Categoria: ataque

DocGo confirma ataque com roubo de dados de alguns pacientes

A empresa norte-americana DocGo, a qual fornece serviços médicos de urgência, revelou ter sido alvo de um ataque informático. Deste ataque, os sistemas da entidade podem ter sido comprometidos, com dados de pacientes possivelmente afetados.

A DocGo afirma que o ataque levou a que dados dos pacientes nos EUA e Reino Unido possam ter sido comprometidos. A empresa afirma nos documentos entregues às autoridades que se encontra a trabalhar com entidades externas para avaliar os danos causados e os dados eventualmente roubados, mas que os clientes afetados devem ser prontamente notificados.

A empresa afirma ainda que, depois de ter identificado o ataque, foram tomadas as medidas preventivas para conter o mesmo, limitando o potencial impacto nos serviços e no roubo de dados de outros sistemas. O sistema informático da entidade foi inteiramente desativado durante a investigação, e para prevenir a propagação do ataque.

A DocGo afirma que os dados de pacientes da empresa terão sido comprometidos, mas apenas indica que os esmos terão sido de um “número limitado de registos”, o que pode indicar que não foi acedida a totalidade dos dados existentes na plataforma.

Os clientes da mesma afetados devem começar a receber notificações sobre o incidente, com medidas adicionais que devem ser tomadas. A empresa sublinha, por fim, que o ataque não terá causado impacto a nível financeiro para as atividades da empresa.

08/05/2024
Falha em plugin LiteSpeed Cache afeta 5 milhões de sites WordPress

Os administradores de sites do WordPress devem garantir que todos os seus plugins estão atualizados, sobretudo caso usem o plugin de cache “LS Cache” (Litespeed Cache).

Este plugin encontra-se atualmente instalado em mais de 5 milhões de sites WordPress, sendo usado para acelerar o carregamento de conteúdos através da criação de cache dos mesmos. No entanto, foi recentemente identificada uma vulnerabilidade, que pode ser usada para criar contas de administrador nos sites.

A vulnerabilidade foi descoberta pelos investigadores da empresa WPScan, em Abril, e segundo os mesmos, se for explorada pode permitir que os atacantes criem contas com acesso administrativo aos sites. A falha afeta todas as versões do plugin anteriores à 5.7.0.1.

Quando é explorada, a falha permite que seja injetado scripts no site, que permitem criar contas de administrador com o nome “wpsupp‑user” e “wp‑configuser”. Estas permanecem ocultas na instalação, mas podem ser usadas para acessos remotos e para alteração de dados do site.

A falha já se encontra a ser ativamente explorada para ataques, e embora uma grande parte dos utilizadores já tenham instalado as versões mais recentes do plugin, ainda existem maios de 1.835.000 sites afetados em versões antigas.

É recomendado que os administradores de sites WordPress atualizem as suas instalações o mais rapidamente possível, caso tenham este plugin, e verifiquem também se não foram alvo do ataque com a criação das contas de administrador do WordPress maliciosas.

07/05/2024
Cidade de Wichita encerra sistemas depois de ataque ransomware

A cidade de Wichita, no Kansas, confirmou que teve de encerrar a sua infraestrutura informática, depois de ter sido alvo de um ataque de ransomware no fim de semana.

O ataque terá afetado alguns dos sistemas fundamentais da rede da cidade, forçando a que tivessem de ser desligadas partes importantes da rede. A cidade de Wichita é considerada uma das mais populosas dos EUA, com mais de 400.000 habitantes.

Em comunicado, as autoridades locais afirmam que o ataque obrigou a que os sistemas da cidade tivessem de ser encerrados, o que deixou muitos serviços públicos sem capacidade de responder a vários pedidos dos cidadãos.

De momento ainda se desconhecem detalhes sobre os dados potencialmente roubados, caso tal tenha ocorrido, mas os ataques de ransomware normalmente levam ao roubo de dados e encriptação de sistemas. Tendo em conta as medidas aplicadas, é bastante provável que os sistemas da cidade tenham sido afetados desta forma.

O comunicado aponta ainda que as autoridades encontram-se a investigar o incidente, de forma a avaliar os danos causados, e devem fornecer mais informações durante as próximas semanas.

Embora a rede da cidade esteja afetada, alguns dos serviços básicos, como de segurança e emergência, ainda se encontram funcionais, com as atividades reguladas por meios alternativos.

07/05/2024
Google afirma que passkeys foram usadas mil milhões de vezes

As passkeys estão lentamente a tornar-se uma das principais formas de acesso a contas digitais, e a Google demonstra claramente isso com os dados mais recentes.

De acordo com a empresa, a celebrar o Dia Mundial da Password, esta confirmou que os utilizadores da empresa já usaram mais de mil milhões de vezes as passkeys. Isto surge menos de um ano depois da empresa ter começado a suportar, em larga escala, as mesmas.

A tecnologia foi inicialmente apresentada para o Chrome e Android em 2022, sendo que, na altura, os utilizadores poderiam usar a funcionalidade com o Chrome Canary e os Serviços da Google em formato Beta. Eventualmente, a função viria a ficar disponível para todos no canal estável das aplicações.

Agora, a empresa revela que mais de 400 milhões de contas usam já o sistema de passkeys, e que as mesmas foram usadas mais de mil milhões de vezes em menos de um ano.

As passkeys fornecem uma forma mais segura de login nas contas dos utilizadores online, das plataformas que as suportem, reduzindo o potencial de ataque que existe com as senhas tradicionais.

Na realidade, a empresa afirma que as passkeys são mais usadas no dia a dia que métodos de login alternativos, como o login via código único de acesso SMS ou por apps de autenticação. A empresa afirma ainda que pretende melhorar o sistema de autenticação no futuro, integrando o suporte da mesma no Advanced Protection Program (APP).

Existem cada vez mais empresas a adotar o sistema de passkeys para os seus métodos de login tradicionais, e espera-se que, conforme o sistema venha a ser mais usado no futuro, este sistema venha a surgir em ainda mais plataformas.

04/05/2024
NATO e Comissão Europeia condenam ataques de hackers russos na Alemanha

A Comissão Europeia e a NATO encontram-se a condenar um ataque informático que foi realizado por entidades russas, tendo como alvo a Alemanha. O ataque terá sido realizado por um grupo conhecido como APT28, que possui ligações com o governo russo.

O ataque foi confirmado pelas autoridades da Alemanha, que indicam que o grupo russo encontra-se por detrás do mesmo, e que tem vindo a realizar a mesma campanha contra vários outros países da zona euro.

No caso da Alemanha, o grupo terá conseguido obter acesso a várias contas de email de membros do Partido social democrático da Alemanha, onde se integra várias informações sensíveis das atividades do mesmo.

O grupo terá explorado uma falha zero-day do Outlook para obter acesso às contas das vítimas, e eventualmente, manter esse acesso para recolher informação sensível do partido. O ataque alargou-se ainda para outras entidades na Alemanha, bem como países que possuem relação direta com esta, e vários alvos na Ucrânia.

As várias plataformas europeias, nomeadamente a Comissão Europeia e a NATO, já vieram reagir a este ataque, considerando o mesmo inaceitável. A Ministra dos negócios estrangeiros da Alemanha, Annalena Baerbock, afirmou ainda numa conferência que o ataque terá consequências.

A par com a confirmação do ataque por parte da Alemanha, também a República Chega confirmou ter sido alvo de uma campanha similar, onde contas de emails de membros do executivo partidário no pais foram alvo de ataques em larga escala, com dados potencialmente comprometidos.

A NATO considera que os recentes ataques realizados pela Rússia no espaço digital devem ser tidos em conta, e que são atos de sabotagem, violência e retaliação contra apoiantes da Ucrânia ou contra as ações do presidente Russo.

O grupo APT28 é bem conhecido por parte das autoridades, tendo iniciado as suas atividades em meados do ano 2000. O grupo mantém ligações diretas com as forças autoritárias da Rússia, e é muitas vezes usado para campanhas focadas em países estrangeiros.

03/05/2024
DropBox confirma roubo de dados de clientes em plataforma de assinatura eletrónica

A DropBox, popular plataforma de armazenamento cloud, confirmou que um dos seus sistemas terá sido comprometido, e que dados sensíveis dos utilizadores podem ter sido roubados no processo.

De acordo com o comunicado da entidade, o ataque afetou o serviço Dropbox Sign, uma plataforma de assinaturas online. Os atacantes terão conseguido aceder aos tokens de autenticação, chaves MFA, passwords encriptadas e a informação dos clientes.

O ataque foi identificado no dia 24 de Abril, sendo que a empresa iniciou imediatamente uma investigação do sucedido. Da investigação foi descoberto que os atacantes obtiveram acesso à plataforma da Dropbox Sign, nomeadamente ao sistema de automação da mesma.

Com este aceso, e usando as ferramentas da empresa, os atacantes obtiveram acesso aos dados dos clientes que se encontravam na mesma plataforma. Entre os dados acedidos encontram-se nomes dos clientes, emails, senhas encriptadas, números de telefone e outras informações da conta, como chaves API e similares.

Para quem tenha usado a plataforma no passado, mas não registou uma conta, o e-mail e nome podem ter sido também comprometidos. No entanto, embora os dados pessoais dos clientes tenham sido acedidos, a Dropbox afirma que os documentos assinados pela plataforma não foram afetados.

Face ao incidente, a empresa procedeu com o reset de todas as senhas, e desligou todas as sessões ativas do Dropbox Sign. Os utilizadores devem ter de alterar a senha de acesso às suas contas no próximo login, bem como recriar possíveis chaves API.

A empresa recomenda ainda que os clientes fiquem atentos a possíveis mensagens suspeitas e de phishing relativamente a este roubo de dados.

01/05/2024
Okta alerta para onda de ataques “sem precedentes”

A Okta encontra-se a alertar para uma onda de ataques nunca antes vista contra a sua plataforma, focada em usar credenciais comprometidas das vítimas para tentar aceder aos serviços.

De acordo com a plataforma, o ataque encontra-se a ser realizado numa escala nunca antes vista pela empresa, usando dados comprometidos em ataques anteriores e a outras entidades. Alguns dos clientes da empresa já terão sido comprometidos derivado destes ataques.

Este género de ataques consiste em usar dados de login normalmente comprometidos de outras entidades, e que tenham sido comprados em leaks e outros fins ilícitos. A Okta afirma que os ataques registados nos últimos dias foram realizados em larga escala, com um volume bastante elevado de potenciais vítimas.

Os ataques parecem afetar sobretudo utilizadores do Okta Classic Engine, que não tenham aplicado políticas de segurança para prevenir logins de fontes desconhecidas ou inseguras. A maioria dos ataques encontram-se a ter origem de proxies residenciais, onde os mesmos são usados para ocultar as atividades e aparentarem ter sido feito de fontes legitimas pela internet.

A empresa deixa ainda algumas recomendações que os clientes podem seguir para garantir a proteção dos seus sistemas e serviços, entre os quais encontra-se adotar medidas de segurança gerais para evitar o uso de dados comprometidos – como reutilizar senhas antigas.

