Categoria: ataque

Gemini confirma acesso indevido a dados de clientes

A plataforma de criptomoedas Gemini encontra-se a alertar para um possível roubo de dados, que terá ocorrido com um dos fornecedores da entidade, mas que pode ter levado a que dados dos clientes possam ter sido acedidos.

O ataque terá ocorrido a 26 de Junho de 2024, embora apenas agora a entidade tenha começado a enviar as notificações para os clientes afetados pelo mesmo. As notificações são enviadas via email, para apenas os clientes afetados.

A mensagem indica que uma pessoa desconhecida terá obtido acesso aos sistemas da Automated Clearing House (ACH), entre 3 e 7 de Junho de 2024. Entre os dados potencialmente comprometidos encontra-se o nome completo, número da conta bancária, SWIFT e os fundos transferidos via este formato para o Gemini.

A empresa afirma que o atacante não terá conseguido obter acesso a outros dados sensíveis, mas ainda assim, a informação da qual teria acesso será certamente importante de ter em conta, ainda mais visto envolver o número das contas bancárias dos clientes.

A plataforma de criptomoedas afirma que o ataque foi contido, e que uma investigação foi imediatamente iniciada para analisar a origem do acesso. No entanto, para já não existem informações adicionais sobre o mesmo – espera-se que mais detalhes venham a ser conhecidos em breve.

Os clientes afetados e que foram notificados são alertados para se manterem atentos a possíveis atividades suspeitas nas suas contas, e para reportarem imediatamente as mesmas aos seus bancos. Gemini também recomenda que seja ativada a autenticação em duas etapas em todas as contas, e que se mantenha práticas de segurança apropriadas.

De relembrar que, em 2022, o Gemini sofreu um roubo de dados, igualmente de uma entidade terceira, que terá exposto mais de 5.7 milhões de clientes, com dados pessoais acessíveis.

27/07/2024
Falha com cinco anos corrigida no Docker

A equipa da Docker revelou uma nova atualização de segurança para o seu software, focada em corrigir uma vulnerabilidade crítica de segurança, que se encontrava no mesmo faz mais de cinco anos.

A falha afetava certas versões do Docker Engine, e poderiam permitir aos atacantes contornar as proteções do AuthZ sob certas condições. A falha foi inicialmente descoberta no Docker Engine v18.09.1, lançada em Janeiro de 2019, mas por alguma razão, manteve-se em todas as futuras versões até agora.

O potencial de ataque da falha foi redescoberto em Abril de 2024, sendo que apenas agora a equipa lançou a correção oficial para o problema. Bem ora a falha tenha estado mais de cinco anos presente no software, desconhecem-se casos onde a mesma tenha sido ativamente explorada.

A falha explora um erro no plugin AuthZ, que pode permitir aos atacantes enviarem pedidos na API cuidadosamente criados para explorar a falha, o que pode permitir obter acesso à instalação. A falha afeta as versões do Docker até v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, v26.0.2, v26.1.4, v27.0.3, e v27.1.0.

A ter em conta que a falha apenas afeta instalações que usam o AuthZ como meio de autenticação, sendo que todas as restantes versões não se encontram vulneráveis a esta falha.

25/07/2024
Autoridades em Espanha detiveram três suspeitos de realizarem ataques DDoS

As autoridades em Espanha confirmaram ter detido três suspeitos de terem usar uma plataforma russa para realizar ataques a países da NATO.

Os hackers terão usado a plataforma DDoSia, que é conhecida por ajudar na realização de ataques DDoS partilhados, com os atacantes a fornecem as suas larguras de banda e sistemas para fazerem parte do ataque. Os maiores contribuidores dentro do DDoSia recebiam incentivos monetários, com base no tráfego e ataques que realizassem.

Os três suspeitos estariam diretamente envolvidos na utilização e gestão da plataforma, sendo que terão realizado ataques sobre os nomes “NoName057”. O grupo terá realizado muitos dos ataques usando software que o mesmo desenvolveu, e teria como objetivo atingir entidades e países dentro da NATO, que terão apresentado o seu apoio à Ucrânia na guerra contra a Rússia.

Acredita-se que o DDoSia terá sido usado para ataques diretos contra várias instituições na Polónia e Suíça, que terão causado instabilidade de alguns serviços e plataformas nestas regiões.

Em Junho de 2023, a empresa de segurança Sekoia indicava que a plataforma tinha obtido um crescimento de 2400%, contando com mais de 13.000 utilizadores ativos no seu canal do Telegram.

No total, cerca de 486 ataques foram atribuídos diretamente a esta plataforma e aos utilizadores que da mesma fazem parte.

As autoridades em Espanha afirmam que se encontram a trabalhar com autoridades em vários países para identificar outros atores que usam a mesma plataforma para os ataques.

22/07/2024
Jovem detido no Reino Unido por ataque à MGM Resorts

As autoridades do Reino Unido confirmaram ter detido um suspeito de pertencer ao grupo de hackers conhecido como “Scattered Spider”. O mesmo encontra-se acusado de ter realizado os ataques de ransomware ao MGM Resorts em Las Vegas, durante o ano passado.

De acordo com o comunicado das autoridades, o jovem possui 17 anos e residia em Walsall. Tendo em conta que ainda é considerado um menor de idade, as autoridades não revelaram detalhes ou o nome do suspeito.

Este foi detido por ter realizado os ataques contra a MGM Resorts, tendo ainda chantageado a empresa para recuperar os ficheiros através de um pagamento de quantias avultadas.

Esta detenção surge depois das autoridades terem detido também um dos principais responsáveis do grupo Scattered Spider, numa operação internacional em Espanha, durante o mês passado.

O ataque levou a que o sistema informático da entidade estivesse inacessível durante dias, e levou a uma recuperação que custou mais de 100 milhões de dólares na altura. O ataque propagou-se para vários sistemas internos, e terá ainda permitido aos atacantes não só encriptar os dados, mas também roubar os registos.

Além disso, o grupo Scattered Spider encontra-se ainda acusado de ter atacado mais de 100 outras empresas com o mesmo esquema.

20/07/2024
O que é o CrowdStrike Falcon e porque está a causar o pânico hoje?

Durante o dia de hoje, uma falha técnica afetou milhares de computadores em todo o mundo, sobretudo postos de trabalho em empresas e sistemas usados para tarefas do dia a dia. A escala do incidente não possui comparação, e afetou centenas de empresas, desde pequenas a grandes entidades com filiais em todo o mundo.

Basicamente, o termo correto para este incidente será que os computadores ficaram “bricked”. Este termo é usado quando os sistemas ficam de tal forma inutilizáveis, que deixa de se conseguir realizar qualquer atividade nos mesmos. Basicamente ficam “uma pedra”.

E tudo aconteceu por causa de um pequeno software conhecido como “CrowdStrike Falcon”. Mas afinal, o que é?

A CrowdStrike é uma empresa de segurança digital, sediada nos EUA, que fornece software de segurança sobretudo para empresas. Esta é considerada uma das maiores empresas de cibersegurança no mundo, e conta com clientes espalhados por vários países.

O CrowdStrike Falcon é um dos softwares que a empresa fornece, que garante proteções contra malware e outras formas de ataque, sendo basicamente um antivírus mais avançado, focado sobretudo para meios empresariais.

O Falcon ajuda os administradores de parques informáticos numa empresa a identificar e analisar possíveis ameaças, verificando atividades suspeitas nos dispositivos que estejam na mesma. O software, conhecido como “endpoint detection and response” (EDR), analisa as atividades nos sistemas dentro da rede, e identifica possíveis atividades suspeitas nos mesmos, ajudando a bloquear e reverter possíveis ataques.

Obviamente, para realizar esta monitorização, o Falcon necessita de acessos privilegiados ao sistema. Isto permite analisar as atividades feitas no mesmo, os pedidos enviados e recebidos da internet e muito mais.

De forma simples, o Falcon é um antivírus, mas com algumas funcionalidades adicionais para garantir segurança em ambientes críticos.

Tendo em conta que o Falcon necessita também de neutralizar possíveis ataques, este encontra-se fortemente interligado com o sistema operativo onde se encontra, que neste caso será o Windows.

Esta integração necessita de ser robusta, ao mesmo tempo que bastante elevada, para garantir que o software é capaz de realizar o que necessita – e que não é também simplesmente desativado pelo malware. Para realizar isso mesmo, o software integra-se diretamente com o kernel do Windows – que será a “base” do sistema operativo.

Então, o que aconteceu?

Para realizar esta integração com o kernel do Windows, o Falcon necessita de carregar as suas drivers no sistema, o que é feito no momento do arranque do mesmo. O que muitos utilizadores verificaram hoje foi que, ao iniciarem o Windows, este apresentava um ecrã azul de erro no arranque.

Rapidamente se chegou à conclusão que a falha estaria nos ficheiros dos drivers usados pelo Falcon, para se interligar com o kernel do Windows. Uma atualização com erros terá sido lançada para o programa, e automaticamente instalada na maioria dos sistemas.

Com isto, quando os sistemas foram reiniciados, deixaram de conseguir arrancar corretamente. Além disso, o próprio software não conseguiria resolver o problema diretamente, visto que a falha ocorre ainda antes do próprio Windows carregar completamente – na fase em que o kernel ainda está a carregar os drivers.

E os PCs domésticos com Windows, foram afetados?

O software desenvolvido pela CrowdStrike encontra-se voltado para empresas com largos parques informáticos, portanto será extremamente improvável que se encontre em sistemas domésticos. Logo esta falha não deve ter afetado outros utilizadores com sistemas Windows.

Além disso, importa sublinhar que a falha não foi diretamente com o Windows ou a Microsoft. A falha ocorreu apenas em sistemas onde o Falcon se encontrava instalado.

E quanto tempo vai demorar a resolver o problema?

A CrowdStrike já forneceu o processo necessário para resolver a falha. O problema é que esta não pode ser facilmente aplicada em todos os sistemas ao mesmo tempo. Tendo em conta que o problema ocorre no arranque do próprio sistema operativo, a única forma de corrigir a falha será verificando PC a PC.

Ou seja, a correção necessita de ser aplicada em cada sistema afetado, de forma manual. Este é um processo que poderá demorar bastante tempo, dependendo do número de sistemas afetados numa empresa.

Na grande maioria dos casos, o processo pode demorar dias, tendo em conta a complexidade.

19/07/2024
Operadora norte-americana teve roubo de informações de 109 milhões de clientes

A operadora norte-americana AT&T confirmou ter sido vítima de um roubo de dados massivo, associado com os clientes da mesma. Do mesmo terão sido roubados dados de chamadas realizadas por mais de 109 milhões de clientes da operadora.

