Categoria: ataque

Microsoft afirma ter sido atacada por grupos de hackers russos

Os investigadores da Microsoft revelaram que existe um grupo de hackers, apoiado pelo governo Russo, terão obtido acesso a determinadas contas de email de alguns dos executivos da empresa.

De acordo com o relatório da empresa, pelo menos dois grupos de hackers, conhecidos como “Nobelium” e “Midnight Blizzard”, terão usado avançadas técnicas para obter acesso a contas de email de vários executivos da Microsoft.

Estes grupos, depois de obterem acesso às contas de email das vítimas, terão descarregado diversa informação das mesmas, incluindo mensagens de email sensíveis e documentos de anexo. A empresa afirma ainda que os ataques terão começado em Novembro de 2023, mas apenas a 12 de Janeiro de 2024 é que foram identificados oficialmente.

A empresa afirma ainda que os executivos afetados encontravam-se nas áreas de cibersegurança, legal e outras divisões internas. Foi ainda referido que estes ataques não ocorreram devido a vulnerabilidades nos produtos ou serviços da Microsoft, e não existem indícios de que os atacantes terão obtido acesso a dados de clientes da empresa ou informações sensíveis da mesma.

A empresa tem vindo a reforçar as suas medidas de segurança, sobretudo depois de, em Novembro, terem sido identificados ataques com origem de grupos na China, onde foram obtidos acessos a contas governamentais que se encontravam no Outlook para diversos países na Europa e EUA.

Os recentes ataques indicam que a Microsoft necessita de reforçar as suas políticas de segurança e de realizar mais ações para garantir a segurança das suas plataformas, algo que a empresa indica. Devem ainda ser realizadas algumas verificações de sistemas antigos e desatualizados para identificar possíveis usos maliciosos.

A investigação do ataque encontra-se a decorrer com a ajuda das autoridades, sendo que a Microsoft afirma que vai fornecer mais informações conforme seja apropriado.

19/01/2024
Ataque de ransomware à VF Corporation afetou 35 mil clientes

A VF Corporation, entidade responsável por marcas como a Vans, Timberland, The North Face, Dickies e Supreme, confirmou que o recente ataque de ransomware à entidade pode ter comprometido os dados de milhares de clientes da mesma.

De acordo com o comunicado da entidade, enviado para as autoridades norte-americanas, o ataque de ransomware que ocorreu em Dezembro de 2023 terá levado ao roubo de informações de aproximadamente 35 milhões de clientes.

Segundo o documento entregue às autoridades nos EUA, a empresa afirma que, depois de uma investigação do incidente, chegou-se à conclusão de que dados de clientes teriam sido comprometidos. No total, mais de 35 milhões de clientes podem ter sido afetados com o ataque, com informações pessoais comprometidas.

No entanto, a empresa garante que não existem evidências que senhas dos clientes tenham sido comprometidas no ataque.

A empresa tinha confirmado o ataque no passado dia 15 de Dezembro, indicando na altura que alguns dos seus sistemas internos teriam sido comprometidos num aparente ataque de ransomware, o que terá afetado também o funcionamento de algumas divisões da mesma.

A empresa foi ainda obrigada a desligar alguns dos sistemas internos, de forma a conter o ataque, que afetou também a distribuição de alguns produtos pelos revendedores das diferentes marcas a nível global.

Atualmente a VF Corp encontra-se a colaborar com as autoridades dos EUA para analisar o ataque e a sua origem.

19/01/2024
Banco Nacional de Angola alvo de ataque informático

O Banco Nacional de Angola (BNA) confirmou ter sido vítima de um ataque informático esta semana, que apesar de alguns transtornos, a entidade afirma não ter causado impactos na infraestrutura e nos dados.

Em comunicado, a entidade afirma que o ataque terá ocorrido no dia 6 de Janeiro de 2024, o qual foi mitigado pela equipa de segurança da entidade. A instituição afirma ainda que o ataque não causou problemas a nível da infraestrutura ou funcionamento da mesma, bem como dos dados de clientes ou da própria entidade.

O BNA afirma ainda que o ataque foi mitigado com sucesso, e não causou impacto em outras plataformas. A entidade afirma ainda que segue todos os padrões de segurança e que estes foram fundamentais para evitar um ataque mais prolongado ou danoso.

A entidade afirma ainda que “continuará a assegurar as medidas necessárias, visando garantir a segurança, integridade, confiabilidade e disponibilidade dos sistemas de informação das instituições financeiras, que se encontram a operar com normalidade”.

Os detalhes sobre o ataque não foram revelados, mas algumas fontes locais apontam que poderá ter-se tratado de um ataque de ransomware, com alguns dos sistemas da instituição a ser afetados.

17/01/2024
Chrome corrige primeira falha zero-day de 2024

A Google confirmou ter lançado uma nova atualização para o Chrome, focada em corrigir uma vulnerabilidade zero-day no mesmo – a primeira de 2024.

De acordo com a empresa, a falha encontra-se classificada com a CVE-2024-0519, sendo que a empresa refere que existem indícios que se encontra a ser ativamente explorada para ataques.

A Google lançou a correção para todas as versões mais recentes do Chrome no canal estável, nomeadamente para Windows (120.0.6099.224/225), Mac (120.0.6099.234), e Linux (120.0.6099.224).

A empresa começou a disponibilizar o patch cerca de uma semana depois de a falha ter sido reportada à empresa. No entanto, a empresa afirma que ainda pode demorar vários dias ou semanas até que as novas versões estejam inteiramente disponíveis para todos os utilizadores.

O Chrome deverá atualizar-se automaticamente, mas quem pretenda pode pesquisar por a versão mais recente diretamente do menu de “Acerca” do navegador.

A falha em si encontra-se associada com o Chrome V8 JavaScript, e pode permitir que os atacantes obtenham acesso a dados da memória do sistema, eventualmente contendo informação sensível que tenha sido usada no navegador ou levando ao bloqueio do mesmo.

Além disso a falha pode ainda ser explorada para ativamente levar a que os atacantes possam executar códigos remotamente no navegador, ou explorar outras falhas existentes no mesmo. Portanto, tendo em conta o potencial de ataque, a atualização do navegador é recomendada o mais rapidamente possível.

Ao mesmo tempo, tratando-se de uma falha zero-day, a Google acredita que a falha pode encontrar-se a ser ativamente explorada para ataques, o que agrava a mesma consideravelmente. Para evitar uma exploração mais alargada, a empresa não revelou detalhes sobre a falha.

16/01/2024
Framework Computer confirma roubo de informações pessoais de clientes

A Framework Computer, reconhecida empresa fabricante de computadores portáteis personalizados, confirmou ter sido vítima de um ataque informático, de onde podem ter sido recolhidos dados sensíveis dos clientes e da empresa.

O ataque terá ocorrido depois da entidade Keating Consulting Group, que gere as finanças da entidade, ter sido atacada via phishing. Este ataque permitiu que se obtivesse acesso aos dados sensíveis da Framework Computer.

A entidade afirma que a sua consultora financeira foi atacada no dia 11 de Janeiro, por um hacker que se fez passar pelo CEO da Framework Computer, de forma a obter acesso aos dados de clientes da entidade.

O atacante obteve acesso a uma lista de dados pessoais de vários clientes, de número ainda desconhecido, da Framework Computer, que realizaram encomendas recentemente na entidade.

Por entre os dados que podem ter sido acedidos encontra-se o nome completo, email e informações de pagamentos realizados. Todos os clientes afetados foram prontamente notificados, mas a entidade ainda não revelou detalhes sobre o número concreto de clientes afetados.

Ao mesmo tempo, a entidade alerta os clientes afetados para o potencial dos dados recolhidos serem usados para campanhas de phishing e outros esquemas diversos, que podem usar os dados para dar mais credibilidade nas mensagens. A empresa sublinha ainda que apenas contacta os clientes via o seu email oficial support@frame.work, e que nunca requer dados de pagamento por este meio.

11/01/2024
Conta da SEC na X usada para partilha de falsas informações

A conta na X da Comissão de Títulos e Câmbio dos EUA foi, durante o dia de ontem, alvo de um ataque, tendo sido usada para partilhar falsas informações relativamente a criptomoedas e esquemas.

Nos últimos dias temos vindo a indicar que existe uma tendência de ataques a contas verificadas de empresas e organizações governamentais na X, e este é o mais recente caso de tal. A conta oficial da Comissão de Títulos e Câmbio dos EUA foi alvo de um ataque, tendo sido usada para a partilha de mensagens relacionadas com criptomoedas.

Na mensagem, a conta indicava que a SEC teria aprovado a listagem de EFTs nas plataformas de exchange dos EUA. A mensagem seria falsa, mas foi passada através da conta oficial da SEC e com um conteúdo aparentemente legitimo à primeira vista.

A mensagem contava ainda com a foto de Gary Gensler, juntamente com uma suposta declaração do mesmo relativamente à aprovação da lei. A mensagem foi o suficiente para várias plataformas terem rapidamente apanhado a informação, bem como levou a um ligeiro aumento no valor da criptomoeda – mesmo que o conteúdo fosse falso.

No entanto, este crescimento do valor foi de curta duração, tendo em conta que foi também rapidamente confirmado que a conta tinha sido comprometida.

Até ao momento ainda se desconhecem detalhes de como a conta foi comprometida. Tendo em conta que se trata da conta oficial de uma entidade governamental, esta possui medidas de segurança mais elevadas, mas que parecem não ter sido suficientes para prevenir o ataque.

Ao mesmo tempo, a X encontra-se ainda a ser alvo de largas campanhas de falsas publicidades, associadas com esquemas de criptomoedas e similares. Os utilizadores interessados nestes temas encontram-se a receber várias campanhas de publicidade dentro da X, que direcionam para sites de esquemas e supostos “airdrops” de várias criptomoedas – onde o objetivo passa por roubar os fundos das contas dos utilizadores.

10/01/2024
Contas da Netgear e Hyundai na X usadas para esquemas de criptomoedas

As contas oficiais da Netgear e da Hyundai MEA na X, antigo Twitter, foram recentemente alvo de um ataque, tendo sido usadas para a propagação de esquemas de criptomoedas – ambas as contas possuem um total combinado de 160.000 seguidores.

