprometido uma conta de um funcionário e obtido acesso a partes do código fonte de alguns dos produtos da entidade.

Segundo a empresa, esta afirma que tinha vindo a seguir as atividades do grupo Lapsus faz algumas semanas, de forma a obter detalhes sobre como este grupo atuava, bem como atacaria as vítimas. No entanto, a própria empresa foi assim alvo do ataque.

A Microsoft Threat Intelligence Center (MSTIC) afirma que o principal objetivo do grupo passa por obter acesso administrativo aos sistemas, a partir do qual são analisados os conteúdos que podem ser roubados e possuem algum proveito para o mesmo. A empresa afirma ainda que os atacantes são motivados pela extorsão, que muitas vezes é realizada como forma de evitar que o grupo partilhe os conteúdos roubados publicamente.

A empresa afirma, no entanto, que o roubo do código fonte não será considerado um risco elevado para a empresa, e que o ataque teria sido identificado e bloqueado durante a atividade. Ou seja, o grupo apenas terá conseguido obter uma parte do código fonte que estaria a tentar obter da empresa, tendo sido intercetado durante essa tarefa.

Ainda assim, o grupo decidiu partilhar o que terá obtido com os utilizadores do seu grupo no Telegram, o que inclui mais de 37 GB de dados.

É importante relembrar que a Microsoft alega que o acesso ao seu código fonte não é considerado um risco de segurança, em parte porque os conteúdos do mesmo não possuem, por padrão, nenhuma informação que seja consideravelmente sensível se partilhada. Isto é algo que a empresa já tinha também confirmado no passado – aquando o ataque da SolarWinds, a mesma confirmou que algum do seu código fonte poderia ter sido acedido por terceiros.

A Microsoft termina a sua mensagem com algumas recomendações que as empresas também poderão aplicar para evitar este género de ataques, e possíveis roubos de dados, o que inclui o uso de software de autenticação em duas etapas, entre outros.

23/03/2022
Serviço público de correios na Grécia alvo de ataque de ransomware

A ELTA, entidade de serviços postais na Grécia, revelou que se encontra com as suas atividades suspensas depois de ter sido alvo de um forte ataque de ransomware, na qual informação sensível da empresa pode ter sido comprometida.

De acordo com o comunicado da entidade, o ataque terá causado com que vários sistemas internos da empresa ficassem inacessíveis, dificultando o funcionamento das operações no dia a dia.

Inicialmente a empresa confirmou o ataque, mas sem deixar muitos detalhes. No entanto, durante o dia de hoje, foi confirmado que os atacantes terão explorado uma vulnerabilidade num dos servidores usados pela entidade, tendo conseguido obter acesso administrativo ao mesmo.

Depois do ataque, ransomware foi lançado sobre os sistemas, permitindo encriptar os conteúdos dos sistemas e causar as falhas de acesso em geral. A entidade afirma que o ataque teve como objetivo prejudicar as operações diárias da entidade, mas não foram revelados detalhes sobre a origem do mesmo ou do pedido de resgate.

Atualmente os sistemas da ELTA ainda se encontra inacessíveis, tanto na sua vertente das plataformas online como também nos vários centros de distribuição locais. Tendo em conta que uma grande parte dos sistemas internos encontram-se indisponíveis, a entidade ainda não teve forma de repor a normalidade.

22/03/2022
Grupo LAPSUS divulga código fonte da Microsoft e LG

O grupo Lapsus tem vindo a ganhar notoriedade nos últimos meses, tendo já atacado várias entidades de elevado perfil no mercado, como a Nvidia, e entre as quais se encontram também entidades em Portugal como o Grupo Impresa.

Recentemente o grupo revelou que poderia ter um novo alvo: a Microsoft. A partir do Telegram, o grupo partilhou uma imagem (que foi rapidamente removida) do que seria o painel de administração interno da Microsoft, e onde se encontravam várias referências ao código-fonte de produtos e serviços da Microsoft.

Apesar de não terem sido revelados muitos detalhes na altura, o grupo agora confirmou ter realizado o ataque, não apenas à Microsoft, mas também à LG.

A partir do seu grupo no Telegram, o grupo encontra-se a partilhar dados que terão sido obtidos destes dois ataques. No caso da LG, foram divulgadas várias chaves de segurança de funcionários e contas de serviço internas, das quais se afirma que terão sido recolhidas faz mais de um ano e em dois ataques diferentes. O grupo afirma ainda que, brevemente, irá divulgar todos os detalhes e códigos associados com a infraestrutura interna da LG.

No caso da Microsoft, foram agora revelados os códigos fonte do Bing, Bing Maps e Cortana. O grupo terá obtido acesso interno às plataformas de desenvolvimento da empresa, sendo que os conteúdos agora partilhados correspondem a vários serviços da mesma.

De notar que o código fonte da Microsoft que se encontra a ser partilhado ainda não se encontra completo. A mensagem indica que o código do Bing Maps encontra-se 90% completo, enquanto que o Bing e Cortana estão 45% completos.

O TugaTech tentou contactar a Microsoft e a LG relativamente a estes dois leaks, mas até ao momento ainda não obtivemos uma resposta de ambas as empresas. De notar, no entanto, que a Microsoft também confirmou durante esta semana que estaria atenta ao caso e a investigar possíveis intrusões na sua rede interna.

22/03/2022
Microsoft a investigar possível roubo de código fonte dos seus programas

Recentemente o grupo Lapsus revelou uma imagem sobre o seu Telegram, indicando o que aparentava ser a infraestrutura interna de desenvolvimento da Microsoft. A imagem foi rapidamente removida do grupo, mas não sei antes ter sido recolhida pelos membros do mesmo.

Na imagem era possível verificar-se vários projetos associados com a Microsoft, nomeadamente o código fonte de vários produtos e serviços da empresa, como o Bing e a Cortana. O acesso a esta informação certamente que poderá ser prejudicial para a gigante da tecnologia, caso realmente tenha ocorrido.

Ainda se desconhece o motivo pelo qual a imagem original foi removida do grupo, mas uma das possibilidades encontra-se no facto que a mesma deixou a indicação do utilizador que estaria a realizar o acesso à plataforma interna da Microsoft, dando assim detalhes que poderiam ser usados para se chegar à fonte do ataque.

Apesar de ainda se desconhecer se os código fonte da Microsoft foi realmente roubado ou não, a empresa já veio confirmar que se encontra a investigar a situação. Em comunicado à BleepingComputer, a empresa indicou encontrar-se ciente das informações e que se encontra a investigar as mesmas. Até ao momento, porém, ainda nada de concreto foi revelado, tanto pela empresa como pelo próprio grupo – que apenas indicou que iria fornecer mais informações no futuro.

O acesso ao código fonte de serviços e produtos da Microsoft pode não representar, por si só, uma grave falha de segurança, mas pode permitir explorar falhas desconhecidas de segurança. A própria Microsoft já indicou no passado que, mesmo com o acesso a código fonte dos programas, este não será considerado um elevado risco para os utilizadores finais.

No entanto, o código fonte pode conter informações mais sensíveis e que podem fornecer acesso a outros dados mais importantes. Muitas vezes estes códigos possuem credenciais ou dados de login em outras plataformas, que podem ser usados para explorar ativamente outros meios de ataques e roubos de dados.

No passado, a Microsoft também confirmou que não integrava no seu código fonte dados de login que pudessem ser usados publicamente para outros sistemas, o que certamente será algo importante para evitar possíveis roubos e ataques adicionais.

Quanto à legitimidade do roubo da Microsoft, para já ainda não existe nada que confirme tal.

21/03/2022
Grupo LAPSUS pode ter uma nova vítima: a Microsoft

O grupo LAPSUS tem vindo a ganhar alguma notoriedade pela Internet, depois de ter atacado entidades de elevado perfil nas últimas semanas. O grupo é mais conhecido em Portugal por ter realizado ataques contra o grupo Impresa, e estar também envolvido em ataques sobre a Vodafone do Reino Unido – onde afirmam ter roubado informações da mesma.

No entanto, parece que existe agora uma nova vítima em mãos: a Microsoft. Recentemente o grupo publicou no Telegram uma imagem do que aparenta ser a plataforma interna de desenvolvimento da Microsoft, onde é possível verificar vários projetos associados com a mesma.

Esta plataforma da Azure é usada internamente pela Microsoft para desenvolver os vários serviços, e parece integrar o código-fonte de plataformas como o Bing e a Cortana. O acesso a estes conteúdos pode ser consideravelmente prejudicial para a empresa, já que poderia permitir obter todos os detalhes sobre a forma como os mesmos funcionam.