28/04/2024
Grupos de espionagem russos exploram antiga falha no Windows

Grupos de espiões russos encontram-se a explorar uma antiga vulnerabilidade no sistema de impressão do Windows para recolherem dados de sistemas em alvos específicos. A falha é explorada com recurso a um programa conhecido como GooseEgg.

Através da mesma, os atacantes podem elevar os seus privilégios no sistema, e roubar dados de autenticação nos mesmos, que podem depois ser usados para acesso aos sistemas e aos conteúdos da rede.

De acordo com os investigadores da Microsoft Threat Intelligence, os grupos de espiões hackers russos encontram-se a aumentar a sua atividade explorando estas falhas, com o objetivo de recolherem dados sensíveis de alvos bastante específicos.

A ferramenta usada para o ataque acredita-se ter sido criada por um grupo conhecido como Forest Blizzard (aka Fancy Bear). Os ataques terão começado em Junho de 2020, mas ainda se encontram ativos até aos dias atuais, e exploram a falha CVE-2022-38028 no serviço Windows Print Spooler.

Embora este género de ataques tenha como alvos personalidades de interesse para o governo russo, abre portas para que possam ser recolhidos dados sensíveis de outros sistemas paralelos, e potencialmente, de utilizadores em geral.

De notar que a Microsoft corrigiu a falha CVE-2022-38028 em Outubro de 2022, mas nem todos os sistemas encontram-se com as atualizações em dia, o que faz com que esta falha ainda possa ser ativamente explorada para ataques em larga escala e roubo de dados.

23/04/2024
Falha permite usar o Microsoft Defender para remover ficheiros do sistema

Um grupo de investigadores da empresa de segurança SafeBreach revelou que os programas de segurança do Windows e da Kaspersky podem conter falhas que permitem a execução de conteúdo malicioso nos sistemas.

De acordo com os investigadores, as falhas podem permitir que conteúdos sejam remotamente eliminados do sistema, o que pode levar a que os próprios programas de segurança removam conteúdos potencialmente importantes dos sistemas onde se encontram. Além disso, os investigadores afirmam ainda que as falhas podem permanecer nos sistemas até mesmo depois das entidades corrigirem o problema de base.

Durante o evento Black Hat Asia, que se realizou em Singapura, os investigadores revelaram as falhas no Microsoft Defender e Endpoint Detection and Response (EDR) da Kaspersky. Ambos os programas podem ser enganados para considerar um determinado ficheiro como malicioso, dentro do sistema, removendo o mesmo.

Em parte, a falha encontra-se derivado da forma como estes programas usam as suas bases de dados, para identificar malware ativo e conhecido. Os programas usam um sistema de análise da sequência de bytes de um programa, que pode ser explorado para o ataque.

Usando este sistema, os atacantes podem confundir os programas de segurança, e levar os mesmos a considerar um determinado ficheiro dentro do sistema como potencialmente malicioso, removendo o mesmo.

Os investigadores apontam que esta técnica pode ser usada para remover conteúdos importantes de ambientes em produção, como é o caso de bases de dados. Embora seja difícil de adivinhar quais os ficheiros exatos a remover, os investigadores apontam que o software pode ser enganado de várias formas, e a falha pode ser explorada para ativamente remover conteúdos importantes dos sistemas onde as suítes de proteção se encontrem.

É ainda referido que, tendo em conta que a falha afeta a forma como estes programas de segurança usam as suas bases de dados, mesmo que uma correção seja teoricamente lançada pelas empresas, a falha ainda poderia ser explorada. Os programas foram criados para usar este sistema de análise e identificação de conteúdos maliciosos, e não será possível corrigir inteiramente o problema sem afetar a forma como as bases de dados funcionam nos mesmos.

A Microsoft foi uma das primeiras empresas a responder a esta falha, que embora tenha considerado a mesma como legítima, indica que a forma como a exploração é realizada encontra-se longe de poder ser usada para ataques práticos. Os administradores de sistemas com o Microsoft Defender podem configurar os mesmos para não realizar ações automaticamente, e invés disso, optar pela quarentena primeiro antes da remoção.

A Microsoft indica ainda que existe um reduzido número de utilizadores que optam por configurar os mecanismos de segurança para automaticamente remover conteúdos potencialmente maliciosos, e que a quarentena dos mesmos é um dos métodos recomendados para a proteção.

22/04/2024
Pagamentos de ransomware caem durante primeiro trimestre de 2024

Embora os ataques de ransomware ainda estejam bastante fortes no mercado, parece que os atacantes estão a receber cada vez menos dessas atividades. De acordo com um estudo realizado pela empresa Coveware, os pagamentos realizados de ataques ransomware estão num dos valores mais baixos dos últimos anos.

De acordo com o estudo, durante o último trimestre de 2023, apenas 29% dos ataques de ransomware realizados no mercado tiveram pagamentos associados. No entanto, este valor caiu para os 28% durante o primeiro trimestre de 2024, demonstrando que existem ainda menos entidades a realizar os pagamentos, apesar do aumento de ataques.

Em parte, o volume mais reduzido de pagamentos encontra-se em queda derivado das entidades estarem mais preparadas para recuperar deste género de ataques, bem como da implementação de novas medidas de proteção contra este género de ataques.

Ao mesmo tempo, embora os ataques e roubos de dados de ransomware ainda ocorram, existem cada vez menos grupos de ransomware a realmente publicar os conteúdos roubados.

No entanto, embora o volume de pagamentos realizados de ataques ransomware estar em queda, os valores dos pagamentos realizados encontram-se a atingir novos valores recorde. Em parte isto ocorre porque os atacantes encontram-se também a aumentar os valores dos pagamentos para resgate de conteúdos e para evitar que a publicação dos mesmos seja realizada.

Em média, os pagamentos encontram-se agora nos 381,980 dólares, uma queda de 32% face ao mesmo período anterior.

Por entre os principais meios usados para os ataques encontra-se uma tendência crescente para explorar falhas em sistemas de acesso remoto, bem como um aumento dos casos em que a origem do ataque é desconhecida.

21/04/2024
Chave Móvel Digital é o mais recente alvo de ataques

Existem várias técnicas que os criminosos usam para tentar obter acesso a dados sensíveis das suas vítimas, e uma recente parece agora centrar-se em torno da Chave Móvel Digital (CMD).

De acordo com a mensagem de alerta da CNCS, encontra-se ativa uma nova campanha, que visa obter dados pessoais dos utilizadores usando para tal a Chave Móvel Digital (CMD). Com acesso a esta, os atacantes podem obter dados pessoais e sensíveis, mas eventualmente também acesso a dados bancários e até contas em sistemas de homebanking.

A campanha usa técnicas avançadas de smishing, o vishing e spoofing, com o objetivo de levar as potenciais vítimas a fornecerem acesso às suas chaves móveis digitais.

O ataque começa com uma mensagem, normalmente enviada via SMS contendo o nome da CMD ou similar, onde se alerta para um suposto dispositivo que foi associado à chave. A mensagem indica ainda que, caso a ação não tenha sido realizada com o consentimento dos utilizadores, estes devem aceder a um link presente na mensagem para resolver a situação.

O caracter de urgências pode fazer com que as vitimas acedam ao link sem o cuidado necessário. Uma vez no mesmo, o site apresentado tenta imitar o de login da plataforma da CMD, onde são também requeridos ainda mais dados, como o número de telefone associado à CMD e o banco que o utilizador usa. Este género de informações não são requeridas pelo site legitimo da CMD.

Ao escolher o banco, a vítima é depois redirecionada para um falso site de login no mesmo, que imita o site do banco da vítima. Neste, os dados recolhidos são depois usados para aceder à conta bancária e proceder ao roubo de fundos da mesma ou a pagamentos fraudulentos.

Ao mesmo tempo, os site apresenta ainda uma mensagem de que o utilizador será contactado por um técnico da CMD no prazo de 24 horas. Quando este contacto é realizado, o atacante realiza técnicas de spoofing para realizar a chamada usando um número da entidade bancária ou da própria CMD.

Nesta chamada, o objetivo é levar a vítima a fornecer ainda mais dados pessoais, e sensíveis, bem como a fornecer os eventuais códigos de autenticação que a entidade bancária possa enviar – e que serão necessários para realizar as operações bancárias através dos dados roubados anteriormente.

Embora o foco do ataque seja aceder às contas bancárias das vítimas, o aceso via a CMD permite também que os atacantes tenham acesso a outros dados igualmente sensíveis, nomeadamente a diversas plataformas associadas com o governo.

A CNCS recomenda que os utilizadores tenham atenção no acesso a links e anexos de mensagens, sobretudo quando estes partem de fontes desconhecidas. Ao mesmo tempo, deve-se ter cuidado com qualquer chamada ou mensagem que se faça passar por uma entidade, mesmo que essa seja reconhecida.

Por fim, nunca se deve partilhar códigos de autenticação ou para operações bancárias, sendo que estes serão sempre para uso dedicado do próprio utilizador, e nenhuma instituição bancária pede os mesmos.

19/04/2024
Programa das Nações Unidas para o Desenvolvimento confirma roubo de dados em ransomware

A United Nations Development Programme (UNDP) confirmou que se encontra a investigar um possível ciberataque à sua rede, onde os atacantes podem ter obtido acesso aos dados internos da entidade.

A UNDP faz parte das Nações Unidas, e desenvolve uma rede interligada de 170 países e territórios onde as nações unidas se encontram ativamente. Num recente comunicado, a entidade afirma que atores externos conseguiram obter acesso à rede interna da organização, em finais de Março, sendo que usaram esse acesso para roubar dados internos da entidade.

Depois do ataque ter sido identificado, foram realizadas todas as medidas de segurança para conter o mesmo, e evitar que mais dados fossem acedidos. A entidade ainda se encontra a investigar o incidente, bem como os dados concretos que foram roubados e qual o impacto dos mesmos.

Embora a entidade ainda não tenha revelado detalhes sobre a origem do ataque, o mesmo já terá sido reivindicado pelo grupo de ransomware 8Base. Numa mensagem publicada no seu site da Dark web, o grupo alega ter obtido acesso a dados internos da instituição, incluindo faturas, documentos de contabilidade, dados pessoais, certificados e acordos com funcionários.

O grupo alega ainda ter acedido e roubado dados confidenciais da organização, que poderiam ser prejudiciais para os programas da mesma.

O grupo 8Base é relativamente recente no mercado do ransomware, tendo começado as suas atividades em Junho de 2023, mas expandindo os ataques para um largo número de entidades em diferentes países. Atualmente o grupo conta com mais de 350 vítimas no seu portal.

19/04/2024
Grupo de ransomware HelloKitty muda de nome e divulga dados da CDPR e Cisco

O grupo de ransomware conhecido como “HelloKitty” terá realizado recentemente um “rebranding” do seu nome, ao que se conjuga ainda a divulgação de dados alegadamente de duas novas empresas.

O grupo passou agora a chamar-se “HelloGookie”, tendo aproveitado a mudança para divulgar dados associados com as empresas CD Projekt e a Cisco. A isto junta-se ainda as chaves de desbloqueio para ataques antigos, a sistemas que teriam sido comprometidos no passado.