De acordo com a empresa, o roubo terá sido feito dos sistemas Snowflake da mesma, entre 14 e 25 de Abril de 2024. Por entre os dados roubados encontram-se milhares de registos de chamadas telefónicas e mensagens SMS enviadas, associadas com 109 milhões de clientes.

Estes dados dizem respeito a comunicações realizadas entre 1 de Maio e 31 de Outubro de 2022, bem como do dia 2 de Janeiro de 2023.

Depois da operadora ter identificado o roubo dos dados, terá começado a investigação do mesmo, com ajuda de especialistas externos, além de comunicar o incidente às autoridades. O governo dos EUA terá permitido à operadora adiar a divulgação pública do roubo de dados por duas vezes, durante a investigação do incidente.

Por entre os dados roubados encontram-se os números de telefone dos clientes da operadora, as chamadas que realizaram durante este período, o número de interações nos seus números – chamadas ou mensagens – e em alguns casos, a identificação das torres de rede usadas na ligação.

Os registos não continham qualquer outro dado pessoal dos clientes, nomes, conteúdo das mensagens ou das chamadas. Apenas os registos das transações realizadas durante este período. Embora o nome dos clientes não tenha sido revelado, é possível associar alguns números de telefone com os nomes.

A operadora confirmou ainda estar a trabalhar com as autoridades para identificar a origem do ataque, além de se encontrar aberta a notificar e ajudar todos os clientes que podem ter sido afetados.

12/07/2024
Apple lança alerta para novo spyware mercenário

A Apple encontra-se a notificar utilizadores de dispositivos da empresa para um novo spyware, que terá afetado algumas pessoas de interesse em mais de 98 países.

De acordo com a Apple, o ataque possui origem num “spyware mercenário”, que se foca em recolher dados dos dispositivos infetados, com o objetivo de espiar as atividades dos mesmos. Este ataque encontra-se direcionado para personalidades de interesse, como é o caos de jornalistas, ativistas e políticos, embora as razões e motivações do mesmo ainda sejam desconhecidos.

Esta é a segunda vez que a Apple emite um alerta para este género de spyware, sendo que o primeiro aconteceu em Abril, com utilizadores de 92 países afetados.

Os clientes afetados devem receber uma notificação direta da empresa, a informar que podem estar a ser alvo deste spyware mercenário, e que o mesmo pode ter sido direcionado para o roubo de dados.

Existem registos atualmente das notificações da Apple terem sido enviadas para utilizadores na Índia, mas poderão certamente existir casos em outros locais.

Este alerta é diferente dos que a empresa anteriormente enviou, sendo que a mesma optou por alterar o termo do ataque para tendo origem de um “spyware mercenário”, invés de classificar o mesmo como um ataque patrocinado diretamente pelo governo.

11/07/2024
Fujitsu confirma roubo de dados de clientes em ataque de Março

A Fujitsu confirmou que, derivado de um ataque informático que a empresa sofreu em Março deste ano, alguns dados de clientes da mesma podem ter sido comprometidos.

O ataque aconteceu a um sistema interno de suporte da empresa, onde os atacantes podem ter conseguido aceder a dados sensíveis de alguns dos clientes da mesma. A empresa afirma que o ataque não ocorreu por intermédio de ransomware, mas sim de um ataque sofisticado para evitar os mecanismos de segurança da empresa.

Na altura, a fabricante colocou os dispositivos infetados com o malware em quarentena, mas já na altura afirmava que dados dos clientes poderiam encontrar-se comprometidos, visto que estariam nos sistemas infetados.

Agora, com a investigação concluída, a empresa afirma que o malware terá começado num sistema interno, e espalhou-se para outros 49 computadores, a partir dos quais foram recolhidos dados.

A empresa afirma que todos os sistemas foram rapidamente isolados para evitar a propagação, mas que ainda assim alguns dados de clientes terão sido roubados dos mesmos antes do isolamento.

Os dados incluem meios de contacto e outros detalhes dos clientes e de algumas empresas, e embora a empresa não tenha indicado números exatos de clientes afetados, o mesmo deverá ser relativamente pequeno. A empresa afirma ainda que não existem confirmações que os dados estejam a ser usados maliciosamente até ao momento.

10/07/2024
Parceiro da Roblox alvo de roubo de dados de participantes em evento

O Roblox é um dos jogos mais populares da atualidade, contando com milhares de jogadores ativos todos os dias nos seus sistemas. No entanto, recentemente foi confirmado que um parceiro da empresa, que trabalhou com a mesma nas edições de 2022, 2023 e 2024 da Roblox Developer Conference, pode ter comprometido dados dos visitantes do mesmo.

O Roblox Developer Conference é um evento da empresa associada com o jogo, voltado para programadores dentro do mesmo. Este evento, realizado em formato físico, foca-se em revelar algumas novidades da plataforma para os programadores, além de permitir ainda a partilha de conhecimentos entre os mesmos.

Recentemente foi confirmado que a empresa FNTech, que é responsável por gerir os convites e registos dos participantes neste evento, foi alvo de um ataque, onde terceiros terão acedido aos sistemas internos da mesma. Neste aceso, terão sido roubados dados respeitantes aos participantes do Roblox Developer Conference.

Numa nota publicada na X, a empresa afirma que dados dos participantes nos eventos de 2022 a 2024 poderão ter sido comprometidos. Entre os dados roubados encontram-se nomes, emails usados para o registo e o IP usado na ligação.

Estes dados podem agora ser usados para campanhas direcionadas de phishing e outros esquemas, sendo que quem tenha participado no evento é aconselhado a ficar atento a possíveis ataques deste formato.

08/07/2024
Shopify nega roubo de dados de clientes

A plataforma Shopify negou ter sido alvo de um ataque informático, de onde poderiam ter sido roubados dados de clientes da empresa.

Isto surge depois de dados alegadamente da empresa terem surgido para venda em alguns sites da dark web. Um vendedor conhecido como “888” estaria a fornecer para venda dados da Shopify, os quais o mesmo alegava terem sido roubados em 2024.

Em comunicado, o Shopify afirma que estes dados não foram roubados diretamente dos sistemas da empresa, e invés disso, teriam sido originários de sistemas de terceiros onde os seus clientes acederem ou forneceram os meios de acesso/detalhes das contas.

O vendedor afirma ter em usa posse vários dados associados com clientes da Shopify, entre Ids, emails, nomes, números de telefone, compras realizadas e outros detalhes das subscrições ativas.

De relembrar que, em 2020, o Shopify foi alvo de um ataque, de onde terceiros teriam acedido a dados internos da empresa e dos seus clientes, através de uma conta comprometida de um dos seus operadores de suporte. O acesso a estes dados foi bastante limitado, mas ainda assim poderia ser suficiente para recolher alguma informação dos clientes.

Não se acredita que os dados agora recolhidos sejam os do ataque em 2020.

07/07/2024
OpenAI foi alvo de ataque mas não notificou as autoridades

A OpenAI tem vindo a ganhar bastante popularidade pelas suas tecnologias focadas em Inteligência Artificial, que podemos também analisar com o ChatGPT. No entanto, novas informações apontam que a empresa pode ter sido alvo de um ataque no final do ano passado.

De acordo com o The New York Times, a OpenAI foi alvo de um ataque no final do ano passado, onde um hacker terá conseguido obter informação interna dos sistemas da empresa.

Fontes próximas da entidade na altura revelaram que o atacante terá conseguido aceder aos fóruns internos da OpenAI, recolhendo dados sensíveis da empresa, funcionários e das suas tecnologias.

Na altura, a OpenAI terá notificado os funcionários sobre o acesso, mas decidiu não notificar as autoridades por considerar que a informação recolhida não seria sensível ou associada com os clientes da plataforma. Além disso, a empresa acredita que o ataque terá sido realizado apenas por uma pessoa, e não um grupo organizado com intenções de usar ou roubar os dados.

O atacante terá conseguido obter acesso apenas aos sistemas internos da empresa usados para comunicação entre funcionários, onde embora exista certamente informação sensível das tecnologias da OpenAI, não será grave o suficiente para ser considerado um roubo de dados.

06/07/2024
RockYou2024: revelada lista com 10 mil milhões de senhas comprometidas

Uma das maiores listas com senhas recolhidas de leaks nos últimos anos encontra-se agora a ser usada para ataques, tendo sido disponibilizada para download em vários portais da dark web.

A lista, apelidada de RockYou2024, conta com quase 10 mil milhões de senhas associadas com leaks feitos nos últimos anos. Esta é uma das maiores listas que existe atualmente disponível.

De acordo com os investigadores da plataforma Cybernews, a lista conta com 9,948,575,739 senhas únicas, sendo que o ficheiro contendo as mesmas foi publicado em vários portais da dark web a 4 de Julho, por um utilizador apelidado de “ObamaCare”.

Este utilizador já tinha publicado algumas listas de senhas roubadas de certas empresas no passado, mas esta é uma das suas maiores revelações, que possui também impactos a nível de segurança.

Embora as senhas presentes no RockYou2024 tenham sido comprometidas de vários leaks e roubos antigos, existem também algumas referências novas, o que pode indicar que é uma lista atualizada com alguns dados roubados de forma mais recente. Este género de listas podem ser particularmente uteis para os atacantes, já que permitem criar uma “base de dados” de senhas potencialmente comprometidas e que podem ser usadas para ataques.

Esta lista pode ser usada para ataques brute-force, ou simplesmente para atualizar os sistemas de ataque para usar os novos padrões de senhas.

De notar que este género de listas não é inteiramente nova, e na realidade, não é a primeira vez que uma lista do mesmo formato surge na internet. Em 2021, a RockYou2021 foi lançada contendo 8.4 mil milhões de senhas comprometidas, na altura uma das maiores combinações de senhas reunidas num único local.

O recomendado para qualquer utilizador passa por manter boas politicas acerca das suas senhas, mantendo as mesmas atualizadas e evitando reutilizar as mesmas em mais do que um serviço – um gestor de senhas pode ajudar nesta tarefa.

06/07/2024
Hacker afirma ter bilhetes da Taylor Swift após roubo da Ticketmaster

Depois de um grupo de hackers ter conseguido obter dados da Ticketmaster, agora parece que também alguns dos bilhetes para diferentes eventos estão agora a escapar para a internet.

Recentemente um grupo afirma ter acesso a mais de 166,000 bilhetes para o evento Eras Tour da Taylor Swift, e que poderá disponibilizar livremente os mesmos caso a entidade não pague o ransomware.

De relembrar que o caso remota a Maio, quando um hacker conhecido como “ShinyHunters” começou a vender dados de 560 milhões de clientes da Ticketmaster, depois de obtido acesso aos sistemas da empresa. Eventualmente, a empresa viria a confirmar o roubo de dados, que afetou um dos sistemas usados pela entidade para registar as encomendas.