A imagem foi publicada sem muita informação em concreto, mas o grupo rapidamente removeu a mesma, deixando a indicação de que iria publicar mais informações em breve.

O TugaTech tentou entrar em contacto com a Microsoft para obter mais informações sobre possíveis ataques realizados na sua infraestrutura, mas até ao momento ainda não obtivemos qualquer resposta sobre o mesmo.

O grupo deixou claro que pretende revelar mais informações sobre o possível ataque ou a fonte da imagem durante as próximas horas.

20/03/2022
Este esquema de phishing pode enganar até os mais atentos

Os criminosos estão sempre à procura de novas formas de poderem enganar as suas vitimas, sobretudo em esquemas online. Se existe um lado que se tenta proteger de ataques, do outro existem criminosos que tentam explorar o máximo das vitimas – sempre a criar novas formas para tal.

E uma das mais recentes que pode vir a começar a verificar-se mais no mercado tem um grande potencial para enganar as vitimas mais atentas. Um novo esquema de phishing tem vindo a propagar-se de forma bastante alargada, e pode enganar até os utilizadores mais atentos por este género de esquemas.

Muitas plataformas online possuem sistemas de autenticação SSO, que normalmente são associados a plataformas sociais. Por exemplo, um utilizador do Dropbox pode usar a sua conta da Google ou da Apple para mais rapidamente entrar na sua conta da Dropbox.

Para realizar este login, normalmente as plataformas abrem uma pequena janela que redireciona os utilizadores para os sites legítimos – seja para aceitar as permissões de login ou para introduzir os dados das suas contas nessas plataformas.

No entanto, é exatamente neste ponto que existe uma potencial falha que pode ser explorada por criminosos.

Com um pouco de código HTML, CSS e Javascript, os criminosos podem criar falsas janelas de login, que aparentem ser janelas de login em “pop up” sobre os sites, mas que são na realidade falsos formulários para introduzir os dados.

Ou seja, as vítimas podem acabar por ser questionadas para introduzirem os dados de login de uma conta no que aparenta ser uma janela legitima do navegador, mas é na verdade uma adaptação falsa dos mesmos criada dentro do próprio site de phishing.

Esta prática não é propriamente nova, sendo conhecida como ataque “Browser in the Browser (BitB)”. No entanto, recentemente o investigador de segurança mr.d0x criou recentemente o que podem ser os templates mais legítimos que existem deste género de ataque – exatamente para demonstrar o perigo deste género de ataques.

Por exemplo, veja as duas imagens em seguida, que representam uma janela de pop-up para login no Facebook, e que pode surgir quando se usa o sistema de login da plataforma. Se não tivesse a indicação, possivelmente não seria capaz de distinguir diferenças entre a versão falsa e a legitima.

Como referido anteriormente, este género de ataques não é novo. Na verdade, esquemas no passado tentaram tirar proveito exatamente do mesmo. Um dos exemplos mais comuns encontra-se sobre a Steam, onde existem vários esquemas que pretendem levar os utilizadores a realizarem o login nas suas contas, mas no que é uma janela falsa do navegador para tal.

Este método pode enganar até os utilizadores mais atentos, uma vez que as janelas criadas podem ser praticamente idênticas às usadas pelo navegador. A única forma de se poder validar se são ou não falsas será tentando mover as mesmas para “fora” da área do site – como são código dentro do site, não vai conseguir mover as mesmas para outras zonas ou sobrepor ao restante navegador.

19/03/2022
Anonymous confirma ataque a uma das maiores empresas de oleodutos na Rússia

O grupo Anonymous revelou recentemente ter obtido mais de 79 GB associados com contas de email de uma das maiores empresas de oleodutos na Rússia.

Segundo revela o portal HackRead, o grupo afirma ter obtido os dados de emails associados com a empresa Omega Company, uma filial de desenvolvimento da Transneft, uma das maiores empresas do setor dos oleodutos na Rússia.

A confirmação do ataque terá sido realizada no passado dia 17 de Março, sendo que a conta do Twitter @YourAnonNews, que normalmente partilha algumas informações sobre o grupo, informa que foram roubados mais de 79 GB de dados associados com contas de emails da empresa.

De notar que o leak da informação não foi originalmente partilhado pelo Anonymous, mas sim por indivíduos associados ao grupo num site de partilha de leaks. De acordo com os dados revelados, o leak possui várias informações sensíveis de funcionários da empresa, comunicações internas e de executivos, entre outros dados importantes.

Existem ainda imagens e fotos associadas com as infraestruturas da empresa, incluindo imagens de servidores onde se encontra toda a informação que terá sido roubada.

É importante relembrar que a Transneft é uma das maiores empresas controladas pelo governo russo no setor dos oleodutos do pais, e também a mais recente entrada na lista das empresas bloqueadas pelos EUA de realizar negócios com entidades no mesmo. A Omega Company será uma filial desta dedicada ao desenvolvimento e investigação de produtos.

19/03/2022
Asus alerta para novo malware que explora vulnerabilidades em routers

A Asus encontra-se a alertar os donos de routers da empresa para uma nova vulnerabilidade, a qual se encontra a ser explorada ativamente para comprometer os sistemas dos routers e, potencialmente, levar ao roubo de dados.

O malware que se encontra a aproveitar as falhas é conhecido como “Cyclops Blink”, sendo que se encontra ligado a entidades russas, nomeadamente a um grupo conhecido como Sandworm.

Este malware foca-se em manter os dispositivos sobre o controlo dos atacantes, com um ponto de comunicação constante depois de afetar o sistema dos mesmos. Como o malware é modular, este pode ser adaptado para vários produtos ao mesmo tempo, e usado para ataques direcionados.

De acordo com a empresa de segurança Trend Micro, o malware parece ter começado a focar-se em routers desprotegidos da Asus, sendo que uma vez instalado, pode obter informação da RAM e do sistema, potencialmente comprometendo informação sensível que passe sobre a rede local onde o mesmo se encontra.

O malware parece ter sido criado para atacar sistema de forma indiscriminada. Ou seja, quando este deteta um router potencialmente vulnerável para ataque, o mesmo infeta o sistema e tenta replicar-se para outros equipamentos na rede local – ou até usar a ligação do router afetado para proceder com tentativas de infetar outros dispositivos pela internet.

A Asus já confirmou o problema, tendo também fornecido uma nova atualização para o firmware de vários dos seus routers afetados pelas falhas, e que permitem ao malware realizar as suas operações.

A empresa aconselha ainda os utilizadores a usarem senhas seguras para o acesso à Interface do router, bem como a desativarem o acesso remoto ao mesmo. Alguns dos equipamentos afetados pela falha encontram-se também em fim de suporte oficial, portanto será improvável que a Asus venha a fornecer atualizações de segurança para os mesmos.

17/03/2022
BridgeStone confirma ataque de ransomware com roubo de dados

A Bridgestone confirmou ter recentemente sido alvo de um ataque de ransomware, de onde alguma informação sensível da empresa pode ter sido comprometida.

De acordo com o comunicado da empresa, o ataque terá começado a ser verificado no dia 27 de Fevereiro, quando se verificou alguns acessos indevidos aos sistemas internos da empresa. Posteriormente veio a confirmar-se que o ataque poderá ter comprometido informação sensível interna da mesma.

Segundo a marca, os sistemas da empresa na América do Norte e América latina terão sido isolados para prevenir a propagação do ataque. Apesar de a empresa não ter revelado muitos detalhes sobre o ataque, recentemente o grupo LockBit terá confirmado que iria divulgar os dados da empresa – confirmando assim que este terá sido o ransomware usado para o roubo das informações.

De notar que os dados mais recentes apontam que a Bridgestone possui 130.000 funcionários a nível mundial, sendo que o ataque parece ter sido focado sobre a filial dos EUA – embora possa conter dados de outros países.

De relembrar que o grupo responsável pelo ransomware LockBit é um dos mais ativos atualmente. Este já terá realizado ataques sobre grandes empresas no mercado, onde se inclui mesmo a empresa portuguesa Trust in News.

14/03/2022
Ubisoft confirma ter sido alvo de ataque a semana passada

A Ubisoft confirmou esta sexta feira ter sido vítima de um ataque informático, embora se acredita que nenhuma informação tenha sido roubada, tanto da empresa como dos jogadores.