Este grupo é agora gerido por uma pessoa apelidada de “Gookee/kapuchin0”, que se diz o autor original do grupo anterior. Além da mudança de nome, o grupo divulgou ainda um novo portal na dark web, que será usado para a partilha de dados das empresas atacadas.

O primeiro alvo terá sido a CD Projekt, sendo que o grupo divulgou quase 450 GB de dados associados com o código fonte original de Witcher 3, Gwent, Cyberpunk e vários SDKs da empresa.

De relembrar que o grupo, ainda sobre o nome de HelloKitty, tinha realizado um ataque contra esta entidade em Fevereiro de 2021, altura em que o mesmo alegava que os sistemas da editora teriam sido comprometidos e encriptados, com os dados roubados.

Na altura, o grupo alegou que os dados roubados teriam sido vendidos, incluindo código fonte do não lançado Witcher 3.

Quanto ao leak de dados da Cisco, este integra um conjunto de chaves NTLM (NT LAN Manager), encriptadas, que supostamente foram extraídas de sistemas internos da empresa através de exploração de falhas na rede interna da mesma.

19/04/2024
Grupo alega roubo de dados da Família Real Britânica

Um grupo de ransomware afirmou recentemente ter roubado dados associados com a Família Real Britânica.

O grupo de ransomware conhecido como “snatch” afirmou, pelo seu portal na rede Tor, que terá obtido dados da Família Real Britânica, estando a publicar dados potencialmente sensíveis da mesma e de vários dos seus integrantes.

De notar que, até ao momento, o grupo não deixou provas concretas dos dados que terão sido obtidos, sendo que a indicação apenas surge no site do mesmo. O grupo alega que deverá publicar brevemente mais informações sobre os dados roubados.

A ter também em conta que, até ao momento, as autoridades do Reino Unido não deixaram qualquer mensagem relativamente a possíveis roubos de dados, nem existe uma confirmação oficial sobre o mesmo.

Tendo em conta a pouca informação existente sobre o ataque e alegado roubo de dados, deve-se ter em atenção que pode ser um roubo fabricado pelo grupo. No entanto, iremos atualizar o presente artigo caso venham a surgir novas informações.

15/04/2024
Roku alerta para 576.000 contas comprometidas em ataque

A Roku encontra-se a alertar 576,000 utilizadores de contas na plataforma, que podem ter sido comprometidas num recente ataque. Este alerta surge depois da entidade ter confirmado também que 15.000 contas foram comprometidas no início de Março.

Os atacantes terão usado dados de login roubados de outras plataformas para obterem acesso aos serviços de clientes da Roku, acendendo aos dados pessoais nos mesmos. O ataque não foi diretamente realizado aos sistemas da entidade, mas sim usando credenciais reutilizadas de outras plataformas online.

A entidade afirma que irá monitorizar as atividades dos utilizadores durante as próximas semanas, mas para já, cerca de 576.000 contas terão sido afetadas pelo ataque. A empresa sublinha ainda que não foi a origem do ataque, e que os dados dos clientes estão seguros e não foram comprometidos desta parte.

A empresa sublinha ainda que, em cerca de 400 contas, os atacantes terão usado as mesmas para realizar compras de conteúdos digitais, que usufruíram pela mesma plataforma, mas não obtiveram detalhes sensíveis sobre os utilizadores.

Para evitar a exploração deste ataque, a Roku encontra-se a incentivar os utilizadores afetados a realizarem o reset das suas senhas, bem como a ativarem a autenticação em duas etapas.

12/04/2024
LastPass afirma ter sofrido tentativa de ataque via deepfake do seu CEO

A LastPass, plataforma de gestão de senhas, revelou ter sido vitima de uma tentativa de ataque contra os seus funcionários, usando um sistema de deepfake do CEO da empresa.

O ataque focou-se a funcionários da empresa, que terão recebido mensagens alegadamente do CEO da mesma, Karim Toubba. Nas mensagens, a maioria enviada via WhatsApp, os atacantes usavam uma voz modificada via IA para imitar o CEO da empresa, com pedidos associados com a plataforma.

A LastPass afirma que os funcionários rapidamente identificaram o esquema, visto que o WhatsApp era um formato incomum de comunicação interna. A empresa afirma que, num caso de um funcionário, este terá recebido várias mensagens de voz e até chamadas de voz, usando a voz de Karim Toubba, para levar a realizar tarefas administrativas e internas na empresa.

O funcionário em questão terá estranhado o meio incomum de contacto, e não respondeu às mensagens, tendo invés disso alertado a equipa de segurança da empresa. Embora no caso da LastPass, este ataque não tenha originado problemas, a entidade decidiu partilhar o caso para alertar outras empresas sobre esquemas similares.

É possível que os conteúdos deepfake forma criados usando a voz do CEO, que se encontra facilmente disponível pela internet, e que terá sido o ponto de treino para a IA criar os conteúdos.

Os ataques Deepfake encontram-se a ser cada vez mais vulgares junto das empesas, onde os atacantes tentam enganar as vítimas, a maioria das vezes funcionários, usando esquemas mais elaborados, que podem englobar vídeos e voz.

A LastPass recomenda que os funcionários tenham extremo cuidado nas mensagens que recebem, sobretudo de fontes pouco comuns de contacto.

12/04/2024
Apple lança alerta sobre campanhas de spyware em 92 países

A Apple terá enviado, durante esta semana, uma notificação para utilizadores em 92 países diferentes, alertando para um novo esquema de spyware que pode ter como alvo algumas pessoas de interesse.

De acordo com o portal TechCrunch, a Apple enviou a notificação para vários utilizadores, distribuídos por 92 países diferentes, de forma a ficarem atentos a possíveis esquemas de campanhas de spyware, onde estes podem ser os alvos. Esta campanha pode distribuir-se via iMessage ou email, e teria como alvo pessoas de interesse para diferentes setores.

A ideia seria levar as possíveis vítimas a acederem a falsos sites de login da Apple, onde as suas contas poderiam ser comprometidas. Acredita-se que este ataque faz parte de uma campanha de spyware que possui alvos específicos.

Estas notificações fazem parte de um sistema de alerta da Apple, que possui como alvo personalidades de interesse que estejam a usar os dispositivos da empresa, e que podem ser alvo de esquemas nas suas contas. Desde 2021, altura em que o sistema foi lançado, já foram enviadas notificações em mais de 150 países.

A ideia das notificações será para manter os utilizadores atentos a possíveis esquemas, sendo que a empresa não revela detalhes sobre a origem dos ataques nem os grupos que se encontram por detrás dos mesmos.

Durante o ano passado, a Apple enviou notificações similares para utilizadores e jornalistas na Índia, que estariam a ser alvo de uma campanha direcionada de spyware. Estas notificações estão a ser enviadas numa altura em que vários países se preparam para campanhas eleitorais e votações, que se acredita estar relacionado com o aumento de campanhas de spyware.

Para os utilizadores que recebam a notificação, a Apple recomenda que se mantenham atentos a possíveis esquemas e mensagens maliciosas que sejam enviadas por diferentes meios.

11/04/2024
Ataque Spectre v2 afeta processadores Intel em sistemas Linux

Um grupo de investigadores revelou ter descoberto a falha “Spectre v2”, uma variante do Spectre que afeta sistemas Linux com processadores Intel. Se explorada, a falha pode permitir que seja obtido informação sensível dos processadores.

O Spectre V2 é uma variante do ataque original, e permite explorar falhas no processamento de dados dos CPUs modernos, de forma a obter acesso a dados sensíveis. A falha agora revelada afeta sistemas que tenham o sistema operativo Linux, e processadores Intel, mesmo os mais recentes.

Se explorada, a falha pode deixar informação potencialmente sensível na cache do navegador, derivado da forma como o processador executa as tarefas para otimizar o desempenho das mesmas.

Explorando o Spectre V2, os atacantes podem obter acesso a informação que tenha ficado em cache nos processadores, o que pode incluir informação sensível como senhas, dados bancários e outros.

Existem algumas formas de prevenir a exploração da falha, no entanto, estas acabam por penalizar o desempenho final dos processadores. A Intel afirma que futuras versões dos seus processadores devem contar com a correção implementada a nível de hardware, evitando assim a perda de desempenho criada pelas medidas de proteção via software.

Os utilizadores podem obter mais informações sobre o ataque, bem como a lista dos processadores afetados, no site da Intel.

11/04/2024
Operadora norte-americana confirma roubo de dados de 51 milhões de clientes

A operadora norte-americana AT&T encontra-se a notificar mais de 51 milhões de clientes, antigos e atuais, depois de informação pessoal dos mesmos ter sido comprometida num recente ataque à entidade.

Embora a operadora tenha confirmado o roubo dos dados, ainda não foram revelados detalhes de como o ataque foi realizado ou detalhes sobre o incidente. A empresa apenas indica que se encontra a investigar o incidente com as autoridades, e irá notificar os clientes afetados.

O leak de dados foi confirmado inicialmente com uma base de dados colocada à venda em sites da dark web, por mais de 1 milhão de dólares, em 2021. No entanto, o ataque e roubo apenas seriam confirmados durante este ano, depois da mesma base de dados ter sido fornecida por um valor praticamente nulo comparado à anterior venda.

Embora a empresa tenha inicialmente indicado que os dados não teriam sido obtidos diretamente da empresa, eventualmente esta viria a confirmar que derivavam de um ataque na sua infraestrutura.

Embora a base de dados revelada tenha mais de 70 milhões de registos, a empresa afirma que afeta 51,226,382 clientes. Por entre os dados revelados encontram-se nomes, moradas, números de telefone, moradas, emails e números de segurança social. A empresa sublinha, no entanto, que dados financeiros e de registos de chamadas dos clientes não foram afetados.

Cada um dos clientes afetados pelo leak será notificado sobre o incidente, com algumas medidas preventivas a ter em conta e quais os próximos passos a realizar.

11/04/2024
Câmara de Elvas alvo de ataque informático

A Câmara de Elvas foi recentemente alvo de um ataque informático, onde podem ter sido comprometidos alguns sistemas internos da instituição.

De acordo com o jornal Linhas de Elvas, o ataque terá ocorrido entre segunda e terça-feira, sendo que afetou alguns dos sistemas internos da entidade. No entanto, acredita-se que dados pessoais ou sensíveis não tenham sido comprometidos.

No entanto, este ataque terá afetado o normal funcionamento da instituição, com alguns dos serviços com contratempos, sobretudo os serviços dependentes dos sistemas informáticos.

De acordo com a entidade, o ataque terá sido relacionado com um malware, que se instalou em alguns sistemas da organização. Não existem indícios, até ao momento, de que tenha sido um ataque de ransomware – de onde poderia ocorrer o roubo de dados.

No entanto, a investigação do incidente ainda se encontra a decorrer.

Os sistemas infetados foram isolados da restante rede, para evitar a propagação. A entidade afirma que, atualmente, os serviços afetados já se encontram restaurados na normalidade.

10/04/2024
Paddy Cosgrave está de volta a CEO da Web Summit

Depois de ter saído do cargo de CEO da Web Summit, no meio de polémicas sobre declarações sobre Israel, Paddy Cosgrave volta agora ao cargo do evento.

