Categoria: ataque

Site da Sport Zone alvo de ataque informático com dados de clientes comprometidos

O site da Sport Zone terá sido, durante o dia de hoje, alvo de um ataque informático. Deste ataque podem ter sido comprometidos alguns dados de clientes na plataforma.

De acordo com a confirmação do jornal Público, a empresa começou a notificar os clientes afetados via email, indicando que se encontra a decorrer uma investigação do incidente. Na mensagem, a Sport Zone afirma que o seu site terá sido comprometido, e que alguma informação associada com contas na plataforma e dos clientes poderá ter sido comprometida.

Entre os dados encontra-se o nome, morada, número de telefone, número de contribuinte, email e a data de nascimento – dados que teriam sido usados nas contas dos utilizadores pelo site.

De momento ainda se desconhecem detalhes sobre o incidente, mas a entidade afirma que se encontra a ser feita a investigação. Apesar de a entidade não indicar se senhas terão sido comprometidas, tendo em conta que este ataque estará relacionado com o site, os utilizadores que tenham conta no mesmo recomenda-se que procedam com a modificação da senha.

Deve-se também ter atenção ao possível uso dos dados roubados para outro género de ataques, como campanhas de phishing direcionadas para os utilizadores, onde os conteúdos roubados podem ser usados para o esquema.

24/11/2023
Microsoft alerta para instaladores maliciosos da CyberLink

A Microsoft parece ter confirmado recentemente que um grupo de hackers terá atacado a empresa CyberLink, responsável por vário software de edição de imagens e vídeo. A empresa afirma que os atacantes terão injetado malware para um dos instaladores da empresa, e consequentemente, que podem ter afetado clientes da mesma.

De acordo com a equipa da Microsoft Threat Intelligence, as atividades dos atacantes terãoc omeçado a 20 de Outubro de 2023, quando começaram também a surgir versões modificadas dos instaladores de software da CyberLink.

Os investigadores apontam que a versão maliciosa do instalador da entidade já se encontra em mais de 100 dispositivos, de vários países. Os investigadores acreditam que o ataque terá sido realizado por um grupo com ligações à Coreia do Norte, para ciber espionagem, conhecido como “Diamond Sleet” ou “Lazarus”.

Os investigadores afirmam que os atacantes terão assinado o malware com o certificado da CyberLink Corp, distribuindo o mesmo como instaladores de software legitimo da empresa. No entanto, em segundo plano, o malware era instalado nos sistemas das vítimas, com o objetivo de recolher dados sensíveis das mesmas.

O certificado em questão foi adicionado no sistema de bloqueio de certificados da Microsoft, para garantir uma camada adicional de segurança para utilizadores do Windows. Tendo em conta que se encontrava certificado pela CyberLink Corp, o instalador poderia passar despercebido pela maioria do software de segurança.

Uma vez instalado no sistema, o malware procede com a descarga de outros conteúdos maliciosos para o mesmo, com o objetivo de recolher informações das vítimas e dos seus sistemas.

22/11/2023
Carteiras de bitcoin criadas entre 2011 e 2015 podem ser vulneráveis a ataques

As carteiras de bitcoin que tenham sido criadas entre 2011 e 2015 encontram-se agora vulneráveis a um novo formato de ataque, que pode permitir o roubo de fundos das mesmas.

O exploit encontra-se a ser conhecido como “Randstorm”, e permite que seja possível recuperar a senha de acesso à carteira, tendo apenas a chave pública da mesma. Isto pode colocar em risco milhares de carteiras de criptomoedas, que podem ainda encontrar-se ativas ou com milhares de bitcoins de fundos.

De acordo com a empresa de segurança Unciphered, “Randstorm() é um termo que criamos para descrever uma coleção de bugs, decisões de design e alterações de API que, quando colocados em contacto uns com os outros, se combinam para reduzir drasticamente a qualidade dos números aleatórios produzidos pelos navegadores Web de uma determinada era (2011-2015).”

Estima-se que quase 1.4 milhões de bitcoins ainda se encontrem nestas carteiras mais antigas, e potencialmente afetados pelas chaves de encriptação inseguras. A entidade afirma ter descoberto a falha quando se encontrava a trabalhar para recuperar a carteira de um dos seus clientes, em Janeiro de 2022, mas existem indicações que a falha seria conhecida antes disso.

Um utilizador conhecido apenas como “ketamine” teria partilhado a existência desta falha em meados de 2018. Os investigadores acreditam que todas as carteiras de bitcoin criadas entre 2011 e 2015 podem ser comprometidas aproveitando esta falha, mas serão as criadas antes de Março de 2012 que tendem a possui uma maior possibilidade de roubo de fundos.

Os utilizadores podem verificar se as suas carteiras de criptomoedas se encontram vulneráveis a este ataque via este site.

20/11/2023
Bloomberg esteve a promover esquema de cripto numa das suas contas da X

A conta oficial da Bloomberg Crypto na X, entidade bastante reconhecida no meio das notícias sobre criptomoedas, foi alvo de um ataque, tendo estado a propagar um esquema de criptomoedas através da sua bio.

O esquema foi inicialmente reportado pelo utilizador da X ZachXBT, que notou um link estranho para uma conta do Telegram na bio do perfil. Este canal do Telegram contavam com 14.000 membros, mas era apenas uma fachada para levar os utilizadores para outro falso canal do Discord associado com o nome da Bloomberg , este já com mais de 33 mil utilizadores.

Antigamente, a Bloomberg mantinha o controlo do canal BloombergNewsCrypto no Telegram, mas alterou o nome para BloombergCrypto. Com isto, o nome anterior ficou disponível para os utilizadores o poderem usar, e consequentemente, foi obtido por alguém que o começou a usar de forma maliciosa.

Quando os utilizadores acediam ao canal, eram reencaminhados por um bot para o Discord falso, onde se procedia com o esquema. Já dentro do Discord, os utilizadores eram levados a fornecer informações pessoais e acesso às suas carteiras de criptomoedas, de onde se roubava os fundos.

O link para o canal malicioso foi removido da conta da Bloomberg em apenas 30 minutos depois do alerta do investigador, mas o facto de se ter mantido ativo durante bastante tempo na conta, pode ter permitido que alguns utilizadores fossem afetados pelo esquema.

Este género de esquemas não é inteiramente novo, onde os atacantes tentam obter acesso aos dados dos utilizadores aproveitando nomes antigos que deixaram de ser usados nas diferentes plataformas, e pode levar a sérios problemas se esses canais continuarem a ser promovidos em algumas fontes.

19/11/2023
Toyota confirma roubo de dados após ataque de ransomware

A Toyota Financial Services (TFS) confirmou ter sido vitima de um ataque de ransomware, onde os atacantes terão acedido e roubado dados internos da empresa em alguns dos seus sistemas na Europa e Africa.

A Toyota Financial Services é uma empresa subsidiária da Toyota Motor Corporation, a qual é responsável por fornecer serviços financeiros para quem adquira veículos da marca.

Durante o dia de hoje, o grupo de ransomware conhecido como “Medusa” indicou no seu blog da dark web que teria acedido aos sistemas da entidade, e que iria publicar os dados roubados a menos que a empresa pague 8.000.000 dólares.

Os atacantes deram dez dias para a empresa responder e realizar o pagamento, ou noutra forma, os dados poderão ser publicamente disponibilizados. Apesar de a empresa ter confirmado o ataque, não terá deixado detalhes sobre os dados que poderão ter sido roubados.

No entanto, o grupo afirma ter vários ficheiros respeitantes a funcionários e clientes, bem como a diversos projetos da entidade, que poderão conter informação sensível e pessoal. A maioria dos documentos aparenta ser de operações da entidade na zona europeia e em África.

Até ao momento ainda se desconhecem detalhes sobre o ataque, nomeadamente qual a origem do mesmo ou os dados concretos que terão sido roubados, mas os atacantes alegam que os mesmos vão ser publicados integralmente caso a empresa não realize o pagamento.

A Toyota Motor Corporation afirma que se encontra a investigar o incidente, e em contacto permanente com as autoridades competentes.

16/11/2023
Samsung confirma roubo de dados em loja online do Reino Unido

A Samsung Electronics do Reino Unido encontra-se a notificar alguns dos clientes da empresa, derivado de um recente ataque ao sistema da mesma, do qual podem ter sido comprometidos alguns dados de clientes da entidade.

De acordo com a mensagem que se encontra a ser enviada, e que alguns clientes se encontram a partilhar nas redes sociais, o ataque afeta quem tenha adquirido algum produto da marca na loja online da Samsung Electronics, entre 1 de Julho de 2019 e 30 de Junho de 2020, no Reino Unido. O ataque terá sido identificado pela empresa a 13 de Novembro de 2023, e resulta da exploração de uma falha no sistema de compras da loja online da empresa, que teria sido comprometido para recolher informação pessoal. Não existem detalhes sobre a falha em concreto que foi explorada para a recolha dos dados, mas tendo em conta que permaneceu durante um longo período de tempo, possivelmente terá passado despercebida durante este período.