De acordo com o comunicado dos estúdios, o ataque teria ocorrido durante a semana passada, sendo que afetou temporariamente alguns dos seus servidores e serviços. A empresa terá agido de imediato para trocar todas as senhas consideradas como críticas, além de contratar uma equipa externa para ajudar a solucionar o problema.

Apesar de não terem sido revelados muitos detalhes, a empresa afirma que alguma informação existente nos sistemas pode ter sido acedida, mas não chegou a ser roubada. Da mesma forma, a empresa sublinha que não terão sido acedidos ou roubadas informações respeitantes aos jogadores ou aos serviços que os mesmos usam nas suas plataformas.

Atualmente todos os sistemas afetados estão repostos na normalidade, sem falhas, mesmo os sistemas que estiveram expostos para os ataques.

11/03/2022
Google lança sistema de alerta para ataques aéreos na Ucrânia

A Google encontra-se a disponibilizar uma nova funcionalidade no sistema Android para os utilizadores na Ucrânia, que poderá ajudar a alertar para possíveis ataques de mísseis russos.

O sistema de alerta de ataques aéreos foi recentemente disponibilizado pela Google para todos os dispositivos Android, sendo que o objetivo será criar um meio de alertar os utilizadores antecipadamente para possíveis ataques.

Este sistema vai encontrar-se disponível para todos os dispositivos Android, nas mais variadas versões, desde que tenham os serviços da Google instalados e acesso à Internet. O sistema será um suplemento ao próprio sistema de alerta que se encontra de forma local pelas autoridades.

A funcionalidade vai começar a ser disponibilizada a partir de hoje, chegando aos utilizadores de forma direta. Este irá usar dois alertas: um para quando existe o risco de ataque, e outro para quando o mesmo termine.

Este sistema será baseado noutro que a empresa já tinha vindo a testar para situações de sismos – e que os primeiros casos revelaram-se bastante úteis para ajudar os utilizadores, e potencialmente salvar vidas.

A empresa afirma ainda que se encontra a trabalhar com o governo da Ucrânia para melhorar ainda mais o sistema, e fornecer notificações mais precisas. Este sistema complementa outro que tinha vindo a ser usado até agora, sobre uma aplicação dedicada para alerta de ataques acessível pela Play Store.

10/03/2022
Anonymous afirma ter atacado serviços de streaming na Rússia

O grupo Anonymous já demonstrou publicamente que estaria contra as invasões feitas pelo governo Russo da Ucrânia, e lançou várias campanhas contra o mesmo. E pode agora ter sido confirmado mais um dos ataques do grupo, realizado durante esta semana.

De acordo com vários relatos nas redes sociais, o grupo terá atacado vários canais de TV e serviços de streaming na Rússia, com o objetivo de transmitir imagens e vídeos dos ataques realizados sobre o solo ucraniano – com o objetivo de mostrar à população o que se encontra a ocorrer e é muitas vezes silenciado pelos meios de imprensa locais.

Pelo menos seis canais associados ao estado da Rússia, juntamente com duas plataformas de streaming no pais, terão sido atacadas para partilhar imagens dos ataques, juntamente com relatos de jornalistas, soldados e da população em geral. Entre os canais afetados encontra-se a Russia 24, Channel One e Moscow 24.

De notar que não existe, para já, nenhuma confirmação oficial por parte dos canais e serviços de streaming afetados sobre o potencial ataque.

08/03/2022
Google confirma aquisição da empresa de segurança Mandiant

A Google confirmou que vai realizar a compra da empresa de segurança digital Mandiant, num negócio que se encontra avaliado em mais de 5.4 mil milhões de dólares, passadas sobre ações da empresa.

De acordo com o comunicado da marca, a Mandiant vai passar a integrar a divisão de serviços do Google Cloud, sendo que as tecnologias da empresa vão ser lentamente integradas nos restantes produtos e serviços da Google.

A Mandiant foi criada em 2004, tendo atualmente mais de 600 consultores de segurança digital e 300 analistas de inteligência, que se focam em prever e combater as principais ameaças a servidores e sistemas em geral dos mesmos.

O objetivo da Google parece ser integrar as tecnologias de segurança da Mandiant como parte do pacote do Google Cloud, garantindo mais segurança para os utilizadores da empresa.

A Mandiant ficou mais conhecida no mercado depois de ter sido a responsável por identificar o ataque da SolarWinds, em 2020. Este foi considerado um dos maiores ataques dos últimos tempos, tendo afetado até mesmo entidades que estariam relacionadas com governos a nível mundial.

08/03/2022
Samsung afirma que dados dos clientes não foram comprometidos

Recentemente foi confirmado que a Samsung teria sido alvo de um ataque, realizado pelo grupo LAPSUS, e de onde poderiam ter sido roubados mais de 190 GB de informações. Apesar de os detalhes do caso ainda estarem a ser investigados, a Samsung veio confirmar mais informações sobre o mesmo.

De acordo com a empresa, apesar de esta confirmar o ataque, a mesma afirma que os dados roubados pelos atacantes não possuem informação dos utilizadores do serviço. Isto não torna o roubo menos grave, uma vez que os dados que foram conhecidos possuem informações sensíveis da própria empresa e dos seus produtos, incluindo esquemas de futuros dispositivos ainda por lançar e vária outra documentação interna.

Mesmo que dados sensíveis dos utilizadores da Samsung não tenham sido comprometidos, existe um vasto conjunto de informação sensível da empresa que o foi. A empresa confirma que o ataque pode ter levado ao roubo de código fonte associado a plataformas da marca, bem como vários outros documentos.

A empresa sublinha ainda que não está previsto que este ataque cause algum género de impacto para a produção da marca, nem para o fornecimento dos produtos tal como estão a ser feitos atualmente.

É importante notar que o simples facto que se tenha acedido ao código fonte de programas importantes da Samsung, pode vir a causar ainda mais dores de cabeça para a empresa. Estes dados podem ser usados para explorar falhas desconhecidas, o que, no futuro, pode levar realmente a roubos de dados sensíveis dos utilizadores ou a outros géneros de ataques contra utilizadores da marca.

07/03/2022
Investidores da Samsung não estão agradados com recentes problemas da empresa

De forma recente a Samsung tem vindo a passar por alguns problemas. O que começou com os detalhes sobre um serviço em vários modelos da linha Galaxy que limitava o desempenho das aplicações, passou depois para um possível ataque contra a entidade, onde o grupo LAPSUS afirma ter roubado diversa informação sensível da mesma.

Esta tempestade de problemas tem vindo a causar várias dores de cabeça, mas certamente que uma das pessoas mais afetadas será TM Roh, presidente da Samsung Eletronics.

De acordo com os rumores recentes, os investidores da Samsung não se encontram satisfeitos com todos os problemas que a empresa tem vindo a verificar, e o ataque recente de onde milhares de dados sensíveis e privados da empresa podem ter sido comprometidos não veio ajudar nisso.

Os investidores podem mesmo estar a pedir para que TM Roh seja substituído, colocando na liderança alguém com mais capacidade de gerir o cargo e de tratar dos problemas verificados.

Os investidores encontram-se sobretudo preocupados com a possibilidade de que estes problemas venham a causar um mau impacto sobre a imagem da empresa. Existe ainda a questão que os documentos que foram, supostamente, roubados dos ataques incluem dados sensíveis da empresa, entre os quais informações sobre projetos e produtos da marca que ainda não foram oficialmente lançados.

Até ao momento, TM Roh não deixou qualquer comentário relativamente a estes problemas, nem tão pouco se existe qualquer previsão do mesmo abandonar o cargo onde se encontra.

07/03/2022
Certificados roubados da Nvidia estão a ser usados para assinar malware

Depois do ataque realizado contra a Nvidia, por parte do grupo Lapsus, vários detalhes internos da empresa foram publicamente disponibilizados. Entre os quais encontram-se chaves de certificados digitais, que são usados para assinar os programas e drivers da empresa.

Estes certificados são usados para garantir que um determinado programa ou driver é legitimo, e como tal pode ser instalado no Windows – é uma medida de segurança que previne a instalação de drivers e conteúdos maliciosos no sistema por padrão.

No entanto, parece que os criminosos já estão a explorar os dados que foram revelados pelo ataque para usarem este certificado para programas maliciosos.

De acordo com o investigador de segurança Bill Demirkapi, foi descoberto que já se encontra malware a ser distribuído como tendo sido assinado com certificados da Nvidia, usando os conteúdos que o grupo LAPSUS disponibilizou publicamente.