Num recente comunicado pelo X, Paddy Cosgrave volta a ser o CEO da Web Summit, cargo do qual este saiu faz apenas seis meses. Na altura, o mesmo deixou o cargo sobre polémicas mensagens enviadas pelo mesmo relativamente à guerra em Israel.

Na mensagem, Cosgrave afirma estar de regresso ao cargo, no que o mesmo considera ter sido a sua primeira “folga em mais de 15 anos”. O mesmo afirma ainda ter tirado tempo para voltar a ligar-se com velhos amigos e conhecidos, e ouvir o que os mesmos tinham para dizer.

Cosgrave afirma ainda estar entusiasmado com o futuro, e que possui muito para partilhar em breve.

De relembrar que o mesmo tinha saído do cargo em Outubro do ano passado, depois de declarações feitas a 13 de outubro, cinco dias depois do ataque do Hamas em Israel. Na mensagem partilhada pelo mesmo, este afirmava que “os crimes de guerra são crimes de guerra mesmo quando são cometidos por aliados, e devem ser chamados isso mesmo”.

As declarações levaram a reações imediatas por parte de Israel, que anunciou que iria retirar-se da Web Summit. Outras empresas também realizaram o mesmo processo, entre as quais a Meta, Alphabet e Amazon.

Apesar disso, o evento acabaria por se realizar na mesma, entre 13 e 16 de Novembro, com a nova CEO Katherine Maher.

09/04/2024
Targus afirma ter sido alvo de ataque informático

A fabricante de acessórios para portáteis e tablets “Targus” confirmou ter sido alvo de um ataque informático. A empresa afirma que os atacantes terão conseguido aceder aos servidores da empresa, e obtiveram acesso a dados internos da mesma.

A Targus é uma empresa reconhecida por produzir acessórios premium para computadores portáteis, tablets e smartphones. Esta conta com clientes a nível global e os seus produtos são vendidos em várias plataformas, tanto físicas como digitais.

De acordo com os documentos apresentados nas autoridades dos EUA, a Targus identificou o ataque no dia 5 de Abril de 2024, quando foram identificados ficheiros suspeitos nos sistemas usados pela entidade. Os atacantes foram posteriormente identificados com acesso a vários servidores usados pela entidade, e onde estariam localizados ficheiros da mesma.

A empresa iniciou as medidas de resposta ao incidente, tendo isolado imediatamente todos os sistemas afetados. No entanto, esta ação também levou a que a rede interna da Targus ficasse inacessível, juntamente com vários dos serviços fornecidos pela mesma.

A empresa afirma que o ataque terá sido contido, e que se encontra atualmente a ser feita a investigação do incidente com a ajudar de entidades externas.

A entidade não revelou quais os dados que terão sido afetados pelo ataque, embora tendo em conta que os atacantes obtiveram acesso aos dados internos dos servidores da empresa, é possível que se inclua acesso a dados sensíveis ou de clientes e encomendas.

Até ao momento, nenhum grupo de ransomware confirmou o ataque.

09/04/2024
Milhares de sites WordPress afetados em campanha de popups maliciosos

Mais de 2000 websites baseados em WordPress terão sido recentemente alvo de uma campanha de malware, onde redirecionam os utilizadores para falsas janelas de login em carteiras de criptomoedas.

De acordo com o grupo de investigadores MalwareHunterTeam, os atacantes começaram a usar os sites infetados para apresentar mensagens falsas de ligação a carteiras de criptomoedas, direcionando os visitantes dos mesmos para estes falsos sites de login.

Estes websites terão começado a ser infetados no início do mês passado, com scripts que permaneceram suspensos nos mesmos. Acredita-se que os atacantes teriam criado este formato de ataque para evitar que todos os sites fossem comprometidos ao mesmo tempo.

Se um site WordPress for infetado, este pode apresentar janelas popup aos visitantes, de forma aleatória, recomendando que os mesmos realizem o login usando as suas carteiras de criptomoedas. Estas janelas tentam ainda apelar os visitantes com descontos e outras promoções, onde a ideia será fazer passar a imagem que o site infetado estaria com uma oferta temporária caso os pagamentos fossem realizados via cripto.

De momento a campanha ainda não parece ter afetado todos os sites onde o script malicioso foi descoberto. Estima-se que cerca de 2000 sites estarão atualmente infetados com o script maliciosos, mas apenas uma pequena parte dos mesmos encontra-se a apresentar as mensagens maliciosas.

08/04/2024
PandaBuy alvo de incidente com leak de dados de 1.3 milhões de clientes

A plataforma PandaBuy é uma das maiores lojas online de compras na China, mas recentemente foi alvo de um ataque, de onde terão sido roubados dados de aproximadamente 1.3 milhões de clientes.

A PandaBuy permite que clientes em países fora da China possam comprar produtos de várias lojas apenas acessíveis nesta região, como a Taobao e outras.

Segundo a mensagem publicada juntamente com os dados agora revelados, o ataque terá sido realizado através da exploração de uma falha nos sistemas da entidade. Um utilizador com o nome de “Sanggiero” afirma ter sido responsável pelo roubo dos dados, com a ajuda de um utilizador conhecido como “IntelBoker”.

Os atacantes afirmam ter obtido acesso aos sistemas internos da empresa, e consequentemente, aos dados dos clientes, através de falhas que existiriam na API da plataforma. Mais detalhes não foram revelados, mas o leak inclui dados de 1.3 milhões de clientes da plataforma, incluindo dados como os emails, nomes, números de telefone, IPs usados para acesso e compras, entre outros.

Segundo o portal Have I Been Pwned (HIBP), foram afetadas exatamente 1,348,407 contas e clientes da PandaBuy. Os dados do leak encontram-se publicamente acessíveis, através de um pequeno pagamento em sites da dark web.

O investigador Troy Hunt, responsável pelo HIBP, afirma que, numa análise rápida do leak, as contas parecem ser legítimas, e encontram-se ativas. O teste foi realizado usando o sistema de recuperação de senhas da plataforma, que parece validar todos os endereços usados como corretos.

Até ao momento, a plataforma não confirmou este incidente, sendo que existem mesmo relatos que a entidade encontra-se a censurar algumas mensagens sobre o mesmo, publicadas no Reddit e Discord.

Um alegado moderador da plataforma afirma que os dados obtidos neste leak são antigos, e que resultam de falhas que foram, entretanto, corrigidas na plataforma, sendo ainda indicado que nenhum dado pessoal terá sido roubado dessa falha. No entanto, o leak agora conhecido integra várias informações pessoais que os investigadores acreditam ser legítimas.

01/04/2024
DNS da Google conta com novas proteções contra ataques na cache

A Google encontra-se a aplicar novas medidas de proteção para os seus servidores DNS públicos, que vai ajudar os utilizadores a terem uma camada adicional de segurança contra ataques conhecidos como DNS Cache Poisoning.

Os ataques de DNS Cache Poisoning, também conhecidos como envenenamento de cache DNS, são uma forma de ataque informático que visa prejudicar a cache de um servidor DNS (Domain Name System). O DNS é responsável por traduzir nomes de domínio legíveis por humanos em endereços IP, facilitando a comunicação entre computadores na Internet.

No envenenamento de cache DNS, um atacante tenta inserir informações falsas no cache de um servidor DNS. Isso pode ser feito de várias maneiras, mas uma das mais comuns é explorando vulnerabilidades nos sistemas de DNS ou na comunicação entre servidores DNS. Com isto, as vítimas podem ser redirecionadas para sites falsos e de esquemas, quando pensam estar a aceder a um site legítimo.

A Google confirmou, numa mensagem publicada no seu blog de segurança, que vai implementar algumas medidas de segurança para prevenir este género de ataques. Para além das medidas já existentes, como o uso de DNS Cookies, agora a empresa afirma que vai também começar a usar uma funcionalidade conhecida como Case Randomization 0x20, que ajuda a prevenir estes ataques através do uso de letras maiúsculas e minúsculas nos pedidos DNS.

Através deste formato, os pedidos DNS são convertidos para algo similar a “ExaMplE.CoM”, onde o pedido do sistema remetente e do servidor DNS deve condizer para validar corretamente o mesmo. Isto previne que o ataque seja realizado.

Segundo a Google, este sistema encontra-se ativo por padrão nos DNS públicos da empresa, cobrindo atualmente 90% dos pedidos UDP aos sistemas da Google.

Além disso, a empresa afirma ainda ter ativado o ADoT (DNS-over-TLS para servidores DNS principais), o que deve fornecer ainda mais segurança e privacidade para os pedidos DNS – esta função encontra-se atualmente ativa para 6% do tráfego dos DNS da Google, mas deve ser expandida em breve para mais utilizadores.

01/04/2024
Malware para Android faz-se passar por software de segurança da McAfee

Um grupo de investigadores de segurança afirma ter descoberto uma nova campanha de malware, onde o mesmo se mascara de uma aplicação legítima de proteção para os utilizadores, enquanto instala um trojan no sistema para roubar dados bancários dos utilizadores.

De acordo com os investigadores da empresa de segurança Fox-IT, foi descoberta uma campanha onde o trojan “Vultur” é instalada nos dispositivos Android das vítimas, fazendo-se passar como uma aplicação de segurança legítima da McAfee. A atividade do malware começou a ser identificada em Março de 2021, sendo que em finais de 2022 chegou mesmo a surgir em várias aplicações na Google Play Store.

No entanto, o malware encontra-se agora a propagar por um novo formato, que pode enganar até os utilizadores mais atentos. O ataque começa com as vítimas a receberem uma mensagem SMS, alegadamente dos seus bancos, a informar que a conta bancária teria sido comprometida, e que devem descarregar um software de segurança para os seus dispositivos.

Esta aplicação é uma versão modificada da app de segurança da McAfee para Android, que conta com o malware integrado na mesma. Se for instalado no sistema, o malware começa a realizar a sua atividade maliciosa, levando ao roubo de dados bancários e outras informações potencialmente sensíveis. Enquanto isso, o utilizador apenas verifica a app legítima do software de segurança.

O malware, se instalado no sistema, pode permitir o controlo dos dispositivos em tempo praticamente real, iniciando a comunicação com um servidor de controlo dos atacantes, para onde são enviados os dados, bem como tendo acesso à capacidade de gravar o ecrã, as teclas pressionadas e até iniciar uma ligação VNC remota – que permite o controlo remoto do dispositivo pelos atacantes.

Esta nova versão do malware encontra-se bastante otimizada para melhorar o acesso remoto aos atacantes, o que parece ter sido um dos pontos de melhorias feitos no mesmo.

Como sempre, é recomendado que os utilizadores tenham bastante cuidado com mensagens desconhecidas, e sobretudo as que forneçam detalhes para se descarregar aplicações de locais fora do comum ou que peçam para realizar atividades suspeitas.

01/04/2024
Vulnerabilidade grave descoberta em pacote importante dos sistemas Linux

A Red Hat encontra-se a alertar para uma grave vulnerabilidade que se encontra a afetar algumas versões de desenvolvimento do Fedora, onde um backdoor foi encontrado no pacote XZ, bastante usado para a compressão de dados no sistema.