A notificação enviada por email pela empresa indica que terão sido comprometidos dados como o nome, números de telefone, morada e endereço ed email. A empresa sublinha, no entanto, que os dados financeiros que possam ter sido usados no site não foram afetados. Ao mesmo tempo, a empresa indica que a falha terá afetado apenas os consumidores que realizaram compras na loja oficial da empresa e apenas para o Reino Unido, sendo que não existe confirmação de problemas noutras regiões.

A Samsung afirma ter realizado as medidas necessárias para corrigir a falha, e evitar que mais dados sejam recolhidos, sendo que todos os clientes afetados terão sido também notificados via email. O incidente foi também reportado às autoridades competentes para o efeito.

16/11/2023
OpenAI suspende registo do ChatGPT Plus devido a elevada procura

A OpenAI tem vindo a desenvolver o ChatGPT, conhecido como um dos primeiros, e para alguns, mais avançados sistemas de chatbot de IA. No entanto, recentemente a empresa teve de colocar o registo de novas contas para o ChatGPT Plus em pausa, devido a uma elevada procura.

Depois do primeiro evento dedicado da empresa para programadores, o DevDay, a OpenAI confirma agora que teve de colocar a subscrição de novos registos para o ChatGPT Plus em pausa, depois de se ter verificado um aumento considerável de novos registos. A medida foi também confirmada pelo CEO da empresa, Sam Altman, via a X, indicando que se espera que os registos voltem a ser ativados em breve.

Altman afirma que a medida terá sido tomada porque o número de registos faz com que se ultrapasse a capacidade de processamento necessária para fornecer um serviço de qualidade a todos os utilizadores. Como forma de evitar a sobrecarga dos sistemas, o que apenas iria causar problemas para todos, a empresa optou por suspender os novos registos enquanto analisa alternativas.

Espera-se que a empresa aumente a capacidade das suas plataformas em breve, retomando a capacidade dos utilizadores se registarem no serviço. Altman afirma que, desde o evento DevDay, o número de novas contas criadas para o ChatGPT Plus aumentou de forma significativa – e, ao mesmo tempo, a empresa também enfrentou alguns problemas, como um recente ataque DDoS à sua infraestrutura.

Apesar de os registos de novas contas encontrar-se temporariamente suspenso, os utilizadores podem inscrever-se para receberem a notificação de quando estas voltarem a ficar disponíveis.

Para já ainda se desconhece quando a plataforma irá voltar a reabrir os registos – embora se acredite que deva ser algo relativamente rápido.

15/11/2023
Processadores AMD EPYC alvo de uma nova vulnerabilidade

Os utilizadores de sistemas com processadores AMD encontram-se agora abertos a uma nova vulnerabilidade, conhecida como “CacheWarp”, que pode permitir ataques diretos a sistemas em máquinas virtuais, permitindo que se escape do ambiente virtualizado para executar comandos remotos no sistema hospedeiro.

A falha agora descoberta explora vulnerabilidades nas tecnologias AMD Secure Encrypted Virtualization-Encrypted State (SEV-ES) e Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP), que foram criadas com foco em ambientes virtualizados. A ideia das duas tecnologias será proteger os sistemas em ambientes virtuais, reduzindo o potencial de ataque e encriptando dados transmitidos diretamente pelos processadores.

De acordo com a descoberta dos investigadores de segurança, esta falha pode ser explorada para permitir que atacantes obtenham acesso a ambientes virtualizados, até mesmo os que se encontrem encriptados, e eventualmente podem ganhar acesso administrativo aos mesmos, com a capacidade de correr comandos remotos no sistema e contornando os meios tradicionais de autenticação.

Os investigadores demonstraram a falha ao contornarem a encriptação aplicada numa máquina virtual, e ao terem conseguido aceder à sessão OpenSSH desse sistema sem autenticação, eventualmente correndo dados sensíveis e comandos remotos via root.

Se explorada com sucesso, os atacantes podem obter praticamente acesso completo ao sistema virtual, contornando as tradicionais técnicas de encriptação de dados e proteção do ambiente virtual. Podem ainda obter permissões root nos sistemas, com o potencial de envio de códigos remotamente para os mesmos e para as suas aplicações.

A AMD já terá confirmado esta falha, indicando que a mesma afeta processadores EPYC que conta com suporte SEV, entre os quais a 1ª, 2ª e 3ª geração dos processadores AMD EPYC. A empresa afirma que a quarta geração de processadores da linha não se encontra vulnerável a esta falha. De momento ainda não existe uma mitigação da falha para sistemas na primeira e segunda geração de processadores. Para os sistemas com processadores de terceira geração, a AMD lançou uma atualização de firmware que deverá corrigir o problema, e não afeta o desempenho do chip.

14/11/2023
60 milhões de dólares foram roubados devido a falha em função do Ethereum

Uma falha na forma como uma função da rede Ethereum se encontra desenvolvida terá ajudado um grupo de atacantes a roubarem quase 60.000.000 dólares de quase 99.000 vitimas, durante um período de apenas seis meses. A falha encontra-se sobre a função “Create2” da rede, a qual aparenta possuir uma falha que pode ser explorada para alguns ataques.

A descoberta da falha foi realizada por “Scam Sniffer”, o qual afirma ter verificado grupos a explorarem a mesma em carteiras ativas. Uma das vítimas analisadas terá perdido quase 1.6 milhões de dólares derivado da falha.

A função Create2 encontra-se integrada no código do Ethereum, tendo sido introduzida com a atualização “Constantinople”. Esta permite que sejam criados smart contracts dentro da blockchain. Ao contrário do Create original, que criava endereços tendo como base o endereço da carteira do criador, o Create2 permite que os mesmos endereços sejam calculados antes da sua implementação no contrato. É uma ferramenta poderosa para os programadores Ethereum, permitindo interações contratuais avançadas e flexíveis, pré-cálculo de endereços de contratos baseados em parâmetros, flexibilidade de implementação, adequação a transações fora da cadeia e a determinados dApps.

No final, o Create2 conta com vários benefícios para os utilizadores da blockchain, e para programadores. Teoricamente, deveria também fornecer mais segurança, mas parece que não é exatamente o caso.

De acordo com o investigador responsável pela descoberta da falha, o Create2 pode ser abusado para criar endereços de contratos sem qualquer histórico de atividades maliciosas, que permite contornar alguns dos sistemas de alertas de segurança que diferentes plataformas integram em contratos conhecidos como sendo de esquemas ou roubos. Quando uma vítima assina uma transação maliciosa, o atacante implementa um contrato no endereço pré-calculado e transfere os ativos da vítima para esse endereço, um processo não reversível. Num caso recente observado pelos analistas, uma vítima perdeu $927.000 em GMX depois de ter sido induzida a assinar um contrato de transferência que enviava os ativos para um endereço pré-calculado.

O segundo tipo de abuso do Create2 consiste em gerar endereços semelhantes aos endereços legítimos que pertencem ao destinatário, enganando assim os utilizadores para que enviem bens para os autores das ameaças, pensando que os estão a enviar para um endereço conhecido. O esquema, denominado “envenenamento de endereços”, envolve a geração de um grande número de endereços e, em seguida, a seleção daqueles que correspondem às suas necessidades específicas de phishing para enganar os seus alvos.

Desde Agosto de 2023, o responsável pela descoberta, “Scam Sniffer”, afirma ter identificado pelo menos 11 vitimas que terão perdido quase 3 milhões de dólares em ETH derivado deste formato de ataque. Apesar de ser complicado atribuir as perdas exatas que terão sido feitas com base na exploração desta falha, o investigador aponta que terão sido roubados mais de 60.000.000 de dólares de quase 99.000 carteiras ou vítimas diferentes.

13/11/2023
Atacantes afirmam ter acesso a base de dados da Plume

A Plume é uma empresa que fornece plataformas e serviços de otimização de redes sem fios, tendo alguma presença no mercado – incluindo em Portugal, através de parceiros como a NOS. Entre algumas das funcionalidades que a plataforma fornece encontram-se sistemas de repetidores e redes mesh, que são usados por algumas operadoras nacionais dentro das suas ofertas de expansão de redes sem fios (WiFi).

No entanto, recentemente, surgiu a indicação de que a empresa pode ter sido alvo de um ataque, de onde terão sido roubados dados associados com os utilizadores da plataforma. O leak dos dados surgiu num site da dark web, onde o utilizador que partilhou o mesmo afirma ter cerca de 20 GB de dados de clientes da plataforma wifi da Plume, num total de 15 milhões de linhas de informação. Estes dados aparentam dizer respeito a informações que são partilhadas na app da Plume, usada para o controlo dos dispositivos sem fios da entidade.

O leaker afirma ainda ter dados associados com funcionários da empresa, que terão sido obtidos da mesma base de dados.

Entre os dados encontram-se informações das contas dos utilizadores, como emails, nomes, dados de configuração da app, versão do sistema operativo usado pelos mesmos com a app da Plume, entre outros. A empresa terá recentemente confirmado que se encontra a analisar os dados roubados, mas sem detalhes concretos sobre se a origem do leak é verdadeira ou não.