Estes certificados permitem que os atacantes possam assinar drivers maliciosas, que são reconhecidas como “legitimas” pelo Windows. Apesar de o certificado encontrar-se expirado, isso não impede ainda que as drivers possam ser instaladas na mesma sobre o sistema operativo.

Isto pode ter graves consequências para os utilizadores. Uma vez que os programas passam a ser assinados, supostamente, com o nome da Nvidia, podem passar despercebidos por algumas das medidas de segurança do sistema operativo e até de alguns programas de segurança no sistema. Isto permitiria que drivers maliciosas possam ser instaladas, comprometendo seriamente a segurança do mesmo.

Como exemplo, um dos malwares descobertos a usar estes certificados teria na sua fonte programas de acesso remoto, que permitiriam aos atacantes acederem remotamente aos sistemas infetados para os mais variados fins. Tendo conta que o malware se encontra a ser propagado com um certificado digital da Nvidia, alguns poderiam considerar que seria algo seguro, e o próprio Windows pode permitir mais facilmente a instalação.

É importante notar que, apesar de os certificados estarem expirados, o Windows ainda permite que os mesmos sejam usados praticamente sem qualquer alerta de erros sobre tal.

Espera-se que a Microsoft adicione os certificados da Nvidia sobre a lista de certificados expirados do sistema, o que tecnicamente invalida este ataque. No entanto, enquanto isso não acontece, existe o potencial do malware afetar mais sistemas.

07/03/2022
Dados sensíveis da Samsung divulgados pelo grupo Lapsus

O grupo Lapsus, depois de ter começado a divulgar mais informações sobre o ataque realizado recentemente à Nvidia, agora acaba de confirmar o que poderá ser outra vítima: a Samsung.

A partir do Telegram do grupo, este afirma que terá obtido acesso a várias informações sensíveis associadas com a Samsung e os seus dispositivos, serviços e plataformas em geral.

O grupo afirma que terá obtido acesso a vários códigos fonte de aplicações de segurança da empresa, juntamente com módulos de segurança que se encontram em praticamente todos os dispositivos da marca no mercado.

Entre os conteúdos potencialmente roubados encontram-se o código fonte do sistema do “Trusted execution environment”, um ambiente seguro usado em vários dispositivos da empresa para a realização de tarefas de encriptação, juntamente com todos os códigos associados a estes sistemas.

Encontram-se ainda nos dados algoritmos usados para as operações de desbloqueio biométrico usado nos dispositivos da marca, juntamente com o código fonte dos sistemas usados para essas comunicações.

Foi ainda revelado o código-fonte do bootloader de diversos dispositivos recentes da empresa, incluindo dados associados com o sistema Knox e códigos de autenticação. Por fim, terão ainda sido obtidos documentos confidenciais da empresa e da Qualcomm.

Por entre os conteúdos, o grupo alega ainda ter obtido acesso ao código fonte dos sistemas usados nos servidores de ativação da empresa, juntamente com os sistemas das contas da Samsung – que é usado pelos clientes da marca para acederem aos diversos serviços.

No total o grupo afirma ter em sua posse cerca de 195 GB de dados pertencentes à Samsung.

Estes dados encontram-se a ser partilhados publicamente, o que leva a crer que o grupo – tendo em conta a sua forma de operação, terá tentado entrar em contacto com a Samsung para evitar a divulgação pública, mas sem sucesso.

04/03/2022
Credenciais de 71.000 funcionários da Nvidia comprometidas

De acordo com os dados mais recentes do ataque realizado sobre a Nvidia, estima-se que os dados de login de aproximadamente 71.000 funcionário podem ter sido comprometidos.

O serviço Have I Been Pwned adicionou recentemente ao seu serviço um total de 71.335 contas que foram recolhidas dos leaks revelados sobre o ataque da Nvidia, e que incluem informação sobre os funcionários da empresa a nível mundial.

Entre os dados roubados encontram-se contas de email associadas com a organização, contas pessoais e ainda hash de NTLM – a versão encriptada das senhas usadas no Windows. Estas senhas, apesar de encriptadas, podem rapidamente ser obtidas, tanto que algumas das senhas desencriptadas já se encontram a circular pela Internet.

De relembra que a Nvidia terá confirmado o ataque a 1 de Março, mas não avançou detalhes sobre o mesmo tendo em conta que a investigação ainda se encontra a decorrer. Entretanto, o grupo LAPSUS, mais conhecido por também ter realizado ataques ao grupo Impresa, afirma que terá sido a fonte do ataque, e encontra-se a preparar para disponibilizar publicamente mais de 1TB de informação roubada.

O grupo afirma ter em sua posse um vasto conjunto de documentação interna e de planos da empresa, tanto das arquiteturas atuais como futuras. Além disso, o grupo afirma ainda que vai divulgar toda a informação a menos que a empresa venha a disponibilizar as suas drivers em formato open-source.

04/03/2022
Hackers agora pretendem que Nvidia disponibilize drivers em formato open-source

No final da semana passada a Nvidia foi alvo de um ataque informático, realizado por parte do grupo LAPSUS, também conhecido pelos ataques realizados recentemente ao Grupo Impresa em Portugal.

O grupo afirma ter em sua posse mais de 1TB de dados associados com os sistemas internos da empresa, e está pronto a divulgar toda a informação para o público. Inicialmente o grupo teria começado a disponibilizar cerca de 18GB de informações, alegando que a Nvidia devia realizar algumas medidas para evitar a propagação da restante informação.

No entanto, agora essas exigências passam para uma nova frente. O grupo pretende agora que a Nvidia coloque todas os seus drivers em formato open-source para Windows, Linux e macOS. Caso a empresa não realize esta medida até ao final desta semana, o grupo irá divulgar publicamente cerca de 250 GB de dados associados com chipsets, placas gráficas e outra informação interna da Nvidia – alguma da qual pode ser considerada confidencial ou sensível.

A mensagem indica ainda que o grupo pode estar em conversações com a Nvidia para prevenir a divulgação de mais informações. No entanto, até ao momento, a empresa não confirma tal medida. Além disso, também não existem confirmações que a Nvidia venha a divulgar as suas drivers em formato open-source – e tal ação poderia prejudicar consideravelmente a empresa, tendo em conta que as drivers possuem informação proprietária que pode ser aproveitada para explorar falhas.

De notar que o grupo já tinha publicado no passado ficheiros associados com a tecnologia da Nvidia DLSS e algumas das futuras arquiteturas.

02/03/2022
Signal desmente rumores sobre ataque

Faz alguns dias que começaram a surgir rumores sobre a possibilidade da aplicação Signal ter sido atacada, e que as comunicações dos utilizadores poderiam encontrar-se comprometidas. Estes rumores começaram a surgir pouco depois de a app ter também registado um aumento no uso dos seus serviços devido ao confronto entre Ucrânia e Rússia.

No entanto, de acordo com o comunicado oficial da empresa, estes dados não são corretos. A partir do Twitter a empresa confirmou que não foi alvo de qualquer ataque, sendo que as informações que estão a ser partilhadas pela Internet fazem parte de uma campanha direcionada de descredibilização e enganadora para os utilizadores.

Além disso, a empresa afirma ainda que esta desinformação terá sido atribuída como forma de levar os utilizadores a usarem meios menos seguros de comunicação, onde poderiam estar efetivamente a comprometer os dados transmitidos.

De notar que estes rumores começaram a surgir pouco depois da invasão da Ucrânia por parte da Rússia, embora ainda se desconheça detalhes sobre a origem dos mesmos. No entanto, o Signal ainda é considerado por muitos especialistas como uma das aplicações mais seguras para a troca de mensagens.

02/03/2022
Nvidia confirma ter sido alvo de roubo de dados em recente ciberataque

Durante o final da semana passada, surgiram rumores que a Nvidia teria sido alvo de um ciberataque, onde conteúdo interno poderia ter sido comprometido. O ataque foi mais tarde confirmado pelo grupo LAPSUS, mais conhecido por também ter atacado o Grupo Impresa.

O grupo confirmou que teria mais de 1TB de dados associados com a empresa, tendo começado a fornecer alguma dessa informação para o público depois de, alegadamente, a Nvidia ter tentado atacar os sistemas usados pelo grupo.

Apesar de a Nvidia ter confirmado que foi alvo de um ciberataque, não tinha revelado detalhes sobre o mesmo. No entanto, em recentes declarações ao portal HardwareLuxx, um porta-voz da mesma deixou mais detalhes sobre a situação.