As contas foram usadas para propagar mensagens focadas em roubar os fundos das carteiras dos utilizadores, através da indicação de sites maliciosos. De momento a Hyundai parece já ter obtido acesso à sua conta, tendo removido as mensagens maliciosas da mesma. No caso da Netgear o acesso parece ainda não ter sido restabelecido.

A conta da Hyundai MEA teve o nome alterado para “Overworld”, com a indicação de que se tratava de um jogo RPG da Binance Labs, com o objetivo de dar mais credibilidade ao esquema.

A conta da Netgear aparenta ter sido atacada da mesma forma, e algumas fontes apontam que o roubo terá ocorrido desde o passado dia 6 de Janeiro. Nas mensagens, os utilizadores eram incentivados a acederem a links externos sobre falsos pretextos de ganhos e ofertas de criptomoedas. Para tal, os utilizadores tinham de ligar as suas carteiras com o site da oferta, que caso fosse realizado, levava ao roubo imediato de todos os fundos da mesma.

De notar que a X tem sido bastante fustigada com ondas de ataques diretos a contas de relevo na plataforma. Ainda de forma recente foi verificado que os atacantes encontram-se cada vez mais voltados para contas verificadas com sinais de empresas ou governos, com o objetivo de enganar o máximo possível de utilizadores.

Ao mesmo tempo, a plataforma ainda se encontra a ser alvo de campanhas de spam e phishing através do sistema de publicidade da empresa, com foco em falsos giveaways e airdrops de criptomoedas.

08/01/2024
Grupo LockBit confirma ataque ao hospital Capital Health

O grupo de ransomware Lockbit confirmou ter sido o autor do ataque em Novembro de 2023 à rede de hospitais Capital Health, nos EUA. O grupo encontra-se agora a ameaçar publicar os dados roubados caso a entidade não realize o pagamento.

A Capital Health é um importante grupo de hospitais privados nos EUA, sendo que o ataque terá afetado as operações do mesmo, bem como terão sido recolhidos dados sensíveis de pacientes.

Em novembro de 2023, a entidade afirmou ter sido vítima de um ataque informático, de onde terão sido obtidos dados dos sistemas internos da mesma, e que causaram problemas no uso dos sistemas informáticos da instituição.

Na altura desconhecia-se a origem do ataque, mas agora o grupo LockBit veio confirmar a mesma, indicando que irá divulgar brevemente os dados caso o pagamento não seja realizado. Desconhecem-se detalhes sobre os conteúdos roubados, mas acredita-se que pode conter dados sensíveis da instituição, incluindo dados de pacientes da mesma.

Apesar de serem um grupo de ransomware, o LockBit possui algumas regras sobre as instituições que podem ser comprometidas. No caso de hospitais, o grupo afirma que não encripta os dados, mas pode roubar dados internos dos mesmos. O grupo afirma que propositadamente não encriptou os dados da instituição, mas roubou os dados possíveis da mesma.

08/01/2024
Contas da X verificadas com sinal dourado e cinza cada vez mais alvo de ataques

Grupos de hackers encontram-se a usar cada vez mais contas verificadas no Twitter, associadas com governos e empresas, com sinais de verificado dourado e cinza, para promoverem esquemas falsos de criptomoedas.

Recentemente a conta da Mandiant, subsidiária da Google, foi atacada, tendo sido usada para promover esquemas de criptomoedas. No entanto, este é apenas um exemplo de vários existentes na plataforma.

De acordo com a conta MalwareHunterTeam, existem atualmente dezenas de contas verificadas de empresa e governos que estão a ser usadas – ou foram usadas – para promover este género de esquemas.

Estas contas possuem a particularidade de possuírem o sinal de verificado dourado ou cinza, que é um dos mais prestigiados dentro da plataforma, e que possui mais validade que o sinal azul de verificado – que agora qualquer um pode obter.

As contas de entidades governamentais são particularmente importantes, tendo em conta que normalmente são usadas por organismos importantes de estado, e se usadas para este género de ataques podem ter um grande impacto nos utilizadores que vejam as mensagens.

Em vários portais da dark web, encontram-se à venda acessos para contas da X verificadas com sinal dourado e cinza, por preços entre 1200 e 2000 dólares – que tendo em conta o potencial de ataque, não serão valores elevados.

Alguns vendedores podem vender acesso a contas afiliadas, que normalmente são de mais fácil obtenção, por preços de aproximadamente 500 dólares.

A X não deixou comentários sobre esta onda de ataques, mas recomenda-se que os utilizadores tenham atenção aos conteúdos partilhados, independentemente da origem das contas.

04/01/2024
Hackers russos eliminaram dados centrais da operadora Ucraniana Kyivstar

Os hackers russos que, em Dezembro, atacaram a operadora ucraniana Kyivstar, uma das maiores do pais, terão eliminado todos os dados dos sistemas centrais da rede da operadora, causando uma interrupção prolongada dos serviços e perda de dados.

Illia Vitiuk, chefe dos Serviços de Segurança da Ucrânia, afirma que a investigação do ataque indicou que os hackers terão obtido acesso à rede da operadora em Maio de 2023, mas mantiveram-se silenciosos durante os meses seguintes. Quando o ataque foi realizado, no final do ano, todos os sistemas a que os atacantes possuíam acesso foram completamente eliminados e dados centrais da operadora destruídos.

As autoridades afirmam que os hackers russos obtiveram acesso em Maio, mas apenas em meados de Novembro terão conseguido obter acesso total a vários sistemas da operadora, o que pode justificar o facto do ataque pleno apenas ter sido realizado em dezembro.

É ainda indicado que se acredita que o ataque tenha sido bastante sofisticado, com uso de malware único e focado para o objetivo final. De relembrar que, na altura, o ataque foi confirmado pelo grupo conhecido como Solntsepek, que se acredita ter ligações com grupos de hackers russos.

A investigação do incidente ainda se encontra a ser realizada, portanto é possível que mais detalhes venham a ser conhecidos em breve.

04/01/2024
LastPass vai começar a exigir senhas com pelo menos 12 caracteres

A LastPass, criadores do gestor de senhas com o mesmo nome, começou a notificar os utilizadores da plataforma para novas regras a nível das senhas que podem ser usadas nas contas do serviço.

De acordo com a empresa, a partir de agora os utilizadores necessitam de usar senhas seguras no acesso aos seus cofres, com um mínimo de 12 carateres. A ideia desta medida será fomentar práticas mais seguras para as contas, e surge depois de vários contratempos na empresa durante o último ano.

A LastPass afirma que as senhas gerais de 12 carateres são permitidas por padrão desde 2018, mas os utilizadores podiam optar por usar senhas menos seguras na prática. Agora essa medida vai ser obrigatória, e passa a ser necessário atualizar a senha de acesso geral para ter um valor mínimo de 12 carateres.

A ter em conta que esta medida começou a ser aplicada desde Abril de 2023 para novas contas, mas agora vai aplicar-se também para clientes que tenham já contas no serviço. A medida vai tornar-se obrigatória já a partir de Janeiro deste ano, com a atualização a ser feita gradualmente durante as próximas semanas para todas as contas.

Ao mesmo tempo, a LastPass afirma que vai começar a validar as senhas, antigas e novas, usadas pelos clientes para a senha geral dos cofres, validando por hashs em senhas comprometidas de antigos leaks ou que tenham surgido pela internet. Os utilizadores são notificados caso tentem usar uma senha nestas condições.

Como parte das medidas para também garantir mais segurança nas contas dos utilizadores, desde Maio de 2023 que passou a ser obrigatório o uso de sistemas de autenticação em duas etapas para acesso aos cofres.

De relembrar que o LastPass foi alvo de roubo de dados em Novembro de 2022, altura em que também se confirmou que algumas senhas gerais de cofres de clientes afetados terão sido comprometidas por não terem segurança aceitável. A LastPass foi ainda fortemente criticada pela forma como lidou com o ataque, bem como a resposta fornecida ao mesmo.

03/01/2024
TuneFab confirma roubo de dados de 151 milhões de utilizadores

A empresa TuneFab, criadores de software de conversão de áudio como o “TuneFab Spotify Music Converter”, confirmaram recentemente terem sido vítimas de um roubo de dados.

De acordo com o comunicado da entidade, o ataque terá levado ao roubo de 280 GB de informação respeitante aos utilizadores, e foi realizado em Setembro de 2023. A descoberta foi realizada pelo investigador de segurança Bob Diachenko, que terá notificado a empresa.

Por entre os dados encontra-se informação de contas de 151 milhões de utilizadores, incluindo endereços IP, usernames, emails e outras informações dos dispositivos de ondes estes acederam ao software da empresa.

O roubo ocorreu devido a uma falha de configuração de uma base de dados MongoDB, onde se encontrava a informação dos utilizadores, e que estaria publicamente acessível. A TuneFab terá corrigido o problema em menos de 24 horas depois de ter sido notificada, mas o investigador alerta para o facto que os dados dos utilizadores podem ser usados para ataques direcionados e outros esquemas.

03/01/2024
Ubisoft encontra-se a analisar possível ataque informático a sistemas internos

A Ubisoft confirmou que se encontra a investigar se foi o mais recente alvo de um ataque informático, depois de imagens do software interno da empresa terem surgido na internet.

Recentemente o grupo VX-Underground revelou ter obtido imagens do que aparentam ser os sistemas internos da editora, no que se acredita ter sido um ataque realizado por um indivíduo à empresa.

O atacante terá mantido acesso aos sistemas internos da empresa durante 48 horas, antes de ter sido identificado o acesso indevido. No entanto, durante este período, o mesmo terá recolhido mais de 900 GB de dados da editora, e partilhou imagens do painel de gestão dos sistemas internos da mesma.

O atacante afirma ter obtido ainda acesso a vários registos existentes nos diferentes sistemas que a editora usa, como o SharePoint, Microsoft Teams, MongoDB Atlas, entre outros. A fonte do ataque afirma ainda que tentou obter detalhes do jogo Rainbow 6 Siege, mas que o acesso foi cortado antes de tal ser possível.