13/11/2023
Gamers estão entre os mais afetados por ataques informáticos em 2023

A comunidade global de gaming, que atualmente representa quase metade da população mundial, tem estado cada vez mais debaixo de fogo dos cibercriminosos, de acordo com uma investigação abrangente da Kaspersky. No período compreendido entre julho de 2022 e julho de 2023, a empresa de cibersegurança verificou que a base de utilizadores de jogos está mais vulnerável. Os cibercriminosos exploraram esta vasta comunidade para aceder a dados pessoais, lançando uma série de ataques, incluindo vulnerabilidades da Web, ataques de negação de serviço distribuída (DDoS), extração de criptomoedas e campanhas complexas de Trojans ou de phishing.

No período entre 1 de julho de 2022 e 1 de julho de 2023, as soluções da Kaspersky detetaram 4 milhões de tentativas substanciais de descarregar mais de 30 mil ficheiros únicos mascarados como jogos populares, módulos, cheats e outro software relacionado com jogos. Estes incidentes afetaram 192.456 utilizadores em todo o mundo. Estes ficheiros – classificados principalmente como software indesejado e muitas vezes rotulados como não-vírus:Downloader (89,70%), – não são inatamente perigosos, mas são capazes de descarregar vários outros programas, mesmo maliciosos, para o dispositivo do utilizador. Adware (5,25%) e Trojans (2,39%) também foram ameaças notáveis para os jogadores de computador.

O Minecraft surgiu como o alvo preferido dos cibercriminosos, responsável pelo acionamento de 70,29% de todos os alertas. As ameaças que utilizaram o Minecraft como isco afetaram 130.619 jogadores em todo o mundo durante o período em análise. O Roblox foi o segundo título de jogo mais visado, contribuindo para 20,37% de todos os alertas que afetaram 30.367 utilizadores. O Counter-Strike: Global Offensive (4,78%), o PUBG (2,85%), Hogwarts Legacy (0,60%), DOTA 2 (0,45%) e League of Legends (0,31%) também estiveram entre os jogos mais importantes sujeitos a ciberameaças.

A comunidade de jogos móveis, que, de acordo com o relatório Newzoo 2023, é composta por mais de três mil milhões de jogadores, ou seja, quase 40% da população mundial. Caracteriza-se pelo seu crescimento significativo e acessibilidade, tendo-se tornado um alvo apetecível para os cibercriminosos. Entre 1 de julho de 2022 e 1 de julho de 2023, a Kaspersky documentou 436.786 tentativas de infetar dispositivos móveis, afetando 84.539 utilizadores.

Vários títulos de jogos foram utilizados como isco para atingir os jogadores móveis. Mais uma vez, os entusiastas do Minecraft foram os principais alvos, uma vez que 90,37% dos ataques se concentraram nos 80.128 jogadores que foram vítimas. Os utilizadores indonésios, em particular, foram explorados através do Minecraft, o que resultou num ataque Trojan.AndroidOS.Pootel.a, que registava discretamente as subscrições móveis. A República Islâmica do Irão registou a maior prevalência destes ataques, com 140.482 alertas que afetaram 54.467 jogadores de Minecraft.

O PUBG: Battlegrounds Battle Royale foi o segundo jogo para telemóvel mais explorado pelos cibercriminosos, representando 5,09% de todos os alertas, com a maioria dos incidentes a ter origem em utilizadores da Federação Russa. O Roblox (3,33%) ficou em terceiro lugar em termos de deteções, mas em segundo lugar no número de utilizadores afetados.

Uma descoberta digna de nota envolve o aparecimento do SpyNote, um cavalo de Troia espião distribuído entre os utilizadores do Roblox na plataforma móvel Android sob o disfarce de um mod. Este cavalo de Troia apresenta várias capacidades de espionagem, incluindo keylogging, gravação de ecrã, transmissão de vídeo a partir de câmaras do telefone e a capacidade de se fazer passar por aplicações do Google e do Facebook para enganar os utilizadores e levá-los a divulgar as suas palavras-passe.

As páginas de distribuição de phishing e de contrafação continuam a representar uma ameaça significativa para os jogadores. O software malicioso e indesejado disfarça-se muitas vezes de jogos populares, disseminado através de sítios Web de terceiros que oferecem versões piratas.

Estas páginas enganosas apresentam normalmente contagens de descarregamentos inflacionadas, podendo induzir os utilizadores numa falsa sensação de segurança. No entanto, clicar no botão de descarregamento resulta normalmente num ficheiro que pode conter elementos nocivos, muito diferente do conteúdo prometido.

“Na dinâmica indústria dos jogos, que alberga uma grande quantidade de dados pessoais e financeiros, os cibercriminosos estão a aproveitar oportunidades aliciantes. Exploram as contas de jogos, roubando ativos do jogo, moeda virtual e vendendo contas de jogos comprometidas, muitas vezes com valor no mundo real. A procura incessante de dados pessoais levou a um aumento dos ataques de ransomware, afetando mesmo os jogadores profissionais que dependem de um jogo ininterrupto. Isto sublinha a necessidade crítica de uma maior sensibilização para a cibersegurança na comunidade de jogadores”, alerta Vasily Kolesnikov, especialista em cibersegurança da Kaspersky.

13/11/2023
Grupo de ransomware divulga dados sensíveis da Boeing

O grupo de ransomware LockBit tinha recentemente confirmado ter roubado dados da Boeing, uma das maiores empresas de aviação internacionalmente. O ataque teria sido realizado a alguns sistemas internos da entidade, e o grupo alegava conter cerca de 43 GB de dados da entidade.

Depois do leak ter desaparecido por alguns dias do site do grupo na dark web, agora os ficheiros foram disponibilizados para download. Isto confirma que a empresa não terá pago pelo resgate dos conteúdos, mas, ao mesmo tempo, também indica que os dados que teriam sido roubados agora estão mais facilmente acessíveis para terceiros.

A maioria dos ficheiros apresentados no site do grupo dizem respeito a sistemas de backup, tendo em conta que estarão datados de 22 de Outubro, mas ainda assim, será um volume consideravelmente elevado de dados que foram roubados da empresa, o que inclui informação potencialmente sensível da mesma. O ataque teria ocorrido a 27 de Outubro, sendo que o grupo deu até ao dia 2 de Novembro como data limite para pagamento do resgate para a Boeing, ou doutra forma, os dados seriam divulgados. O grupo alega ainda que os dados incluem diversa informação sensível e privada da empresa.

Depois de alguns dias em que a entidade parece ter estado em conversações com o grupo, eventualmente este decidiu publicar os conteúdos roubados a 10 de Novembro. Os dados incluem todos os ficheiros obtidos dos sistemas da Boeing, entre os quais encontram-se dados de configuração dos sistemas da entidade, logs e outras informações internas. Encontram-se ainda acessíveis outros dados sensíveis da empresa, incluindo backups e ficheiros contendo detalhes de parceiros e clientes da mesma.

Apesar de a Boeing ter confirmado o ataque, a empresa não deixou detalhes de como os atacantes obtiveram os dados ou qual o ponto de entrada para o roubo dos mesmos.

13/11/2023
Clientes de clínica de cirurgia plástica alvo de chantagem depois de ataque

Todos os dias ocorrem ataques a grandes entidades, que possuem impacto não apenas para as mesmas, mas também para os clientes que fazem parte da lista da mesma. Isto será ainda mais importante quando essa informação tende a ser sensível, e a conter dados que certamente não se pretenderia ver partilhados pela internet.

Um dos exemplos mais recentes disso encontra-se sobre uma clínica bastante importante de Las Vegas, especializada em cirurgias plásticas. A Hankins & Sohn foi recentemente alvo de um ataque informático, de onde dados dos pacientes terão sido roubados. Os atacantes terão conseguido aceder à base de dados dos clientes da entidade, onde constavam imagens e informações dos procedimentos realizados, algumas das vezes com fotos do “antes e depois” das operações.

E para tentar obter mais rendimento do ataque, os hackers encontram-se agora a chantagear algumas das mulheres para evitarem ter as suas fotos partilhadas na internet. A empresa encontra-se agora a enfrentar um processo conjunto por parte de alguns dos clientes que foram afetados, alegando que a entidade não forneceu garantias e práticas de segurança apropriadas para os dados agora recolhidos. A acusação afirma que os dados sensíveis dos clientes, incluindo não apenas informações como nomes e moradas, mas também fotos sensíveis e privadas, não estariam corretamente seguros nos sistemas da clínica.

A entidade afirma ter identificado o ataque em Fevereiro de 2023, quando foram identificadas atividades suspeitas nos sistemas da mesma. Apenas em Abril foram realizadas medidas para conter o problema, algo que a acusação aponta que não terá sido suficiente para garantir a proteção dos envolvidos. Jennifer Tausinga, uma das clientes lesadas, terá sido chantageada pelos atacantes para pagar quase 800 mil dólares, de forma a evitar que fotos suas em tronco nu fossem enviadas para a internet. Quando a mesma recusou o pagamento, as fotos foram enviadas para várias plataformas online, assim como para amigos e familiares da mesma.