Durante o dia de hoje, um hacker conhecido como “Sp1d3rHunters” alegou ter em sua posse mais de 166.000 bilhetes para os eventos da Taylor Swift, e que vai disponibilizar os mesmos caso a empresa não pague o resgate. Os bilhetes podem, teoricamente, permitir o acesso aos espetáculos, sendo roubados de clientes legítimos que obtiveram os mesmos.

O hacker forneceu ainda alguns dos códigos usados para entrar nos eventos, para validar a autenticidade dos mesmos, juntamente com guias de como usar os mesmos para entrar nos concertos da cantora.

Até ao momento desconhece-se se estes dados terão sido obtidos do mesmo ataque, sendo que a empresa também não deixou comentários sobre os mesmos. Além disso, tendo em conta as medidas de segurança implementadas na compra dos bilhetes, desconhece-se se estes serão efetivamente possíveis de ser usados para entrar nos concertos.

05/07/2024
OVH regista um dos maiores ataques DDoS de sempre

A OVHcloud, uma fornecedora de serviços cloud na internet, sediada em França, afirma ter mitigado um dos maiores ataques DDoS que existe registo.

Segundo a empresa, o volume de ataques DDoS tem vindo a aumentar consideravelmente nos últimos anos, sendo que desde o final de 2023 que se tem registado cada vez mais ataques de longa duração e bastante intensos.

A empresa afirma que, no inicio deste ano, os sistemas da entidade mitigaram com sucesso um ataque de 840 milhões de pacotes por segundo (Mpps), um dos maiores que existe atualmente registo.

Foi ainda referido que os ataques DDoS têm vindo a aumentar de capacidade, sendo vulgar encontrar ataques de 1 Tbps de tráfego de forma quase diária. Um dos recordes da empresa a nível de tráfego usado para ataques foi registado a 25 de Maio, com 2.5 Tbps.

A entidade acredita que estes ataques partem sobretudo de dispositivos Mikrotik, que possuem várias vulnerabilidades conhecidas, e são usados para amplificar os mesmos ou como parte de redes botnet, sendo capazes de realizar ataques massivos.

A nível dos pacotes por segundo, a OVH afirma que o pico de 840 Mpps supera o recorde anterior, registado pela Akamai em 2020. A empresa afirma ainda que é vulgar de encontrar ataques de 500 Mpps desde o inicio do ano, com picos que podem atingir os 620 Mpps.

O ataque foi realizado de mais de 5000 endereços IP diferentes, a grande maioria de dispositivos infetados, e originários dos EUA. A empresa afirma que a maioria dos ataques foram realizados de dispositivos MirkoTik Cloud Core Router (CCR), que normalmente são usados em redes de elevado desempenho.

Muitos destes dispositivos possuem interfaces para a web, permitindo que atacantes possam controlar os mesmos, ou podem usar versões de software antigas e com falhas, que permite explorar para realizar ataques.

Tendo em conta que os dispositivos MikroTik são focados para redes de alto desempenho, com alguns a contarem com processadores de 36 cores, isto permite que sejam também bastante potentes para lançar ataques em larga escala, que podem tornar consideravelmente mais difícil mitigar os mesmos no futuro.

05/07/2024
Authy confirma roubo de dados de 33 milhões de utilizadores

Se utiliza a aplicação de autenticação Authy para gerir os seus códigos de autenticação em duas etapas, pode ter sido recentemente afetado por um ataque realizado à entidade responsável pela mesma.

A Twilio, empresa responsável pela Authy, confirmou que 33 milhões de utilizadores da aplicação podem ter sido afetados num recente ataque, e que os dados obtidos podem agora ser usados para esquemas de phishing e roubo de contas.

A vulnerabilidade, que existia nos sistemas da plataforma, permitiu aos atacantes obterem os números de telefone das vítimas que possuem contas na Authy. Estes dados podem agora ser usados para possíveis esquemas de phishing.

A empresa afirma que os códigos de autenticação não foram comprometidos, mas os números de telefone podem ser usados para campanhas diretas contra potenciais vítimas, dando mais credibilidade nas mesmas.

Embora a empresa tenha corrigido o problema, os dados já se encontram na posse dos atacantes. A empresa recomenda ainda que os utilizadores atualizem as suas aplicações em Android e iOS para a versão mais recente.

Embora a empresa garante que não foram realizados acessos a dados sensíveis dos utilizadores, para além do número de telefone, ainda assim este ataque eleva os riscos para o mesmo. De relembrar que o Authy não permite que os utilizadores possam rapidamente exportar os seus códigos de autenticação, bloqueando os mesmos apenas à app – ao contrário do que outras aplicações similares fornecem.

05/07/2024
Falha “regreSSHion” no OpenSSH afeta milhares de sistemas Linux

Uma recente falha descoberta no OpenSSH pode deixar milhares de servidores Linux abertos a possíveis ataques, sendo possível obter acesso root do sistema para utilizadores sem privilégios.

A falha foi apelidada de “regreSSHion”, e afeta o OpenSSH, presente em milhares de sistemas para acesso SSH ao mesmo. Este protocolo é bastante usado para o acesso remoto a sistemas e gestão dos mesmos, bem como para a transferências de ficheiros.

Esta falha foi descoberta pelos investigadores da empresa de segurança Qualys, em Maio de 2024, tendo sido identificada como CVE-2024-6387. Explorando a mesma, utilizadores sem permissões administrativas no sistema mas acesso ao SSH podem enviar comandos específicos que são executados como root.

Caso seja ativamente explorada, esta falha pode levar a que os sistemas sejam comprometidos, juntamente com os dados presentes nos mesmos, bem como pode abrir portas para que seja possível comprometer milhares de servidores ativos com o OpenSSH.

Embora seja considerada grave, os investigadores apontam que ainda é algo complicado de executar um ataque com sucesso, tendo em conta que é necessário realizar várias tentativas para atingir os meios pretendidos – e em sistemas bem configurados, estas tentativas podem ser rapidamente identificadas e bloqueadas.

Os investigadores apontam que o regreSSHion afeta sobretudo sistemas Linux, mas pode encontrar-se também em sistemas macOS e Windows onde o OpenSSH tenha sido instalado e configurado para acesso SSH – embora os efeitos práticos de um ataque nestes sistemas não tenham sido documentados.

Os investigadores aconselham os administradores de sistemas onde o OpenSSH se encontra a atualizarem os pacotes do mesmo para a versão mais recente disponível, onde a correção da falha deve encontrar-se aplicada.

01/07/2024
Falsas soluções para problemas no Windows levam à instalação de malware

Quando se verifica uma mensagem de erro no sistema operativo ou em alguma aplicação específica, uma das primeiras formas de analisar a mesma passa por procurar pelo erro nos motores de pesquisa.

Esta prática, no entanto, pode levar alguns utilizadores a serem vítimas de malware, num novo formato de esquema que tem vindo a ganhar bastante popularidade – sobretudo porque é também bastante efetivo contra vítimas com poucos conhecimentos informáticos.

O ataque, tecnicamente, começa quando as vítimas recebem uma mensagem de erro em algum programa ou até no próprio Windows. Uma das primeiras formas de se tentar resolver o mesmo passa por colocar o código de erro no Google ou no YouTube, como forma de tentar descobrir meios de o corrigir.

Muitas vezes, estes erros são genéricos, e podem ser bastante abrangentes para os mais variados problemas. Isto pode acabar por tornar a tarefa dos atacantes mais simples, que criam falsos vídeos no YouTube, ou publicações em sites diversos, com recomendações de como resolver os mesmos.

No entanto, a “resolução” passa por executar comandos na Linha de Comandos do Windows, que alegadamente deveriam resolver os erros. Porém, se executadas, os utilizadores podem acabar por instalar malware nos seus sistemas e terem os dados roubados por terceiros.

Por exemplo, no YouTube existem centenas de vídeos com recomendações de como resolver os mais variados erros do Windows, que levam os utilizadores para uma lista de comandos que devem ser executados.

Estes comandos apenas levam a que sejam descarregados conteúdos para o sistema potencialmente maliciosos, e como a maioria das vezes são executados com permissões administrativas, não requerem muito esforço do malware para infetar o sistema.

Para quem não tenha muitos conhecimentos, os comandos apresentados podem não fazer muito sentido, sendo que a ideia seria apenas tentar resolver o problema. Mas no processo, os utilizadores podem estar indevidamente a instalar malware nos seus sistemas.

Como sempre, é recomendado que não se execute comandos aleatórios que foram descobertos pela internet, e antes de tal tarefa, é melhor analisar o que cada comando faz – e como atua no sistema – antes de o executar.

A linha de comandos é muitas vezes usada para resolver problemas de aplicações e do sistema, mas como é também uma ferramenta poderosa no mesmo, pode ser usada para fins menos bons.

30/06/2024
1.5 TB de dados roubados da empresa mãe dos criadores de Elden Ring

A Kadokawa Corporation, empresa mãe da FromSoftware, editora criadora de jogos como Elden Ring, Dark Souls e outros, pode ter sido alvo de um ataque informático, de onde dados sensíveis da mesma terão sido roubados.

Segundo a empresa, esta descobriu evidências que terceiros terão acedido aos dados presentes em alguns sistemas da entidade, e que dados internos da mesma podem ter sido roubados.

O ataque acredita-se que tenha sido devido a ransomware do grupo Black Suit, o qual afirma no seu portal ter roubado mais de 1.5TB de dados da empresa. Estes dados incluem várias informações confidenciais da empresa e das suas afiliadas, bem como documentos sensíveis e informação pessoal.

A Kadowaka já terá confirmado o ataque, indicando que se encontra neste momento a analisar a situação. Os detalhes sobre o ataque ainda são escassos, mas a empresa afirma que um dos seus sistemas terão sido comprometidos, no dia 8 de Junho, e que dados no mesmo podem ter sido comprometidos.

A empresa afirma que os dados roubados dizem respeito apenas à própria entidade, e não existe informação bancária nem dados dos utilizadores dos produtos da mesma. No entanto, este leak pode levar a que dados de futuros jogos da editora possam vir a ser revelados, ou outras informações que certamente não deveriam ser do conhecimento público.

29/06/2024
Ticketmaster começa a notificar clientes afetados por roubo de dados

A Ticketmaster encontra-se a notificar os primeiros clientes depois dos seus sistemas terem sido invadidos, de onde resultou o roubo de informação pessoal de vários clientes da plataforma de venda de tickets para eventos.

A plataforma foi alvo de um ataque informático, entre 2 de Abril e 18 de Maio de 2024, onde terceiros terão acedido a dados sensíveis de clientes da empresa, através de um acesso inseguro a uma das bases de dados. Este acesso foi usado para recolher dados pessoais e sensíveis de milhões de utilizadores que usaram a plataforma nos últimos tempos.