Ainda assim, o atacante terá recolhido uma quantidade elevada de informação. A partilha destas imagens terá levado agora os estúdios a analisarem o potencial de alguma informação ter sido comprometida. Para já ainda não existe uma confirmação clara sobre a origem do ataque.

22/12/2023
Insomniac Games deixa comentários sobre recente ataque informático

Durante o início desta semana, o grupo de ransomware Rhysida confirmou ter realizado um ataque aos estúdios da Insomniac Games, tendo recolhido mais de 1.67 TB de informações dos sistemas da editora.

Entre os dados encontra-se bastante informação sensível da empresa, incluindo de futuros jogos da mesma, onde se encontra “Wolverine”. Recentemente, a editora deixou mais comentários sobre o ataque.

A partir da sua conta na X, antigo Twitter, a editora afirma encontrar-se desapontada e furiosa sobre os ataques, e do facto de terem sido divulgadas informações que foram feitas a pensar nos consumidores – e que claramente os estúdios não pretendiam que fosse divulgado.

A editora afirma ainda que o ataque e leak de dados teve impacto também na moral da equipa de desenvolvimento, sendo que alguns projetos foram colocados em suspenso devido a tal.

Existe ainda a questão dos dados sensíveis de funcionários que foram partilhados, e que se encontram por entre os ficheiros agora divulgados pelo grupo de ransomware. Isto inclui dados pessoais e sensíveis dos mesmos, que podem comprometer a segurança.

No entanto, a editora afirma que, apesar destes contratempos, esta vai continuar o desenvolvimento como previsto, incluindo de Wolverine. Este título está previsto de ser lançado em 2026, mas a editora vai continuar o seu desenvolvimento daqui em diante.

22/12/2023
Playstation Plus pode vir a chegar a mais dispositivos em breve

Os recentes ataques à Insomniac Games, estúdios da Sony, vieram deixar alguns detalhes sobre futuros títulos a chegarem ao mercado. No entanto, os documentos que foram obtidos ainda se encontram a ser analisados, e apontam agora ainda mais detalhes sobre os planos da empresa.

Ao que parece, a Sony encontra-se a estudar a possibilidade de expandir a PlayStation Plus, de forma a que o mesmo abranja novos dispositivos – entre os quais se encontra outras consolas e PC.

De acordo com os documentos agora revelados, a Sony pode estar a planear expandir a PlayStation Plus para se tornar ainda mais competitiva face à Game Pass da Microsoft.

A nova versão da plataforma seria compatível não apenas com a PlayStation 4 e PlayStation 5, mas também com outros dispositivos como PCs, smartphones e smart tvs, ou até mesmo navegadores da internet.

Isto poderia tornar a plataforma consideravelmente mais atrativa para os jogadores, que teriam a capacidade de usar a mesma em diferentes dispositivos, e de acederem aos conteúdos que esta fornece.

Os documentos indicam ainda a possibilidade de o plano vir a contar com a oferta de outras assinaturas, como do Disney Plus, Spotify e Crunchyroll, de forma a melhorar o valor do mesmo para os utilizadores finais.

De notar que, para já, todas as informações obtidas partem apenas de rumores, tendo como base os documentos que foram obtidos do ataque na Insominiac Games. A empresa ainda não comentou oficialmente os planos para o futuro do serviço.

22/12/2023
Grupo de ransomware Akira confirma ataque à Nissan

Recentemente surgiram rumores que a Nissan Austrália teria sido alvo de um ataque de ransomware. E agora conhecem-se mais detalhes sobre a origem do mesmo.

O grupo de ransomware Akira confirmou ter sido o responsável pelo ataque, estando agora a disponibilizar os dados roubados. De acordo com o grupo, este afirma ter roubado mais de 100 GB de dados pertencentes à entidade.

A empresa terá sido contactada pelo grupo para realizar o pagamento do resgate e evitar a divulgação dos dados roubados, mas tendo em conta a indicação no site do grupo, estas negociações parecem ter terminado sem um acordo. Como tal, o grupo encontra-se agora a ameaçar divulgar os dados roubados.

Por entre as informações alegadamente roubadas encontram-se documentos internos da empresa, informações de projetos e outras similares, juntamente com dados de parceiros e clientes da empresa.

O grupo Akira começou a ganhar destaque em Março de 2023, e desde então tem vindo a realizar ataques contra várias entidades. O grupo tem intensificado os seus ataques mensais, e conta com uma lista de algumas entidades de relevo.

De relembrar que a Nissan tinha confirmado que foi vítima de um ciberataque em 5 de Dezembro, na altura sem avançar muitos detalhes sobre a origem do mesmo. A empresa ainda se encontra a restaurar alguns dos sistemas que foram alvo do ataque e a investigar o mesmo, portanto mais informações podem vir a ser reveladas em breve.

22/12/2023
Hacker que divulgou imagens de GTA 6 condenado a ficar detido no hospital

Em setembro de 2022, um hacker conhecido como “teapotuberhacker” publicou um conjunto de imagens do desenvolvimento de GTA VI. Hoje, as autoridades confirmaram os detalhes da sentença para o mesmo.

Arion Kurtaj, de 18 anos, foi condenado no Reino Unido a manter-se no hospital de forma indefinida por ter partilhado imagens e vídeos do jogo da Rockstar Games, tendo invadido os sistemas da empresa para tal.

De acordo com a BBC, Kurtaj foi considerado como incapaz de comparecer em tribunal, devido a um caso extremo de autismo. Como tal, o mesmo irá manter-se no hospital por tempo indefinido, até que o mesmo não seja considerado como um perigo para outros ou para o mesmo.

Kurtaj era membro do grupo conhecido como Lapsus, que realizou ataques a grandes entidades como a NVIDIA. As autoridades tinham detido o mesmo na altura, mas ainda sobre custódia da polícia, o hacker usou a TV do quarto no seu hotel, com uma Amazon Fire TV Stick, para atacar a Rockstar Games e roubar os dados do próximo jogo.

A Rockstar Games afirma que o ataque custou à empresa mais de 5 milhões de dólares, juntamente com milhares de horas de trabalho da equipa. Na altura, a Rockstar Games demonstrou-se desapontada com o ataque, que deu também a primeira indicação de que GTA 6 estaria em desenvolvimento – na altura, isso ainda era desconhecido.

Em tribunal, a defesa de Kurtaj demonstrou que o sucesso do trailer de GTA 6, revelado recentemente, comprova que o ataque do mesmo não teve grande impacto para a editora, e que isso deve ser considerado para a sentença final.

21/12/2023
OpenAI corrige falha no ChatGPT de forma incorreta

A OpenAI confirmou recentemente ter mitigado uma falha no ChatGPT, que se explorada, poderia permitir o leak de detalhes das conversas para endereços externos. No entanto, de acordo com alguns investigadores, a correção parece ter sido aplicada de forma incompleta.

Em Abril de 2023, o investigador Johann Rehberger revelou ter descoberto uma técnica para retirar dados das conversas do ChatGPT, tendo reportado no mesmo mês a falha à OpenAI. Em novembro, o investigador detalhou ainda mais a falha, e partilhou também GPTs criados especificamente para explorar a falha, e recolhe informação das conversas dos utilizadores.

A OpenAI foi informada da falha a 13 de Novembro de 2023. No entanto, apesar de o investigador ter demonstrado a falha, esta foi descartada pela OpenAI como não sendo diretamente uma falha de segurança – e consequentes mensagens de esclarecimento foram deixadas sem resposta.

Devido à falta de resposta da OpenAI sobre a situação, o investigador decidiu tornar pública a descoberta, tendo revelado a falha a 12 de Dezembro de 2023, com exemplos de como esta poderia ser explorada.

Esta falha poderia ser explorada usando imagens especificas, com o objetivo de recolher dados das conversas dos utilizadores.

Depois de Rehberger ter publicado a falha, a OpenAI respondeu à mesma com a implementação de uma verificação adicional no ChatGPT, para impedir que as imagens recolham a informação. No entanto, Rehberger afirma que a correção não foi implementada corretamente, e não impede que a recolha de informações possa continuar a ser feita.

Mesmo que parte do ataque tenha sido, efetivamente, mitigado, ainda é possível explorar a falha para recolher dados sensíveis de conversas na plataforma da OpenAI. Ao mesmo tempo, apesar de a correção ter sido implementada na versão web do ChatGPT, ainda se encontra por corrigir nas aplicações do ChatGPT para Android e iOS, onde a falha pode teoricamente ser explorada.

21/12/2023
Recente título de Ratchet and Clank deu prejuízo para a Sony

Esta semana não está a ser das melhores para a Insomniac Games e para a Sony. Recentemente um ataque à Insomniac Games revelou várias informações internas da editora, incluindo detalhes sobre jogos por lançar da editora.

No entanto, o leak de dados veio revelar também alguns detalhes sobre jogos antigos da editora e da Sony, que foram lançados no mercado. Um deles foi Ratchet e Clank: Em Uma Outra Dimensão, que nos documentos agora revelados deixa mais detalhes sobre o resultado no mercado.

Tendo em conta os documentos do leak, as vendas do jogo Ratchet e Clank: Em Uma Outra Dimensão ficaram bastante aquém do que a empresa esperava, e na realidade, a Sony teve prejuízos com o seu lançamento.

Os dados demonstram que o jogo, que foi lançado como um exclusivo da PS5 inicialmente, não obteve receitas para cobrir os custos de desenvolvimento dos dois anos anteriores.

A Sony gastou mais de 81 milhões de dólares neste projeto, e durante dois anos, foram vendidas apenas 2.2 milhões de unidades do mesmo. Com isto, a empresa recuperou 73 milhões de dólares, mantendo um prejuízo de 8 milhões de dólares.

De notar, no entanto, que o jogo recebeu recentemente uma versão para PC, o que pode ajudar ligeiramente nas vendas. Mas ainda assim, parece que o título está longe de ser um sucesso no mercado, e nem mesmo as vendas para PC devem resolver esse problema.