Por sua vez, a clínica afirma que continua a trabalhar com as autoridades para identificar a origem do roubo de dados e os atacantes, fornecendo todas as informações que sejam consideradas necessárias. As autoridades terão conseguido desligar o site que estaria a partilhar algumas das fotos privadas, mas ainda assim novas ameaças continuam a ser feitas pelos atacantes a vários clientes da clínica.

11/11/2023
Dados de mais de 800 mil utilizadores do Chess.com na dark web

A plataforma Chess.com é conhecida por ser uma das maiores para os amantes de xadrez, mas se possui uma conta nesta plataforma, é possível que os seus dados estejam agora à venda na dark web.

Um hacker confirmou ter roubado dados de mais de 828.000 utilizadores registados no portal, e encontra-se agora a vender os mesmos para os interessados na dark web. Curiosamente, os dados agora roubados não aparentam ter sido de origem num ataque direto aos sistemas da entidade. Invés disso, foi realizada a prática conhecida como “scraping”, com o objetivo de recolher dados de utilizadores de uma plataforma, usando ferramentas automáticas para o processo.

Os dados que foram recolhidos e encontram-se agora disponíveis não são de informações sensíveis da entidade, e não possuem diretamente senhas ou outros conteúdos similares. No entanto, resulta de uma recolha massiva de dados da plataforma, onde se integra nomes completos, emails, nomes de utilizador, links para o perfil, emails, países de origem dos mesmos, avatares, id único de cada utilizador e a data de inscrição na plataforma. Ao mesmo tempo, o número de utilizadores afetados não será da totalidade da plataforma – que conta com mais de 150 milhões de contas.

A entidade afirma que o leak dos dados afeta menos de 0,533% dos utilizadores registados na mesma, e que não envolve um ataque direto nos sistemas da mesma. Os dados no leak correspondem a informação que terá sido recolhida de várias formas, e que possivelmente já estaria visível publicamente, bem como usando técnicas para cruzar dados com outros leaks e plataformas.

Ainda assim, esta informação pode ser usada para os mais variados fins, onde se inclui para prática de phishing ou spam, usando para tal informação diretamente relacionada com os utilizadores.

No entanto, para os utilizadores afetados, ainda é recomendado que se altere a senha. Isto porque a informação agora divulgada pode ser cruzada com outros leaks na Internet, e eventualmente algum dos mesmos pode conter dados de senhas – que permitam comprometer as contas dos utilizadores, sobretudo para quem ainda usa a mesma senha para todas as suas plataformas.

10/11/2023
Site do Cloudflare esteve inacessível devido a ataque DDoS

O website principal do Cloudflare esteve durante alguns minutos inacessível, depois de ter sido alvo de um alegado ataque DDoS realizado pelo grupo Anonymous Sudan. Este ataque terá afetado apenas o site principal da empresa, e não qualquer outro serviço da mesma ou os seus clientes.

Os utilizadores que acederam ao site da entidade poderiam verificar erros no acesso, incluindo mensagens de erro que aparentavam encontrar-se relacionadas com a Google de alguma forma. A entidade referiu que apenas o site da mesma foi afetada, o qual se encontra numa infraestrutura diferente e não terá relação com os restantes serviços da entidade. Para os clientes, a plataforma deverá ter-se mantido totalmente acessível.

Não se conhece exatamente o motivo pelo qual o logo da Google esteve a surgir no site. Durante alguns minutos, o site apresentou uma mensagem que normalmente surge quando se realiza várias pesquisas na Google com termos inválidos ou incorretos.

Este ataque surge apenas alguns dias depois da empresa ter passado por uma falha que afetou vários dos seus sistemas, e levou a falhas de acesso durante um período de algumas horas.

O grupo Anonymous Sudan confirmou ter realizado o ataque a partir do seu Telegram, indicando que a empresa não consegue proteger os seus próprios sites de ataques. Este grupo tem sido relacionado com vários ataques em larga escala, como é o caso de uma falha que afetou os serviços da Microsoft faz algumas semanas, e mais recentemente, o ChatGPT.

10/11/2023
ICBC, um dos maiores bancos do mundo, terá sido alvo de ataque de ransomware

A Banco Comercial e Industrial da China (ICBC), uma das maiores instituições financeiras no país, confirmou ter sido alvo de um ataque informático, o qual se encontra a causar impactos na economia de outros países, nomeadamente no mercado de títulos do Tesouro dos Estados Unidos (Treasuries).

De acordo com o portal Financial Times, a instituição terá sido alvo de um ataque informático, que terá afetado o sistema da mesma. Os clientes da corretora do banco foram alertados para redirecionarem as suas negociações depois do problema ter impedido a realização de algumas transações. A entidade alertou ainda que a negociação de títulos do Tesouro dos Estados Unidos (Treasuries) seria uma das afetadas pelo incidente.

A Securities Industry and Financial Markets Association, grupo comercial da indústria dos EUA que representa empresas de valores mobiliários, bancos e empresas de gestão de ativos, terá também emitido um comunicado para os seus membros, indicando que a ICBC teria sido alvo de um ataque de ransomware, que pode ter comprometido informação da entidade – embora ainda não existam detalhes por parte da mesma sobre a origem do incidente. Derivado do ataque, a entidade terá ficado com vários sistemas totalmente bloqueados, incluindo alguns que eram usados para liquidar ordens de clientes interessados em negociar Treasuries.

Um porta-voz do Departamento do Tesouro dos EUA indicou à Financial Times que “Estamos cientes da questão e mantemos contato regular com os principais participantes do setor financeiro, além das entidades reguladoras”. De momento ainda se desconhece o impacto deste ataque sobre o mercado de Treasuries.

No entanto, a mesma fonte aponta que alguns dos sistemas da ICBC já estariam a voltar à normalidade durante o final do dia de hoje, e é possível que a situação esteja inteiramente resolvida durante as próximas horas. Para já ainda não existe um comunicado oficial com mais detalhes sobre o incidente.

09/11/2023
OpenAI confirma inacessibilidade devido a ataque DDoS

Durante o dia de ontem, e por várias horas, o ChatGPT e a infraestrutura de API da OpenAI estiveram inacessíveis. Na altura, a empresa confirmou a falha, mas sem deixar mais informações sobre a sua origem.

No entanto, agora conhecem-se mais detalhes sobre o que verdadeiramente ocorreu. De acordo com o comunicado da OpenAI, a infraestrutura da empresa terá sofrido um ataque DDoS, que levou à inacessibilidade de vários dos serviços da mesma.

A empresa refere mesmo que, apesar do pico do ataque ter ocorrido durante o dia de ontem, desde então a mesma tem sido alvo de ataques esporádicos, com valores anormais de tráfego sob os seus sistemas, que se encontram a causar problemas. A empresa afirma continuar a mitigar a situação dentro das possibilidades. É possível que as falhas continuem a verificar-se de forma esporádica sobre os serviços da empresa, mais concretamente sobre o ChatGPT, onde os utilizadores reportam várias ocasiões de mensagens de erro.

Apesar de a OpenAI não ter indicado a origem dos ataques, o grupo Anonymous Sudan terá confirmado no seu canal do Telegram a autoria dos ataques DDoS. Em causa encontra-se o facto da entidade apresentar-se como neutra dentro dos incidentes que se encontram a decorrer envolvendo Israel e a Palestina. O grupo afirma que terá lançado o ataque com o objetivo de prejudicar o acesso aos sistemas da empresa, e eventualmente levar aos erros no ChatGPT.

O grupo afirma ainda que terá usado uma rede botnet conhecida como “SkyNet”, que o mesmo já teria vindo a testar desde meados de Outubro. Esta rede é capaz de lançar fortes ataques DDoS L7, focados em sobrecarregar os sistemas das vítimas com tráfego desnecessário, impedindo o acesso dos utilizadores legítimos.

Este grupo tem vindo a realizar ataques DDoS de elevado destaque. Em Junho, o mesmo também afirmou ter estado na origem dos ataques que causaram problemas no acesso ao Outlook, OneDrive e Azure.

09/11/2023
Rockstar Games confirma trailer de GTA VI

Depois dos rumores revelados durante o dia de hoje, agora chega a confirmação: a Rockstar Games vai mesmo anunciar GTA VI. O novo jogo bastante aguardado pelos fãs da saga vai receber o primeiro trailer já em Dezembro.

A confirmação foi deixada pela Rockstar Games na sua conta da X, a qual confirma que no início de Dezembro será revelado o trailer oficial do próximo GTA. Este chega na mesma altura em que a Rockstar Games celebra o seu 25º aniversário, e aproveita assim a oportunidade para revelar também um dos jogos mais aguardados dos últimos anos.

Esta revelação surge também depois de, nos últimos meses, terem sido publicadas várias imagens e até vídeos do jogo ainda na sua fase de desenvolvimento, os quais foram obtidos através de um ataque direto à empresa.

No entanto, quanto ao lançamento, possivelmente os utilizadores ainda terão de esperar mais algum tempo. As estimativas apontam que GTA VI apenas deve ser lançado entre abril de 2024 e março de 2025. Até ao momento ainda não foi revelada uma data oficial para tal.

