TugaTech

Categoria: ataque

  • Vodafone revela carta aberta sobre ciberataque

    Vodafone revela carta aberta sobre ciberataque

    A Vodafone publicou durante o dia de hoje uma carta aberta relativamente ao ciberataque, deixando uma mensagem sobre o impacto do mesmo sobre toda a comunidade, tanto interna da empresa como também externamente para os clientes da mesma.

    A carta, sobre o mote “Uma força que nunca se apaga”, reforça o impacto que o apagão da rede teve nas estruturas essenciais, tais como “escolas, hospitais e bombeiros”.

    Segundo a empresa, as motivações do ataque ainda se encontram por apurar, sendo que estão a ser realizadas investigações pelas autoridades competentes. Atualmente os serviços da Vodafone encontram-se praticamente todos restabelecidos.

    A carta termina com a garantia de que para a Vodafone “a tecnologia estará sempre ao serviço do bem” e que essa “é a força que nunca vão conseguir apagar”.

    carta aberta da vodafone

    De relembrar que no passado dia 7 de Fevereiro de 2021 a Vodafone Portugal foi alvo de um forte ataque que terá causado a indisponibilidade de vários dos seus serviços. Desde então a empresa tinha vindo a trabalhar para restaurar a normalidade.

  • Quer proteção extra contra ransomware? Instale o idioma Russo no Windows

    Quer proteção extra contra ransomware? Instale o idioma Russo no Windows

    Esta dica poderia ser colocada numa lista do “Top 10 das medidas de segurança mais parvas”, mas a verdade é que possui um certo fundamento – e talvez seja melhor continuar a ler para perceber o motivo.

    A Internet é um meio inseguro, e não é muito difícil de se encontrar esquemas ou conteúdos maliciosos ao clicar de um link. Obviamente, a navegação com um programa de segurança atualizado e confiável é sempre algo que recomendamos… mas segurança nunca é demais.

    Se existe uma forma de poder ter uma camada adicional de segurança no sistema, e totalmente gratuita, porque não? O TugaTech possui uma: instale o pacote de idioma Russo no seu sistema Windows.

    Mas porquê?

    Vamos explicar. Nos últimos tempos temos vindo a verificar um aumento considerável no número de ataques com origem em ransomware. É uma prática lucrativa para os atacantes, ao mesmo tempo que causa grandes prejuízos para quem é afetado.

    Ao mesmo tempo, também têm vindo a surgir várias notícias sobre grupos de ransomware que vão tendo os seus responsáveis detidos, como é o caso do grupo REvil recentemente. E se olharmos para estas detenções, existe um padrão bastante comum: a maioria foi feita na Rússia.

    Rússia bandeira

    Isto possui uma explicação. A legislação russa sobre ciberataques é consideravelmente mais leviana do que a existente nos restantes países, sobretudo para quem realiza esses mesmos ataques. Obviamente, isto será um aclamativo para atacantes, que baseiam muitas das suas operações na Rússia.

    Estas leis mais “leves” possuem no entanto algumas clausulas – não estabelecidas propriamente como “lei”, mas como conhecimento urbano. A maioria das autoridades russas não realizam investigações aprofundadas a casos de ciberataques… se quem realiza os mesmos não atacar empresas ou cidadãos na Rússia.

    Ou seja, se um grupo ou atacante não se focar em ter as suas atividades a afetar empresas sediadas na Rússia, então existe uma maior probabilidade de não se ter tantos problemas com a lei – isto não torna o ataque legal, obviamente. Mas a diferença é considerável, e é algo que estes grupos aproveitam.

    Existe bastante malware que se foca em infetar utilizadores em vários países, mas ao mesmo tempo possui também ele “verificações” para não infetar sistemas que estejam localizados na Rússia, desde verificações da localização GPS ou… acertou… a verificação dos pacotes de idiomas instalados no sistema.

    Existem muitas variantes de ransomware e malware em geral que, antes de realizarem qualquer ataque, verificam se o utilizador possui o idioma russo instalado no sistema, e se tal acontecer, suspendem o ataque.