Apesar disso, o leak também revela que a editora pode ter planos para um novo jogo de Ratchet e Clank, com lançamento previsto para 2029.

19/12/2023
Novo ataque pode afetar segurança de ligações OpenSSH

Um grupo de investigadores revelou um novo formato de ataque contra ligações SSH, apelidado de Terrapin, que pode permitir reduzir a encriptação usada nas mesmas e permitir ataques diretos ao protocolo de comunicação.

De acordo com os investigadores, é possível para os atacantes modificarem as respostas da ligação com sistemas OpenSSH 9.5, reduzindo a encriptação das mesmas, o que pode permitir novas formas de ataques de autenticação ou até desativar algumas das medidas de proteção da ligação.

“O ataque Terrapin explora as fraquezas do protocolo da camada de transporte SSH em combinação com algoritmos criptográficos e modos de encriptação mais recentes introduzidos pelo OpenSSH há mais de 10 anos.”

Segundo os investigadores da Ruhr University Bochum, que descobriram o ataque, este pode explorar falhas inerentes da própria ligação SSH. Um aspeto a ser observado sobre o Terrapin é que os atacantes precisam estar em MiTM na camada de rede para intercetar e modificar a troca de handshake, e a conexão deve ser protegida por ChaCha20-Poly1305 ou CBC com Encrypt-then-MAC.

Apesar dos requisitos para que o ataque seja explorado, na análise dos investigadores, cerca de 77% das ligações feitas via SSH podem estar sujeitas a este género de ataques.

Encontra-se a ser fornecida uma atualização que promete corrigir este ataque, para sistemas com openSSH, e que deve gradualmente começar a ser disponibilizado para vários sistemas.

19/12/2023
Hackers publicam 1.3 milhões de ficheiros da Insomniac Games

No passado dia 12 de Dezembro, o grupo de ransomware Rhysida confirmou ter atacado a editora Insomniac Games, da Sony. Na altura, o grupo afirmava ter 1.67 TB de dados da empresa, incluindo de dados sensíveis de títulos que ainda se encontram em desenvolvimento.

Na altura, o grupo pedia mais de 2 milhões de dólares para evitar a divulgação dos dados. Mas como este pagamento não foi realizado, agora mais de 1.3 milhões de ficheiros da empresa encontram-se publicamente disponíveis.

De acordo com o portal Cyber Daily, o grupo começou a publicação dos conteúdos roubados, os quais integram diversa informação interna da editora, como recibos de pagamentos e outros detalhes, mas também informações sobre futuros títulos que se encontram em desenvolvimento.

Existem vários ficheiros associados com o jogo “Wolverine”, incluindo mapas, designs e outros respeitantes ao desenvolvimento. A isto integra-se ainda imagens do jogo e de várias cenas do mesmo, que foram partilhadas internamente.

Existe ainda um ficheiro que confirma um acordo entre a Sony e a Marvel para a criação de três jogos no futuro, associados com a saga de X-Men. O primeiro jogo deste acordo deverá ser o Wolverine, sendo ainda desconhecidos os restantes.

O grupo Rhysida afirma que demorou menos de meia hora para obter os dados de acesso aos sistemas internos da empresa, depois de um ataque de phishing. O grupo afirma ainda que os estúdios de videojogos tendem a ser alvos fáceis. Os atacantes afirmam ainda que, apesar da Sony ter avançado com uma investigação do incidente, esta devia ficar mais atenta ao que ocorre dentro da empresa.

De notar que o grupo começou por colocar os itens roubados para venda, onde qualquer um poderia adquirir. E tendo em conta que 98% dos dados foram agora divulgados, existe ainda 2% que foram adquiridos por terceiros desconhecidos.

19/12/2023
VF Corporation confirma novo ataque informático a sistemas internos

A VF Corporation, empresa responsável por marcas como a Vans, North Face, Timberland, Dickies e outras, confirmou ter sido a mais recente vítima de um ataque informático.

A VF Corporation confirmou o ataque no início desta semana, as autoridades norte-americanas. De acordo com o mesmo, a empresa afirma ter identificado um aceso indevido aos seus sistemas internos, no dia 13 de Dezembro.

Apesar de a empresa ter começado a aplicar medidas imediatas, esta afirma que o atacante terá encriptado alguns dos sistemas da mesma e recolheu informação interna da entidade.

A empresa afirma que as lojas da entidade continuam a funcionar, e os clientes podem adquirir os produtos na normalidade, mas é possível que sejam verificados alguns problemas operacionais. As plataformas de compras online também se encontram acessíveis, mesmo com estas possíveis falhas.

Este ataque surge num dos períodos mais críticos do ano para a empresa, tendo em conta que será a época do natal, e onde se tende a aumentar a procura pelos produtos das diferentes marcas da entidade.

De momento ainda se desconhece qual o grupo responsável pelo ataque, ou detalhes sobre os possíveis atrasos que os clientes podem sentir. Desconhece-se também se dados dos clientes podem ter sido afetados.

19/12/2023
Operadora norte-americana confirma roubo massivo de dados dos clientes

A operadora norte-americana Xfinity confirmou esta semana que foi vítima de um ataque informático, de onde podem ter sido obtidos dados sensíveis dos clientes. No entanto, a operadora não revelou exatamente a extensão do ataque ou dados sobre o número de clientes afetados.

De acordo com o comunicado da Xfinity, os atacantes obtiveram acesso a informações pessoais de alguns clientes da empresa. Entre os dados recolhidos encontra-se nomes de utilizador, senhas encriptadas, nomes, dados de contacto, os últimos dígitos do cartão de segurança social, data de nascimento e as questões de segurança das contas com as respetivas respostas.

A operadora afirma que o ataque ainda se encontra a decorrer, o que poderá justificar o facto de não terem sido ainda fornecidos dados sobre o número de clientes afetados. A empresa afirma ainda que se encontra a trabalhar com as autoridades locais para resolver o problema.

Acredita-se que o ataque terá tido origem no software Citrix, que empresas como a Xfinity usam nas suas operações diárias. Esta falha foi identificada a 10 de Outubro, com a correção disponibilizada e implementada nos sistemas da Xfinity a 23 de Outubro.

No entanto, no final da semana passada, a operadora confirmou ter identificado acessos de terceiros na sua rede. Em análise do problema foi identificado que os utilizadores maliciosos mantiveram contacto com a rede interna da empresa entre 16 e 19 de Outubro.

A empresa recomenda que os clientes alterem as suas senhas de acesso às contas de cliente, e indica ainda que os clientes afetados devem ser notificados da situação em breve.

Esta não é a primeira vez que a Xfinity enfrenta problemas deste formato. Em 2018 a operadora registou um bug no seu website, que poderia permitir a ativação de router da empresa remotamente, expondo também dados sensíveis dos clientes, como a morada e dados das redes sem fios locais.

19/12/2023
Empresa de alojamento de sites WordPress alerta para esquemas de phishing

A empresa de alojamento de sites Kinsta encontra-se a alertar os clientes para um novo ataque de phishing, que se encontra a usar o nome da entidade para potencialmente enganar os clientes da mesma.

A empresa afirma que tem verificado, nos últimos dias, a várias campanhas de phishing, que se distribuem por emails maliciosos e até mesmo publicidade da Google, com o objetivo de enganar os clientes da empresa.

A campanha distribui-se como uma mensagem associada com a Kinsta, onde os utilizadores são direcionados para realizarem uma visita ao seu portal de cliente, de forma a atualizarem dados nas suas contas.

No entanto, estas mensagens direcionam os utilizadores para falsos sites de login, onde o objetivo é tentar recolher os dados das contas dos utilizadores, para eventualmente levar ao roubo das contas.

A empresa sublinha ainda que a campanha pode também realizar-se via a publicidade da Google, onde os utilizadores que usem o motor de pesquisa, ao procurarem pelo nome da empresa, podem ter resultados patrocinados a direcionar para sites falsos de login.

Como sempre, a empresa recomenda que apenas se use os domínios verdadeiros da mesma para entrar nas contas, e recomenda que os clientes tenham particular atenção a emails recebidos contendo dados potencialmente enganadores. É ainda recomendado que se evite aceder via os resultados da Google, sobretudo os que surgem como patrocinados.

18/12/2023
MongoDB afirma que dados de clientes foram afetados em ataque informático

A entidade MongoDB encontra-se a alertar alguns dos seus clientes, sobre um ataque informático, que pode ter comprometido alguns dados dos mesmos. O ataque foi identificado pela empresa no início desta semana.

De acordo com o email enviado aos clientes, a MongoDB afirma que identificou um acesso indevido aos seus sistemas no dia 13 de Dezembro, e que a investigação começou de forma imediata.

No email, a entidade afirma que um terceiro terá obtido acesso a sistemas internos da empresa, e a dados associados à entidade e clientes. A empresa sublinha que alguns dados de clientes podem ter sido acedidos e recolhidos, mas não existem indícios que dados na plataforma da MongoDB Atlas tenham sido comprometidos.

A empresa refere ainda que, apesar de não ter indícios que dados de clientes da MongoDB Atlas tenham sido acedidos, os atacantes terão mantido acesso aos sistemas internos da entidade durante algum tempo.

A MongoDB afirma que ainda se encontra a analisar o incidente, e que deverá fornecer mais informações conforme seja necessário. A mensagem da empresa aparenta indicar que o atacante terá mantido acesso persistente aos sistemas da entidade durante algum tempo, antes de ser identificado.

A MongoDB recomenda os clientes a ativarem os seus sistemas de autenticação em duas etapas, e a garantirem que usam dados seguros, bem como a realizarem a alteração das senhas assim que possível. É ainda recomendado que se mantenha atenção a esquemas de phishing direcionado usando dados da entidade.

16/12/2023
iOS 17.2 corrige falha explorada pelo Flipper Zero

Recentemente a Apple lançou a nova atualização do iOS 17.2, que veio contar com algumas correções de segurança e bugs para o sistema. No entanto, por entre as correções, foi silenciosamente corrigida uma falha que estaria a ser explorada pelos dispositivos Flipper Zero.