08/11/2023
“Apagão” deixa milhares de australianos sem telecomunicações e internet

Durante o final do dia de ontem, milhões de australianos ficaram sem acesso à internet e serviços telefónicos, depois de um aparente “apagão” de uma das maiores operadoras no continente.

A operadora Optus, reconhecida como uma das maiores dentro do pais, terá ficado sem comunicações durante várias horas. Oficialmente, aa empresa afirmou que estaria a tentar localizar a falha e a resolver a situação o mais rapidamente possível. No entanto, esta causou graves problemas a nível nacional, entre os quais encontram-se problemas em terminais de pagamento e até afetou a disponibilidade das linhas de emergência.

Kelly Bayer Rosmarin, diretora da empresa, afirma que o problema teria sido originado de uma falha de energia, e que não existia qualquer indicio de se tratar de um ataque informático em larga escala.

A falha afetou a ligação a partir de telefones móveis e fixos, bem como do acesso à Internet, afetando todos os serviços que usam esta ligação para tal. Entre os quais encontram-se também dezenas de hospitais, que segundo as fontes locais, deixaram de conseguir receber chamadas de emergência durante este período.

De momento a falha encontra-se resolvida, mas ainda não existe uma explicação clara da operadora sobre o sucedido.

08/11/2023
Discord vai mudar partilha de ficheiros para links temporários

O Discord encontra-se a aplicar medidas para evitar que a sua plataforma seja usada como forma de distribuição de malware, passando a usar links temporários para conteúdos partilhados nas conversas.

Até agora, quando os utilizadores partilhavam um conteúdo diretamente nas conversas do Discord, eram criados links diretos para esses conteúdos. Isso permitia que, mesmo quem não estivesse no Discord, poderia aceder a esses links e descarregar os conteúdos. Apesar de ser útil para algumas situações, esta funcionalidade é também uma porta de entrada para possíveis problemas.

Afinal de contas, quem ganhe a vida a distribuir malware, pode simplesmente enviar código malicioso para os sistemas do Discord e recolher o link direto de download dos mesmos, enviando por outros formatos – como emails. Na realidade, esta forma de ataque é algo que tem sido bastante usado nos últimos meses. A pensar nisso, o Discord confirma que vai deixar de fornecer links públicos para os conteúdos da sua CDN, passando a adotar links temporários.

Estes novos links são automaticamente regenerados ao fim de um tempo. Desta forma, quem se encontre dentro das conversas do Discord, irá continuar a ter aceso aos mesmos. No entanto, se os links forem partilhados para outros locais, eventualmente irão expirar e deixarão de ficar disponíveis. Alguns utilizadores usam o Discord como forma de enviar rapidamente ficheiros para outros utilizadores – um dos exemplos encontra-se em criadores de jogos, que por vezes fornecem via o Discord atualizações urgentes.

O Discord recomenda que quem esteja a usar o seu sistema para este formato tente encontrar alternativas mais adequadas para a partilha de ficheiros. A plataforma relembra que o sistema de envio de ficheiros foca-se em facilitar a partilha de conteúdos entre utilizadores dentro do serviço, e não tornar o Discord uma plataforma de armazenamento cloud.

A empresa acredita que, passando para links temporários, esta medida terá um grande impacto para impedir a distribuição de malware pelo serviço. Os links passariam a ter uma validade fora da plataforma, que poderá ser bastante curta. Desta forma, inviabiliza-se a potencialidade de se usar o link com sucesso para o envio de malware a terceiros. É importante notar que estas medidas da plataforma surgem depois de faz vários anos do serviço ter vindo a ser usado como forma de distribuição de malware.

A medida espera-se que seja realizada até ao final do ano.

04/11/2023
Sam Bankman-Fried considerado culpado de todas as acusações

Sam Bankman-Fried, o reconhecido fundador da FTX, foi formalmente considerado como culpado de todas as acusações que enfrentava junto da justiça norte-americana. O antigo dono da plataforma de criptomoedas FTX foi acusado de todas as sete acusações de fraude e conspiração, relativamente à queda da plataforma.

De acordo com o portal The New York Times, o mesmo enfrenta agora uma pena de prisão de até 110 anos. De relembrar que SBF foi detido pelas autoridades nas Bahamas em Dezembro de 2022, depois do departamento de Justiça dos EUA ter começado a avaliar os danos causados pela queda da FTX. Rapidamente se chegou à conclusão que SBF terá aplicado práticas, em conjunto com outros parceiros, para obter lucros da plataforma e roubando os seus clientes.

As autoridades analisaram a forma como a empresa perdeu quase 600 milhões de dólares de fundos dos clientes, no que esta alegou tratar-se de um “ataque”, e como a FTX estaria a transferir fundos para a empresa Alameda Research.

A acusação apontou, durante o mês passado, que Bankman-Fried terá financiado o funcionamento da Alameda Research com os fundos da FTX, usando dinheiro dos utilizadores da plataforma para manter a empresa da sua então namorada, Caroline Ellison. Esta foi também acusada pelas autoridades do esquema, mas decidiu ajudar fornecendo detalhes para a investigação. Em contrapartida, SBF negou todas as acusações que teria contra si.

Espera-se que a sentença final venha a ser conhecida a 28 de Março de 2024.

03/11/2023
Boeing confirma ataque informático de grupo de ransomware Lockbit

A Boeing confirmou que se encontra a investigar um ataque informático à empresa, que terá comprometido alguns dados da mesma na sua cadeia de distribuição. Esta investigação surge depois do grupo de ransomware Lockbit ter confirmado que obteve dados da rede interna da empresa.

Segundo a Boeing, o ataque não coloca em risco a segurança da aviação, e a entidade encontra-se já a trabalhar com as autoridades para investigar o incidente, juntamente com as respetivas agências reguladoras. Atualmente, o site da Boeing associado com os serviços da mesma encontra-se a apresentar uma mensagem de erro “em manutenção”.

O grupo Lockbit tinha confirmado, no início desta semana, que teria obtido acesso à rede interna da Boeing, resultando no roubo de informação sensível da empresa – com os dados a ficarem visíveis em poucos dias. O grupo alega ter dados sensíveis internos da empresa, juntamente com vários detalhes do negócio e dos trabalhadores.

A Boeing afirma que os dados dos clientes não terão sido comprometidos como parte do ataque, e que, para já, os dados roubados aparentam ser apenas de uso interno da empresa – que certamente incluem dados sensíveis e que não deveriam ficar visíveis para o público em geral.

De relembrar que a Boeing é uma empresa internacional, que conta com mais de 140.000 funcionários distribuídos por 65 países diferentes.

02/11/2023
Recebeu um link com um arroba? Tenha cuidado com o esquema!

Os criminosos encontram-se sempre à procura de novas formas de enganar os utilizadores, e por vezes uma das formas mais simples encontra-se no link que é enviado para os mesmos.

Existem vários formatos de esquemas, mas um dos mais vulgares passa por enviar para possíveis vítimas links, seja por email, sms ou mensagens diretas, que reencaminham os utilizadores para sites com conteúdos enganadores ou onde requerem informações sensíveis.

Muitos utilizadores olham diretamente para o link, de forma a validar se o mesmo é legítimo – sobretudo quando se refere a sites conhecidos. Mas a realidade é que muitos ainda olham apenas para a parte inicial do mesmo – abrindo portas para que o ataque ainda tenha sucesso.

Um esquema que tem ganho tração tenta tirar proveito de uma pequena funcionalidade dos navegadores, com o objetivo de enganar as vítimas a pensarem que estão a aceder a um site, quando não é verdade.

Normalmente, um link possui o domínio principal como a primeira parte do mesmo. Por exemplo, https://tugatech.com.pt possui o domínio “tugatech.com.pt” visível para os utilizadores. Este é o endereço que muitos olham quando recebem um link.

Mas o que algumas campanhas de phishing começaram agora a adotar passa por aproveitar uma antiga funcionalidade, mas que ainda se encontra disponível nos navegadores atuais, para “ocultar” o domínio correto.

Se antes do domínio base do link for colocar um @, é possível colocar qualquer nome ou endereço que se pretenda, o que abre caminho para que o sistema seja explorado.

Por exemplo, https://tugatech.com.pt e https://sitefalsodelogin.pt@tugatech.com.pt são dois endereços aceites pelos navegadores atuais, e que direcionam para o mesmo site. No entanto, o segundo link conta com o sitefalsodelogin.pt@ antes do endereço real. Explorando esta técnica, os atacantes podem enviar links que parecem ser associados com um site em particular – nomeadamente o site legitimo que se associa com a campanha de phishing, como a página de login de um banco ou de uma rede social – mas que, na realidade, direcionam para outro endereço completamente diferente.

Os navegadores devem remover automaticamente a parte inicial do endereço, mas, na prática, as vítimas podem não verificar isso, porque já teriam validado o endereço como “legitimo” da forma original que o receberam.

Isto complica-se ainda mais se tivermos em conta que muitas plataformas “cortam” os endereços nas mensagens que são enviadas. Por exemplo, https://sitefalsodelogin.pt@tugatech.com.pt pode ficar em alguns locais como https://sitefalsodelogin.pt@tug(…).