    O mais interessante será que nem necessita de usar propriamente o idioma, basta que o pacote do idioma esteja instalado no sistema para tal. De longe isto impede todo e qualquer ataque, e tão pouco a instalação de malware e ransomware nos sistemas em todas as suas variantes… mas é uma pequena camada que pode fazer, sem grande trabalho, e permite ter um extra de segurança. Portanto, porque não?

    > Como instalar o pacote de idioma russo

    A instalação do pacote de idiomas é bastante simples de ser feita. Bastará aceder às Definições do Windows > Hora e Idioma > Linguagem e Região.

    Nesta opção, carregue sobre “Adicionar um idioma” e pesquise pelo “Russo”. Feito isto, basta seguir os passos.

    pacote de idioma russo

    Certifique-se que não marca a opção de Definir o Idioma como apresentação do Windows, ou vai alterar o idioma principal do sistema.

    Feito isto, basta aguardar que o pacote de idioma seja descarregado para o sistema, o que pode demorar alguns minutos.

    > Continue a ter atenção…

    Como referido anteriormente, esta pequena “dica” não vai impedir todo e qualquer malware de se instalar no sistema, portanto não deve ser nunca vista como uma alternativa a meios de segurança, tanto em nível de software de segurança no sistema, como de backup e próprias práticas seguras de navegação online.

  • Malware encontra-se a ser distribuído por conversas no Microsoft Teams

    Malware encontra-se a ser distribuído por conversas no Microsoft Teams

    Se utiliza o Microsoft Teams, talvez seja melhor ter atenção aos contactos que recebe dentro do serviço, já que nem todos podem parecer quem são.

    Um grupo de investigadores revelou que se encontra a ocorrer uma campanha de distribuição de malware através do Teams da Microsoft. Tendo em conta que esta plataforma conta com mais de 270 milhões de utilizadores ativos todos os meses, existe uma forte possibilidade que alguns possam ser afetados.

    De acordo com a empresa de segurança Avanan, da Check Point, foi descoberto que contas comprometidas do Teams encontram-se a ser usadas para iniciar conversas com outros utilizadores da plataforma, focando-se em levar os mesmos a descarregar malware para os seus sistemas.

    Os atacantes começam por levar as vítimas a descarregarem conteúdo malicioso para os seus sistemas, que se for instalado pelas mesmas, altera DLLs fundamentais do Windows para manter uma ligação permanente com um sistema remoto – que está no controlo dos atacantes.

    A partir dai, os sistemas podem ser usados para os mais variados géneros de ataques ou esquemas, entre os quais se encontra o possível roubo de dados ou instalação de outro malware – como ransomwares.

    Apesar de o ataque ser relativamente simples de ser feito – apenas uma conversa por uma plataforma de chat – a verdade é que existe um forte potencial para as vítimas realmente caírem no esquema. Isto porque, segundo os investigadores da Avanan, uma grande maioria dos utilizadores do Microsoft Teams confiam em ficheiros que sejam enviados por esse meio – mesmo que seja de contactos desconhecidos.

    Ou seja, no final, mesmo sendo um método de ataque relativamente simples, existe um forte potencial para as vitimas realmente serem afetadas pela confiança em demasia que apontam para a plataforma e os conteúdos partilhados na mesma.

    A primeira linha de defesa será os próprios utilizadores, que devem sempre que possível analisar a origem dos ficheiros e dos seus contactos.

  • Governo norte-americano afirma ter sido atacado por entidades associadas à Rússia

    Governo norte-americano afirma ter sido atacado por entidades associadas à Rússia

    As autoridades dos EUA afirmaram, em comunicado durante o dia de hoje, que várias entidades parceiras associadas a forças de segurança como o exército, marinha, Força Aérea, entre outras, terão sido alvo de ataques com sucesso por parte de entidades financiadas pelo governo russo.

    Segundo o comunicado da CISA, os ataques terão ocorrido entre Janeiro de 2020 e Fevereiro de 2022, sendo que durante este período, estas entidades terão mantido acesso regular a informações nos sistemas e redes das entidades, recolhendo informação considerada como sensível – embora não-classificada.