Segundo o mesmo, a empresa terá sido notificada para uma possível violação de segurança no dia 23 de Fevereiro de 2022, na qual sistemas internos poderiam ter sido comprometidos. A empresa terá colocado de imediato todas as medidas para garantir a segurança dos restantes sistemas que não foram afetados, bem como para isolar a origem do problema.

A empresa afirma que não possui conhecimentos que ransomware tenha sido introduzido na sua rede interna, nem relações com os atuais confrontos entre a Ucrânia e Rússia, mas confirma que o meio de acesso terá sido através do roubo de credenciais de login de funcionários.

A empresa afirma ainda que este ataque não deve causar qualquer impacto sobre o negócio da marca ou a nível da produção, mas as investigações ainda se encontram a decorrer.

De relembrar que o grupo LAPSUS, além de confirmar ter realizado o ataque e de ter fornecido publicamente alguns dos ficheiros, terá ainda começado a vender formas de contornar as limitações impostas pela Nvidia nas suas placas gráficas mais recentes sobre o uso das mesmas para mineração de criptomoedas.

01/03/2022
Toyota coloca produção em pausa devido a ciberataques

A fabricante japonesa Toyota Motors confirmou que irá colocar as suas linhas de produção em pausa depois de uma das suas empresas fornecedoras ter sido alvo de um ciberataque.

O ataque terá sido direcionado contra a empresa Kojima Industries, que fornece algumas partes fundamentais para a produção dos veículos. Devido ao ataque, as linhas de produção da empresa tiveram de ser suspensas.

Segundo o comunicado da empresa, foram suspensas 28 linhas de produção em 14 fábricas da marca no Japão. Espera-se que esta medida venha a causar uma quebra de 5% na produção de novas unidades mensais pela empresa, o que se traduz em menos 13.000 unidades.

Apesar de a Kojima não ter fornecido qualquer informação sobre o ataque, atualmente as suas plataformas online encontram-se inacessíveis, nomeadamente o site oficial da entidade. Várias fontes locais apontam que a inacessibilidade do site encontra-se diretamente relacionada com o ataque sofrido.

Até ao momento não existem confirmações que estes ataques tenham sido realizados como resposta da Rússia às sanções aplicadas pelo governo do Japão. O primeiro ministro Fumio Kishida afirma em comunicado que a situação ainda se encontra a ser investigada, mas não existe, para já, nenhuma confirmação que o ataque esteja associado a entidades russas.

28/02/2022
Grupo LAPSUS disponibiliza 18GB de dados roubados no ataque da Nvidia

Durante o final da semana passada, o grupo conhecido como LAPSUS tinha confirmado que seriam os responsáveis pelo ataque aos sistemas internos da Nvidia. A própria empresa confirmou que estaria a investigar um possível ataque, mas que as investigações ainda estariam a decorrer, e para já sem detalhes adicionais.

Na altura, o grupo alegou que a empresa teria tentado responder ao ataque através do bloqueio do sistema que estava a ser usado pelo grupo para roubar os dados. Isto terá levado o grupo a publicar um conjunto de dados associados à empresa, incluindo dados de login de funcionários internos da mesma, e a confirmar que mais de 1TB de dados poderiam ter sido roubados.

Agora, o grupo começou aparentemente a disponibilizar alguma dessa informação. A partir de uma mensagem deixada no grupo de Telegram, este disponibilizou mais de 18GB de dados associados com a NVIDIA, onde se inclui dados internos da empresa, de funcionários e fornecedores, além de esquemas de arquiteturas ainda por lançar.

O ficheiro contendo os dados estaria armazenado num sistema da Amazon, tendo sido entretanto removido a pedido da Nvidia. No entanto o grupo afirma que irá criar um torrent para partilhar os dados com a comunidade.

De relembrar que este ficheiro seria apenas uma parte dos vários dados que o grupo alega possuir, num total de aproximadamente 1TB de informação que teria sido roubada dos sistemas internos da entidade.

A Nvidia ainda não confirmou a legitimidade dos ficheiros disponibilizados.

28/02/2022
Google Maps identifica possíveis tropas russas devido ao “trânsito”

Uma das funcionalidades disponíveis no Google Maps encontra-se sobre a possibilidade de verificar zonas onde existe mais tráfego… no entanto, esta mesma funcionalidade parece ter sido usada recentemente para identificar um possível ataque das autoridades Russas na Ucrânia.

Dr. Jeffrey Lewis, professor do Instituto de Estudos Internacionais da Califórnia, terá recentemente descoberto que o Google Maps poderia encontrar-se a demonstrar o trajeto de uma possível coluna das autoridades russas, que se encontrava a preparar para entrar em território Ucraniano.

O professor terá verificado que, durante uma navegação noturna pelo dispositivo, uma estrada na Ucrânia estava a surgir com a indicação no Google Maps que estariam com um engarrafamento. A estrada em questão fazia fronteira entre a Ucrânia e a Rússia.

Tendo em conta o estado da situação entre os dois países, e o horário fora do comum, o professor terá analisado outras zonas similares e verificou que a indicação seria sobre uma possível coluna de militares russos, que estavam a preparar-se para invadir o país.

Infelizmente, este género de descobertas tende a ser rara, e possivelmente as autoridades russas devem começar a bloquear as suas funcionalidades de monitorização, o que impede as forças militares na Ucrânia de realizarem a monitorização dos avanços por este meio.

27/02/2022
Elon Musk ativa serviço do Starlink sobre a Ucrânia após pedido

A crise que se vive entre a Ucrânia e a Rússia tem vindo a causar graves problemas sobre a forma como os cidadãos e autoridades podem aceder à Internet. As comunicações encontram-se consideravelmente vulneráveis ou escassas em alguns casos.

Este terá sido um dos motivos que levou Mykhailo Fedorov, primeiro-ministro adjunto e chefe da pasta de transformação digital ucraniana, a realizar um pedido diretamente a Elon Musk, de forma a disponibilizar a internet do Starlink na Ucrânia – algo que, até agora, não se encontrava disponível.

Nas mensagens, Fedorov comenta que, enquanto os foguetes da SpaceX se encontram a aterrar com sucesso do espaço, o povo ucraniano encontra-se a ser alvo de mísseis russos. Na mensagem foi ainda deixado o apelo para que fossem fornecidas estações da Starlink à Ucrânia.

A mensagem parece ter sido ouvida, sendo que alguns minutos depois Elon Musk confirmou que iria ativar o serviço do Starlink na Ucrânia, além de se encontrar a doar postos de acesso para as autoridades no pais.

Esta medida será ainda mais importante, tendo em conta que a Starlink é uma empresa sediada nos EUA. Ou seja, apesar de o governo russo estar certamente a tentar destabilizar o ataque feito sobre a internet na Ucrânia, para realizar a mesma medida sobre a Starlink estaria diretamente a atacar uma empresa sediada nos EUA, o que poderia ter consequências mais graves.

27/02/2022
Trust in News alvo de ataque ransomware: dados pessoais e sensíveis divulgados

No passado dia 9 de Fevereiro, o grupo Trust in News, detentor de várias publicações em Portugal como a Visão, terá sido alvo de um ataque informático. Na altura, a empresa terá confirmado o ataque, mas não deixou detalhes sobre os possíveis dados que teriam sido roubados.

No entanto, nos dias seguintes a confirmação do ataque foi realizada pelo grupo LockBit 2.0, sendo que estaria em ameaça a publicação dos ficheiros obtidos. A publicação destes dados estaria prevista de ser realizada no dia 26 de Fevereiro.

Como previsto, a divulgação foi realmente realizada, dando mais detalhes sobre a extensão dos danos causados e dos dados roubados. Segundo os ficheiros que foram publicados no site do grupo de ransomware, no seu site na rede TOR e aos quais o TugaTech teve acesso, estes incluem dados sensíveis para a empresa.

Por entre os dados encontra-se informação pessoal dos funcionários, jornalistas, fornecedores de serviços e de alguns clientes. Existem ainda informações relacionadas com a empresa, estágios e outros dados internos que podem ser considerados sensíveis. Encontram-se ainda registos de vencimentos e faturas, bem como dados associados com contas bancárias do grupo, planos de construção da sede da entidade e outras informações internas.

Tendo em conta o nome das pastas divulgadas, os dados aparentam ser associados com as áreas de Administração da empresa, Recursos Humanos e Tesouraria. A divulgação dos dados pessoas de funcionários e clientes da empresa está, sem dúvida, na mira dos maiores problemas, visto que poderá prejudicar assinantes e jornalistas.