A 23 de Maio de 2024, a empresa confirmou ter sido alvo do ataque, sendo que foi também confirmado que dados dos clientes teriam sido acedidos. Embora a empresa tenha indicado que os acessos seguros foram depois garantidos, os dados que os atacantes tiveram acesso foram roubados.

Entre esta informação encontram-se nomes, emails, moradas, detalhes pessoais e outros dados sensíveis. Embora a empresa tenha indicado inicialmente que o roubo afetou mais de mil clientes, o valor pode ser consideravelmente superior, na casa dos milhões de utilizadores e dados roubados.

Os dados alegadamente roubados foram colocados recentemente à venda em sites da dark web, por um utilizador apelidado de “ShinyHunters “, sendo que os mesmos indicavam conter 560 milhões de utilizadores e dos dados associados aos mesmos, num total de 1.3TB de dados acedidos.

Face ao incidente, a Ticketmaster encontra-se agora a notificar os primeiros clientes que foram afetados, enviando um email onde se informa da situação e dos passos de segurança que devem ser tidos em conta. Esta medida surge também como forma de seguir as indicações legais para este caso de incidentes nos EUA.

29/06/2024
Grupo de hackers russos com ligações ao ataque da TeamViewer

Durante o dia de ontem, a empresa TeamViewer, criador do software de acesso remoto do mesmo nome, confirmou que os seus sistemas internos teriam sido acedidos por terceiros.

Na altura, a empresa ainda estaria a realizar a investigação inicial do incidente, mas agora conhecem-se mais detalhes do ocorrido.

Na mensagem atualizada da empresa sobre o incidente, esta deixou agora mais detalhes sobre a possível origem do ataque e dos acessos. Após investigação, a entidade confirmou que o acesso aos sistemas terá sido feito por um grupo com ligações ao governo Russo, apelidado de “APT29” ou “Midnight Blizzard”.

A empresa afirma que o acesso terá ocorrido no dia 26 de Junho, quando foi identificado o acesso de terceiros via uma conta comprometida de um dos funcionários da empresa. Este acesso terá sido feito aos sistemas internos da empresa, usados para tarefas da mesma, e não terá afetado dados de clientes ou do software de acesso remoto.

A empresa sublinha ainda que mantem os dados dos clientes separados dos sistemas internos da empresa, o que ajudou a prevenir que estes fossem acedidos. Esta sublinha ainda que nenhum dado terá sido roubado diretamente que afete os clientes da mesma.

O grupo APT29 é conhecido das autoridades por ter ligações com o governo russo, sendo usado para vários ataques de espionagem e recolha de informações para o mesmo. Este grupo é um dos mais conhecidos no meio, sobretudo por usar técnicas simples para atacar os sistemas, mas ainda assim efetivas.

28/06/2024
Hackers obtiveram acesso a sistemas internos da TeamViewer

A TeamViewer, empresa responsável pelo software de acesso remoto com o mesmo nome, confirmou recentemente ter sido alvo de um ataque informático, onde os atacantes podem ter obtido acesso a alguns dos sistemas internos da empresa.

De acordo com o comunicado do incidente, a empresa terá identificado o acesso irregular às suas plataformas no dia 26 de Junho. Depois de identificado, foram imediatamente ativadas as medidas de segurança previstas para estas situações, e começou-se a investigação do caso.

Em causa encontra-se o sistema interno da empresa usado para tarefas internas de gestão. Este sistema é totalmente independente do usado pelo software de acesso remoto, e como tal, a empresa acredita que não foram comprometidos dados sensíveis para os clientes ou as suas aplicações.

Não existem igualmente provas que dados dos clientes tenham sido acedidos neste ataque, mas a investigação do mesmo ainda se encontra a decorrer, sendo que a entidade promete ser o mais transparente possível sobre o caso.

Embora dados sensíveis dos clientes possam não ter sido comprometidos, qualquer acesso a um sistema interno de uma empresa como a TeamViewer é certamente preocupante. De relembrar que o cliente de acesso remoto da mesma é usado por mais de 2.5 mil milhões de dispositivos em todo o mundo.

A ter também em conta que, embora a empresa tenha indicado que será transparente com a informação fornecida sobre a investigação, o site onde o comunicado da mesma se encontra possui a meta tag para não ser indexada por motores de pesquisa, tornando a mesma mais complicada de ser encontrada.

27/06/2024
Variantes de perigoso malware para Android voltam ao ataque

Depois de quase um ano sem grandes atividades, o malware para Android conhecido como “Medusa” encontra-se novamente a surgir em alta. Os dados mais recentes apontam que o malware focado para Android começou novamente a ganhar destaque em vários países, e tem expandido as suas operações.

Segundo os investigadores, o malware encontra-se a ser disponibilizado como uma nova variante, que requer menos permissões do sistema e pode ser ainda mais evasiva para software de segurança.

Os primeiros registos do malware Medusa surgiram em 2020, sendo que o mesmo era distribuído com foco em roubar dados bancários e credenciais de acesso a bancos. O malware tinha a capacidade de controlar dispositivos Android remotamente, ler mensagens SMS e aceder a conteúdos dos mesmos.

O malware perdeu alguma força nos últimos meses, mas voltou a surgir com alguma atividade em Julho de 2023, onde se começaram a registar novas variantes do mesmo. No entanto, foi apenas este ano que o malware voltou a atacar em força, focando-se em vários países da União Europeia.

Este é normalmente distribuído sobre campanhas de mensagens SMS de phishing, onde as potenciais vítimas são levadas a descarregar aplicações de fontes externas, sobre os mais variados pretextos. Existem algumas que indicam ser atualizações do Google Chrome, outras que prometem analisar as redes 5G e até aplicações falsas de streaming de conteúdos.

As permissões desta nova variante são menores, para levantar menos suspeitas, mas ainda assim contam com acesso aos serviços de acessibilidade do sistema, o que pode permitir um vasto controlo de ações do Android e das suas funcionalidades, bem como pode ser usado para a recolha de dados.

Existem ainda novos comandos, como um que coloca uma imagem preta no ecrã, parecendo que o dispositivo está desligado ou bloqueado, quando na realidade encontram-se a ser feitas ações em segundo plano.

Como sempre, deve-se ter cuidado de onde são descarregadas aplicações para qualquer sistema, e no caso do Android, de onde se instala ficheiros APK fora da Play Store da Google.

25/06/2024
Falha em API terá levado ao roubo de dados de 9 milhões de utilizadores

A operadora australiana Optus recentemente foi alvo de um largo roubo de dados, onde se acredita que mais de nove milhões de clientes foram afetados com dados pessoais expostos. E agora, conhecem-se mais detalhes sobre o que realmente aconteceu.

De acordo com os dados apresentados ao tribunal, a operadora confirmou que o ataque ocorreu derivado de uma falha no código da API, que teria criado erros no controlo da mesma, e terá sido deixada ativa durante anos nos sistemas da empresa.

Segundo os documentos, a falha estaria presente em alguns dos sistemas da API da empresa, usados para recolher e verificar os dados dos clientes. Esta API deveria ser usada apenas de forma interna, para recolha dos dados dos clientes e sem acesso direto para a internet.

No entanto, em meados de 2018, uma falha na atualização do código da API terá levado a que os sistemas ficassem acessíveis publicamente. Esta falha ainda foi identificada pela empresa, em meados de 2021, mas apenas um dos sistemas onde a mesma se encontrava presente foi corrigido.

Isto deixou um sistema ainda ativo para a internet, o que, no final, levou a que os dados fossem eventualmente roubados. Em Setembro de 2022, um atacante terá descoberto esta falha, e usou a mesma para enviar pedidos falsos ao sistema, recolhendo os dados dos clientes o processo.

21/06/2024
AMD investiga possível roubo de dados internos

A AMD encontra-se a investigar um possível leak de dados da empresa, depois de alegadamente os mesmos terem sido colocados à venda em portais da dark web.

O vendedor afirma possuir vários dados internos da AMD, nomeadamente documentos financeiros, dados de funcionários e outras informações confidenciais da empresa. Em comunicado ao portal BleepingComputer, a empresa afirma que possui conhecimento da venda dos conteúdos, mas não confirma se os mesmos são legítimos.

Os dados encontram-se a ser vendidos por um leaker conhecido como “IntelBroker”, que no passado já realizou a venda de dados confidenciais de outras entidades de renome. O mesmo não deixou também detalhes de como foi realizado o roubo destes dados.

Neste momento, não existe forma de validar se os dados serão verdadeiros ou não, mas é importante relembrar que o vendedor é conhecido por ter realizado ataques de larga escala no passado, ou pelo menos de realizar a venda dos dados obtidos dos mesmos.

Em Junho de 2022, a AMD também terá confirmado que estaria a analisar um possível roubo de dados internos, depois do grupo RansomHouse ter alegado um ataque de ransomware a sistemas da empresa.

19/06/2024
Campanha de malware engana vítimas com falsos erros do Chrome e OneDrive

Uma nova campanha de malware encontra-se a propagar com alvo para utilizadores do Google Chrome, OneDrive e do Word, alertando para falsos erros de forma a levar os utilizadores a executarem scripts do PowerShell.

A campanha tira proveito do desconhecimento dos utilizadores, apresentando mensagens de erro relacionadas com o Google Chrome, OneDrive ou o Word da Microsoft, e onde os utilizadores são direcionados para executarem scripts no PowerShell com as supostas “soluções”.

Se executados, estes scripts levam ao download e instalação de malware no sistema, que pode comprometer os dados dos utilizadores ou levar a que os atacantes tenham acesso ao mesmo.

A campanha distribui-se sobretudo sobre anexos de email, contendo ficheiros HTML criados especificamente para apresentar a mensagem de erro e os comandos a serem executados.

Embora o ataque envolva que os utilizadores tenham de realizar as tarefas diretamente para afetar o sistema, o truque da campanha encontra-se na forma como o conteúdo é apresentado para enganar as vítimas, levando as mesmas a crer tratar-se de uma solução para o problema. Quem possua desconhecimento do comando, acaba por usar o mesmo na tentativa de resolver o problema.

Como sempre, comandos que sejam executados dentro do Terminal do Windows ou na linha de comandos do PowerShell devem ser de fontes credíveis e apenas executados quando os utilizadores saibam exatamente o que realizam. Este género de comandos podem executar ações sensíveis no sistema ou descarregar conteúdos potencialmente maliciosos.

18/06/2024
Falha TIKTAG afeta vários programas em processadores ARM

Foi recentemente descoberta uma nova vulnerabilidade, que afeta sistemas com processadores ARM, e que pode permitir que sejam roubados dados de memória caso a falha seja explorada.

Apelidada de “TIKTAG”, esta falha afeta o sistema de gestão de memória dos processadores ARM, e pode permitir que os conteúdos da mesma sejam extrapolados, potencialmente levando ao roubo de dados sensíveis.