    Entre os conteúdos potencialmente recolhidos encontram-se designs de aeronaves e outros veículos das forças de segurança, dados de análise e logística, de armas e desenvolvimento de novas tecnologias de armamento, entre outros.

    dados recolhidos do ataque

    O governo norte-americano afirma que este roubo de informações terá dado a terceiros várias informações importantes sobre o desenvolvimento de armas e várias outras tecnologias, bem como de infraestruturas de comunicação.

    Este alerta surge depois de também ter sido lançado outro, o mês passado, a indicar o possível ataque a empresa norte-americanas caso a Rússia decidisse invadir a Ucrânia.

  • Sites do governo da Ucrânia e entidades bancárias alvo de ataques DDoS

    Sites do governo da Ucrânia e entidades bancárias alvo de ataques DDoS

    No meio de tensões apertadas entre a Ucrânia e a Rússia, foi recentemente confirmado que vários websites associados ao governo ucraniano estão a ser alvo de largos ataques de DDoS. Os ataques parecem estar focados sobre sistemas do governo e também de várias entidades bancárias.

    Segundo o portal NPR, o ataque tem vindo a causar falhas no acesso a determinados sistemas desde o início do dia de hoje. No entanto, ainda se desconhece a origem destes ataques ou as reais intenções do mesmo.

    O site do Ministério da Defesa da Ucrânia foi um dos afetados, tendo ficado inacessível durante várias horas. As entidades bancárias Privatbank e Oschadbank, duas das maiores na região, também tiveram vários dos seus sistemas atacados.

    Apesar de se desconhecer a origem dos ataques, os mesmos surgem na mesma altura que o governo dos EUA estaria a alertar para possíveis ataques digitais originários da Rússia contra diversas infraestruturas críticas ucranianas – como sistemas de comunicações e bancários – antes de uma possível invasão.

    Segundo o portal Cloudflare Radar, existem várias fontes que estão atualmente a gerar tráfego potencialmente malicioso para a Ucrânia.

    cloudflare radar

    A partir do Twitter, o Ministério da Defesa da Ucrânia informou que se encontra a receber um elevado volume de tráfego nos seus sistemas, que se encontra a causar sobrecargas. Vários meios de imprensa locais também apontam que fontes do governo estão a indicar que vários sistemas estão sobre fortes ataques DDoS.

    De relembrar que, até ao momento, não existe confirmação sobre a origem destes ataques.

  • Grupo da revista Visão alvo de ataque ransomware com possível roubo de dados

    Grupo da revista Visão alvo de ataque ransomware com possível roubo de dados

    No passado dia 9 de Fevereiro, a empresa Trust in News, grupo que detêm a Visão e 14 outras publicações de notícias em Portugal, confirmou que tinha sido alvo de uma ataque informático.

    Na altura, a empresa confirmou o ataque, afirmando que a situação se encontrava a ser avaliada mas que nenhum sistema critico tinha sido comprometido. A entidade também confirmou que todos os seus sites encontravam-se ativos e funcionais, sendo que o ato já teria sido comunicado às autoridades.

    No entanto, sabe-se agora mais detalhes sobre este ataque, que aparenta ter sido originado no ransomware LockBit 2.0. A partir do site dos responsáveis pelo ransomware foi recentemente confirmado o ataque, sendo que se encontra igualmente em contagem decrescente a divulgação dos dados – caso a entidade não pague o resgate dos mesmos para evitar a divulgação.

    No site do grupo sobre a rede TOR é possível verificar que os dados vão ser publicados no dia 26 de Fevereiro. Até ao momento ainda se desconhece quais os dados que terão sido comprometidos, mas o grupo afirma que toda a informação será publicada nesta altura.

    alerta do grupo sobre divulgação de dados

    De relembrar que o grupo é responsável por várias publicações, entre as quais se encontra a Visão, Exame Informática, Jornal de Letras, Caras, TV Mais, entre outras.