Recentemente foi descoberto que o iOS 17.1 e anteriores poderiam ser sujeitos a ataques via o Flipper Zero, onde terceiros poderiam realizar ataques de brute force via Bluetooth, para conseguirem sobrecarregar o iPhone e levar a que o mesmo bloqueasse.

Este ataque poderia afetar praticamente todos os iPhones que estivessem num raio de 50 metros do Flipper Zero. No entanto, apesar de causar certamente transtornos para os utilizadores, o ataque era relativamente benigno, já que apenas bloqueava o iPhone, e o reinicio do mesmo resolvia o problema.

No entanto, com o iOS 17.2, a Apple parece ter corrigido essa falha, sendo que a mesma já não pode atualmente ser explorada via o Flipper Zero. Tendo em conta que é uma versão recente do sistema, os utilizadores são certamente aconselhados a atualizarem o sistema para garantir que usam também outras correções importantes.

Os utilizadores podem instalar a atualização mais recente via as Definições dos seus dispositivos, onde a mesma deve encontrar-se disponível – caso ainda não o tenham realizado, visto que a atualização já se encontra disponível faz alguns dias.

16/12/2023
Kraft Heinz nega ter sido alvo de ataque de ransomware

Recentemente a entidade Kraft Heinz foi listada num site de ransomware do grupo Snatch, onde os atacantes afirmavam ter comprometido os sistemas da empresa a 16 de Agosto, e onde teriam obtido dados sensíveis da mesma e de parceiros.

Apesar de o ataque ter ocorrido alegadamente em Agosto, apenas recentemente a publicação ficou visível. Normalmente isto ocorre quando as negociações terminaram sem sucesso, e os dados estão perto de ser divulgados publicamente.

Normalmente estes leaks são acompanhados de algumas provas sobre o ataque, mas neste caso a informação não continha detalhes sobre o que foi concretamente roubado.

Face a esta indicação, a empresa Kraft Heinz terá começado a investigação dos seus sistemas por potenciais ataques. Em comunicado ao portal BleepingComputer, a entidade afirma que não verificou a existência de qualquer compromisso de dados dos seus sistemas, e que os mesmos encontram-se a funcionar na normalidade.

Até ao momento o grupo ainda não divulgou qualquer detalhes sobre os alegados ficheiros que teria em sua posse.

15/12/2023
Ledger confirma ataque com código malicioso que afeta todas as dApps

A plataforma Ledger encontra-se a alertar os utilizadores para não usarem dApps web3, tendo em conta a recente descoberta de uma vulnerabilidade, que pode levar a que as carteiras dos utilizadores sejam comprometidas.

Em causa encontra-se o javascript “Ledger dApp Connect Kit”, usado como forma de integração em plataformas dApps, que permite a integração das mesmas com as carteiras físicas da Ledger.

No entanto, foi hoje descoberto que o código desta distribuição terá sido comprometido, tendo integrado uma secção focada em roubar os fundos das carteiras dos utilizadores. Até ao momento estima-se que o ataque tenha levado ao roubo de 600.000 dólares em criptomoedas e NFTs.

A versão 1.1.8 foi rapidamente lançada durante o dia de hoje para corrigir este problema, mas ainda pode demorar várias horas a propagar-se a todos os projetos que fazem uso do código. Além disso, pode não chegar para plataformas que não usam a versão mais recente automaticamente.

O código malicioso foi descoberto entre as versões 1.1.5 e 1.1.7, e terá sido injetado por uma conta NPMJS comprometida, que terá enviado os códigos maliciosos para as versões silenciosamente. Os utilizadores são aconselhados a evitarem todas as interações com plataformas dApps até que se garanta que as mesmas estão atualizadas para a versão mais recente.

A entidade afirma que o script terá estado disponível apenas durante 5 horas, e que a versão maliciosa foi removida 40 minutos depois do ataque ter sido identificado. A investigação do incidente, no entanto, ainda se encontra a decorrer.

Para os utilizadores finais, estes são aconselhados a evitarem todas as dApps durante os próximos tempos, e a ficarem atentos a transações suspeitas das suas carteiras.

14/12/2023
Homem Aranha pode receber novo jogo multijogador

Recentemente a Insomniac Games foi alvo de um ataque de ransomware, de onde foram alegadamente obtidos detalhes internos da empresa, tanto dos seus funcionários como de projetos onde esta se encontrava a trabalhar.

Dos leaks de dados que foram sendo revelados, surgem no entanto algumas informações sobre os projetos em que a entidade se encontrava a trabalhar nos últimos meses, e um deles pode dizer respeito ao universo de Spider Man.

De acordo com os leaks, a editora estará a desenvolver um novo jogo multiplayer baseado no universo de Spider Man. Atualmente a editora estaria a trabalhar em três projetos: RCE, Spider-Man 3 e Spider-Verse. Acredita-se que o jogo multiplayer seja associado ao último da lista.

Infelizmente não se conhecem detalhes de como o jogo iria surgir, nem da história do mesmo. No entanto, a ideia será que os utilizadores teriam a capacidade de criar as suas próprias personagens, que poderiam depois participar em eventos com outros jogadores de todo o mundo.

Tendo em conta o sucesso da franquia de Homem-Aranha ao longo dos anos, não será de estranhar que a editora esteja a ponderar algumas formas de rentabilizar a mesma, e um novo jogo neste formato certamente que daria novidades para os seguidores do mesmo.

Apesar das informações, é importante ter em conta que os mesmos ainda se encontram como rumores, não tendo sido confirmados pela Insomniac Games ou a Sony.

14/12/2023
Sony investiga alegado ataque ransomware da Insomniac Games

Durante o início do dia de hoje, o grupo de ransomware Rhysida afirmou ter realizado um ataque de ransomware à editora Insomniac Games, da Sony. No ataque, teriam sido roubadas informações internas da empresa, juntamente com algumas informações sobre futuros jogos a serem lançados pela mesma e documentos de identificação de funcionários.

A comprovar o ataque, o grupo divulgou algumas imagens com os conteúdos obtidos, e encontra-se a pedir o pagamento de 2 milhões de dólares para evitar a venda dos mesmos.

Em comunicado ao portal Video Games Chronicle, a Sony veio agora confirmar que se encontra a investigar este alegado ataque. A empresa confirma ter conhecimento que a Insomniac Games foi alvo de um ataque informático, mas as investigações sobre os potenciais dados afetados ainda se encontra a decorrer.

A empresa sublinha ainda que o ataque aparenta ter sido contido para a Insomniac, portanto não afetou outras divisões da empresa. A investigação ainda se encontra a decorrer, sendo que se espera conhecer mais detalhes durante os próximos dias.

12/12/2023
Insomniac Games alvo de ataque de ransomware pelo grupo Rhysida

O grupo de ransomware Rhysida confirmou ter realizado um ataque à editora Insomniac Games, da Sony, de onde terão sido roubados dados internos da empresa, e algumas informações respeitantes a futuros jogos da mesma.

De acordo com o portal CyberDaily, o grupo responsável pelo ataque afirma ter obtido detalhes sobre vários jogos em desenvolvimento pela editora, entre os quais se encontra “Wolverine”, um título previsto apenas para 2025. Além disso, foram ainda roubados documentos internos da empresa, juntamente com documentos de identificação, alegadamente de funcionários da mesma.

O grupo encontra-se a requerer o pagamento de 50 BTC para evitar a divulgação de todos os dados roubados, o que equivale a cerca de 2 milhões de dólares. Se a Insomniac não realizar o pagamento, os dados obtidos serão vendidos a terceiros e podem vir a ser partilhados publicamente.

Na confirmação do roubo de dados, o grupo de ransomware partilhou algumas imagens que aparentam ser respeitantes ao novo jogo, e onde se inclui também documentos de desenvolvimento internos.

Até ao momento, tanto a Sony como a Insomniac Games ainda não deixaram comentários sobre o ataque.

12/12/2023
Toyota alerta clientes para possível roubo de dados pessoais

A Toyota Financial Services (TFS) encontra-se a alertar os seus clientes para um potencial roubo de dados, que terá sido resultado de um ataque aos sistemas internos da empresa. Entre os dados potencialmente recolhidos encontram-se informações pessoais e financeiras dos clientes da entidade.

A Toyota Financial Services é uma subsidiária da Toyota Motor Corporation, que apesar de mais conhecida no mercado dos automóveis, também possui os seus serviços de crédito e financiamento.

Durante o mês passado, o grupo de ransomware Medusa afirmava ter estado na origem de um ataque aos sistemas da entidade, na Europa e Africa, que poderia ter comprometido informação sensível da empresa e dos seus clientes. Na altura, a entidade teria confirmado que estava a investigar um possível incidente.

Alegadamente, a empresa não terá aceite o pedido de pagamento do grupo, que agora publicou a informação no seu portal da rede Tor. Estes dados encontram-se agora acessíveis publicamente, e incluem informação potencialmente sensível da empresa e dos seus clientes.

Entre os dados potencialmente comprometidos dos clientes encontram-se os seus nomes completos, moradas, endereços do contrato, detalhes dos pagamentos e IBAN das suas contas.

De acordo com o portal Heise, alguns clientes da empresa encontram-se a ser notificados sobre o ataque e o possível roubo de dados, em cartas enviadas diretamente aos mesmos.

De momento ainda se desconhecem detalhes sobre a extensão do ataque, e sobre os países onde os clientes podem ter sido afetados. A empresa afirma que ainda se encontra a realizar a investigação, e espera revelar mais detalhes em breve.

11/12/2023
Autoridades em Espanha confirmam detenção de lider do grupo “Kelvin Security”

As autoridades espanholas confirmaram ter detido um dos lideres do grupo “Kelvin Security”, conhecido desde 2020 por ter realizado ataques contra mais de 300 empresas em 90 países.

A confirmação foi deixada no grupo do Telegram das autoridades espanholas, que confirmaram a detenção do líder do grupo, associado a ataques a entidades governamentais em Espanha, Alemanha, Itália, Argentina, Chile, Japão e vários outros países.