A falha foi descoberta por um grupo de investigadores da Samsung, Universidade de Seoul e da Georgia, sendo que os mesmos indicam que o ataque possui uma taxa de 95% de sucesso. Os investigadores demonstraram a mesma contra o Google Chrome e o kernel mais recente de Linux.

De acordo com os investigadores, caso a falha seja explorada, pode levar a que conteúdos da memória sejam acedidos por terceiros, e potencialmente, dados sensíveis podem ser recolhidos da mesma.

Os investigadores começaram a alertar para a falha em meados de Novembro, e embora alguns fabricantes tenham confirmado a existência da mesma, as implementações de correções ainda se encontram a ser feitas de forma lenta.

A equipa de segurança da Google afirma que a falha não será diretamente da responsabilidade do navegador de proteger, e como tal, não foi lançada uma correção para o Chrome.

17/06/2024
Falha no Windows permitia ataques via redes sem fios

Uma nova vulnerabilidade foi identificada recentemente no Windows, que afeta as ligações WiFi, e poderia teoricamente permitir acessos de terceiros ao sistema.

A falha CVE-2024-30078, classificada como “Importante”, foi recentemente descoberta como afetando os drivers da rede wi-fi, tanto em Windows 10 como Windows 11. Esta falha, se explorada, poderia permitir aos atacantes enviarem código malicioso para o sistema, sendo que não seria necessário um acesso prévio ao sistema.

De acordo com a Microsoft, a falha não estaria a ser ativamente explorada, e era classificada como sendo de baixa complexidade. Basicamente, os atacantes apenas necessitariam de enviar um pacote especialmente criado para explorar a falha, para o sistema na rede WiFi, o que poderia permitir o acesso.

Esta falha contornava qualquer forma de autenticação dos protocolos de rede, e também não requeria aos atacantes acesso antecipado ao sistema, ou até interação pela vítima para ser executada. Tudo o que bastaria era o sistema estar ligado na mesma rede sem fios que o atacante se encontra.

Em teoria, isto poderia afetar sistemas que realizam a ligação via redes sem fios públicas, que partilham a mesma rede entre todos os sistemas. No entanto, a Microsoft clarifica que a possibilidade de exploração é relativamente menos prática do que parece.

Isto porque apenas se poderia explorar a falha sobre condições específicas, onde tanto a vítima como o atacante necessitavam de se encontrar na mesma rede sem fios e ter uma forma de ligação direta entre si. Além disso, a Microsoft afiram que a falha não era conhecida, e como tal, não terá sido ativamente explorada.

No entanto, agora que é do conhecimento público, pode começar a ser ativamente usada como forma de tentativa de ataque. A Microsoft já fornecer a correção para esta falha com o mais recente Patch Tuesday, que já deve ter sido fornecido para a maioria dos utilizadores – a instalação do mesmo é certamente recomendada, tanto por corrigir esta falha como outras importantes no sistema.

16/06/2024
Pure Storage confirma roubo de dados em ataque informático

A empresa Pure Storage, focada em serviços cloud e de armazenamento, confirmou ter sido vitima de um ataque, que pode ter permitido acesso a dados informativos sobre a empresa e os seus clientes.

O ataque terá partido de vulnerabilidades recentemente descobertas sobre o Snowflake. Por entre os dados potencialmente comprometidos encontram-se nomes de clientes, nomes de utilizador, emails e outras informações estatísticas. No entanto, a empresa afirma que dados como senhas e dados de pagamento não foram comprometidos.

Segundo o comunicado da empresa, os atacantes terão explorado a falha do Snowflake apenas sobre um workspace, o que terá limitado o acesso a dados que os mesmo obtiveram. O sistema que foi comprometido estaria a ser usado para fins estatísticos de e de feedback do suporte, o que terá limitado também a quantidade de dados acedidos.

A empresa garante que foram aplicadas medidas para garantir a segurança da infraestrutura, e que não existem indícios de outros dados sensíveis terem sido acedidos neste ataque.

De notar que a Pure Storage possui alguns clientes de relevo, como a Meta, Ford, JP Morgan, NASA, NTT, AutoNation, Equinix e Comcast, entre outras entidades internacionais.

11/06/2024
Maior plataforma de vídeos no Japão passa por reconstrução depois de ciberataque

Nos últimos quatro dias, um dos maiores sites de partilha de vídeos no Japão tem estado inacessível, que agora se sabe ter sido derivado de um ataque em larga escala contra a entidade do mesmo.

A Kadokawa, entidade responsável pela plataforma de vídeos Niconico, confirmou ter sido vítima de um ciberataque, que começou a ser identificado no dia 8 de Junho. O ataque terá causado com que praticamente todos os serviços da entidade ficassem inacessíveis.

Segundo o comunicado da empresa, derivado do ataque, esta foi forçada a encerrar os servidores associados com a plataforma, para prevenir a possível perda de dados ou danos maiores. Numa mensagem publicada no site agora temporário da entidade, é referido que a entidade encontra-se a trabalhar para restabelecer a normalidade – embora não tenham sido deixados mais detalhes sobre o caso.

Algumas fontes apontam que o ataque terá causado danos consideráveis na infraestrutura da plataforma, que se encontra atualmente a ser reconstruída de “raiz”. Algumas fontes apontam que a empresa encontra-se a restruturar toda a infraestrutura do site, de forma a colocar novamente os conteúdos acessíveis para os utilizadores.

Não se conhecem detalhes sobre o género de ataque sofrido, mas tendo em conta que pode estar em vista uma restruturação completa da infraestrutura, parece que terá afetado pontos chaves da mesma.

O Niconico é bastante similar ao Youtube, embora focado para o publico no japão. É considerado o segundo maior site de partilha de vídeos na região.

11/06/2024
Código fonte do New York Times surge na internet

Recentemente, um utilizador do portal 4Chan afirma ter conseguido obter mais de 270 GB de dados internos do New York Times, incluindo código fonte da infraestrutura da entidade e outros dados das plataformas web.

De acordo com a fonte, este basicamente indica ter todo o código fonte associado com a instituição, num total de 5000 repositórios e mais de 3.6 milhões de ficheiros, que se encontram agora disponíveis para download via várias redes p2p.

O New York Times não validou até ao momento a legitimidade dos ficheiros e conteúdos roubados, e agora disponíveis para download. No entanto, a lista parece integrar vários conteúdos com referências à entidade, de acordo com várias fontes pelos meios sociais.

Os dados integram coisas simples, como o código fonte usado pela plataforma Wordle, como também dados mais sensíveis e avançados, como detalhes dos relatórios de marketing da empresa e de campanhas realizadas.

Esta não é a primeira vez que o New York Times é alvo de um ataque deste género, onde informações internas eventualmente acabam por ser disponibilizadas publicamente, no entanto, é a primeira vez que os dados se encontram facilmente acessíveis por qualquer um.

09/06/2024
LastPass confirma falha que impediu acesso a dados por mais de 12 horas

A LastPass, conhecido gestor de senhas, esteve recentemente inacessível para vários utilizadores durante algumas horas, impedindo os mesmos de acederem aos dados guardados nas suas contas na plataforma.

Agora, a empresa veio confirmar mais detalhes sobre o sucedido. De acordo com o comunicado da mesma, durante quase 12 horas, a plataforma esteve inacessível derivado de uma incorreta atualização lançada para a extensão do Chrome.

Os utilizadores começaram a verificar o problema durante o dia de ontem, quando ao se tentar aceder ao cofre da LastPass, era apenas apresentada uma página de erro 404, normalmente associada com o facto da página não existir.

Vários utilizadores rapidamente começaram a expressar as suas preocupações e frustrações contra a empresa, a nível das redes sociais, e ainda mais depois de todos os problemas que a LastPass tem vindo a enfrentar nos últimos meses.

Os utilizadores indicavam que, até mesmo quando se tentava o formato de acesso offline, era impossível de aceder aos cofres para obter os dados de login guardados nos mesmos. Obviamente, isto é algo bastante preocupante para a maioria, que podem ficar impedidos de aceder a todas as suas contas digitais.

Um utilizador no Reddit afirma considerar preocupante que uma plataforma como o LastPass não tenha forma de permitir o acesso aos dados em caso de problemas, e que este terá sido um dos motivos para começar a procurar alternativas.

Agora, mais detalhes sobre o problema foram finalmente revelados. Na página de status da LastPass, a equipa da plataforma confirmou que os erros encontram-se associados com uma incorreta atualização lançada para a extensão do Google Chrome, que pode ter impedido o correto login na plataforma.

O problema esteve ativo durante mais de 12 horas, antes da LastPass começar a enviar a atualização com as correções. No entanto, pode ainda ter demorado mais tempo para chegar a todos os utilizadores – tendo em conta que as atualizações de extensões são feitas de forma gradual, e pode demorar até dias a chegar a todos os utilizadores.

A piorar a situação, este problema parece ter causado uma sobrecarga a nível dos próprios sistemas da empresa, que começaram a receber milhares de pedidos, que praticamente levaram a que fosse feito um ataque DDoS contra o site da plataforma, causando ainda mais atrasos até para quem tinha recebido as correções.

Embora a situação esteja consideravelmente mais controlada de momento, este é apenas mais um conjunto de problemas que tem vindo a afetar a LastPass nos últimos meses. Muitos utilizadores encontram-se a perder a confiança nesta plataforma, ainda mais tendo em conta que gere dados consideravelmente sensíveis como senhas, sendo que muitos optam por procurar alternativas mais fiáveis.

08/06/2024
Falha de PHP em Windows pode afetar milhares de servidores na internet

Uma nova falha grave de segurança foi descoberta na versão do PHP para Windows, que afeta todas as instalações desde o PHP 5.x. Esta falha possui o potencial de afetar um largo número de sistemas Windows onde o PHP se encontre instalado.

O PHP é uma linguagem de programação bastante usada na internet, tanto em ambiente Linux como Windows, e focada para a criação de sites e aplicações web.

A falha em questão, CVE-2024-4577, foi reportada no dia 7 de Maio de 2024 pelo investigador Orange Tsai, que reportou a mesma à equipa de desenvolvimento do PHP. A correção para a falha foi disponibilizada durante o dia de ontem, sendo recomendado que todas as instalações sejam atualizadas o mais rapidamente possível.

A falha pode permitir que sejam enviados comandos remotos para sistemas onde as versões de PHP vulneráveis se encontrem. Com isto, estes sistemas podem ficar abertos para possíveis ataques, e eventualmente, podem acabar por ser usados para comprometer dados sensíveis.

Como a falha foi agora conhecida publicamente, existem já bots que se encontram a identificar sistemas vulneráveis para tentar explorar a mesma. Caso seja explorada, a falha pode permitir que código aleatório seja executado nos sistemas remotos, através de pedidos especialmente criados para explorar a falha.