  • Microsoft Defender agora protege contra roubos de senhas do Windows

    Microsoft Defender agora protege contra roubos de senhas do Windows

    Os utilizadores do Microsoft Defender no Windows agora possuem uma nova funcionalidade de segurança, focada em evitar o roubo de senhas do sistema pelo processo LSASS (Local Security Authority Server Service).

    Um dos métodos mais comuns para roubar a senha de utilizadores no Windows encontra-se na exploração do processo LSASS, uma técnica bem conhecida. Através da exploração da memória deste processo, é possível obter-se detalhes sobre as contas de utilizadores, e as senhas associadas.

    Isto acontece porque o processo é o responsável por conter as hashs NTLM, que são as credenciais do Windows para os utilizadores com sessão iniciada no mesmo. A partir dai, tendo a hash, será apenas uma questão de tempo até que seja possível obter a senha completa do utilizador.

    Este ataque era usado por alguns programas de malware no mercado, portanto faz todo o sentido que o Defender agora tenha esta camada adicional de segurança. Para todos os utilizadores do mesmo, e por padrão, este vai passar a contar com a proteção do processo ativa, impedindo que processos terceiros possam aceder sem permissão.

    Para os utilizadores, no final, isto converte-se em melhor segurança e evita possíveis roubos de dados do sistema, sobretudo se a máquina estiver infetada. A Microsoft afirma ainda que esta opção não tinha sido ativada no passado por efeitos de compatibilidade – a empresa pretendia ter certeza que não existiam problemas da ativação desta funcionalidade, sobretudo com efeitos que pudessem causar problemas em outras aplicações.

  • Adobe lança atualização de emergência para o Magento

    Adobe lança atualização de emergência para o Magento

    Magento atualização

    A Adobe lançou este fim de semana uma nova atualização de emergência para a plataforma Magento, focada em corrigir falhas que eram conhecidas por estarem a ser exploradas ativamente.

    A falha zero-day permitia aos atacantes executarem código remoto nas instalações, podendo levar a que dados fossem comprometidos ou informações sensíveis acedidas. As versões 2.3.7-p2 e anteriores, bem como a 2.4.3-p1 e anteriores da plataforma estão abertas para a falha, sendo que se recomenda a atualização para a versão mais recente o quanto antes.

    A Adobe aponta que o ataque terá sido “limitado”, e que se desconhecem plataformas que tenham sido largamente comprometidas devido ao mesmo. No entanto, tendo em conta que a falha é agora do conhecimento público, é possível que venha a ser rapidamente explorada.

    Os utilizadores que tenham instalações deste script são aconselhados a atualizarem de imediato o mesmo, para evitar possíveis problemas derivados da exploração da falha.

  • Vodafone: alguns serviços ainda não estão totalmente funcionais

    Vodafone: alguns serviços ainda não estão totalmente funcionais

    A Vodafone tem vindo a ter uma semana bastante complicada, depois de um largo ataque informático que afetou uma grande parte da infraestrutura da empresa. Sem dúvida que o passo mais importante seria colocar os sistemas de comunicação novamente a funcionar.

    Recentemente o comunicado da empresa indicava que a grande maioria dos sistemas já se encontravam novamente operacionais, tanto a nível dos serviços móveis como fixos. A empresa afirma também que ainda existe trabalho a ser feito, mas que para os clientes a situação já deverá encontrar-se largamente resolvida.

    No entanto, ainda existem alguns serviços da operadora que não estão inteiramente funcionais. Um deles encontra-se sobre a app My Vodafone, que ainda aparenta encontrar-se algumas falhas esporádicas.

    Além disso, também o programa do Yorn Shake, que permite aos utilizadores do tarifário Yorn obterem extras ou cartas de coleção que podem ser substituídas por ofertas nos seus tarifários, ainda se encontra largamente inacessível.

    Ao tentar aceder-se ao site da plataforma a partir da app, o mesmo indica apenas que se encontra “Temporariamente indisponível”.