O alerta surge depois de ter sido descoberto que conteúdo malicioso estaria a ser colocado num pacote importante e base do sistema, que poderia permitir a terceiros obterem acesso a qualquer sistema Linux através de um backdoor.

A mensagem de alerta indica que os utilizadores devem, imediatamente, deixar de usar qualquer versão recente do Fedora 41 ou variantes, o que inclui o Debian unstable ou outras distribuições derivadas.

Embora esta vulnerabilidade e tentativa de ataque tenha sido identificada na sua fase inicial, poderia ter causado graves problemas se tivesse passado despercebida e chegasse ao formato de lançamento oficial para todos.

O engenheiro Andres Freund, da Microsoft, revelou ter descoberto inicialmente a falha quando estaria a analisar o motivo para ligações SSH estarem consideravelmente lentas num dos seus sistemas Linux com o Debian Sid, uma versão ainda em desenvolvimento ativo do sistema Debian.

Segundo o mesmo, código malicioso foi integrado nas versões 5.6.0 e 5.6.1 do XZ, uma ferramenta básica do sistema, usada para a compressão de dados. Esta continha código que permitia o acesso remoto ao SSH de qualquer sistema onde estas versões se encontrassem. Isto poderia permitir a qualquer utilizador remotamente aceder ao sistema SSH da máquina, e eventualmente, ter o controlo da mesma e dos dados nela existentes.

Acredita-se que o código malicioso terá sido colocado no código do pacote principal, ofuscado, por um ativo participante da comunidade de desenvolvimento do mesmo, embora as motivações para tal ainda sejam desconhecidas.

A falha foi classificada com o código CVE-2024-3094 e com uma gravidade de 10/10, a mais elevada da escala. Todos os utilizadores são aconselhados a verificarem se possuem instalado nos seus sistemas Linux uma versão anterior à 5.6.0 e 5.6.1.

Para tal, via a linha de comandos do sistema, deve-se correr o comando “xz -V”, o que deve apresentar a versão instalada.

01/04/2024
Utilizadores da Apple alvo de nova vaga de ataques phishing

A Apple encontra-se a alertar para uma nova vaga de ataques phishing, focados contra os utilizadores de dispositivos da empresa ou com contas Apple. Esta campanha de phishing usa o sistema de reset das senhas como forma de tentar enganar os utilizadores.

De acordo com o portal KrebsOnSecurity, vários utilizadores encontram-se a confirmar serem vítimas de um novo ataque phishing, onde os utilizadores são sobrecarregados com centenas de pedidos de autenticação para permitir a alteração das senhas das suas contas, na esperança que os mesmos aceitem o pedido, eventualmente dando acesso dos atacantes à capacidade de alterar os dados da conta.

Este género de ataque é de relativa simplicidade, onde os atacantes apenas necessitam de enviar pedidos repetidamente para os dispositivos das vítimas, de forma que as mesmas acabem por ficar sobrecarregadas com as notificações e, eventualmente, aceitem a alteração. Caso o façam – seja para tentar terminar as notificações, ou por engano – isso permite que os atacantes alterem a senha da conta da Apple, obtendo assim acesso à mesma e bloqueando os dispositivos associados.

Uma vez que os pedidos de alteração da senha surgem em todos os dispositivos que estejam na conta da Apple, um utilizador com mais do que um dispositivo acaba por receber os pedidos em todos, causando ainda mais incomodo aos mesmos para os levar a aceitar.

Quando as vítimas não aceitam o pedido para alteração da senha, eventualmente os atacantes tentam ligar diretamente para as mesmas, fazendo-se passar pela Apple. No contacto, estas tentam enganar as vítimas, indicando que foi identificado um ataque na sua conta da Apple, e que são necessários alguns passos para garantir a segurança da conta – entre os quais encontra-se alterar a senha através da aceitação do pedido de reset da mesma.

Para realizar este ataque, tudo o que é necessário será o email da conta da Apple da vítima ou o seu número de telefone. O sistema de reset da senha das contas da Apple apenas necessita desta informação, e embora a página para realizar o pedido esteja protegida com um captcha, este pode ser facilmente contornado por sistemas automáticos.

27/03/2024
Processadores da Apple vulneráveis a falha que permite roubar chaves de encriptação

Os processadores da série M da Apple encontram-se vulneráveis a um novo ataque, de onde se pode extrair as chaves de encriptação do sistema, e não existe forma de corrigir inteiramente o problema sem mudanças no hardware.

Apelidada de “GoFetch”, esta falha permite que os atacantes possam recolher dados diretamente dos processadores mais recentes da Apple, da linha M, o que deixa vulnerável as chaves de encriptação usadas para proteger os dados dos utilizadores.

O ataque explora uma funcionalidade do processador, conhecida como Data Memory-Dependent Prefetchers (DMPs), que antecipa os dados que o sistema vai necessitar de seguida, para tornar o processamento dos mesmos consideravelmente mais rápido. No entanto, esta funcionalidade também abre portas para que dados sensíveis possam ser recolhidos no processo.

Se os atacantes explorarem diretamente a falha, poderão obter dados que deveriam encontrar-se apenas acessíveis pelo processador, onde se encontra dados sensíveis como as chaves de encriptação do sistema.

Os atacantes podem, desta forma, contornar a encriptação que alguns softwares usam, e obterem diretamente acesso às chaves de encriptação, que permite posteriormente aceder aos dados encriptados.

Os investigadores responsáveis pela descoberta afirmam que a falha não pode ser diretamente resolvida com atualizações de firmware, uma vez que se encontra inerente ao próprio processador e a nível do hardware. Podem existir formas de tentar mitigar o mesmo por este meio, mas no final não serão totalmente eficazes em corrigir a falha.

No caso dos processadores M1 e M2, não existe forma de desativar o DMP, mas no M3 ainda é possível de realizar tal processo, embora os investigadores não tenham aprofundado sobre o impacto que tal pode ter a nível do desempenho do sistema.

Estes géneros de ataques, no entanto, são bastante complicados de executar, e exigem que o atacante tenha diretamente acesso ao sistema onde se encontram os dados a roubar. A Apple terá sido informada da falha em Dezembro de 2023.

22/03/2024
Hacker de Apex Legends afirma ter atacado torneio “por diversão”

Durante o final da semana passada, o mundo gaming ficou chocado com o caso de um hacker, que terá conseguido atacar um evento de Apex Legends, injetando código nos clientes do jogadores presentes no mesmo.

Durante o evento, o hacker terá conseguido injetar dois programas usados para obter vantagens injustas no jogo em dois dos maiores jogadores de Apex Legends, realizando este ataque a meio da partida oficial.

O incidente levou mesmo os organizadores do evento Apex Legends Global Series a terem de adiar o mesmo, por tempo indeterminado, por não se encontrarem reunidas condições para realizar o mesmo de forma segura.

Enquanto o ataque ocorria, no chat da partida foram deixadas as mensagens “Apex hacking global series, by Destroyer2009 &R4andom”. E agora sabe-se mais detalhes sobre os motivos do ataque.

Em entrevista ao portal TechCrunch, o hacker Destroyer2009 afirma que terá realizado o ataque durante o evento “apenas por diversão”, e como forma de dar destaque para a vulnerabilidade que o mesmo descobriu, para que os criadores do jogo resolvam o problema.

A comunidade rapidamente entrou em modo de emergência, com alegações que o cliente de Apex Legends estaria com uma falha que permitia a execução remota de código. A falha, no entanto, foi negada pela EA.

Apesar disso, Destroyer2009 negou fornecer detalhes sobre qual a falha explorada para o ataque e como realizou a proeza. O mesmo afirma que não pretende deixar detalhes até que o patch da falha seja disponibilizado, e o cliente não esteja ativamente aberto a possíveis ataques. O mesmo afirma, porém, que o ataque não envolve os servidores do jogo, e não é realizado qualquer alteração diretamente nos sistemas dos jogadores, sendo apenas afeto ao processo do jogo.

Esta indicação levanta ainda mais suspeitas que a falha pode envolver o cliente do jogo, e afetar qualquer jogador do mesmo. Destroyer2009 afirma que não reportou a falha tanto à Respawn, os criadores de Apex Legends, como também para a EA, derivado de ambas não oferecerem qualquer recompensa quando são encontradas falhas nos seus programas.

No entanto, o mesmo afirma que ambas sabem como corrigir a falha sem que seja necessária uma intervenção externa para tal.

O hacker afirma ainda que colocou algumas piadas na imagem do programa, frisando que o objetivo seria chamar à atenção para a existência da falha, e não para ativamente ser prejudicial para os jogadores.

O mesmo afirma ainda que realizou o ataque contra os dois jogadores Geburten e ImperialHal por considerar os mesmos como “boas pessoas”, e para chamar à atenção dos mesmos.

Entretanto, Conor Ford, que trabalha na equipa de segurança de Apex Legends, publicou uma mensagem na X confirmando que a equipa já se encontra a trabalhar na solução para este problema, o que indica que o patch para a vulnerabilidade pode ser brevemente disponibilizado. No entanto, tanto diretamente a Respawn como a Eletronic Games não deixaram comentários sobre os ataques.

Alguns especialistas apontam que a falha encontra-se localizada no cliente Easy Anti-Cheat, usado como sistema de segurança contra cheats no jogo, e que estaria vulnerável a ataques de código remoto – o que permitiria aos atacantes enviarem comandos remotamente para qualquer sistema onde este programa se encontrasse.

Por fim, Destroyer2009 afirma que os jogadores de Apex Legends não se devem preocupar com a segurança, sendo que o mesmo acredita que a vulnerabilidade não será facilmente explorada até ser corrigida.

20/03/2024
Grupos de ciber espiões na China terão atacado mais de 70 entidades

Um grupo de ciber espiões chineses podem ter comprometido mais de 70 organizações a nível global, incluindo entidades governamentais, com mais de 116 vítimas. Esta é a conclusão a que chegam alguns investigadores de segurança, apontando um ataque em larga escala a ser realizado da China.

O grupo conhecido como Earth Krahang realiza ataques em que tenta explorar falhas em sistemas públicos, e usar técnicas de phishing para enganar os utilizadores, distribuindo malware nas redes internas de várias organizações. De acordo com os investigadores da empresa de segurança Trend Micro, a campanha de ataque do grupo terá começado nos inícios de 2022.

Um dos principais alvos do grupo encontra-se em instituições relacionadas a entidades governamentais, onde os atacantes tentam obter acesso aos sistemas internos, de forma a comprometer informação potencialmente sensível.

Ao mesmo tempo, o grupo recorre ainda a técnicas mais antigas de brute force e similares, para tentar obter acesso aos sistemas das vítimas e o controlo dos mesmos.

Os investigadores afirmam que 48 entidades governamentais já terão sido comprometidas neste ataque, com outras 49 a serem alvo de tentativas para tal. Estas não incluem apenas entidades associadas ao governo, mas também de telecomunicações, educação e outros setores considerados como “críticos”.

A maioria das vítimas encontram-se localizadas na América e Europa, em 23 países diferentes. Desconhece-se se existe alguma vítima em Portugal.

Tendo em conta as técnicas usadas pelo grupo, é importante que as entidades tenham aplicadas medidas de segurança para os seus sistemas, de forma a prevenirem os ataques diretos, mas também que tenham planos de educação digital para os seus funcionários, de forma a garantir que os mesmos estão preparados para qualquer eventualidade.