Esta falha pode afetar praticamente todas as instalações do PHP em ambientes Windows, mas possui particular impacto em sistemas que se encontrem em modo CGI. Tendo em conta que este é o modo padrão do XAMPP, um dos mais populares ambientes de produção, é possível que o ataque seja voltado diretamente contra o mesmo.

Recomenda-se que as instalações do PHP sejam atualizadas o mais rapidamente possível em todas as arquiteturas Windows. De notar que a correção apenas será fornecida para versões mais recentes do PHP, e não para as que já se encontram em EoL.

07/06/2024
Gitlocker: nova campanha de extorsão para repositórios do GitHub

Depois de ataques ransomware terem começado a ganhar popularidade, devido sobretudo ao potencial de as vítimas terem de pagar para recuperar os seus dados, agora a mesma ideia encontra-se a ser explorada por alguns grupos, mas com foco no GitHub.

De acordo com o investigador de segurança Germán Fernández, uma nova campanha encontra-se focada sobretudo para programadores e empresas que tenham conteúdos guardados no GitHub.

O investigador revelou ter descoberto uma nova campanha de extorsão, onde os repositórios das vítimas são encriptados e modificados no GitHub, e para se obter novamente acesso aos conteúdos é necessário realizar o pagamento de uma quantia via Telegram.

A campanha deste formato de ransomware possui o nome de “Gitloker”, e parte do nome do canal usado pelos atacantes para entrar em contacto com as vítimas do mesmo.

O ataque começa com o roubo dos dados de acesso às contas do GitHub, onde se tenha permissões para alterar os conteúdos dos repositórios. O atacante procede então com a eliminação dos conteúdos do repositório, alterando também o seu nome, e deixando apenas uma mensagem com os detalhes de como proceder ao pagamento para recuperar o conteúdo.

O atacante deixa a instrução para se entrar em contacto pelo Telegram, de onde se pode proceder à recuperação dos conteúdos através da realização de pagamentos diretos.

Este ataque tira proveito de contas potencialmente comprometidas do GitHub, como tal é importante garantir que as contas possuem as seguranças necessárias para prevenir acessos de terceiros, como ativar a autenticação em duas etapas e aplicar práticas de segurança regulares, verificar todos os emails da conta e verificar regularmente os membros ativos que estejam nos repositórios.

06/06/2024
Grupos russos confirmam ciberataques no primeiro dia de eleições europeias

Durante esta quinta-feira, o site de três partidos políticos dos Países Baixos terão ficado indisponíveis depois de terem sido alvo de um ciberataque, no que será o arranque das eleições europeias.

Os ataques foram confirmados por grupos associados à Rússia, no que aparenta ser um ataque coordenado contra os sites dos partidos no primeiro dia de Eleições Europeias. O ataque teve como alvo os sites do Apelo Democrata-Cristão (CDA), o Partido da Liberdade (PVV) e o Fórum pela Democracia (FvD).

Este ataque terá sido reivindicado pelo grupo HackNeT, que é conhecido pelas suas ligações com o governo Russo. Numa mensagem deixada no Telegram, o grupo confirma ter realizado o ataque, ao que se acrescenta na lista ainda os sites do Partido Político Reformado dos Países Baixos (SGP) e o Tribunal de Contas Europeu (TCE).

O grupo afirma ainda que se encontra a preparar ataques contra algumas das infraestruturas de internet pela Europa, a par com a chegada das eleições europeias.

No caso do site do Tribunal de Contas Europeu, este também aparenta encontrar-se inacessível derivado do ataque. Em comentário ao portal Euronews, um porta-voz confirma que o site encontra-se inacessível derivado de um ataque DDoS realizado ao mesmo.

Estes ataques surgem numa altura em que existem várias partes que apontam que forças externas podem tentar prejudicar o resultado das votações europeias. Várias entidades afirmam que as 72 horas que antecedem as votações tendem a ser as mais críticas, e que foram mobilizadas equipas dedicadas para combater este género de ataques, e também campanhas de desinformação que possam vir a partilhar-se por várias plataformas sociais.

06/06/2024
Fãs do Club Pinguin acedem a servidores da Disney e roubam 2.5GB de dados

Em tempos, o Club Penguin foi um dos jogos mais atrativos da internet, sobretudo pela camada mais jovem de utilizadores. E embora a Disney tenha terminado este legado, ainda existe uma comunidade bastante ativa de seguidores do jogo.

Entre estes seguidores encontram-se também alguns que são reconhecidos como “hackers”, e que agora confirmaram ter acedido a informações internas da empresa sobre o jogo, num ataque feito aos servidores Confluence da Disney.

Club Penguin foi um jogo MMO criado em 2005, e que se manteve ativo até 2018. A Disney tinha encerrado os servidores originais em 2017, e o sucessor Club Penguin Island foi encerrado em 2018. No entanto, existem ainda servidores privados que usam adaptações do jogo para manterem o legado vivo – embora em formato ilegal, tendo em conta que se trata de conteúdo pertencente diretamente à Disney.

Durante esta semana, um utilizador do 4chan partilhou um conjunto de ficheiros PDF, que dizem respeito a conteúdos associados ao jogo. No total, o utilizador partilhou 137 ficheiros PDF, associados com informações internas sobre o Club Pinguin, onde se integra emails, esquemas de funcionamento, informações sobre novas funcionalidades e outros detalhes do jogo.

Algumas das informações possuem mais de sete anos, portanto não terão grande impacto para um jogo que nem se encontra mais ativo. Ainda assim, podem ser interessantes para quem ainda se mantenha com a nostalgia do jogo.

No entanto, parece que esta foi apenas uma pequena parte dos conteúdos realmente roubados. A mesma fonte aponta que o atacante, além de dados associados com o jogo, terá ainda conseguido aceder aos sistemas Confluence da Disney, usando dados de login previamente comprometidos, e de onde se terá descarregado quase 2.5 GB de informação da Disney – entre a qual dados internos da empresa, ferramentas de desenvolvimento e de projetos, contratos e outras informações associadas com a empresa.

Muitos dos conteúdos integram ainda APIs internas usadas pela Disney, e até mesmo tokens de acesso a sistemas de controlo da empresa.

Embora os dados do Club Penguin sejam relativamente antigos, os dados agora divulgados sobre o ataque parecem ser relativamente recentes, com informações datadas ainda de 2024.

Até ao momento a Disney ainda não comentou sobre o caso. A informação recolhida encontra-se atualmente a ser distribuída em vários canais do Discord privados, a maioria associada com grupos do Club Penguin.

06/06/2024
Maior roubo de criptomoedas do ano pode ter sido realizado

A plataforma DMM Bitcoin, sediada no Japão, encontra-se a alertar para o potencial roubo de quase 4502.9 bitcoins da sua plataforma, o que corresponde a quase 308 milhões de dólares.

A empresa afirma que esta quantia foi roubada de uma das suas carteiras durante o dia de hoje, sendo um dos maiores roubos realizados deste género em 2024. De acordo com a mensagem enviada pela empresa aos seus clientes, o roubo terá sido identificado durante o dia de hoje, quando uma das suas carteiras foi subitamente esvaziada.

A plataforma afirma que ainda se encontra a analisar o roubo, e a obter mais informações do mesmo, mas que ainda será cedo para deixar detalhes. No entanto, a plataforma já confirmou que vai aplicar medidas de restrição nos seus serviços enquanto a investigação estiver a ser realizada, o que pode ter impacto na forma como os utilizadores usam a mesma.

Tarefas como o registo de novas contas, transferências e outras atividades encontram-se atualmente suspensas, e devem manter-se nesse formato durante o período de investigação do roubo.

A DMM Bitcoin não revelou detalhes de como o ataque terá ocorrido, mas por norma, este género de roubos ocorrem quando sistemas internos da empresa são comprometidos de alguma forma, e permitem chegar às carteiras internas das mesmas.

A empresa garante ainda que este roubo não afeta, de nenhuma forma, os fundos dos clientes, que já se encontram cobertos novamente pelos investimentos da mesma.

De acordo com a entidade Elliptic, que se encontra a monitorizar o roubo, os atacantes já começaram a distribuir os fundos por diferentes carteiras de criptomoedas, com o objetivo de dificultar a identificação das mesmas.

Este é o oitavo maior roubo de criptomoedas na história, e a confirmar-se, um dos maiores realizados este ano.

31/05/2024
Ticketmaster confirma roubo de dados de 560 milhões de clientes

Um grupo de hackers afirma ter roubado dados de quase 560 milhões de clientes da plataforma Ticketmaster, usada para a venda de bilhetes para grandes eventos em diversos países.

A Ticketmaster é considerada uma das maiores empresas de venda de bilhetes no mercado, estando disponível em vários países, e realizando a venda para vários concertos e eventos de grande impacto.

De acordo com o portal Hackread, um grupo de hackers alegadamente terá conseguido obter acesso aos sistemas internos da entidade, de onde forma roubados milhares de dados associados com clientes da plataforma. O grupo, apelidado de ShinyHunters, afirma ter roubado mais de 1.3 TB de dados dos clientes que usaram a plataforma nos últimos tempos.

Por entre os dados roubados encontram-se nomes, moradas, endereços de email, números de telefone, e algumas informações relativamente a cartões de crédito usados pelos clientes nas compras de bilhetes para eventos.

O grupo encontra-se agora a vender os dados por aproximadamente 461 mil euros, em várias plataformas da dark web. Embora inicialmente não tivessem sido dadas confirmações, a Live Nation, empresa mãe da Ticketmaster, terá agora confirmado o roubo.

Num comunicado, a empresa garante que terá sofrido um roubo de dados no dia 20 de Maio, quando um terceiro não autorizado terá conseguido obter acesso aos sistemas internos da empresa. Com este acesso, o mesmo terá procedido com o roubo massivo dos dados sensíveis.

Estes dados foram depois colocados à venda na dark web no dia 27 de Maio. A empresa alega que se encontra a investigar o incidente, mas os detalhes ainda não são inteiramente conhecidos de como foi realizado o acesso original.

A empresa afirma ainda que se encontra a notificar os clientes afetados, com informações do que realizar em seguida e medidas de segurança a ter em conta com base nos dados acedidos e roubados.

Embora a empresa tenha confirmado o roubo dos dados pessoais dos clientes, esta afirma que o ataque não deve afetar as operações da empresa ou a nível financeiro a mesma.

31/05/2024
Botnet danificou 600 mil routers sem razão aparente em 2023

Uma rede botnet bastante misteriosa pode ter causado falhas em mais de 600.000 routers espalhados pelo mundo, colocando os mesmos offline. A rede botnet atacou um grupo especifico de routers, usados por algumas operadoras.

O evento aconteceu em 2023, sendo que a rede é apelidada de “Pumpkin Eclipse”. Segundo os investigadores da Lumen Black Lotus Labs, o ataque ocorreu em 2023, e terá deixado milhares de routers inacessíveis entre 25 e 27 de Outubro de 2023.