Em alguns casos, como o exemplo anteriormente partilhado, as plataformas podem até assumir o endereço na pré-visualização de links, aumentando ainda mais o potencial do esquema.

Por que razão isto acontece?

Estes links com @ no endereço são conhecidos como links com credenciais. Normalmente, são usados para rapidamente introduzir credenciais de login em sites pela internet, sobretudo de redes internas privadas ou servidores.

Este género de links não é recomendável de se usar, pois podem divulgar informação sensível que pode ser roubada por terceiros – afinal de conta, os dados de login encontram-se visíveis na própria URL do link. No entanto, os navegadores vão interpretar os mesmos corretamente.

Estes links encontram-se em desuso atualmente, mas ainda são válidos. Nos últimos tempos têm vindo a ser cada vez mais usados para práticas de spam e phishing.

Uma forma dos utilizadores protegerem-se deste género de esquemas passa por sempre validarem os endereços diretamente do navegador, usando a barra de endereços do mesmo – a qual deve apresentar sempre o domínio final correto.

01/11/2023
One UI 6.0 protege dispositivos de ficheiros APK inseguros

A One UI 6.0 encontra-se a ser disponibilizada para novos dispositivos, e com esta chegam também algumas novas funcionalidades. Uma delas agora conhecida é o Auto Blocker, que promete ser uma funcionalidade de segurança adicional para o sistema.

Com esta funcionalidade da One UI, agora a instalação de aplicações fora de locais oficiais, como da Play Store, será automaticamente bloqueada. Isto pode impedir que aplicações maliciosas instalem apps sem autorização dos utilizadores, ou que os utilizadores acabem por inadvertidamente instalar uma app que não pretendam.

Para quem já permita este género de aplicações, e tenha o habito de instalar ficheiros APK de fontes não oficiais, possivelmente irá desativar esta funcionalidade, mas para a grande maioria dos utilizadores, que apenas usam a Play Store, será uma camada adicional de segurança.

Ao mesmo tempo, o Auto Blocker também aplica medidas de proteção para outras áreas. Por exemplo, a funcionalidade pode proteger os dispositivos quando estes sejam colocados em postos de carregamento públicos, evitando que os mesmos sejam usados para injetar aplicações no sistema – uma técnica de ataque cada vez mais comum. Ou seja, com a funcionalidade ativa, os atacantes não vão conseguir instalar diretamente aplicações via o USB.

Esta novidade deve chegar para todos os utilizadores que tenham a One UI 6.0, que atualmente encontra-se disponível na versão estável para o Galaxy S23 – mas deve começar a chegar a mais dispositivos durante os próximos meses.

31/10/2023
No Halloween, não seja assombrado por ransomware
Os ataques estão a tornar-se cada vez mais aterradores, não só porque sequestram o equipamento e a infraestrutura das empresas e paralisam as suas operações, mas também porque roubam dados de clientes e funcionários, propriedade intelectual e informações confidenciais.

As notícias que frequentemente aparecem nos jornais deixam claro que o ransomware não é apenas mais uma história de terror urbano, tendo-se já tornado na ameaça mais assustadora para as empresas em todo o mundo.

Na sua maioria, estes ataques seguem uma metodologia bastante comum: um funcionário morde o isco das táticas de engenharia social e abre um anexo de email malicioso. Ou então, os atacantes obtêm acesso aos sistemas de uma empresa depois de obterem as suas credenciais e passwords através de fugas de informação, empregando técnicas de força bruta ou comprando estes dados de acesso inicial na Dark Web. Outro vetor de ataque que os cibercriminosos exploram habitualmente são as vulnerabilidades em software ou aplicações que, se não forem corrigidas, lhes permitem infiltrar-se numa rede empresarial.

Infelizmente, este pesadelo está a materializar-se diariamente, deixando novas vítimas em instituições públicas e privadas, independentemente do seu sector ou dimensão. Os ataques são cada vez mais assustadores, pois não só sequestram os equipamentos e infraestruturas das empresas, paralisando as suas operações, como também roubam dados de clientes e colaboradores, propriedade intelectual e informações confidenciais, exigindo um resgate pela sua libertação e/ou para deter a sua publicação.

Para garantir que as empresas não sofram com esta ameaça, a Kaspersky compilou algumas diretrizes para as ajudar a livrarem-se deste pesadelo.
- Conheça as potenciais falhas nos seus sistemas, redes e infraestruturas. Pode realizar uma auditoria interna ou avaliar serviços externos de diagnóstico de segurança, como simulações de phishing ou relatórios de risco digital sobre os vetores de ataque associados a toda a pegada digital de uma organização.
- Avalie os conhecimentos dos seus funcionários. Certifique-se de que a equipa de segurança tem as informações necessárias para avaliar as defesas contra o ransomware e pode planear ações de resposta a incidentes que impeçam o êxito de um ataque. Se faltarem conhecimentos especializados, estão disponíveis cursos de formação. Avalie também se os colaboradores têm, em geral, os conhecimentos básicos para evitarem ser vítimas de burlas. Um clique pode dar a um criminoso total acesso à rede. Além disso, deve ser mantida uma rotina de formação em segurança para todos os funcionários, adaptando os módulos às suas necessidades específicas.
- Verifique regularmente se as suas defesas estão a funcionar ao melhor nível. Atualmente, existem várias tecnologias que lhe permitem agir proactivamente para evitar um ataque, tais como:
- Relatórios de informações sobre ameaças com informações sobre a descoberta, o modus operandi e as formas de identificar cada novo ransomware na infraestrutura empresarial.
- Tecnologias EDR que oferecem deteção avançada de atividades maliciosas.
- Serviços contínuos de descoberta de ataques, que efetuam uma análise aprofundada dos sistemas, redes e equipamentos para avaliar os pontos fracos da defesa da empresa. Este diagnóstico pode ser efetuado anualmente ou sempre que se suspeite de atividade maliciosa.
- Analise testes comparativos ou efetue uma análise interna para garantir uma proteção real. O laboratório AV-Test publicou recentemente um relatório específico sobre a proteção contra o ransomware.
- Verificar as cópias de segurança regularmente. É comum que as empresas criem cópias de segurança e que o ficheiro esteja intacto no ponto seguinte do processo. Infelizmente, os erros são comuns e pode existir uma cópia defeituosa. Certifique-se de que os ficheiros estão bem para permitir uma rápida retoma das operações.
31/10/2023
Educação de colaboradores das empresas é fundamental para uso adequado de IA
Os líderes de ciber-segurança necessitam de comunicar com os seus colaboradores e educá-los sobre a utilização apropriada e, com os seus conselhos diretivos e equipas executivas, explicar os riscos e oportunidades da IA e a forma como estão a ser geridos. Esta é uma das principais conclusões retiradas do estudo “Segurança, proteção, privacidade e instruções: resiliência cibernética na era da IA”, lançado pela NCC Group.

A ascensão da IA e, em particular, das plataformas de IA generativa, está a moldar o panorama da segurança cibernética em todo o mundo. À medida que empresas e organizações procuram aproveitar o poder da IA para proteger as suas infraestruturas digitais, surgem desafios significativos e oportunidades sem precedentes.

A IA tem-se estabelecido como uma ferramenta de valor inestimável na segurança cibernética, impulsionando a capacidade de defesa contra ameaças digitais e aprimorando as táticas de ataque de adversários. No entanto, também enfrenta ameaças exclusivas e apresenta questões críticas de transparência e ética.

Desafios em destaque:
- Duplo Uso da IA: A IA pode ser usada tanto para fins defensivos quanto ofensivos, criando um campo de jogo complexo para organizações de segurança cibernética.
- Ameaças aos Sistemas de IA: Os modelos de IA são vulneráveis a ameaças que visam manipular o seu comportamento, extrair dados sensíveis e degradar o seu desempenho.
- Transparência e Explicabilidade: A natureza opaca de muitos modelos de IA torna desafiador garantir a sua segurança e entender as decisões que tomam.
- Privacidade e Ética: Questões de privacidade surgem quando dados pessoais são usados no treinamento da IA, e o viés algorítmico pode perpetuar desigualdades.
“O percurso de desenvolvimento da IA tem sido meteórico nos últimos anos; permeando todos os setores e mudando sistematicamente as operações empresariais e os processos de tomada de decisão. Organizações e formuladores de políticas têm a tarefa árdua de aproveitar o potencial transformador da IA, ao mesmo tempo que precisam lidar com o panorama de ameaças em constante evolução que ela apresenta. Assegurar a segurança e a proteção das pessoas, dos processos e da tecnologia num mundo aumentado pela IA exige vigilância e um compromisso com estratégias inovadoras que exigirão adaptação contínua. Este documento da NCC Group procura introduzir o tema da reinvenção da cibersegurança pela IA, estabelecendo uma base de compreensão para os principais conceitos, ameaças e oportunidades, de forma a apoiar o pensamento e estratégias nesta emocionante nova era tecnológica”, salienta Siân John, Chief Technology Officer da NCC Group.