20/03/2024
Ataque hacker em evento de Apex Legends leva a suspensão do mesmo

A Electronic Arts terá adiado o torneio Apex Legends Global Series (ALGS), depois de um grupo de hackers ter conseguido comprometer os sistemas dos jogadores durante o evento.

O ALGS é um dos mais reconhecidos torneios do jogo Apex Legends, onde competem alguns dos melhores jogadores do título, na tentativa de obterem o título de “melhores jogadores” e os respetivos prémios.

Durante a terceira partida do evento, entre as equipas DarkZero e Luminosity, o sistema de um dos jogadores, Genburten, subitamente apresentou a janela de uma ferramenta usada para cheats no jogo, e conhecida como “TSM HALAL HOOK”. Esta ferramenta permite obter vantagens injustas no jogo, como ver os inimigos pelas paredes e realizar a mira automática aos mesmos.

A janela da ferramenta surgiu durante o torneio sem aviso, e sem interação do jogadores em questão, e incluía algumas opções fora do comum, como uma de “Vote Putin”. Com isto, o jogador conseguiu em direto ver todos os participantes na campanha que se encontrava a decorrer.

Quando o incidente aconteceu, na janela de chat do jogador era ainda visível as mensagens a indicar que o “hack” tinha sido realizado por dois utilizadores com o nick “Destroyer2009” e “R4ndom”.

Na altura, a partida continuou, mesmo com o incidente. Mas o caso voltou a acontecer com outro jogador na partida seguinte, o que indicava que algo estaria a levar ao ataque.

Eventualmente, os administradores do evento cancelaram o mesmo, com a EA a confirmar que o torneio seria adiado devido ao ataque.

Eventualmente, o utilizador que se identificava como “Destroyer 2009” terá indicado ao utilizador “Anti-Cheat Police Department” na X que o mesmo usou uma falha de execução remota de código, presente no cliente de Apex Legends e no Easy Anti-Cheat, software usado para prevenir cheats no jogo. Esta falha teria permitido executar o cliente de cheats e interferir no evento.

Uma falha deste género seria considerada bastante grave, ainda mais tendo em conta que permite a execução de código nos sistemas afetados – com o potencial de levar à execução de conteúdo malicioso.

Pouco depois destas declarações, a EA divulgou igualmente uma mensagem, a indicar que não existem indícios de uma vulnerabilidade no seu software, embora a investigação de como o ataque ocorreu ainda se encontra a ser realizada.

Ainda assim, esta é a primeira vez na história do evento que um hack a meio do torneio leva à suspensão do mesmo, independentemente da forma como o ataque tenha sido realizado.

18/03/2024
Fujitsu confirma ter sido alvo de ataque informático

A empresa Fujitsu confirmou ter sido vítima de um ataque informático, de onde podem ter sido comprometidos dados sensíveis da empresa.

O ataque terá ocorrido na semana passada, sendo que o comunicado da empresa indica que os atacantes podem ter obtido acesso a dados pessoais e sensíveis de clientes da mesma. A empresa afirma que os sistemas afetados pelo ataque foram desligados da rede interna da empresa, para evitar a propagação do ataque, mas que as investigações ainda se encontram a decorrer.

A empresa sublinha ainda desconhecer a origem do ataque, mas indica que o mesmo terá começado pela instalação de malware num dos sistemas internos da empresa.

A Fujitsu também não confirmou detalhes relativamente aos dados pessoais que foram roubados, ou à quantidade acedida, bem como a quem pertence – seja de funcionários, clientes, parceiros ou outras entidades.

De notar que a Fujitsu conta com mais de 124.000 funcionários distribuídos a nível global, e possui por entre os seus clientes algumas entidades de relevo, como entidades governamentais e de segurança.

18/03/2024
Som do teclado pode ser usado para roubar informações

Um grupo de investigadores revelou ter descoberto uma nova forma de ataque, que pode levar a que informações sejam obtidas usando apenas o som das teclas de um teclado.

Este novo formato de ataque não é inteiramente novo, mas difere no facto de poder vir a ser usado em ambientes onde existe ruído de fundo, como é o caso de escritórios. Até agora, a única forma de recolher possíveis informações por este meio seria usando ambientes de teste controlados, normalmente com ruídos de fundo suprimidos.

Segundo os investigadores, este formato de ataque pode ser explorado com uma taxa de sucesso de 43%, que embora seja inferior a outros métodos existentes, será diferencial devido ao facto de poder ser usado em ambientes ruidosos.

Dependendo do ataque, este pode ser realizado em formatos mais “reais”, como em escritórios ou alguns locais onde possam existir outros utilizadores.

Alireza Taheritajar e Reza Rahaeimehr, dois dos investigadores da Universidade Augusta, publicaram os detalhes sobre o formato do ataque, detalhando como o mesmo pode ser explorado.

Este usa um som distinto que cada tecla emite ao ser pressionada. Como cada tecla encontra-se localizada numa posição diferente do teclado, esta também conta com um som diferente cada vez que é pressionada. Desta forma, usando estas pequenas variações de som, é possível obter com alguma precisão os detalhes das teclas que foram realmente pressionadas.

O som pode variar de teclado para teclado, conforme os materiais do mesmo e o seu formato, portanto é necessário um período de “habituação”, onde o sistema regista apenas o som de cada tecla. Conforme seja mais longo, mais preciso é a identificação da tecla.

Ao mesmo tempo, o sistema analisa ainda o período de tempo que passa entre o pressionar de cada tecla, o que permite ajudar ainda mais a identificar a localização da mesma – com base na distância percorrida.

O som pode ser registado diretamente do sistema onde os utilizadores se encontram, caso o mesmo tenha um microfone e esteja comprometido, ou através de sistemas em redor do mesmo, como tablets, smartphones ou outros computadores.

Os investigadores afirmam que este método de ataque é menos fiável quando se usa teclados com membrana ou teclados mecânicos com switches mais silenciosas.

18/03/2024
Incidentes de segurança com a Microsoft preocupam entidades dos EUA

Recentemente a Microsoft foi alvo de algumas ataques e falhas de segurança, que colocarem em risco conteúdos de algumas das contas de email de executivos da empresa e de várias entidades governamentais. E de acordo com um recente relatório, estes ataques encontram-se agora a causar algumas preocupações para as entidades dos EUA.

De acordo com o portal The Information, algumas entidades governamentais que usam as plataformas da Microsoft, e que pagam bastante todos os anos para usarem o serviço, encontram-se preocupadas com as recentes ondas de ataques na plataforma.

Um dos primeiros registos de ataques ocorreram em Julho de 2023, quando grupos relacionados com o governo da China obtiveram acesso a sistemas da empresa, e terão acedido a informações sensíveis de várias instituições e organizações governamentais de diferentes países.

Estes ataques estão agora a causar alguma preocupação junto das entidades governamentais, com algumas fontes a indicarem que diversos departamentos do governo dos EUA já terão começado a mover as suas plataformas para rivais da Microsoft, como a Google.

Ao mesmo tempo, estas entidades encontram-se ainda a preparar um acordo, que pode ter a duração de sete anos, e onde envolve o uso das suas plataformas para serviços cloud, de produtividade e outros. Este acordo encontra-se estimado na casa dos 10 mil milhões de dólares.

De forma oficial, o Departamento de Estado dos EUA apenas indica que a entidade irá continuar a suportar a Microsoft, bem como o seu ecossistema na Cloud.

As preocupações sobre a segurança dos sistemas da Microsoft terão agravado quando ocorreu um ataque a emails de executivos da empresa, alegadamente realizados por entidades com ligações à Rússia. Mais tarde, a Microsoft também confirmou que os atacantes obtiveram acesso a uma parte de código fonte de software interno da mesma.

15/03/2024
McDonalds confirma falha em sistemas devido a erro de configuração

Durante o dia de hoje, vários estabelecimentos do McDonalds estiveram com os sistemas em baixo, impedindo a realização de encomendas. Esta falha afetou vários países, com os relatos a multiplicarem-se pelas redes sociais.

Embora o problema esteja agora resolvido, a empresa veio confirmar que a falha se deveu a um erro de configuração de um serviço de terceiros, usado pela entidade nos seus restaurantes.

De acordo com o comunicado do CIO da empresa, Brian Rice, a entidade verificou uma falha a nível global dos seus sistemas de encomendas, que terá derivado de uma falha de configuração aplicada nos sistemas por uma entidade terceira.

Embora o problema tenha afetado vários dos restaurantes da marca, a empresa afirma que a falha foi rapidamente identificada e corrigida, mas pode ter demorado algumas horas a ser propagada para todas as regiões.

A empresa sublinha ainda que as falhas não foram derivadas de qualquer género de ataque aos sistemas da empresa. O problema estaria numa falha de configuração interna, que foi incorretamente aplicada nos sistemas em produção.

Atualmente os restaurantes da marca devem encontrar-se novamente no ativo, com os sistemas a retomarem à normalidade.

15/03/2024
Ransomware StopCrypt recebe nova versão capaz de contornar proteções

Foi recentemente identificada uma nova variante do ransomware StopCrypt, que nos últimos tempos tem vindo a crescer de popularidade. A nova variante encontra-se agora focada para tentar contornar algumas das medidas de segurança que podem encontrar-se nos sistemas.

O ransomware StopCrypt, ao contrário dos grupos de ransomware regulares, não se foca a grandes empresas, mas sim a utilizadores regulares. Considera-se que seja uma das variantes de ransomware mais distribuídas a nível global, mas raramente ganha atenção devido a focar-se apenas em vitimas individuais, por vezes com pagamentos de resgate relativamente pequenos – cerca de 400 a 1000 dólares.

No entanto, isso não implica que o ransomware seja menos perigoso, já que pode levar ao roubo de informações potencialmente sensíveis, e também ao bloqueio de sistemas com conteúdos indispensáveis para muitos.

Embora o ransomware tenha vindo a sofrer mudanças nos últimos tempos, recentemente verificou-se a existência de uma nova variante do mesmo, ainda mais perigosa. Os investigadores da empresa SonicWall revelaram uma nova versão do ransomware, que é capaz de contornar algumas das medidas de segurança que se encontram tradicionalmente nos sistemas.

Usando um conjunto de técnicas avançadas, esta nova variante é capaz de esconder as suas atividades dos softwares de segurança, e acabar por encriptar os conteúdos de forma eficaz – mesmo que os utilizadores tenham total cuidado.

O malware possui primeiro a capacidade de analisar o sistema silenciosamente, verificando quais os processo ativos e a forma como este é usado. Depois, quando for a altura certa, o mesmo procede com o “ataque”, injetando o conteúdo malicioso nos processos da memória.

Esta nova variante tem vindo a ser descoberta em alguns dos mais recentes ataques do ransomware. Como referido anteriormente, o foco não será grandes empresas, mas sim pequenos indivíduos que podem ter mais incentivo para realizar o pagamento de pequenas quantias, de forma a evitarem terem os seus dados encriptados.