O ataque foi bastante destrutivo, tanto que os donos destes routers tiveram mesmo de substituir os mesmos para voltarem a ter ligação com a rede. O ataque parece ter sido voltado para routers domésticos, que são vendidos pelas operadoras para os clientes.

O ataque afetou os routers ActionTec T3200s, ActionTec T3260s, e Sagemcom F5380. Os investigadores afirmam que o ataque teve maior impacto nos EUA, onde uma operadora local estaria a fornecer estes modelos de routers específicos para os seus clientes.

Na altura do ataque, essa operadora perdeu quase 49% dos acessos regulares devido aos clientes terem ficado sem acesso à internet, com os routers inutilizados. Os investigadores não revelaram o nome da operadora afetada.

Segundo os investigadores, que analisaram o ataque, este aparenta ter afetado mais de 600.000 routers. Embora não tenha sido revelado o nome da operadora afetada, acredita-se que pode estar relacionado com falhas registadas pela Windstream na mesma altura.

Vários clientes desta operadora reportaram falhas na ligação à internet na mesma altura em que o ataque terá ocorrido.

Embora o ataque tenha afetado um alargado número de routers ao mesmo tempo, os investigadores não conseguiram identificar a origem para tal atividade. Acredita-se que os atacantes podem ter explorado uma falha existente no sistema do router, que era desconhecida, para levar ao problema.

Os scripts usados para o ataque terão ainda recolhido dados dos routers e das redes afetadas, enviando a informação para um servidor em controlo dos atacantes. Depois disso, o script encontra-se programado para eliminar permanentemente todos os dados armazenados no sistema de memória dos routers, causando com que estes fiquem totalmente inoperacionais.

Os investigadores afirmam que o malware instalado nos routers para causar esta falha teria ainda capacidade de usar os mesmos para ataques DDoS, mas que essa funcionalidade não foi usada.

Curiosamente, embora o ataque tenha afetado um alargado numero de routers no mercado, as motivações que levaram a tal são ainda desconhecidas.

30/05/2024
BBC confirma roubo de dados de antigos e atuais funcionários

A empresa BBC confirmou recentemente ter sido vítima de um ataque informático, no qual dados de atuais e antigos funcionários da empresa podem ter sido comprometidos.

De acordo com o comunicado da entidade, o ataque foi realizado no dia 21 de Maio, e afetou os sistemas internos da mesma usados para a gestão de funcionários. A empresa registou um acesso não autorizado aos sistemas, que terá permitido o roubo de dados sensíveis dos mesmos.

Estima-se que tenham sido roubados dados de 25.000 pessoas, incluindo atuais e antigos funcionários da entidade no Reino Unido. Entre os dados encontram-se nomes completos, moradas, números de identificação nacional, datas de nascimento e outras informações pessoais.

A entidade afirma que, embora alguns dados tenham sido roubados e acedidos, informações como números de telefone, emails, dados financeiros e bancários ou senhas não foram comprometidas.

Além disso, o ataque não terá afetado os diferentes serviços da entidade, que continuaram a funcionar normalmente.

Os funcionários afetados devem ser contactados diretamente com mais informações, sendo que as autoridades do Reino Unido foram igualmente notificadas do incidente.

A empresa garante ainda que, embora os dados tenham sido acedidos e roubados por uma entidade externa, não se conhecem para já detalhes sobre o uso dos dados de forma maliciosa.

30/05/2024
Criminosos fazem-se passar como “ajudantes” no Stack Overflow

Grupos de utilizadores do Stack Overflow estão a usar a plataforma para levar outros utilizadores a instalarem pacotes maliciosos nas suas criações. Estes utilizadores fazem-se passar por ajudantes na Stack Overflow, mas conforme fornecem respostas para as questões, levam as suas respostas para conteúdos potencialmente maliciosos.

De acordo com o investigador Ax Sharma, da empresa Sonatype, o esquema começa quando uma vítima usa o Stack Overflow para colocar a sua questão, esperando obter ajuda da comunidade. No entanto, utilizadores com intenções maliciosas tentam responder de forma credível, levando os mesmos a instalarem pacotes PyPi maliciosos nos seus sistemas.

Se instalado, este pacote acaba por levar à instalação de malware nos sistemas, que pode ter o potencial de roubar informações sensíveis do mesmo – como senhas e dados guardados no navegador.

Este género de ataques normalmente tentam tirar proveito de erros na escrita do nome dos pacotes. No entanto, aqui a técnica é diferente, sendo que se tenta levar à ajuda comunitária, onde o pacote aparentemente iria resolver todos os problemas.

Tendo em conta que o Stack Overflow é usado tanto por utilizadores experientes como novatos, este género de campanhas possui um elevado grau de potencial de ataque. Mesmo utilizadores com alguns conhecimentos podem acabar por ser enganados, pensando que estão a receber ajuda de outros utilizadores na comunidade.

Este género de campanhas relembram que deve-se ter atenção aos vários meios como os ataques são feitos, até mesmo quando se pensa que pode estar a receber ajuda de terceiros.

30/05/2024
Internet Archive alvo de ataques DDoS por vários dias

As plataformas da Internet Archive, entidade conhecida por realizar o arquivamento de conteúdos pela internet, tem sido alvo de um largo ataque DDoS, que se prolonga por vários dias.

A plataforma começou a verificar largos volumes de tráfego, associados com padrões de ataques DDoS, no final da semana passada. De acordo com Chris Freeland, diretor dos serviços da entidade, o ataque terá começado durante o final de Domingo, porém a plataforma conseguiu mitigar o mesmo.

Apesar disso, nos dias seguintes, a mesma tem sido constantemente fustigada com ainda mais ataques, em vagas que em algumas situações chegam a causar impacto no carregamento do serviço. O site principal do Way Back Machine encontra-se a apresentar um funcionamento inconsistente, bem como os restantes serviços da plataforma.

Segundo a entidade, os ataques ainda se encontram a decorrer, mas a origem dos mesmos é até ao momento desconhecida. Nenhum grupo em particular veio reivindicar os mesmos, apesar de todos os impedimentos causados.

Embora o ataque tenha causado alguns problemas de acessibilidade para a plataforma, esta afirma que está longe de ser um dos principais problemas da mesma. De relembrar que a Internet Archive encontra-se atualmente numa batalha legal com alguns meios nos EUA, que procuram encerrar as suas atividades.

UMG Recordings, Capitol Records, Concord Bicycle Assets, CMGI Recorded Music Assets, Sony Music e outras editoras lançaram recentemente uma campanha contra a plataforma, derivado da possível violação de direitos de autor realizada por esta.

Este processo junta-se a outros que foram realizados contra a entidade nos anos anteriores, e que podem somar quantias elevadas de pagamentos em coimas caso sejam considerados válidos – e que poderiam mesmo ditar o fim da entidade, que relembre-se, é uma entidade sem fins lucrativos.

Para já, a plataforma continua a adaptar-se para combater os ataques DDoS constantes, sendo que alerta para a possibilidade de alguns serviços encontrarem-se inacessíveis de forma temporária durante os próximos dias.

29/05/2024
Centenas de aplicações maliciosas descobertas na Google Play Store

Embora a Play Store da Google ainda seja um dos locais mais seguros para instalar aplicações no Android, de tempos a tempos algumas apps maliciosas conseguem passar as barreiras de segurança para serem distribuídas pela mesma.

Recentemente, um grupo de investigadores revelou ter descoberto mais de 90 apps maliciosas que estariam disponíveis via a Play Store da Google. As aplicações continham o malware conhecido como Anatsa, que é conhecido por tentar roubar dados bancários das vítimas.

Segundo os investigadores, as aplicações maliciosas foram instaladas mais de 5.5 milhões de vezes ao longo de vários meses em que permaneceram na loja de aplicações da Google.

As aplicações mascaravam-se de leitores de ficheiros PDF ou de códigos QR, e embora fornecessem as funcionalidades que eram esperadas, em segundo plano encontravam-se a instalar o malware para o roubo de dados sensíveis. As aplicações mascaravam-se ainda de editores de texto, tradutores e outras ferramentas úteis para o dia a dia.

Como as apps forneciam o que era prometido, muitos utilizadores nem saberiam ter sido infetados até que os dados bancários e de plataformas de pagamento fossem roubados. Ao mesmo tempo, eram aplicadas técnicas para evitar que o malware fosse identificado.

As apps não procediam imediatamente com o ataque, nem com o download de malware. Invés disso, estas mantinham-se escondidas no sistema por alguns dias, sendo que apenas depois desse período de tempo era descarregado o malware no mesmo, e procedia-se com o roubo de dados. O próprio malware encontra-se fortemente encriptado para evitar a deteção.

Os atacantes optaram por usar aplicações de leitura de PDF e códigos QR por serem aplicações populares de serem usadas com regularidade, e que a maioria dos utilizadores mantém nos seus dispositivos por mais tempo.

Algumas das aplicações contavam com milhares de downloads, e é possível que ainda se encontrem em lojas de aplicações alternativas. As aplicações maliciosas descobertas foram removidas diretamente da Play Store, pelo que não se encontram mais disponíveis via esse meio.

29/05/2024
Internet Archive encontra-se inacessível devido a ataque DDoS

A Internet Archive, plataforma conhecida por arquivar conteúdos da Internet, encontra-se atualmente inacessível. A plataforma encontra-se a verificar uma vaga de ataques DDoS que estão a causar a inacessibilidade a vários serviços da mesma.

A Internet Archive é uma organização sem fins lucrativos que tem como objetivo arquivar e disponibilizar gratuitamente uma vasta quantidade de conteúdos digitais. Fundada em 1996 por Brewster Kahle, a Internet Archive funciona como uma biblioteca digital e um repositório de preservação de materiais culturais e históricos na internet.

A plataforma tem vindo a enfrentar algumas pressões de diferentes entidades, sobretudo a nível da proteção dos direitos de autor.

Durante o dia de hoje, a plataforma terá ficado inacessível, sendo que, a partir da sua conta na X, foi confirmado que tal deriva de um ataque DDoS que está a ser realizado na sua infraestrutura.

A plataforma encontra-se a verificar falhas no carregamento de vários conteúdos, e no acesso aos serviços e API. De momento ainda se desconhece quando a situação estará resolvida.

27/05/2024
Versão maliciosa do navegador Arc distribuída em resultados de pesquisa da Google

O navegador Arc tem vindo a ganhar bastante popularidade no mercado, prometendo personalizar a forma como os utilizadores navegam pela internet. Este navegador recebeu ainda mais atenção depois de ter ficado disponível para o Windows – anteriormente era destinado apenas a sistemas macOS.