As organizações devem:
- Compreender as ameaças, gerir os riscos e aproveitar as oportunidades apresentadas pela IA para melhorar a postura cibernética.
- Adotar uma mentalidade de hacker, conduzindo testes de penetração e simulações de ataque contra sistemas de IA, com a presunção de que os atacantes estão a utilizar a IA para melhorar a eficácia dos seus ataques.
- Garantir que a privacidade, a segurança da informação e a ética, assim como os requisitos regulamentares em evolução, sejam considerados ao desenvolver ou utilizar a IA em aplicações de negócio, e que os sistemas e aplicações de IA sejam desenvolvidos de acordo com os requisitos regulamentares relevantes.
- Adaptar os processos de segurança para garantir que os riscos em sistemas críticos de segurança que utilizam a IA sejam compreendidos e geridos.
31/10/2023
Nova campanha do grupo Lazarus explora software legítimo

Uma nova campanha do infame grupo Lazarus dirigida a organizações de todo o mundo foi descoberta pela Equipa de Investigação e Análise (GReAT) da Kaspersky. A investigação apresentada no Security Analyst Summit (SAS) revelou uma sofisticada campanha APT distribuída através de malware e disseminada através de software legítimo.

A equipa GReAT identificou uma série de incidentes cibernéticos que envolviam alvos infetados através de software legítimo concebido para encriptar a comunicação na Web utilizando certificados digitais. Apesar de as vulnerabilidades terem sido comunicadas e corrigidas, as organizações de todo o mundo continuaram a utilizar a versão defeituosa do software, proporcionando um ponto de entrada para o infame grupo Lazarus.

Este grupo demonstrou um elevado nível de sofisticação, empregando técnicas avançadas de evasão e implantando um malware “SIGNBT” para controlar as vítimas. Aplicou também a já conhecida ferramenta LPEClient, anteriormente utilizada para atacar empresas do sector da defesa, engenheiros nucleares e o sector das criptomoedas. Este malware atua como o ponto inicial de infeção e desempenha um papel crucial na definição do perfil da vítima e na entrega do payload. As observações dos investigadores da Kaspersky indicam que o papel do LPEClient neste e noutros ataques se alinha com as táticas utilizadas pelo grupo Lazarus, como também se viu no famoso ataque à cadeia de abastecimento 3CX.

Uma investigação mais aprofundada revelou que o malware Lazarus já tinha visado a vítima inicial, um fornecedor de software, várias vezes antes. Este padrão de ataques recorrentes indica um adversário determinado e concentrado, provavelmente com a intenção de roubar código-fonte crítico ou perturbar a cadeia de fornecimento de software. O agente da ameaça explorou consistentemente vulnerabilidades no software da empresa e alargou o seu âmbito de ação, visando outras empresas que utilizavam a versão não corrigida do software. A solução Endpoint Security da Kaspersky identificou a ameaça de forma proativa e evitou ataques futuros contra outros alvos.

“A atividade contínua do grupo Lazarus é um testemunho das suas capacidades avançadas e da sua motivação inabalável. Operam a uma escala global, visando uma vasta gama de indústrias com um conjunto diversificado de métodos. Isto significa uma ameaça contínua e em evolução que exige uma vigilância acrescida,” refere Seongsu Park, Investigador de Segurança Principal na Equipa de Investigação e Análise Global da Kaspersky.

31/10/2023
Roubo de dados da Lastpass encontra-se na base de roubos de 4.4 milhões de dólares em cripto

No passado dia 25 de Outubro, um grupo de hackers roubou mais de 4.4 milhões de dólares em criptomoedas, no que se acredita ter sido um ataque realizado em continuação do roubo de bases de dados da LastPass. Os atacantes usaram chaves privadas e passphrases para aceder a carteiras que continham os fundos de clientes.

De acordo com ZachXBT e o programador chave da MetaMask, Taylor Monahan, que têm estado a monitorizar as atividades dos atacantes, o grupo terá roubado os cripto ativos no que se acredita estar relacionado com o roubo de bases de dados da LastPass nos últimos meses.

Os investigadores indicam que as vítimas, que mantinham várias carteiras de criptomoedas ativas, teriam como única relação o facto de todas usarem o LastPass para salvaguardar os seus dados. A indicação será que os atacantes terão roubado mais de 4.4 milhões de dólares de 25 vítimas diferentes, aproveitando o leak da LastPass de 2022.

De relembrar que o LastPass sofreu dois ataques em 2022, onde foram roubados dados de clientes, nomeadamente cofres encriptados, e código fonte das aplicações do gestor de senhas. Apesar dos cofres encontrarem-se encriptados, podem ser, teoricamente, acedidos se os atacantes obtiverem as passwords gerais dos mesmos. Para quem use as práticas recomendadas de senhas para garantir a segurança das suas contas, possivelmente isto não seria um problema – mas nem todos usam essa prática. Ainda existe quem use senhas simples de acesso, até mesmo para gestores de senhas em geral.

Isto encontra-se na base agora do acesso, onde os cofres podem ter sido acedidos por terceiros derivado de usarem senhas de acesso relativamente simples de se “descobrir” ou de obter com referência a outros leaks – sobretudo para quem reuse as senhas.

Segundo os dois investigadores, os atacantes encontram-se agora a aceder a alguns destes cofres que foram roubados, e estarão focados sobretudo em carteiras de criptomoedas, para roubarem dados das mesmas e os seus fundos. Se os atacantes tiverem acesso a dados como a chaves privadas das carteiras, podem realizar toda a tarefa sem que as vítimas tenham qualquer alerta prévio de que foram atacadas.

É possível que o número de vítimas venha a aumentar ainda mais, conforme mais cofres que foram obtidos do leak venham a ser decifrados. Para os utilizadores que foram afetados pelos ataques de 2022, deve-se considerar os dados dos cofres como comprometidos, e isto inclui todas as senhas que possam encontrar-se nos mesmos – por precaução, é recomendado que se salvaguarde e altere todas as senhas das diferentes fontes que se encontram no mesmo.

31/10/2023
Grupo RansomedVC encontra-se a vender as suas infraestruturas

O grupo de ransomware conhecido como “RansomedVC” encontra-se alegadamente a vender todas as suas ferramentas e infraestruturas de ataques, no que aparenta ser uma decisão do grupo em saída deste mercado.

No seu blog na rede Tor, onde habitualmente são partilhadas as novas vítimas do grupo, este deixou uma mensagem onde alega encontrar-se a vender todas as ferramentas, infraestruturas e bases de dados a interessados em manter o projeto ativo. Este grupo é conhecido por realizar técnicas de ransomware a empresa aproveitando pontos como o RGPD na União Europeia, onde força as entidades a pagarem para evitarem ter problemas com a divulgação de dados confidenciais e de clientes.

O RansomedVC surgiu inicialmente em Agosto de 2023, e desde então tinha vindo a realizar alguns ataques de larga escala. Faz apenas uma semana que o grupo alegava ter realizado o ataque à Colonial Pipeline nos EUA. O mesmo também alega ter acedido a sistemas da Sony, onde recolher vários dados internos da empresa. Na mensagem, o grupo alega que o administrador se encontra cansado da perseguição das autoridades, e como tal, estará disposto a vender o projeto a interessados em continuar o mesmo – caso se encontre.

A venda será não apenas de toda a infraestrutura, mas das ferramentas usadas para criar o ransomware – que o grupo alega ser capaz de contornar todos os softwares de segurança atualmente disponíveis – bem como do código fonte do mesmo. Estão ainda para venda bases de dados, grupos afiliados, perfis das redes sociais usados pelo grupo e vários acessos VPN a sistemas de empresas com um valor combinado de 3 mil milhões de dólares. Existem ainda bases de dados que possuem um valor estimado de 10 milhões de dólares cada.

Até ao momento ainda se desconhece se existem grupos interessados em continuar as atividades ou na compra destes materiais.

31/10/2023
Threads Software dá 30 dias à Meta para alterar nome da “Threads”

Este é apenas mais um caso de uma grande empresa, que se encontra a ser processada por outra entidade sobre o uso de alguma propriedade intelectual… mas que neste caso envolve diretamente uma nova plataforma da Meta.

Recentemente, a empresa Threads Software Limited, sediada no Reino Unido, terá avançado com um processo contra a Meta, dando 30 dias para a plataforma alterar o nome da sua rede social “Threads”, sobre alegações que a Meta encontra-se a violar os direitos de autor da entidade.

A Threads Software Limited é uma empresa, sediada no Reino Unido, e que foi fundada faz mais de 11 anos. A empresa fornece serviços de conjugação de mensagens em diferentes plataformas, emails e chamadas telefónicas, num local central. A marca da empresa foi originalmente registada em 2012 pela JPY Ltd.

O serviço “Threads” da Threads Software Limited encontrava-se disponível para os utilizadores desde 2014, e depois do sucesso, em 2018 a empresa mãe lançou uma empresa os EUA, a Threads Software Ltd. Atualmente a empresa alega ter um volume considerável de vendas no mercado, com mais de 1000 empresas a usarem o software da mesma em todo o mundo, e um crescimento de 200% de vendas por ano.