15/03/2024
Nissan vai notificar clientes sobre roubo de dados em Dezembro

A Nissan Oceania confirmou ter sido a mais recente vítima de um ataque informático, de onde terão sido comprometidas informações de 100.000 clientes. A empresa confirmou que vai começar a notificar os clientes afetados durante os próximos dias.

O ataque terá ocorrido em Dezembro de 2023, a mesma altura em que o grupo de ransomware Akira terá confirmado que teria obtido acesso aos sistemas da entidade. Os dados dizem respeito a clientes da Nissan na Austrália e Nova Zelândia, e inclui dados pessoais dos mesmos que foram usados para obter serviços da empresa.

Entre estes inclui-se cartões de cidadão, passaportes, ficheiros de finanças e licenças de condução. Integra-se ainda informação dedicada da empresa, que terá sido também comprometida do ataque.

A empresa indica que irá começar a notificar os clientes afetados, indicando os dados potencialmente roubados e os passos a seguir. A empresa também lamenta o sucedido, indicando que irá melhorar a segurança dos seus sistemas para prevenir situações similares no futuro.

Segundo o comunicado da Nissan, “Estamos empenhados em contactar as pessoas afectadas o mais rapidamente possível para lhes dizer quais as informações envolvidas, como as estamos a apoiar e as medidas que podem tomar para se protegerem contra o risco de danos, roubo de identidade, burlas ou fraudes.”

Na Austrália, a Equifax oferece aos indivíduos afetados 12 meses de monitorização de crédito gratuita e, na Nova Zelândia, um serviço semelhante está a ser disponibilizado pela Centrix.

Os indivíduos em ambos os territórios terão também acesso aos serviços da IDCARE para proteção contra a utilização indevida de dados roubados, e aqueles que necessitem de substituir documentos de identificação podem solicitar o reembolso dos custos à Nissan Oceânia.

Embora a empresa não tenha confirmado que o ataque terá sido de ransomware, o grupo Akira tinha reivindicado o roubo de dados da empresa em finais de 2023, e aparenta ter sido a origem da divulgação das informações agora confirmadas pela Nissan.

14/03/2024
Ataque informático em França compromete dados de 43 milhões de pessoas

As autoridades em França confirmaram que um ataque informático ao serviço público de emprego terá comprometido a informação de 43 milhões de utilizadores, por entre os dados que se encontravam nesse sistema.

Desde a semana passada que vários sistemas em França estariam a ser alvo de ataques informáticos, no que as autoridades classificaram como sendo “sem precedentes”. No entanto, durante o dia de ontem, foi confirmado que pelo menos um destes ataques terá causado o roubo de dados sensíveis de utilizadores.

A France Travail encontra-se a alertar que dados dos utilizadores registados na plataforma podem ter sido comprometidos, o que engloba a informação de pessoas que se registaram no sistema de trabalho da entidade nos últimos 20 anos.

Embora a informação roubada possa ser considerada como pessoal, não inclui dados bancários ou códigos de acesso ao serviço. Ainda assim, a entidade alerta para os utilizadores se manterem atentos a possíveis atividades maliciosas.

De relembrar que os ataques iniciais começaram a ocorrer na semana passada, e terão afetado vários sistemas de organizações do governo. Embora as autoridades não indiquem a origem dos ataques, estes terão sido reivindicados pelo grupo Anonymous Sudan.

14/03/2024
Universidade de Stanford falhou durante quatro meses a identificar ransomware

A Universidade de Stanford confirmou que foi vítima de um incidente informático, que terá permanecido indetetável durante quase quatro meses. O ataque terá ocorrido durante o ano passado, e os atacantes mantiveram acesso aos sistemas da instituição por quatro meses antes de terem sido identificados.

Em outubro de 2023, o grupo de ransomware Akira tinha indicado que teria obtido dados da instituição, no que aparentava ser um ataque de ransomware aos sistemas internos da mesma. No entanto, na altura, a Universidade apenas indicou que estaria a investigar a situação, sem mencionar diretamente um roubo de dados.

Esta confirmação apenas viria a surgir mais tarde, quando uma notificação foi enviada para 27.000 pessoas afetadas pelo ataque. Na mesma, a Universidade confirmava o ataque de ransomware, com consequente roubo de dados, e forneceu alguns detalhes sobre a investigação que teria sido feita.

No entanto, os documentos apresentados durante esta semana para as autoridades dos EUA, revelam ainda mais detalhes sobre o caso. Aparentemente a Universidade terá sido atacada, mas apenas quatro meses depois é que esta terá obtido conhecimento de tal.

No relatório apresentado às autoridades dos EUA, a Universidade afirma que as investigações levaram a indicar o ataque como tendo ocorrido a 12 de Maio de 2023, mas apenas a 27 de Setembro do mesmo ano é que este acesso indevido foi identificado pela instituição. Durante mais de quatro meses, os atacantes tiveram acesso à rede interna e sistemas da instituição, período que terão usado para roubar dados sensíveis da mesma, antes de bloquearem os sistemas com o ransomware.

De momento ainda se desconhecem detalhes sobre a informação que foi concretamente comprometida, mas é possível que envolva diversas divisões da universidade.

Todos os utilizadores afetados pelo ataque terão recebido 24 meses de serviço de monitorização para fraudes bancárias e possuem acesso a um sistema de seguro de 1 milhão de dólares, para cobrir possíveis perdas relacionadas com o ataque.

Enquanto isso, o grupo de ransomware Akira afirma ter roubado mais de 430 GB de dados, que inclui documentos internos e dados pessoais de funcionários e docentes em geral. Os dados encontra-se agora disponíveis publicamente pelo grupo.

13/03/2024
Autoridades francesas vão iniciar investigação a ataques informáticos

As autoridades de França vão iniciar uma investigação aos ataques informáticos que, durante o fim de semana, causaram problemas em vários sistemas de entidades no pais.

Os ataques terão começado na sexta feira, mas foram mais sentidos no Domingo, quando vários sites e sistemas da entidade ficaram inacessíveis. De acordo com o Ministério Publico de França, a investigação ao incidente será realizada durante os próximos meses, com o objetivo de identificar a origem dos mesmos.

As autoridades sublinham ainda que, este género de crime, é punível no pais com até 10 anos de prisão e multa de 300 mil euros. As autoridades consideraram os ataques como “sem precedentes”, deixando vários sistemas de diferentes organismos governamentais inacessíveis durante várias horas. Embora não se tenham comprometido dados, os sistemas e sites ficaram inacessíveis para os cidadãos, prejudicando o uso dos mesmos.

Fontes do governo francês apontam ainda que o ataque não terá sido de origem russa, algo que rapidamente começou a propagar-se nas redes sociais como uma possibilidade.

Embora as autoridades francesas não tenham deixado detalhes sobre a origem dos ataques, o grupo de hackers Anonymous Sudan confirmou os mesmos no seu canal do Telegram, indicando que teriam como alvo vários ministérios de França.

Este grupo é conhecido por ter ligações com as autoridades russas, realizando ataques em nome das mesmas.

12/03/2024
Rússia alega que EUA estão a preparar ataque informático a sistema de votação

As autoridades da Rússia encontram-se a acusar os EUA de estarem a planear um ataque contra o sistema eleitoral russo, mais concretamente contra os sistemas do mesmo.

De acordo com a Reuters, as autoridades de segurança da Rússia encontram-se a indicar que os EUA estão a preparar um ataque informático contra os sistemas de votação na Rússia, com o objetivo de destabilizarem as eleições no pais.

Embora as autoridades não tenham deixado qualquer prova concreta sobre estas declarações ou planos, a Rússia afirma que qualquer tentativa de realizar ataques contra o sistema eleitoral do pais será considerado um ato de agressão. No entanto, alguns meios consideram que estas declarações apenas se encontram a surgir como uma escapatória, para o caso de Vladimir Putin não obter a totalidade dos votos nas eleições do dia 15 de Março.

Segundo as autoridades russas, estas afirmam terem provas que as autoridades dos EUA podem estar a planear um ataque ao sistema informático da votação na Rússia, que pode impedir a contagem de votos em algumas zonas da mesma.

De notar que Putin controla o sistema de votação local, e como tal, é bastante provável que o mesmo venha a ter uma reeleição com a contagem dos votos. No entanto, para a eventualidade de os números não serem indicativos de tal, várias fontes afirmam que as declarações agora indicadas serão um meio de escape para o caso de este não obter a totalidade dos votos.

Ao mesmo tempo, as autoridades russas também afirmam que, apesar dos planos dos EUA, a Rússia nunca interferiu com as eleições dos EUA. No entanto, do lado dos EUA, as autoridades repetidamente indicaram a Rússia como uma das fontes de interferência ao sistema de votação, através de vários meios.

12/03/2024
Sites do governo de França alvo de ataque informático

Vários serviços do governo de França encontram-se a ser alvo de ataques informáticos, que terão começado a ocorrer durante o dia de hoje e estão a afetar o acesso a algumas plataformas públicas.

De acordo com a CNN, fontes do governo de França indicam que estes ataques começaram durante o dia de hoje, e de momento ainda se desconhece a origem. No entanto, as autoridades afirmam que não existem, para já, indicações que tenham origem na Rússia.

Os ataques terão começado durante a noite de Domingo, mas intensificaram-se durante a manhã de segunda feira. As autoridades afirmam que o ataque é considerado “sem precedentes”, afetando várias infraestruturas.

Embora as autoridades francesas ainda não tenham identificado a origem dos ataques, o grupo de hackers Anonymous Sudan já terá reivindicado os mesmos, através de uma mensagem partilhada no Telegram. O grupo afirma que os ataques tiveram como alvo os ministérios da Cultura, da Saúde, da Economia e da Transição Ecológica, além dos da Aviação Civil, a direção interministerial de economia digital, o Instituto Geográfico Nacional e o gabinete do primeiro-ministro.

Este grupo de hackers é também conhecido por ter apoios associados à Rússia, nomeadamente com o governo de Moscovo.

De momento, os sites afetados pelo ataque já aparentam encontrar-se restaurados na normalidade, embora ainda existam algumas plataformas onde se verifica falhas esporádicas de acesso.

11/03/2024
Microsoft confirma que hackers russos obtiveram codigo fonte da empresa

A Microsoft confirmou que um grupo de hackers russos, conhecidos como Midnight Blizzard, e que atacaram os servidores da empresa em Janeiro, tiveram também acesso a repositórios de código fonte e sistemas internos da empresa.

Segundo a investigação da Microsoft, o ataque não terá afetado sistemas de clientes da Microsoft, que usam as plataformas da mesma. O ataque terá sido focado apenas para os sistemas da própria entidade. A empresa sublinha ainda que vai continuar a investigação do ataque, para apurar mais detalhes do mesmo.

A Microsoft alerta ainda que, usando os dados que os atacantes obtiveram, este grupo encontra-se agora a usar a informação para tentar obter acesso a outras plataformas da empresa, bem como a contas individuais da mesma.

Desde Fevereiro, o número de ataques contra os serviços da Microsoft aumentou mais de dez vezes, em parte porque o grupo intensificou também ataques brute force contra contas associadas com a empresa.