De relembrar que o grupo é responsável por várias publicações, entre as quais se encontra a Visão, Exame Informática, Jornal de Letras, Caras, TV Mais, entre outras. Na altura do ataque, a empresa afirmou que a situação estaria a ser avaliado, mas que nenhum sistema critico teria sido afetado.

26/02/2022
Grupo Lapsus ameaça divulgar dados do ataque da Nvidia

O grupo “Lapsus”, mais conhecido por ter realizado o ataque contra o Grupo Impresa, afirma que terá sido também o responsável pelo recente ataque à rede interna da Nvidia, e encontra-se agora a ameaçar publicar os dados.

A partir do seu Telegram, o grupo revelou ter realizado o ataque, e que terá decidido partilhar os dados depois de a Nvidia ter tentado proceder ao bloqueio dos sistemas usados para o mesmo – similar a um “contra ataque”.

Segundo o grupo, este terá obtido mais de 1TB de dados, sendo que se encontra a preparar para a sua divulgação. Enquanto isso, foram partilhados pequenos ficheiros que, supostamente, possuem dados associados com credenciais de login de funcionários da Nvidia.

O grupo afirma ainda que poderá não revelar a informação caso a Nvidia pague o resgate dos ficheiros obtidos – tendo em conta que este aparenta ter sido um ataque de ransomware, acredita-se que o grupo possa ter encriptado as informações internas da empresa, o que está dentro do que algumas fontes da Nvidia tinham confirmado sobre a inacessibilidade a vários sistemas internos.

De relembrar que a Nvidia, durante o dia de ontem, terá confirmado que estaria a investigar um possível ciberataque contra as suas infraestruturas, embora na altura não tenha revelado muitos detalhes visto a investigação ainda estar a decorrer.

26/02/2022
Nvidia confirma ataque grave a redes internas

A Nvidia confirmou que se encontra a investigar um possível incidente dentro da sua rede interna, e o qual pode ter desativado alguns dos seus sistemas nos últimos dois dias.

Apesar de ainda não se conhecerem detalhes sobre o caso, o portal The Telegraph avança que o ataque terá afetado os sistemas de email e de ferramentas de desenvolvimento da empresa. Fontes internas da mesma apontam que este ataque pode ter comprometido com gravidade a infraestrutura interna da empresa, com risco de perdas de dados.

As investigações da empresa ainda se encontram a decorrer, e para já ainda se desconhece se existem dados dos clientes ou funcionários em risco. No entanto, as operações da marca e as suas atividades comerciais continuam a funcionar na normalidade.

Em comunicado, a Nvidia apenas afirma que se encontra a investigar o ataque, e quando possível serão fornecidas mais informações.

Espera-se que mais detalhes sobre o ataque sejam revelados durante os próximos dias.

25/02/2022
Governo Ucraniano pede ajuda a hackers voluntários para proteger de ciberataques

Ainda dentro do conflito que se encontra a viver entre a Ucrânia e a Rússia, o governo ucraniano terá começado recentemente a pedir ajuda para proteger as suas infraestruturas de ciberataques.

De acordo com a Reuters, o governo encontra-se a apelar à comunidade de “hackers” e segurança digital para ajudarem na proteção das infraestruturas vitais da rede ucraniana. Isto é ainda suportado com vários pedidos deixados em fóruns online e da dark web, requerendo apoio comunitário.

Yegor Aushev, cofundador da empresa Cyber Unit Technologies, afirma que depois de uma ordem do Ministério da Defesa da Ucrânia este terá começado a contactar várias entidades com pedidos de ajuda para a proteção das redes do pais.

As mensagens enviadas em várias plataformas online apelam à ciber comunidade para que possam tomar parte na defesa digital do pais.

Aushev afirma ainda que, para quem pretenda ajudar, será feita uma distribuição entre diferentes equipas digitais, seja para coordenação de defesas ou de ataque contra os possíveis ciberataques da Rússia.

O objetivo das linhas de defesa será evitarem ataques sobre infraestruturas consideradas como críticas, onde se encontram serviços de energia e água, bem como de transportes e comunicações. Quanto ao grupo de ataque, o objetivo será a realização de ciber espionagem e a monitorização de ataques ofensivos contra a Rússia.

É importante relembrar que, em 2015, as infraestruturas elétricas da Ucrânia foram algo de um forte ataque, que deixou milhões de cidadãos da cidade de Kyiv sem acesso a eletricidade por mais de uma hora. Na altura, acreditava-se que os ataques teriam sido realizados por autoridades associadas com o governo Russo.

25/02/2022
Anonymous confirma encontrar-se em guerra digital contra a Rússia

Com todos os acontecimentos que têm vindo a ocorrer entre a Rússia e a Ucrânia, o grupo Anonymous confirmou que vai iniciar uma campanha de ataque contra o governo Russo.

Durante o dia de ontem, vários sites e sistemas associados com entidades russas ficaram subitamente indisponíveis. Algumas horas depois, o grupo Anonymous confirmou a partir do Twitter que esta ação faz parte de um ataque digital contra a Rússia, que se encontra a ser realizado pelo grupo.

Poucas horas depois, o grupo voltou a usar o Twitter para confirmar ter também realizado ataques à RT News, a televisão estatal russa. Este ataque terá causado a indisponibilidade de vários sistemas e sites associados com a mesma.

De notar que um ciberataque contra as infraestruturas russas podem igualmente ter consequências no mundo real, sobretudo se realizado contra sistemas de entidades relacionadas com as forças militares, ou que possam afetar os meios de comunicação convencionais.

Também Joe Biden já confirmou recentemente que se encontram em cima da mesa possíveis retaliações contra-ataques digitais que possam ser realizados por parte da Rússia, embora ainda não tenha sido indicado que essas opções foram realmente tomadas pelo governo.

25/02/2022
Joe Biden afirma estar preparado para possíveis ciberataques da Rússia

O presidente dos EUA, Joe Biden, afirmou recentemente que o pais se encontra preparado para qualquer ataque que venha de origem da Rússia por meios digitais, numa altura em que o governo norte-americano aplica novas sanções devido à invasão da Ucrânia.

Durante a conferencia de imprensa realizada ontem, Biden afirma que caso a Rússia pretenda iniciar um ciberataque contra entidades nos EUA, o governo encontra-se preparara para defesa e ataque.

Além disso, este afirma que a Casa Branca tem vindo a trabalhar fortemente com empresas do setor privado de forma a reforçarem as suas medidas de segurança, exatamente em antecipação de possíveis ataques.

De notar que não é a primeira vez que o governo norte-americano alerta para a possibilidade de ciberataques realizados pela Rússia. Faz alguns meses que a Casa Branca tem vindo a intensificar os alertas para as empresas – e individuais – protegerem-se contra ataques direcionados.

Durante a semana passada o governo dos EUA foi um dos primeiros a indiciar a Rússia sobre os ataques DDoS que afetaram vários sites governamentais na Ucrânia.

Além disso, Biden afirma ainda estar preparado para qualquer resposta a possíveis ataques. Apesar de não terem sido indicados planos sobre tal, a NBC News afirma que estão preparadas possíveis linhas para ciberataques a infraestruturas russas relacionadas com os transportes terrestres e da energia. De notar que estas indicações não foram oficialmente confirmadas pela Casa Branca.

É também importante relembrar que esta não é a primeira vez que Joe Biden ameaça o governo russo para possíveis ataques, caso o mesmo seja realizado contra o pais.

25/02/2022
Se receber uma chamada da Microsoft, tenha cuidado: é um esquema!

Nos últimos dias tem vindo a ser registado em Portugal uma crescente onda de esquemas, sendo que um dos que tem vindo a ganhar desta que afirma ser do suporte técnico da Microsoft.

O esquema começa quando as vítimas recebem uma chamada telefónica de alguém que afirma ser da Microsoft. Esta chamada é normalmente realizada de números desconhecidos ou fora de Portugal, mas a pessoa do outro lado pode falar em Português ou Inglês.

Na maioria dos casos os atacantes informam que o IP da ligação à Internet das vítimas se encontra a ser usado por hackers, ou então que o sistema operativo Windows instalado no sistema das mesmas está comprometido. O objetivo passa por levar as vítimas a descarregar um software de controlo remoto, que permite ao atacante aceder ao computador.