    Também o recentemente apresentado “Vodafone Happy”, que permite o acesso a descontos e ofertas nos mais variados locais, ainda se encontra indisponível. Neste caso, o banner de acesso ao mesmo pela app do My Vodafone nem se encontra disponível na app, impedindo diretamente o acesso.

    Estes programas estão longe de serem considerados “essenciais”, mas demonstra que ainda existe algum trabalho a ser feito para retomar à normalidade uma grande parte dos serviços da empresa. Além disso, isto demonstra também a extensão que o ataque teve no impacto de serviços da mesma.

  • Como realizar a limpeza de um sistema infetado por malware/vírus?

    Como realizar a limpeza de um sistema infetado por malware/vírus?

    Qualquer pessoa pode estar sujeita a ter um vírus instalado no seu computador, mesmo que use uma proteção em tempo real – estas nunca são 100% eficazes. Se antigamente os vírus distribuíam-se sobretudo em disquetes e pens infetadas, hoje em dia basta aceder a um site ou descarregar um programa errado…

    Ter um sistema infetado por um malware não é difícil, mas recuperar do mesmo pode ser uma verdadeira dor de cabeça – sobretudo se não souber por onde começar.

    Neste artigo iremos tentar ajudar nisso mesmo, para o caso do ambiente Windows, com alguns passos que devem ser tomados não apenas para evitar que os seus conteúdos possam ser comprometidos, mas também para prevenir que o malware se alastre a outros sistemas e que possa realizar a “limpeza” de forma segura.

    Vamos então começar!

    1- Isole o sistema de imediato!

    Se descobrir que um determinado sistema na sua rede se encontra infetado, a primeira coisa que deverá fazer será isolar o mesmo. Desligue todas as ligações à Internet, seja por cabo ou sem fios.

    Internet router

    Isto previne não apenas que o malware possa propagar-se para outros sistemas na rede local, aproveitando falhas nos mesmos, mas também evita que informação possa ser enviada para os responsáveis pelo malware – ou que sejam recebidos comandos que poderiam infetar ainda mais o sistema ou causar perdas consideráveis de dados.

    2- Comece a analisar os danos

    Tendo o sistema isolado, é altura de começar a verificar os danos que foram causados. Use um bom programa de antivírus para realizar um scan completo do sistema, de forma a identificar o género de malware que o mesmo possui.

    Isto pode ser um pouco complicado de fazer se realizou o passo anterior de isolar o sistema, já que praticamente todas as aplicações de segurança atualmente existentes necessitam de algum género de acesso à Internet, nem que seja para descarregar as assinaturas mais recentes de vírus.

    Mas, felizmente, nem sempre tem de ser o caso. Se possui acesso a outro computador “limpo”, existem programas que pode instalar para realizar análises em formato “offline”. Um dos exemplos será o Kaspersky Rescue Disk, que pode usar para arrancar o seu sistema num ambiente seguro e onde pode realizar a análise por malware.

    Para o uso destes ambientes seguros, apenas necessita de criar uma pen de arranque num sistema “limpo”, e depois arrancar o sistema infetado pelo mesmo.

    Em alternativa, pode também usar programas de antivírus que forneçam a opção de instalação “offline”. Este género de instalação, normalmente, possui a base de dados por vírus mais recente da empresa, mas não exige que tenha uma ligação ativa à Internet para realizar o scan.

    Um dos exemplos será o Avast Antivírus, que fornece as suas versões “offline”.

    No entanto, tenha em conta que as soluções de antivírus offline apenas serão úteis caso o sistema esteja a funcionar corretamente. Dependendo do género de malware que tenha sido instalado, esta solução pode não ser totalmente eficaz, e como tal a criação de uma pen de arranque ainda será o processo recomendado.

    3- Remova todo o malware que for encontrado

    Independentemente da forma como tenha avaliado os estragos no ponto anterior, verifique e guarde qual o género de malware que foi infetado no sistema, e tente remover os conteúdos descobertos.