A Microsoft afirma que os atacantes usaram uma conta antiga, sem autenticação em duas etapas, para obterem acesso aos sistemas da empresa. O grupo terá ainda acedido a contas de email de funcionários e executivos da empresa, onde se podem incluir comunicação entre alguns dos seus clientes.

Por fim, a empresa garante que vai continuar a trabalhar para garantir a segurança dos seus sistemas, enquanto também analisa o ataque para obter mais informações, partilhando as mesmas conforme necessário.

09/03/2024
Microsoft alerta para onda de ataques de hackers Russos

A Microsoft encontra-se a alertar que hackers associados ao governo Russo encontram-se a lançar campanhas de ataque contra os serviços da empresa, usando informação recolhida durante os últimos meses para acederem a sistemas de organizações.

De acordo com a mensagem no blog da empresa, a Microsoft encontra-se a verifica uma crescente e continuada onda de ataques contra entidades que usam os serviços da empresa, que estão a ser realizados por grupos de hackers com ligações ao governo da Rússia.

Os atacantes encontram-se a usar informação recolhida de ataques anteriores, com o objetivo de recolherem informação e obterem acesso a infraestruturas de várias empresas internacionais. Isto inclui também contas e serviços que estão associados com a própria Microsoft, e de onde foram afetados em ataques no passado.

Esta revelação surge depois da empresa ter confirmado, em Janeiro, que os mesmos hackers do governo Russo teriam acedido a sistemas internos da empresa, de onde recolheram também informações.

Com base nas informações agora reveladas, o mesmo grupo encontra-se agora a usar a informação anteriormente recolhida para realizar mais ataques e acessos indevidos a várias plataformas.

A Microsoft afirma que o grupo responsável por estes ataques é conhecido como APT29, ou “Cozy Bear”. O grupo tem vindo a intensificar os ataques contra as plataformas da empresa, nomeadamente a nível de ataques brute force, para obter acesso a ainda mais informação privilegiada.

08/03/2024
WorldCoin vai contestar suspensão temporária em Espanha

Durante esta semana, as autoridades em Espanha confirmaram a medida de suspensão das atividades da WorldCoin no pais, e agora a empresa confirma que vai começar o ataque contra esta suspensão.

No início da semana, as autoridades de proteção de dados em Espanha suspenderam de forma imediata todas as atividades da WorldCoin. A ordem, por parte da AEPD, obrigava a empresa a suspender temporariamente todas as suas atividades, nomeadamente a recolha de dados pessoais para o uso da plataforma.

A AEPD usou o artigo 66 do RGPD para aplicar medidas imediatas e urgentes, com vista a garantir a proteção dos dados dos consumidores, enquanto se averigua a recolha dos dados e se estas violam as leis europeias. As autoridades afirmam que terão aplicado esta medida depois de terem recebido várias queixas dos consumidores sobre a recolha de elevados dados pessoais e da falta de controlo dos mesmos.

Estas ordens de suspensão das atividades podem ser mantidas durante três meses, sendo aplicadas em situações onde exista a necessidade de uma investigação mais aprofundada das práticas, mas exista um elevado risco para a privacidade e segurança dos dados.

Ao portal TechCrunch, uma porta voz da WorldCoin, Rebecca Hahn, afirma que a empresa vai recorrer da decisão de suspender as atividades por parte das autoridades em Espanha. Ao mesmo tempo, a empresa confirma que, embora discorde da decisão, suspendeu todas as atividades em Espanha por agora.

A empresa afirma que os sistemas usados pela WorldCoin, nomeadamente na recolha da iris dos utilizadores, encontra-se dentro dos termos do RGPD na União Europeia. A empresa sublinha ainda que todos os dados dos clientes encontram-se seguros e em total controlo dos mesmos.

Segundo o comunicado, a empresa afirma que “A Worldcoin está em total conformidade com todas as leis e regulamentos que regem a recolha de dados biométricos e a transferência de dados, incluindo o Regulamento Geral de Proteção de Dados da Europa (“GDPR”). Como tal, temos mantido um diálogo consistente e contínuo com nossa principal Autoridade de Privacidade de Dados na UE, a BayLDA, há meses. Ficámos desiludidos com o facto de o regulador espanhol ter contornado o processo e as regras aceites na UE, o que nos deixa poucos recursos para além de interpor uma ação judicial.”

A empresa deve agora avançar com as medidas para contestar a suspensão temporária das autoridades em Espanha. Até ao momento ainda não existe uma confirmação das autoridades sobre os próximos passos da investigação.

08/03/2024
Ataque de ransomware roubo documentos sensíveis da Suíça

O National Cyber Security Centre (NCSC) da Suíça emitiu recentemente o seu relatório sobre o ataque ransomware à entidade Xplain, confirmando que centena de documentos sensíveis do governo podem ter sido comprometidos.

A Xplain é uma empresa focada no desenvolvimento de tecnologias e softwares que são usados por várias entidades governamentais na Suíça. Recentemente a entidade confirmou ter sido alvo de um ataque de ransomware, de onde terão sido roubados dados sensíveis da mesma.

O ataque foi confirmado pelo grupo Play, a 23 de Maio de 2023. Na altura, o grupo afirmava ter obtido acesso a documentos sensíveis da entidade, tendo em Junho do mesmo ano publicado os mesmos.

Depois de uma investigação iniciada pelo governo da Suíça, chega-se agora à conclusão que, por entre os dados roubados, podem encontrar-se documentos e conteúdos sensíveis de várias organizações governamentais do pais.

Segundo o relatório da investigação, mais de 65.000 documentos do governo foram revelados no leak. No total, foram identificados mais de 1.3 milhões de ficheiros no leak, mas apenas estes 5% dizem respeito a informação potencialmente sensível.

Foi ainda revelado que cerca de 5 mil documentos possuem dados sensíveis de informação pessoal, como nomes, moradas, emails, números de telefone e outras informações identificativas.

As autoridades afirmam que o relatório do incidente terá demorado mais tempo que o inicialmente previsto tendo em conta a quantidade elevada de informação que se encontra no leak, e dos dados sensíveis existentes.

08/03/2024
Falha em veículos da Tesla permite controlo por um Flipper Zero

Um novo ataque usando o Flipper Zero pode permitir ao dispositivo controlar remotamente veículos da Tesla, que inclui a capacidade de abrir os mesmos e iniciar a ligação. O ataque encontra-se ativo mesmo na versão mais recente da app da Tesla, e do software existente nos veículos da marca.

A descoberta foi realizada pelos investigadores de segurança Talal Haj Bakry e Tommy Mysk, que terão reportado a mesma à Tesla. A falha encontra-se na forma como a autenticação a novos dispositivos é feita via o carro, que se encontra aberta a ser explorada para ataques.

Embora a falha tenha sido reportada à Tesla, a fabricante afirma que a mesma não seria válida.

O ataque começa quando os atacantes criam uma falsa rede sem fios, próxima de postos de carregamento da Tesla, com o nome “Tesla Guest”, que é bastante vulgar de encontrar em centros de carregamento da empresa. Embora os investigadores tenham usado o Flipper Zero para criar esta rede falsa, é possível de se usar qualquer outro dispositivo que tenha essa capacidade.

Quando as vítimas tentam aceder a esta rede, são questionadas para acederem a uma página de login, onde necessitam de introduzir os seus dados de login nas contas Tesla. Os dados introduzidos no site falso podem ser vistos em tempo real pelos atacantes.

Isto permite também verificar qualquer código de autenticação em duas etapas que seja enviado para as vítimas, de forma a acederem às suas contas. Feito isto, é possível ter controlo sobre o que se encontra na conta, e localizar os veículos em tempo real.

Ao mesmo tempo, este acesso permite também que os atacantes possam criar uma nova ligação do veículo com um novo dispositivo, que neste caso será o dispositivo em controlo pelos atacantes. Para isto, no entanto, os atacantes necessitam de estar fisicamente próximos dos veículos e das vítimas, visto a limitação da ligação Bluetooth.

As Phone Keys utilizam a aplicação móvel da Tesla em conjunto com o smartphone do proprietário do carro para permitir o bloqueio e desbloqueio automático do veículo, através de uma ligação Bluetooth segura. Os automóveis Tesla também utilizam Chaves de cartão, que são cartões RFID finos que têm de ser colocados no leitor RFID da consola central para ligar o veículo. Apesar de serem mais seguras, a Tesla trata-as como uma opção de reserva se a chave telefónica não estiver disponível ou estiver sem bateria.

Mysk afirma que a adição de uma nova chave telefónica através da aplicação não requer que o automóvel seja desbloqueado ou que o smartphone esteja no interior do veículo, o que cria uma lacuna de segurança significativa.

Além disso, os investigadores afirmam que todo este processo pode ser realizado sem que as vítimas sejam alertadas de tal. Isto ocorre porque a app não notifica quando uma nova chave é adicionada na conta ou nos veículos, e, portanto, os atacantes podem obter controlo do veículo totalmente “secreta”.

Embora os investigadores tenham testado o método com um Tesla Model 3, estes afirmam que a técnica pode ser usada em praticamente qualquer outro modelo da marca. A Tesla nega que esta falha seja válida, tendo em conta os passos envolvidos que se encontram fora do foco do software da empresa.

07/03/2024
Hackers usam visitantes de sites WordPress comprometidos para atacar outras plataformas

Uma nova técnica de ataque a sites WordPress encontra-se atualmente a propagar-se em peso na internet, com o objetivo de levar a ataques a outros sites também baseados na mesma plataforma.

De acordo com a empresa de segurança Securi, uma nova campanha de ataque foi descoberta contra sites baseados em WordPress. Os atacantes tentam começar por explorar falhas nos mesmos, de forma a injetarem scripts no tema, que carregam sempre que um utilizador acede ao site.

O objetivo deste script, no entanto, passa por lançar ataques diretos contra outros sites, nomeadamente ataques de brute force, onde os visitantes dos sites podem, sem se aperceberem, estar a participar no mesmo.

Quando os utilizadores visitam um site comprometido por estes scripts, encontram-se a lançar ataques contra outros sites WordPress na internet, nomeadamente com tentativas de brute force aos mesmos. Estes ataques são feitos através dos navegadores dos visitantes do site, e portanto, estes encontram-se inadvertidamente a ser os atores deste ataque.

O script contacta os sistemas dos atacantes, que enviam os comandos necessários para iniciar o ataque. Este género de ataque pode ser realizado a vários sites pela internet, e dependendo do número de visitas que o site receba, pode ter um grande impacto contra os alvos.

Se, durante o ataque, for descoberta uma senha válida, é enviado um pedido para o servidor em controlo dos atacantes, a informar de tal e com os dados. Isto é tudo feito em segundo plano pelo navegador dos visitantes nos sites infetados, sem que estes tenham conhecimento de tal.

Enquanto a página estiver aberta, o ataque continua a ser realizado – no entanto, basta o visitante sair do site para o script deixar de funcionar.

Os dados mais recentes indicam que existem cerca de 1700 sites na internet infetados por este script, mas a lista tem vindo a expandir-se consideravelmente nos últimos dias.

Para os administradores de sites WordPress, o recomendado será que mantenham os mesmos atualizados, bem como todos os temas e plugins, e que verifiquem qualquer atividade suspeita existente nos mesmos.

07/03/2024