Este software pode ser o Teamviewer, Anydesk ou outro similar, mas o efeito final é sempre o mesmo: levar a vítima a instalar o software no seu computador, dando acesso remoto ao atacante. A partir daqui o esquema pode variar.

Em alguns casos, as vítimas podem ser enganadas para realizarem o pagamento de uma determinada quantia para que a “Microsoft” realize a reparação do problema e instale software de segurança no PC. Noutros é possível que as vítimas tenham alguns dos seus dados roubados, ou podem mesmo ter os seus sistemas bloqueados com os atacantes a alterarem a senha de acesso ao Windows.

Apesar de este género de esquemas não ser propriamente recente, existe um forte potencial de utilizadores com menos conhecimentos serem enganados ao acreditarem que estão a falar diretamente com a Microsoft. Este género de ataque foca-se, sobretudo, em pessoas idosas ou com poucos conhecimentos técnicos sobre informática.

De forma oficial, a Microsoft não contacta diretamente os consumidores por meios não oficiais, e a ligação por via telefónica será algo que certamente não é feito de forma regular.

O melhor a fazer nestes casos será desligar a chamada, e se possível, bloquear o número de contacto – embora os atacantes possam rapidamente alterar o mesmo. Nos casos em que tenha eventualmente caído no esquema, o recomendado será que contacte de imediato as autoridades.

24/02/2022
Falha de segurança afeta milhares de smartphones da Samsung

A Samsung tende a lançar atualizações de segurança constantes para os seus dispositivos, mas isso não impede que possíveis problemas possam ficar mais “escondidos” durante algum tempo. E parece que foi exatamente isso que aconteceu com milhares de smartphones da empresa, que terão sido enviados para o mercado com uma falha de segurança importante de notar.

De acordo com um grupo de investigadores da Universidade de Tel Aviv, foi recentemente descoberta uma falha sobre a forma como os dispositivos das Samsung guardam as suas chaves criptográficas através do sistema TrustZone da ARM. Esta falha pode permitir que atacantes tenham acesso a essas chaves, o que basicamente fornece acesso a todos os conteúdos encriptados no dispositivo.

A falha afeta os dispositivos Galaxy S8, Galaxy S9, Galaxy S10, Galaxy S20 e Galaxy S21. De notar que o TrustZone trata-se de um pequeno sistema operativo, que correm a par com o Android nos equipamentos da Samsung, e foca-se em realizar tarefas e funções de encriptação de dados. No entanto, a forma como estes dados são trocados entre os dois sistemas abre as portas para o ataque.

A boa notícia será que a Samsung já terá corrigido o problema, sendo que a atualização do mesmo foi lançada entre Agosto e Outubro de 2021, nos pacotes de segurança da empresa. Se não costuma instalar as atualizações mais recentes e possui um dos equipamentos afetados, está na altura de atualizar os mesmos.

24/02/2022
Preços do Bitcoin em queda depois do ataque da Rússia à Ucrânia

Com a recente invasão da Ucrânia pela Rússia, isto tem vindo a causar várias alterações nos mercados mundiais, e no das criptomoedas essa tendência tem sido também sentida. Em poucas horas, o preço das criptomoedas caiu a pique, estando atualmente abaixo dos 32.000 euros por unidade para o Bitcoin.

Atualmente o preço do Bitcoin encontra-se nos 31.558 euros por unidade, o que representa uma queda de 8.86% face ao valor das últimas 24 horas. Esta queda acentua ainda mais as quedas que foram sentidas nos últimos dias, uma tendência que tem vindo a agravar-se consideravelmente para o mercado.

Com a queda, também as criptomoedas alternativas estão a seguir a mesma tendência, sendo que o Ethereum também regista perdas consideráveis, em torno dos 12%, e o dogecoin em mais de 14%.

É importante relembrar que o preço do Bitcoin praticamente que caiu para metade desde o mês de Novembro de 2021, altura em que se encontrava em cerca de 65.000 dólares por unidade. Para estas quedas têm vindo a contribuir vários aspetos, desde as tensões geopolíticas até às apertadas medidas aplicadas sobre criptomoedas por parte do governo norte-americano.

Vários especialistas apontam que o futuro das criptomoedas encontra-se atualmente sobre uma corda fina, sendo que muitos investidores encontram-se hesitantes em manter os seus ganhos, tendo em conta que existe uma forte incerteza quando ao futuro e um elevado risco de perdas.

24/02/2022
Estudo demonstra porque os ataques de ransomware não terminam após pagamento

Os ataques de ransomware continuam a ser uma das principais ameaças nos dias de hoje, em parte devido aos elevados ganhos que podem gerar para os atacantes, ao passo que geram grandes prejuízos ou mesmo perdas para quem seja alvo dos mesmos.

Como última linha de defesa, em casos de ataques, alguns utilizadores ou até empresas podem ser forçadas a pagarem o resgate requerido, mas nem sempre isso conclui a extorsão. E isso confirma-se num recente estudo realizado pela empresa Venafi.

O mesmo, realizado sobre algumas vítimas de ransomware, demonstra como um ataque deste género não termina quando as vitimas pagam para tentarem recuperar os seus dados ou evitarem que os mesmos sejam publicamente revelados.

Segundo o estudo, 83% de todas as vítimas de ransomware que realizaram pagamentos foram novamente extorquidas para voltarem a realizar pagamentos duas ou até três vezes. Além disso, 18% das vítimas que pagaram o resgate, ainda assim tiveram os seus dados divulgados pela dark web na mesma.

Cerca de 8% das vítimas que não realizaram o pagamento, foram novamente contactados pelos atacantes para tentarem extorquir dinheiro das mesmas com ainda mais ameaças ou as ameaças passaram para os clientes dessas vítimas – no caso de empresas. Já 35% das vítimas que pagaram não foram capazes de recuperar os dados que estavam bloqueados.

É importante notar que um ataque de ransomware pode ser considerado como um negócio, e se a reputação de uma entidade específica conhecida por realizar estes ataques se encontra manchada, existe uma forte possibilidade de novas vítimas não realizarem pagamentos – e como tal as receitas serão mais reduzidas.

Isto será válido mesmo tendo em conta que a maioria dos grupos de ransomware possuem campanhas de ataque bastante curtas, e portanto não se importam com a reputação a longo prazo.

23/02/2022
Ministério dos Negócios Estrangeiros é alvo de ataque informático

O Ministério dos Negócios Estrangeiros (MNE) é a mais recente vítima de um ataque a entidades em Portugal, segundo avança a revista Sábado.

Segundo a mesma, o Ministério dos Negócios Estrangeiros (MNE) terá sofrido um ataque na sua rede interna, da qual algumas informações consideradas como confidenciais podem ter sido comprometidas. A origem do atraque ainda não é conhecida, mas estará a afetar os serviços de email da entidade desde meados de Sexta-feira.

O ataque terá sido identificado pelo Serviço de Informações de Segurança (SIS), sendo que as autoridades e a PJ já se encontram a investigar o caso. Encontra-se também em análise se a Rede Informática do Governo (RING), pode ter sido ou não comprometida, e sobretudo se dados existentes na mesma podem ter sido acedidos por terceiros.

De notar que, até ao momento, o MNE não confirmou oficialmente o ataque. No entanto, fontes apontam que esta pode não ter sido a primeira vez que os sistemas da MNE foram alvo de ataques com sucesso.

23/02/2022
Vulnerabilidade em cliente de webmail Horde pode permitir roubo de contas

Se utiliza o cliente de email “Horde”, bastante popular em serviços de alojamento web, existe uma forte possibilidade de estar afetado por uma recente falha descoberta no mesmo.

A empresa de segurança SonarSource revelou ter descoberto uma falha sobre o cliente de email Horde, usado em várias plataformas web para acesso a contas de email, que pode ser explorada para obter acesso ao sistema ou à conta.

A falha encontra-se na forma como o cliente de email pré-visualiza os conteúdos de documentos OpenOffice. Se os utilizadores abrirem anexos especificamente criados para tirarem proveito desta falha, que podem ser enviados como anexo a emails, estão a abrir portas para o ataque, dando o controlo dos emails para os atacantes.

Este método pode levar a que a conta de email seja comprometida, ou em casos mais graves, o próprio servidor – caso a conta de email afetada tenha permissões administrativas ou contenha dados sensíveis como senhas.

De momento não existe uma atualização de segurança disponível para esta vulnerabilidade, no entanto os administradores de sistemas onde o Horde se encontre instalado poderão optar por desativar a renderização de anexos OpenOffice.