O grupo teria como objetivo atacar as infraestruturas críticas de diversas organizações, com motivações financeiras. O grupo acredita-se que estaria ativo desde 2013, tendo realizado vários ataques explorando falhas em sistemas vulneráveis. Os membros do grupo usavam fóruns da dark web para a venda dos conteúdos roubados destes sistemas.

Um dos exemplos encontra-se sobre o ataque à Vodafone Itália, em Novembro de 2022, onde os mesmos terão depois tentado vender os conteúdos roubados em vários portais da dark web.

As autoridades em Espanha afirmam que estariam a seguir as atividades do grupo desde 2021, sendo que as informações obtidas durante este período permitiram deter o líder do mesmo, na cidade de Alicante, a 7 de Dezembro de 2023.

Além da detenção do líder, foram ainda apreendidos vários materiais informáticos e diversos dispositivos usados para as atividades maliciosas, bem como informações sobre outros membros do grupo.

11/12/2023
Mais de 30% de aplicações com Log4J ainda usam versões vulneráveis

De acordo com um estudo recente, cerca de 38% das aplicações que usam o módulo de Apache Log4j ainda se encontram a usar versões vulneráveis do mesmo. Isto inclui versões que estão vulneráveis ao Log4Shell, uma falha que conta com a gravidade máxima e que foi corrigida faz mais de dois anos.

A falha Log4Shell permite que código remoto seja executado nas aplicações, podendo levar ao controlo completo das mesmas. Esta afeta sistemas com o Log4j 2.0-beta9 até à 2.15.0.

Esta foi originalmente identificada a 10 de Dezembro de 2021, e tendo em conta a sua facilidade de ataque, bem como o possível impacto para os sistemas, é atualmente uma das mais exploradas para ataques em larga escala.

Apesar de a falha ter sido identificada, e corrigida, faz quase dois anos, ainda existe um elevado número de aplicações online que usam versões vulneráveis da mesma, e que estão abertas a possíveis ataques em larga escala. Este foi o resultado da análise feita pela empresa Veracode, que recolheu dados entre 15 de Agosto e 15 de Novembro de 2023.

De acordo com a análise, cerca de 3866 empresas usam mais de 38.278 aplicações com Log4j, entre as versões 1.1 e 3.0.0-alpha1. Destas 2.8% usam o Log4j entre as variantes 2.0-beta9 e 2.15.0, que estão diretamente vulneráveis ao Log4Shell.

Outras 3.8% encontram-se a usar o Log4j 2.17.0, que apesar de não se encontrar vulnerável ao ataque anterior, encontra-se a outra falha igualmente importante que pode permitir a execução remota de código – e que foi corrigida com o Log4j 2.17.1.

Por fim, 32% das aplicações ainda se encontram com o Log4j 1.2.x, que deixou de receber suporte em Agosto de 2015, e encontra-se vulnerável a várias falhas, incluindo a Log4Shell.

O uso de aplicações com versões desatualizadas ou vulneráveis continua a ser um dos principais problemas em vários ambientes empresariais. De acordo com os investigadores, a maioria das aplicações que usam estas versões desatualizadas não são corrigidas com versões mais recentes porque os programadores preferem não ter o trabalho de atualizar as mesmas – e evitando possíveis problemas que podem surgir dai.

O estudo aponta ainda que 79% dos programadores nunca chegam a atualizar os módulos usados inicialmente nas suas aplicações, para evitarem ter problemas de compatibilidade ou de falhas nas funcionalidades com a atualização – o que obrigaria a corrigir as mesmas e a reformular o código existente.

Isto apesar de 65% dos módulos open source em questão terem alterações que praticamente não causam impacto no código existente entre versões – exceto quando se realiza uma alteração de grande porte, como a mudança entre várias versões.

Apesar de o Log4Shell ter sido um exemplo que deveria ter reforçado a importância da segurança digital em vários meios, muitos acreditam que não terá sido suficiente para levar os programadores a atualizarem as suas apps a tempo.

11/12/2023
Gestores de Senhas para Android vulneráveis a ataque “AutoSpill”

Um grupo de investigadores revelou recentemente a descoberta de um novo formato de ataque para dispositivos Android, conhecido como “AutoSpill”, que é capaz de roubar dados de login das contas durante o processo de preenchimento automático das contas pelo navegador.

Durante a conferência Black Hat Europe, os investigadores revelaram esta nova forma de ataque, que é capaz de roubar dados sensíveis dos sistemas dos utilizadores, nomeadamente de dispositivos Android, usando para tal o sistema de preenchimento automático de dados de login – usado por uma grande maioria dos utilizadores.

Muitas apps no Android usam o WebView como forma de apresentar conteúdos da web dentro das próprias aplicações, sobretudo para tarefas de login em determinados locais. Isto permite que as tarefas sejam realizadas diretamente pela app, invés de direcionar os utilizadores para os seus navegadores – e consequentemente, tornando a experiência de navegação pior para os mesmos.

A maioria dos Gestores de Senhas, incluindo os que estão integrados diretamente no navegador, como o Gestor de Senhas do Chrome, podem identificar estes campos de login, e fornecer os mesmos automaticamente aos utilizadores para preenchimento rápido.

Segundo os investigadores, é possível explorar a forma como estes dados são enviados dentro da app, para recolher os dados introduzidos de forma automática pelo gestor de senhas, até mesmo sem envolver o uso de JavaScript no processo – uma técnica anteriormente usada para recolher dados neste sentido.

Em parte, os investigadores apontam que os dados podem ser recolhidos porque o Android não possui meios de proteger os dados de autopreenchimento depois destes serem enviados para a app, o que permite que sejam recolhidos por terceiros.

Os investigadores apontam que a falha pode afetar um vasto conjunto de Gestores de Senhas que contam com sistemas de autopreenchimento. Nos testes feitos sobre o Android 10, 11 e 12, as aplicações do 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048, e Keepass2Android 1.09c-r0 estariam vulneráveis a este ataque.

No entanto, o Google Smart Lock 13.30.8.26 e o DashLane 6.2221.3 usam uma forma diferente de preenchimento automático dos campos, que não se encontra vulnerável a estes ataques.

Os investigadores afirmam ter partilhado a informação do ataque com as entidades com Gestores de Senhas que são afetados pela mesma, bem como com a equipa do Android, e apesar da falha ter sido confirmada, ainda se desconhecem detalhes de quando irá ficar disponível uma correção da mesma.

11/12/2023
Grupo de ransomware ALPHV com rumores de ter sido alvo das autoridades

Recentemente o site do grupo de ransomware ALPHV ficou inacessível na sua plataforma tradicional da rede Tor. Apesar de falhas temporárias serem regulares, neste caso o site já se encontra inacessível faz quase dois dias.

O site ficou subitamente inacessível durante o dia de ontem, sendo que a situação manteve-se por mais tempo do que seria habitual. De acordo com o portal BleepingComputer, além do site encontrar-se inacessível, os membros do grupo parecem também ter suspendido todas as negociações com as atuais vítimas, além de que outros sites usados pelos mesmos para as suas atividades também se encontram inacessíveis.

Tendo em conta o período prolongado de inacessibilidade, algumas fontes agora começam a indicar que o grupo pode ter sido alvo das autoridades, e que estas encontram-se agora sobre o controlo dos servidores onde o site se encontrava.

Até ao momento, todas as informações sobre a possível apreensão dos servidores partem apenas de rumores, sendo que nenhuma agência de segurança confirmou tal ação. No entanto, esta inacessibilidade prolongada é similar ao que aconteceu no passado quando outros grupos de ransomware foram igualmente dissolvidos pelas autoridades.

Enquanto isso, as atividades do grupo ALPHV/BlackCat aparentam ter começado a surgir sobre outro grupo, com o nome de “DarkSide”. Este grupo ganhou destaque em meados de 2020 e 2021, sobretudo depois do ataque à Colonial Pipeline, mas devido à pressão das autoridades, viria a manter-se em silêncio desde então.

Recentemente o grupo voltou a registar algumas atividades, o que pode confirmar que estará a preparar-se para surgir novamente, desta vez como “sucessor” do ALPHV.

08/12/2023
23andMe altera termos de serviço para evitar processos devido a roubo de dados

Recentemente a empresa 23andMe confirmou ter sido alvo de um ataque informático, de onde foram roubadas informações sensíveis de aproximadamente 6.9 milhões de utilizadores.

A empresa afirma o leak de dados não terá resultado de um ataque direto à entidade, mas de os clientes reutilizarem senhas comprometidas, o que terá permitido o acesso às contas dos mesmos, e a partir dai, foi possível recolher ainda mais informação dos dados existentes nessas contas – que incluem dados de ADN e de familiares.

Isto será o que terá permitido o ataque de atingir um elevado número de utilizadores, tendo em conta as funcionalidades que a própria 23andMe fornece para identificação de familiares e monitorização das suas árvores genealógicas.

Apesar disso, existem alguns clientes da entidade que já começaram a avançar com processos em tribunal contra a entidade, devido ao que os mesmos consideram falhas no procedimento de gerir este roubo de dados, e falhas na segurança dos mesmos.

Face a isto, a 23andMe agora atualizou os seus Termos de Serviço, que devem tornar mais complicada a tarefa dos clientes da mesma lançaram processos em tribunal contra a entidade.

De acordo com os novos termos de serviço da entidade, é referido que os mesmos “contêm uma cláusula de arbitragem obrigatória de litígios que exige a utilização de arbitragem numa base individual para resolver litígios em determinadas circunstâncias, em vez de julgamentos por júri ou ações judiciais coletivas.”

Os clientes da plataforma terão sido notificados desta mudança, e terão agora 30 dias para recusarem a mesma, caso pretendam. Se não for realizada nenhuma tarefa, os termos serão considerados automaticamente aceites.

Para os clientes que pretendam recusar, devem faze-lo enviando um email à entidade, onde irão permanecer sobre os termos antigos antes da mudança.

07/12/2023
Apple garante que não existem dispositivos comprometidos com o Lockdown Mode

Durante o ano passado, a Apple lançou um novo modo de proteção, focado para utilizadores que suspeitem que os seus dispositivos tenham sido infetados com spyware ou que sejam alvo de espionagem.