No entanto, se existe quem esperava a versão Windows para o poder usar, também do lado dos criminosos isso está a ser aproveitado para alguns ataques.

Recentemente foi descoberta uma nova campanha de malware, focada para quem procura descarregar o Arc no Windows. Esta campanha propaga-se sobretudo sobre os resultados de pesquisa do Google, direcionando os utilizadores para falsos sites.

De acordo com a empresa de segurança Malwarebytes, os atacantes encontra-se a lançar campanhas nos resultados de pesquisa, que surgem quando se procura por termos associados com o download do Arc para Windows. Os resultados direcionam os mesmos para sites aparentemente legítimos, onde se encontra o download do navegador.

No entanto, quando os utilizadores realmente acedem ao resultado, são direcionados para um falso site, que possui um domínio similar ao original, e onde se encontra alegadamente o navegador. Porém, trata-se de uma versão falsa, que possui malware integrado para o roubo de dados do sistema onde seja instalado.

O malware instala uma variante modificada do navegador, que conta com código focado em enviar comandos para o sistema de armazenamento cloud da MEGA. Embora a plataforma da MEGA seja legítima, os atacantes encontram-se a usar a mesma como forma de comunicação para o malware, enviando comandos ao mesmo e usando a API da plataforma para o envio de dados roubados dos sistemas infetados.

O malware começa por descarregar uma imagem PNG do MEGA, que é depois modificada no sistema para se tornar um executável, de onde começa o ataque. Se instalado, o malware procede com o roubo de dados sensíveis do sistema, como de senhas guardadas em outros navegadores no mesmo.

O Arc é igualmente instalado no sistema das vítimas, de forma que o ataque pode ser realizado de forma silenciosa, com as vítimas a pensarem ter descarregado a versão correta do navegador.

Como sempre, é importante ter atenção a todos os locais de onde se descarrega novo software, sobretudo quando é feito a partir de fontes como pesquisas em motores de pesquisa – uma das formas de evitar este ataque passa por usar bloqueadores de publicidade, ou aceder diretamente ao site dos criadores do software.

27/05/2024
Ransomware usa funcionalidade do Windows para encriptar o sistema

Existe uma nova variante de ransomware que se encontra focada em infetar sistemas Windows, e para tal, tira proveito das próprias funcionalidades do sistema.

Conhecido como ShrinkLocker, este novo ransomware encripta a partição de arranque do sistema usando o Windows BitLocker, funcionalidade normalmente usada para encriptar os dados dos utilizadores de forma segura nos seus sistemas.

De acordo com a empresa de segurança Kaspersky, o ransomware tem vindo a propagar-se em massa para mais sistemas, sendo que o foco aparentam ser dispositivos de entidades governamentais.

Os investigadores apontam que as variantes mais recentes deste ransomware adotam novas formas de encriptarem os dados, para serem ainda mais eficazes, mas também mais destrutivas, bloqueando acesso a sistemas sensíveis.

O ShrinkLocker usa a programação Visual Basic Scripting (VBScript), que a Microsoft criou em 1996, e encontra-se agora em vias de ser descontinuado do Windows – embora ainda ativo e bastante usado para ataques de malware em geral.

O ransomware começa por identificar o sistema que se encontra instalado, usando as próprias ferramentas do Windows para tal. Com isto, aplica diferentes formatos de encriptação, focando-se em garantir que os dados ficam encriptados o melhor possível.

Se o malware identificar que se encontra num sistema que não corresponde ao pretendido – por exemplo, com o Windows Vista ou inferior – o mesmo não realiza qualquer ação e elimina todos os seus vestígios.

Ao contrário dos ransomware regulares, onde normalmente existe um meio de contacto que é colocado em ficheiros no ambiente de trabalho, este ransomware não aplica tal técnica. Invés disso, cria um novo disco de arranque, com um contacto de email para as vítimas poderem tentar recuperar os dados.

No entanto, este nome apenas surge caso as vitimas tentem usar ferramentas de recuperação para identificar o problema com o sistema, onde então poderão verificar o nome da partição invulgar.

A chave de desencriptação é enviada diretamente para os atacantes, que bloqueiam assim o acesso ao sistema até que o pagamento seja realizado. No entanto, tendo em conta o formato do ataque, os investigadores acreditam que o mesmo não se encontra focado em ganhos monetários, mas sim para levar à destruição de dados.

24/05/2024
OmniVision revela roubo de dados em ataque ransomware de 2023

A empresa OmniVision encontra-se a confirmar que teve um roubo de dados associado com um ataque ransomware, registado o ano passado, e que pode ter comprometido informação interna da mesma e de alguns dos seus clientes.

A OmniVision é conhecida por desenvolver sensores fotográficos, bastante usados em câmaras de smartphones e diversos dispositivos em geral. Em 2023, a empresa contava com 2200 funcionários, e teria receitas de 1.4 mil milhões de dólares.

Durante esta semana, a empresa notificou as autoridades norte-americanas sobre uma falha de segurança, que terá sido identificada a 4 de Setembro de 2023, e durou até 30 de Setembro de 2023. Neste período, os sistemas da entidade foram afetados por ransomware, onde conteúdos dos mesmos foram igualmente roubados.

A mensagem indica que, a 30 de Setembro, a empresa foi notificada do incidente de segurança, onde vários sistemas da mesma teriam sido encriptados com ransomware. Agora sabe-se também que dados da empresa terão sido roubados como resultado deste ataque.

Entre os dados potencialmente roubados encontram-se cópias de passaportes e acordos da empresa, bem como contratos e outros documentos confidenciais, que envolvem tanto a empresa como alguns dos seus clientes.

A mensagem enviada às autoridades continha alguns exemplos de documentos que podem ter sido roubados, mas de forma censurada.

O grupo responsável pelo ataque terá disponibilizado gratuitamente o acesso a todos os dados roubados na altura do mesmo, o que terá forçado a empresa a investigar a situação, e a chegar agora a esta conclusão. O conteúdo foi, entretanto, removido do site usado na rede Tor pelo grupo de ransomware.

21/05/2024
Santander confirma ataque informático, mas não afeta clientes em Portugal

O banco Santander confirmou ter sido vítima de um ataque informático, que afetou a sua base de dados de clientes em Espanha.

Segundo o Jornal de Negócios, a empresa terá notificado a CMVM espanhola sobre o ataque informático, indicando ter sido identificado um acesso recente não autorizado à sua base de dados, alojada num sistema de um dos fornecedores da empresa.

A empresa confirmou ainda que, derivado deste acesso, terão sido acedidos ainda dados de clientes do banco em Espanha, Chile e no Uruguai, onde se inclui também dados de funcionários da entidade. Nos restantes mercados onde a instituição se encontra, incluindo Portugal, não terão sido comprometidos dados.

A entidade afirma ainda ter aplicado de imediato medidas de contenção para limitar o acesso e bloquear a base de dados afetada, tendo ainda aplicado medidas para reforçar a segurança dos clientes.

Por fim, a instituição afirma ainda que não existem dados sobre transações feitas pelos clientes ou dados de acesso às suas contas comprometidas, sendo que as atividades da instituição e as atividades financeiras dos clientes podem continuar a ser realizadas com segurança.

No entanto, dados pessoais dos mesmos e outras informações que podem ser consideradas sensíveis terão sido acedidas neste ataque.

14/05/2024
Europol confirma ter sido alvo de ataque em portal web

A Europol confirmou ter sido vítima de um ataque informático, que afetou a Europol Platform for Experts (EPE). De acordo com o comunicado da entidade, o ataque encontra-se agora em investigação, sendo que o alegado hacker responsável pelo ataque afirma ter dados sensíveis da instituição em sua posse.

O EPE é um portal usado por especialistas das forças de segurança, como forma de partilhar informações e boas práticas a nível de crimes digitais.

A Europol afirma que foi notificada para o possível acesso de terceiros ao sistema, de onde podem ter sido recolhidos dados dos participantes no mesmo. No entanto, a entidade afirma que esta plataforma não conta com dados sensíveis da Europol, nem de investigações atualmente em vigor ou que possam ser drasticamente comprometidas.

Desta forma, a entidade afirma que nenhum dado operacional da mesma foi comprometido, nem das investigações atualmente em vigor. É importante sublinhar que, nos últimos meses, a Europol tem vindo a realizar um conjunto de detenções e medidas associadas com ciberataques, sobretudo no campo do ransomware.

Neste momento, o site da EPE encontra-se inacessível, com uma mensagem a informar de que a plataforma encontra-se sobre manutenção. Possivelmente será mantido nesse formato até que seja feita toda a investigação do incidente.

“IntelBroker”, um dos alegados atacantes, afirma que a plataforma continha dados de operações e confidenciais. Este alega ainda ter roubado vária informação que pode ser considerada sensível para a instituição.

O atacante afirma ainda ter atacado os sistemas da SIRIUS, um sistema usado pela Europol para partilhar informação associada com investigações em vigor com várias forças de segurança internacionais. Esta plataforma é vista como um meio seguro para a partilha de informações sensíveis sobre investigações a decorrer.

O mesmo encontra-se agora a vender os dados roubados, embora ainda se desconheça se existem interessados na compra.

11/05/2024
Dell alerta para roubo de dados de 49 milhões de clientes

A Dell, reconhecida fabricante de produtos informáticos, encontra-se a notificar os seus clientes para o potencial roubo de dados dos seus sistemas.

Numa mensagem enviada para alguns clientes via email, a empresa informa que foi identificado um acesso não autorizado a alguns sistemas da empresa, de onde podem ter sido recolhidos dados de alguns dos clientes.

De acordo com o portal BleepingComputer, a empresa afirma que o ataque terá sido realizado a um dos sistemas da empresa, usado para o registo de compras dos clientes. Embora a empresa confirme o potencial roubo de dados, também refere que os mesmos podem não acarretar riscos de segurança para os utilizadores afetados – tendo em conta a informação presente nos sistemas afetados.

Por entre os dados acedidos podem encontrar-se o nome, morada completa dos clientes e detalhes sobre as compras feitas de produtos da Dell, como números de série e outras informações logísticas.

Pouco depois desta confirmação, uma alegada base de dados foi colocada à venda em portais da dark web. Nestes, o vendedor da base de dados afirma ter obtido registos de 49 milhões de clientes da Dell, que realizaram compras pela empresa entre 2017 e 2024.

Os dados incluem os mesmos que a Dell afirma terem sido comprometidos.

A base de dados esteve algumas horas disponível para venda neste portal da Dark Web, mas foi, entretanto, removido. Normalmente isto ocorre quando a base de dados é adquirida por terceiros.

De notar que, embora não tenham sido comprometidos dados associados a emails, não seria a primeira vez que os atacantes usam moradas físicas para enviarem falsos produtos e dispositivos, ou para enviarem falsa documentação para tentar extorquir as vítimas.

09/05/2024