    A análise deverá indicar todos os ficheiros que estarão associados com o malware, e deverá ser dada a possibilidade de remover os mesmos ou de tentar desinfetar os mesmos.

    análise por malware

    Se quiser ter realmente certeza que remove todo o género de malware do sistema, tente usar mais do que uma aplicação de segurança para realizar a análise por malware – NUNCA instale dois antivírus no sistema! Certifique-se que remove um antivírus antes de instalar outro – ou então use diferentes discos de arranque seguro.

    4- Altura de passar para a recuperação

    Depois de remover todo o malware/vírus que tenha sido detetado, chega a altura de começar a pensar na recuperação do sistema. A maioria dos utilizadores pode considerar que, estando o vírus removido, o sistema está limpo. E em parte isso pode ser possível.

    No entanto, não existe nenhuma solução perfeita. E mesmo que o sistema esteja a ser marcado como livre de malware, o recomendado será que seja feita a instalação do mesmo de raiz e de forma limpa – sobretudo para garantir a total segurança dos dados.

    Supondo que ainda possui acesso ao sistema operativo – e que o vírus não causou algum género de problema extra no mesmo – chega a altura de começar a pensar em reinstalar o mesmo.

    disco externo sobre a mesa

    Comece por realizar o backup de toda a informação que considere importante – como documentos, imagens e outros ficheiros que seja importantes para si. No entanto, tenha cuidado neste processo!

    Mesmo que tenha aparentemente removido todo o malware do sistema, ainda deve ter atenção a possíveis restos do mesmo que ainda se podem encontrar ativos. Realize o backup para uma fonte externa, como um disco externo ou Pen USB, mas tenha sempre atenção aos conteúdos que copia – e sobretudo quando depois os for restaurar, certifique-se que apenas o faz depois de uma análise completa do armazenamento usado.

    Evite guardar ficheiros que podem ser considerados maliciosos, como ficheiros executáveis ou scripts. Faça apenas o backup do que seja realmente importante.

    Se necessário, nesta altura também deverá ser relativamente seguro de voltar a ligar o sistema à Internet, portanto poderá usar plataformas de armazenamento cloud para enviar os ficheiros.

    5- Reinstale o sistema operativo de raiz

    Feito o backup dos conteúdos, chega a altura de reinstalar o sistema operativo. No caso do Windows, realize o download da Ferramenta de criação do suporte de instalação, disponível no site da Microsoft, e use um computador “limpo” para criar a pen de arranque.

    instalação do windows

    Feito isso, proceda na normalidade com a reinstalação do Windows. Garanta que remove todos os conteúdos do disco no processo, e que instala o sistema de raiz, não apenas como um upgrade.

    Feito este passo, apenas necessita de voltar a instalar o antivírus da sua preferência – ou a usar o Windows Defender incluído com o Windows 10 – e poderá começar a restaurar os conteúdos de backup.

    6- Não se esqueça da segurança também online!

    Mesmo depois de ter realizado a recuperação do seu sistema local do vírus, existe ainda outra etapa importante a ter em conta. Deve ter atenção a todas as suas contas online.

    O malware pode ter, no tempo que se encontrou instalado no sistema, acedido ou roubado dados de login que teria armazenado no seu sistema. Senhas de contas ou dados de acesso a várias plataformas online podem ter sido roubados, portanto, o processo adicional será alterar todas as senhas que tenha usado de forma recente – ou que poderiam estar armazenadas no seu sistema.

    Fique também atento a qualquer atividade suspeita nas suas contas online, e caso use sistemas de home banking, a qualquer movimentação suspeita nas contas em questão.

    É importante referir que, apesar destes passos serem um guia simples para remover o malware do sistema e evitar possíveis perdas de dados, existe um vasto conjunto de malware na Internet, cada um com as suas particularidades.

    Por exemplo, se o ataque que tiver sofrido for de um ransomware, então o processo de limpeza e restauro será consideravelmente diferente, já que os conteúdos do seu sistema estão encriptados.

    Este guia foca-se no processo de recuperação básico de malware.

    Iremos criar um guia mais avançado no futuro, mas não hesite em deixar um comentário no fórum para tentarmos ajudar caso este guia não seja suficiente. A comunidade está aqui para isso mesmo!