O Lockdown Mode é um modo especial do sistema da Apple, que bloqueia ao máximo todos os possíveis pontos de ataque aos dispositivos. O sistema é completamente bloqueado para um estado “seguro”, de forma a que os utilizadores possam manter-se contactáveis mas sem a recolha de possíveis dados sensíveis.

Um ano depois da funcionalidade ter sido disponibilizada, a Apple agora afirma que não ocorreu nenhum ataque em dispositivos que tenham sido colocados neste modo.

De acordo com o portal TechCrunch, um engenheiro da empresa terá referido que a Apple desconhece qualquer incidente onde um dispositivo em Lockdown mode tenha sido atacado.

Isto serão certamente boas noticias para quem tenha este modo ativo. De notar que a Apple apenas recomenda que os utilizadores ativem este modo caso considerem que podem estar em risco de espionagem por terceiros, ou em situações onde a privacidade e segurança serão dos pontos mais importantes.

O modo limita algumas das funcionalidades do sistema, para garantir mais proteção para os utilizadores e para os seus dados.

Em Abril deste ano, um grupo de investigadores revelou ter descoberto que pelo menos um ativista de defesa dos direitos humanos terá impedido com sucesso um ataque ao ativar este modo no seu dispositivo. O mesmo teria o dispositivo infetado com o spyware Pegasus.

Os investigadores identificaram que o spyware terá tentado explorar uma falha zero-day – que na altura ainda era desconhecida da Apple – mas o Lockdown mode bloqueou esse ataque com sucesso.

07/12/2023
Nova falha SLAM afeta processadores AMD e futuros Intel e ARM

De tempos a tempos surgem algumas falhas que afetam a base das arquiteturas dos processadores no mercado, seja da AMD ou da Intel. E recentemente, um grupo de investigadores revelou ter descoberto um novo formato de ataque, apelidado de SLAM.

Este ataque pode afetar os processadores mais recentes da AMD e futuros modelos da Intel, permitindo obter dados sensíveis que passam pelo mesmo. A falha foi descoberta pelos investigadores da Systems and Network Security Group (VUSec Group) na Vrije Universiteit Amsterdam.

A falha explora uma vulnerabilidade no formato de como os processadores recolhem informações da memória interna, e permite que os atacantes possam obter essa informação.

Se explorada, os atacantes podem obter dados sensíveis que se encontram na memória do processador, o que pode incluir informações como detalhes de login, chaves de encriptação e outras informações sensíveis enviadas pelo sistema.

Para explorar a falha, os atacantes necessitam de possuir acesso físico ao sistema, de forma a executarem o código necessário para essa tarefa. No entanto, mesmo que o acesso físico seja necessário, este ainda abre portas para possíveis ataques e roubos de dados em diversos equipamentos.

Os investigadores acreditam que esta falha pode explorar uma vasta linha de processadores da Intel, AMD e até mesmo sistemas ARM. Os processadores da AMD serão os mais afetados, tendo em conta que aplica-se a praticamente todos os modelos lançados até agora.

No caso de processadores Intel, apenas alguns modelos que estão previstos para o futuro serão vulneráveis, assim como processadores da ARM. Existe ainda a possibilidade de futuros processadores da AMD estarem vulneráveis, caso a fabricante não aplique medidas corretivas.

Felizmente, os fabricantes indicam que as atuais medidas de proteção contra o Spectre serão suficientes para garantir que os sistemas se encontram protegidos – mas ainda assim será necessário que os utilizadores apliquem essas medidas nos seus sistemas.

07/12/2023
Nissan confirma ataque informático com potencial roubo de dados

A Nissan confirmou que se encontra a analisar um possível ataque informático aos seus sistemas nas filiais da Austrália e Nova Zelândia, no qual podem ter sido comprometidos dados de clientes da empresa.

Os detalhes do ataque ainda não são conhecidos, mas a entidade afirma que pode afetar todas as filiais associadas com a Nissan Oceania. A empresa encontra-se a alertar para o risco que dados pessoais de clientes podem ter sido comprometidos, e podem vir a ser usados para ataques direcionados.

Em comunicado, a empresa afirma que o ataque afetou o site nissan.com.au e nissan.co.nz, sendo que a empresa começou a tomar todas as medidas necessárias quando o mesmo foi identificado.

A investigação do incidente ainda se encontra a ser realizada, mas espera-se que mais detalhes venham a ser conhecidos durante os próximos dias. Caso se confirme o risco de dados dos clientes terem sido afetados, a empresa irá começar a notificar os mesmos.

De momento, ambos os sites indicados pela empresa continuam a funcionar na normalidade. Ao mesmo tempo, a empresa sublinha que os canais de vendas da empresa e dos seus veículos não foi afetado. As autoridades locais foram também notificadas do incidente.

06/12/2023
Serviço de Saúde da Madeira condicionado por falha em sistema informático

O Serviço de Saúde da Madeira (Sesaram) encontra-se a notificar os utentes que podem verificar alguns atrasos ou constrangimentos no atendimento, durante o dia de hoje, a diversos centros hospitalares da região.

De acordo com o jornal Observador, estes atrasos encontram-se relacionados com alguns constrangimentos com o sistema informático da entidade, que se encontram a impedir os acessos.

Em comunicado, o Sesaram afirma que foi identificada uma falha que impede o correto acesso aos sistemas gerais, sendo que a situação encontra-se atualmente a ser resolvida pelos serviços informáticos da entidade.

A entidade lamenta ainda os transtornos causados para os utentes que possam verificar atrasos devido a este problema.

De relembrar que, no passado dia 6 de agosto, os sistemas da Sesaram foram alvo de um ataque informático, que terá causado graves problemas na infraestrutura da entidade, e que se prolongou durante várias semanas – com os centros hospitalares a ficarem bloqueados de aceder a informações nestes sistemas.

Não existem detalhes sobre a origem da falha agora confirmada.

06/12/2023
23andMe com 6.9 milhões de dados comprometidos dos utilizadores

A empresa 23andMe confirmou que foi alvo de um ataque informático, de onde terão sido roubados dados genéticos de quase 6.9 milhões de utilizadores. A entidade é reconhecida por realizar testes de ADN e fornecer resultados aos utilizadores com base nos mesmos.

O ataque inicial terá ocorrido em Outubro, na altura com a empresa a confirmar que apenas 0.1% dos seus clientes, cerca de 14.000 teriam sido afetados por roubo de dados. No entanto, a investigação do incidente revela agora que os dados de 6.9 milhões de utilizadores podem realmente ter sido comprometidos – o que corresponde a perto de metade dos 14 milhões de utilizadores que alegadamente se encontram na plataforma.

Um porta-voz da empresa veio recentemente confirmar que o ataque terá comprometido os dados de ADN dos utilizadores, bem como os resultados que teriam sido atribuídos a estes pela empresa, bem como informação pessoal que se encontrava no site.

Entre os dados potencialmente roubados encontram-se nomes, datas de nascimento, tags de relacionamento familiar, informações de ADN e algumas localizações configuradas pelos próprios utilizadores.

Foram ainda acedidos a dados da árvore genealógica de quase 1.4 milhões de utilizadores, que podem conter ainda mais informações sobre os mesmos e as suas famílias.

A empresa não terá divulgado estes dados até de forma recente, sendo que também atribui uma grande parte da culpa aos clientes da plataforma, e na reutilização de senhas. Os utilizadores do 23andMe são aconselhados a ficarem atentos a possíveis usos desta informação para esquemas e outros géneros de ataques.

06/12/2023
Tipalti investiga alegado ataque de ransomware e roubo de dados da Roblox e Twitch

A empresa Tipalti encontra-se a investigar um alegado ataque de ransomware da sua plataforma, de onde terão sido roubados 256 GB de dados associados a alguns dos seus clientes, de onde se incluir o Roblox e Twitch.

A Tipalti é uma plataforma que oferece soluções de processamento de pagamentos, eCommerce e sistemas de afiliação para programas diretos das entidades. Esta plataforma é usada por nomes como a Twitch, Roblox, ZipRecruiter, Roku, GoDaddy, Canva e a X.

Recentemente, o grupo de ransomware conhecido como ALPHV confirmou ter realizado o ataque a esta entidade, com o roubo de dados da mesma. Do ataque, terão sido roubados cerca de 256 GB de dados associados com várias empresas, entre as quais a Roblox e Twitch – que serão alvo de extorsão separadamente pelo grupo.

O grupo afirma que se encontra nos sistemas da entidade desde 8 de Setembro de 2023, e que desde essa altura tem estado a recolher informações dos mesmos e dos várias clientes da entidade.

O grupo alega ainda ter vários dados associados com funcionários da empresa, que poderão ser usados para os mais variados fins se publicamente divulgados.

De momento ainda se desconhecem detalhes sobre o que os atacantes possuem sobre os clientes da Tipalti, ou o que será usado como extorsão para os mesmos.

04/12/2023
Staples alvo de ataque informático nos EUA e Canadá

A cadeia de distribuição da Staples foi recentemente alvo de um ataque informático, do qual podem ter sido comprometidos dados de clientes da entidade, e onde algumas linhas de distribuição da empresa terão sido também afetadas.

No início desta semana, a partir do Reddit, vários funcionários da empresa estariam a confirmar a existência de problemas com o sistema interno da mesma, onde algumas das encomendas e compras não estariam a ser processadas por problemas internos. Existiam ainda falhas relacionadas com a VPN da empresa, acesso a linhas de suporte e telefone, entre outras.

Um utilizador comentou no Reddit que, durante vários dias, continuam inacessíveis algumas das ferramentas essenciais para as operações da entidade, tanto a nível de suporte como de vendas. Outro funcionário indica que esta é a primeira vez, em mais de 20 anos que se encontra a trabalhar para a empresa, que se verifica uma falha desta intensidade, afetando praticamente todas as operações da mesma.

Por detrás destas falhas, no entanto, pode encontrar-se um ataque informático. O portal BleepingComputer confirmou junto da empresa que foram tomadas medidas depois de um incidente informático na entidade.

A Staples afirma que, a 27 de Novembro, a equipa de segurança da empresa identificou um risco de segurança nos sistemas internos da empresa, que afetava praticamente todas as divisões da mesma, mas com maior impacto a nível das encomendas e vendas.