Os administradores podem editar o ficheiro config/mime_drivers.php no content root da instalação Horde, e adicionar a opção de configuração ‘disable’ => true .

23/02/2022
Sistemas NAS da Asustor alvo de ataque massivo de ransomware

Os donos de dispositivos NAS da marca Asustor encontram-se a ser notificados para um possível ataque em larga escala de ransomware, que se encontra a tenta aproveitar falhas no software da NAS para encriptar os dados das vítimas.

De acordo com o portal NAS Compares, vários utilizadores de dispositivos Asustor estão a ser alvo de ataques de ransomware, o que parece estar a ocorrer devido a uma falha no software do NAS, que permite aos atacantes injetarem o ransomware no sistema quando este se encontra ligado à Internet – o que pode ser algo que a grande maioria dos utilizadores realiza, para ter acesso aos seus ficheiros a partir de qualquer lugar.

Os fóruns de suporte da empresa estão a ser inundados com utilizadores a reportarem ataques, no que parece ser uma variante do ransomware DeadBolt. O mais problemático deste ataque será que os conteúdos encriptados afetam não apenas os ficheiros dos utilizadores, mas também os ficheiros do sistema operativo da NAS, deixando a mesma inacessível pelos maios tradicionais.

Apesar de ainda se desconhece a origem do ponto de ataque, alguns utilizadores apontam que pode encontrar-se relacionado com o EZ Connect, um programa no sistema da NAS que permite a ligação remota da mesma pela internet. Ao que se acredita, o software possui uma falha que está a ser aproveitada para injetar o ransomware no sistema.

A Asustor ainda não revelou qualquer comentário sobre este caso, apesar dos incidentes estarem a multiplicar-se pelas redes sociais.

22/02/2022
Horizon: Forbidden West recebe onda de críticas negativas

Durante a semana passada foi oficialmente revelado o novo Horizon: Forbidden West, uma sequência para o jogo de 2017. No entanto, parece que nem todos receberam o jogo da melhor forma, pelo menos se tivermos em conta o volume de críticas negativas que o mesmo também recebeu horas depois do lançamento.

O título tem vindo a receber boas críticas por parte das principais plataformas de testes de videojogos no mercado, e a sua pontuação em geral até é positiva. No entanto, é na parte da comunidade que parecem existirem problemas, já que existe uma grande percentagem de jogadores que não se encontram satisfeitos.

Sobre o portal da Metacritic, existe uma elevada percentagem de utilizadores que deixaram uma nota de “zero” sobre o jogo. O mais interessante será que isso aconteceu menos de 24 horas depois do lançamento. Tendo em conta que o jogo possui mais de 40 horas de história, ainda se desconhece como estes jogadores terão atingido um volume de jogo suficiente para deixar uma crítica sobre o mesmo viável.

É possível que muitas destas críticas seja, na verdade, de “trolls” que estão a aproveitar-se da popularidade do mesmo para publicarem criticas falsas. De todo, isto não é uma situação única – quando The Last of Us: Part II foi lançado passou também por uma situação similar, com boas críticas por parte de quem testou o jogo, mas um mau feedback da comunidade como parte de um ataque direcionado.

21/02/2022
Novo malware para Windows propaga-se por sites de pirataria online

Existe uma nova variante do malware CryptBot que se encontra a propagar em força por sites de conteúdos pirateados, e pode levar a vários roubos de dados das vitimas que cheguem a instalar o mesmo nos seus sistemas.

De acordo com os investigadores da empresa Ahn Lab, uma nova variante do malware conhecido como CryptBot encontra-se a propagar em força nas últimas semanas. Este malware é conhecido por afetar sistemas Windows, com foco em roubar dados sensíveis dos utilizadores, como carteiras de criptomoedas, dados do navegador, senhas, cartões de crédito e ficheiros que sejam considerados importantes.

Segundo os investigadores, o malware tem vindo a propagar-se a partir de sites que prometem fornecer conteúdos de cracks, geradores de chaves de licença e outras formas de ativação por intermédio de pirataria. Além disso, os responsáveis pelo malware encontram-se ainda a usar a própria Google para se posicionarem sobre os primeiros resultados de pesquisa em várias pesquisas por software pirateado.

Os sites usados para distribuir o malware são regularmente atualizados, portanto não existe uma forma concreta de bloquear os mesmos. Os visitantes destes sites são normalmente reencaminhados por uma série de domínios “falsos”, antes de terminarem num domínio final usado para o ataque.

A nova variante do malware será ainda mais perigosa, uma vez que pode roubar mais informações dos sistemas infetados. Como sempre, a primeira linha de defesa encontra-se nos próprios utilizadores, que devem ter atenção aos locais de onde se encontram a descarregar conteúdos, e usar proteção adequada nos seus sistemas.

21/02/2022
OpenSea sofre ataque de phishing com roubo de 1.7 milhões de dólares

O OpenSea é conhecido como um dos maiores mercados online de NFTs, e recentemente foi também o alvo de uma forte campanha de phishing, que terá afetado dezenas de utilizadores da plataforma.

Durante o passado dia 20 de Fevereiro, a OpenSea tem vindo a trabalhar para tentar resolver o que pode ser considerado um dos maiores ataques contra os utilizadores da plataforma.

Do que se conhece até ao momento, estima-se que o mesmo tenha tido origem sobre um ataque de phishing massivo, feito contra as contas dos utilizadores, o que terá permitido roubar 254 NFTs. No total, as perdas estimam-se em quase 1.7 milhões de dólares.

Devin Finzer, CEO da OpenSea, veio confirmar através do Twitter o ataque, mas sem adiantar muitos detalhes para já. Segundo o mesmo, o ataque terá sido focado para 32 utilizadores do serviço, mas apenas 17 terão sido diretamente afetadas com perdas de conteúdos.

Segundo as investigações feitas até ao momento, acredita-se que malware tenha estado por detrás dos roubos de NFTs da plataforma, diretamente das contas dos criadores. Os atacantes terão conseguido recolher os dados para realizar o login nas vítimas, transferindo os conteúdos roubados.

Apesar de o ataque não ter sido direcionado diretamente contra a plataforma, acredita-se que algumas falhas na validação dos dados podem ter levado a facilitar o roubo – detalhes que, caso tivessem implementados, poderiam impedir o mesmo no final, mesmo com contas comprometidas.

Entre os conteúdos NFT roubados encontram-se itens da Decentraland e Bored Ape Yacht Club, que são atualmente dos mais valiosos na plataforma.

21/02/2022
Empresa afirma ter encontrado falha no chip T2 da Apple

Uma firma de segurança, dedicada em recuperar senhas em vários formatos, revelou ter descoberto uma falha sobre o chip T2 da Apple, que pode permitir a atacantes decifrarem as senhas dos utilizadores.

A empresa Passware afirma que terá descoberto uma falha sobre o chip de segurança da Apple, que permite externamente realizar ataques de brute-force no mesmo, com potencial para levar ao roubo de dados do chip.

Um ataque brute-force ocorre quando se tentam várias opções de chaves de autenticação – normalmente de uma lista pré-criada ou por tentativa e erro. A empresa afirma que, apesar de ser um processo demorado, em senhas fracas é possível desbloquear um sistema Mac em cerca de 10 horas.

De relembrar que a Apple introduziu o chip T2 em 2018, como forma de reforçar a segurança dos seus sistemas. Uma das vantagens deste chip será que, após uma tentativa de senhas incorretas, o mesmo bloqueia todos os dados para impedir indevidos acessos.

A falha que agora foi descoberta contorna isso, e permite a realização dos ataques brute-force.

A empresa disponibilizou um modulo que permite aproveitar esta falha para não impor limites com o chip T2. No entanto, de acordo com o portal 9to5Mac, o funcionamento ainda é algo lento. Segundo os testes, o programa é capaz de realizar 15 tentativas por segundo de senhas, o que será consideravelmente pouco. Mas, com senhas relativamente simples, é possível descobrir a mesma em pouco mais de 10 horas.

De notar que esta falha apenas pode ser explorada de forma local, uma vez que exige o acesso ao sistema para o roubo dos dados. Além disso, apenas funciona sobre macs com chips da Intel, que serão os que possuem o T2. Os novos sistemas com chips M1 não são afetados pela falha.

De notar que a Passware afirma que apenas vende o seu software para entidades credenciadas de forças da autoridade ou governos, e não a privados. A falha explorada também não foi publicamente anunciada.

18/02/2022