As lojas da empresa parecem continuar a funcionar na normalidade, mas as encomendas a partir do site encontram-se com largos atrasos e falhas, sem uma resolução prevista.

A ter em conta que este ataque aparenta afetar as operações sobretudo nos EUA, sendo que a plataforma online em Portugal ainda continua acessível, e até ao momento, sem qualquer confirmação de que tenha sido realizado um ataque. Não se conhece se os ataques na filial da empresa nos EUA poderão ter afetado as operações em Portugal.

Além disso, também se desconhece se existe roubo de dados das plataformas afetadas da empresa.

30/11/2023
Malware para Android usa virtualização para ocultar atividades maliciosas

O malware para dispositivos Android tem vindo a evoluir consideravelmente, sendo que foi recentemente descoberta uma nova variante que aplica técnicas inovadoras para ocultar as suas atividades.

Apelidado de FjordPhantom, este malware para Android é capaz de criar um sistema virtual dentro dos dispositivos, que usa para correr o código malicioso nos mesmos – evitando os principais meios de identificação deste género de atividades.

A descoberta do malware foi feita pela empresa de segurança Promon, e atualmente o mesmo é usado para enviar mensagens e emails maliciosos dos dispositivos das vítimas, bem como para recolher dados dos utilizadores e das suas plataformas bancárias em diferentes países.

As vítimas são levadas a descarregarem o que acreditam ser uma app da entidade bancária para os seus dispositivos, que uma vez executadas e instaladas no dispositivo, começam a realizar as atividades maliciosas.

Para estas atividades, o FjordPhantom oculta as mesmas usando virtualização, que depois é usado para atacar as vítimas e roubar os dados de outras apps legitimas.

O FjordPhantom usa projetos open source para criar o seu próprio ambiente virtual dentro dos dispositivos, que depois é usado para executar o código malicioso livremente. Como se encontra num ambiente virtualizado, o código não é identificado pela maioria dos softwares de segurança existentes para os dispositivos.

O ataque é bastante complexo, mas ao mesmo tempo bastante eficaz, com o potencial de ser usado para o roubo de largas quantidades de dados. Atualmente o malware parece encontrar-se a ser focado apenas para alguns países asiáticos, mas nada impede o mesmo de ser adaptado para diferentes regiões.

Como sempre, é recomendado que os utilizadores tenham extremo cuidado no download de aplicações de fontes desconhecida ou inseguras.

30/11/2023
Okta confirma que ataque de Outubro foi mais grave do que se pensava

A Okta continua a realizar a investigação do ataque ao seu sistema de suporte, que ocorreu em Outubro. Na altura, a empresa confirmou que um dos sistemas usados para o suporte da empresa a clientes teria sido comprometido, e que os dados pessoais e sensíveis de alguns dos clientes podem ter sido comprometidos.

No entanto, agora a investigação da empresa demonstra que o caso pode ter sido mais grave do que o inicialmente previsto. Segundo o mais recente comunicado da Okta, os atacantes podem ter obtido acesso a todos os dados sensíveis de clientes da empresa, que possuem contas registadas junto do suporte da mesma.

De relembrar que a Okta tinha indicado, na altura do ataque, que os atacantes terão obtido acesso limitado aos sistemas, e entre os dados recolhidos estariam sessões de HAR – registos de navegação guardados pelo navegador e usados para resolver problemas – juntamente com alguns cookies de sessão pertencentes a 134 clientes – menos de 1% dos clientes da entidade.

No entanto, agora a empresa refere que os atacantes podem ainda ter descarregado um relatório contendo alguns dados sensíveis de todos os clientes da Okta com acesso ao sistema de suporte da empresa. Desta lista inclui-se dados como o nome, email, nome da empresa, morada, as datas em que as senhas foram modificadas, número de telefone e outros detalhes internos.

A empresa refere, no entanto, que 99.6% dos clientes nestes documentos apenas possuem listados os nomes e endereços de email, sendo que essa é a informação base que se usa para o registo de contas de suporte.

É ainda sublinhado que muitos dos registos agora expostos dizem respeito a administradores de sistemas da Okta, e que cerca de 6% dos mesmos não possuem sistemas de autenticação em duas etapas ativos.

Apesar de o nome e email não serem muita informação, esta pode ser suficiente para os atacantes usarem em ataques direcionados, onde podem contactar diretamente as potenciais vitimas com dados sensíveis que tenham sido recolhidos destes sistemas.

29/11/2023
Bluetooth encontra-se vulnerável a uma nova falha

Um grupo de investigadores da Eurecom revelaram um novo formato de ataque, que pode afetar praticamente qualquer dispositivo que tenha uma ligação Bluetooth.

Apelidado de “BLUFFS”, este novo ataque pode permitir que terceiros tenham acesso a uma ligação Bluetooth e realizem o que é conhecido como um ataque man-in-the-middle (MitM).

Daniele Antonioli, responsável pela descoberta das falhas, afirma que o ataque explora duas falhas até agora desconhecidas no protocolo do Bluetooth, relativamente à forma como as chaves de sessão são desencriptadas.

Estas falhas não dizem respeito a dispositivos ou tecnologias, mas sim na própria estrutura base do Bluetooth, portanto, teoricamente, qualquer dispositivo que tenha esta ligação pode ser diretamente afetado – desde a versão 4.2 à 5.4.

A falha, se explorada, pode comprometer o formato de ligação entre dispositivos, permitindo que os utilizadores tenham acesso à mesma e possam recolher os dados que são transmitidos por este meio. A falha pode afetar tanto novas ligações como as que já estejam guardadas nos dispositivos de períodos anteriores.

No entanto, para que a falha seja explorada, é necessário que o atacante esteja no meio da comunicação entre os dois pontos, portanto este deve encontrar-se fisicamente perto para realizar a exploração das falhas.

Os investigadores demonstraram pelo menos seis formas como o BLUFFS pode ser explorado, e juntaram ainda diversa informação de como o ataque pode ser mitigado, ou testado.

Teoricamente, o BLUFFS afeta todos os dispositivos que tenham o Bluetooth 4.2, lançado em Dezembro de 2014, até ao Bluetooth 5.4, lançado em Fevereiro de 2023. Vários dispositivos testados dentro deste leque de tecnologias forma comprovados como estando vulneráveis ao ataque, e possivelmente todos os dispositivos dentro desta linha de tempo com a tecnologia de ligação podem ser comprometidos.

A falha foi também confirmada pela Bluetooth SIG, entidade responsável pelo desenvolvimento do padrão de Bluetooth no mercado, sendo recomendado que os fabricantes apliquem os patches necessários nos seus sistemas para corrigir esta falha.

Para os utilizadores, não existe propriamente grande tarefa a ser feita, tendo em conta que a falha explora uma tecnologia base dos dispositivos – necessita de ser os fabricantes a implementarem as correções a nível do firmware/software.

29/11/2023
Ataque de ransomware elimina dados de 17.000 jogadores em estúdio indie

Os estúdios dos criadores do jogo “Ethyrial: Echoes of Yore”, um título indie que se encontra disponível na Steam em Early Access, revelaram ter sido vítimas de um ataque ransomware, que terá eliminado os dados de milhares de contas de utilizadores do jogo.

De acordo com a publicação dos estúdios “Gellyberry Studios” no Discord, o servidor principal da entidade foi atacado, tendo sido instalado ransomware no mesmo que encriptou os conteúdos, incluindo backups locais que se encontravam neste sistema.

A entidade afirma que o grupo responsável pelo ataque terá requerido o pagamento para recuperar os dados do sistema, algo que a entidade garante que não irá realizar, tendo em conta que não existem garantias que o sistema seja recuperado ou a chave de desbloqueio dos conteúdos fornecida.

O ataque, no entanto, deixou inacessível os dados de mais de 17.000 jogadores. Como os dados encontram-se inacessíveis, isto impede também recuperar os dados das contas e os seus itens e conteúdos.

Os estúdios afirmam que vão trabalhar para tentar recuperar o máximo de conteúdos possíveis, e que os jogadores afetados irão receber alguns itens extra e benefícios dentro do jogo pelo transtorno. Ao mesmo tempo, a entidade afirma que vai começar a aplicar medidas para garantir mais segurança dentro do seu ambiente de trabalho – entre adotar sistemas VPN para acesso aos sistemas de desenvolvimento, ou limitar os acessos a IPs específicos.

Os estúdios aconselham ainda os jogadores a criarem as suas contas, e contactarem os estúdios para obterem algum do progresso.

27/11/2023
General Electric investiga alegado roubo de dados

A General Electric encontra-se a investigar os rumores de um suposto ataque à entidade, de onde terão sido obtidos alguns dados internos da empresa. Esta investigação surge depois de alegações de um utilizador em alguns sites da dark web, onde é referido que o mesmo terá obtido acesso a dados internos da entidade, e encontra-se agora a fornecer os mesmos.

No início deste mês, um hacker sobre o nome de “IntelBroker” terá tentado vender dados que seriam associados com a GM, relativamente à sua linha de produção e desenvolvimento, pelo valor de 500 dólares.

Depois de não ter conseguido obter compradores, o hacker parece agora estar a vender tanto os dados roubados, como também os detalhes de acesso para a rede da entidade, o que parece indicar que o mesmo ainda se encontra com o acesso ativo para a entidade – com capacidade de recolher ainda mais informação.

O hacker afirma que, por entre os dados, encontram-se documentos sensíveis da empresa, e detalhes sobre projetos e bases de dados da mesma. De notar que a GM conta com várias áreas de atuação no mercado, passando por entre meios militares, à indústria de energia e aeroespacial.

Para comprovar o roubo dos dados, o hacker terá ainda juntado algumas imagens da informação, com pequenos detalhes sobre o leak – e onde são visíveis várias pastas e documentos alegadamente da GM.

Ao portal BleepingComputer, a GM confirmou que se encontra a investigar o ataque e o alegado roubo de dados, mas que, até ao momento, ainda não se confirmaram detalhes sobre tal.

27/11/2023