Ao que parece, de acordo com a Threads Software Limited, a Meta teria conhecimento desta empresa, tendo tentado adquirir da mesma o domínio “threads.app”. Os advogados da Meta terão entrado em contacto com a empresa – ainda antes da “Threads” da Meta ser conhecida – para adquirirem o domínio por quatro vezes diferentes. No entanto, a Threads Software Ltd terá negado a venda. As primeiras mensagens para esta possível compra terão sido enviadas em Abril de 2023.

Eventualmente, a Meta lançaria o Threads em Julho de 2023, na mesma altura em que a Threads Software Ltd afirma ter sido banida de todas as plataformas da Meta – Instagram e Facebook.

Dr John Yardley, Diretor da Threads Software Ltd, afirma que lançar um ataque deste género contra uma empresa com 150 mil milhões de dólares de avaliação final não será algo “simples”, mas a entidade encontra-se focada em defender a sua imagem e marca, que demorou mais de dez anos a construir. Yardley afirma que, apesar de a Meta pensar que pode usar qualquer nome que pretenda sem consequências, a marca “Threads” estaria em uso sem autorização.

É importante ter em conta que “Threads” é uma marca que se encontra registada em várias empresas, até mesmo antes da “Threads” conhecida pela Meta. Existem várias entidades que possuem a marca, sobre os mais variados feitios – no entanto, nem todas usam o termo para o formato que a Meta o aplica, de plataforma social, e que será onde a Threads Software Ltd pretende agora batalhar pelo uso da marca.

Ao mesmo tempo, é importante ter em conta que a Meta também se encontra a ser processada por outra empresa, a MetaX, depois de ter alterado o nome da plataforma de “Facebook” para “Meta”. Este caso encontra-se ativo desde o ano passado, e ainda não existem novos desenvolvimentos.

30/10/2023
Grupo de ransomware Hunters International surge como rebrand do Hive

Existe um novo grupo de hackers no ativo, fornecendo ransomware-as-a-service, que se encontram a apelidar de “Hunters International”. Este grupo parece encontrar-se a continuar as atividades de outro grupo, o Hive, tendo em conta que o código fonte do ransomware usado pelo grupo é bastante similar ao do anterior.

Se tivermos este ponto em conta, acredita-se que o novo grupo seja uma continuação ou tenha os mesmos membros que o grupo Hive, continuando as suas atividades. Os investigadores de segurança que analisaram o código fonte do ransomware do novo grupo identificam várias semelhanças com o verificado sobre o antigo grupo, ao ponto de serem praticamente idênticos em várias áreas. Existem mesmo strings do código que ainda indicam ser do grupo Hive diretamente, o que parece confirmar a teoria que o novo grupo possui fortes ligações com o antigo grupo de ransomware.

No entanto, de acordo com o portal BleepingComputer, o grupo alega que não se trata de uma continuação do Hive, mas sim que adquiriram o código fonte do antigo grupo, e que se encontram a usar o mesmo.

Este grupo foca-se nas mesmas técnicas de ransomware-as-a-service, onde a base do ransomware pertence ao grupo, mas os ataques são levados a cabo por terceiros, e os lucros dos ataques são depois partilhados por entre quem realizou o ataque e os criadores do mesmo.

De relembrar que o grupo Hive encerrou operações depois das autoridades terem apreendido vários sistemas usados pelo grupo, incluindo o site na rede Tor, e onde monitorizaram as atividades do mesmo durante vários meses.

30/10/2023
Grupo de ciber criminosos usam ameaças violentas para obterem dados de acesso

Os grupos de hackers estão a tomar medidas cada vez mais drásticas para tentarem chegar aos seus propósitos finais, e uma delas passa agora por deixar ameaças de morte contra as vítimas. Este foi o resultado de um estudo da Microsoft sobre o grupo conhecido como Octo Tempest.

De acordo com a empresa, este grupo usa técnicas agressivas para tentar levar as vítimas a fornecerem dados importantes ou para roubarem dinheiro das mesmas. Invés de adotar esquemas tradicionais de phishing ou similares, o grupo direciona as suas técnicas para uma forma diferente de ataque.

De acordo com a Microsoft, o grupo surgiu praticamente do nada, nos inícios de 2022, mas desde então tem vindo a elevar os seus ataques e campanhas de phishing. No entanto, o que coloca este grupo no patamar diferente encontra-se na forma como este realiza algumas das suas técnicas de engenharia social, usando práticas avançadas e de extorsão contra as vítimas.

O grupo conta com personalidades que possuem elevados conhecimentos sociais, e que se adaptam a diferentes situações para tentar enganar as vítimas. Para tal, estes adotam muitas vezes o papel de serem administradores de uma empresa, e de pretenderem obter os dados de acesso a diferentes sistemas internos. Depois de obterem acesso aos sistemas, o grupo começa a recolher o máximo de informação possível da entidade.

No entanto, para atingir estes objetivos, nem sempre a prática é apenas por uma simples “conversa”. O grupo tem adotado esquemas contra vitimas, ameaçando de morte ou contra familiares, de forma a poderem chegar aos objetivos finais – na maioria das vezes, para levarem ao pagamento de largas quantias de dinheiro.

Por exemplo, a Microsoft afirma que o grupo terá, no passado, ameaçado funcionários das empresas a fornecerem dados de acesso a sistemas internos. No meio das ameaças encontrava-se mensagens violentas de ataques contra os próprios ou familiares, caso os dados não fossem fornecidos. Até ao momento não existe qualquer confirmação de que estas mensagens se tenham tornado realidade.

A Microsoft afirma ainda que o grupo conta com fortes ligações a outro grupo de ransomware conhecido como ALPHV/BlackCat. Apesar de o Octo Tempest ser, aparentemente, liderado por utilizadores nos EUA, o grupo alia-se regularmente ao ALPHV/BlackCat, que conta com ligações na Rússia.

27/10/2023
Ataques DDoS HTTP estão a aumentar devido a falhas recentes

A Cloudflare encontra-se a alertar para uma nova vaga de ataques DDoS, que parecem estar a ocorrer em elevada escala durante este trimestre.

De acordo com a entidade, que fornece serviços de proteção de sites, o número de ataques DDoS HTTP volumétricos encontra-se em tendência crescente nos últimos meses. Os dados da entidade demonstram que os números de ataques realizados durante o último trimestre ultrapassaram os valores dos anos anteriores, demonstrando uma nova tendência.

Um ataque DDoS foca-se em enviar para os sistemas das vítimas tráfego considerado como “lixo” ou desnecessário, de diversas fontes, para sobrecarregar os sistemas onde estes se encontram, impossibilitando o acesso de visitantes legítimos aos mesmos. De acordo com a empresa, durante o último trimestre, a empresa verificou um aumento considerável de ataques DDoS HTTP.

Cerca de 89 ataques ultrapassaram os 100 milhões de pedidos por segundo, com o pico a ter sido atingido nos 201 milhões de pedidos por segundo, cerca de três vezes mais elevado que o recorde anterior, atingido em Fevereiro de 2023.

Em parte, acredita-se que estes ataques tenham aumentado consideravelmente de volume devido a uma nova técnica para tal, que explora uma falha no protocolo HTTP conhecida como “HTTP/2 Rapid Reset”. Explorando esta falha, quem realiza os ataques DDoS é capaz de lançar os mesmos de forma consideravelmente mais poderosa, sem necessitar de um elevado número de dispositivos para tal – normalmente estes ataques usam dispositivos da IoT comprometidos.

A empresa registou um aumento de 65% no número de pedidos realizados como parte de ataques DDoS HTTP. Entidades associadas com plataformas de jogos e serviços de gaming são as mais afetadas pelos ataques, seguindo-se as empresas de Internet e tecnologia, bem como plataformas de criptomoedas. Quase 5% dos ataques foram direcionados para entidades nos EUA.

Ao mesmo tempo, enquanto a tendência deste novo formato de ataques DDoS encontra-se a aumentar, existem outras que estão em queda. Uma delas são ataques DDoS de ransom, onde as vítimas são ameaçadas de serem alvo de ataques caso não realizem o pagamento de um determinado valor. A Cloudflare afirma que a tendência deste género de ataques encontra-se em queda, e em valores consideráveis.

No geral, o formato de ataques DDoS encontra-se a mudar drasticamente, sendo que existe uma nova variante de ataques que se encontram a ser processados, e os DDoS HTTP parecem ser a “nova moda” para tal.

26/10/2023
Nova vulnerabilidade no Safari pode permitir roubo de dados do navegador

Se utiliza dispositivos da Apple, talvez seja boa ideia ter em atenção a forma como usa o navegador Safari da empresa. Recentemente foi descoberta uma nova falha, que pode ser explorada pelo navegador da Apple para roubar dados sensíveis do sistema.

Apelidada de iLeakage, esta falha foi descoberta por um grupo de investigadores da Georgia Tech, University of Michigan e Ruhr University Bochum, e afeta o Safari dentro dos sistemas da Apple. Se explorada, a falha permite recolher dados sensíveis do navegador, contornando algumas medidas de segurança que o navegador implementa exatamente para prevenir essa recolha. A falha também pode ser explorada para navegadores de terceiros, como o Firefox, Tor e Edge no iOS, e encontra-se com raízes no que foi em tempos descoberto com os ataques Spectre.

Explorando a falha, os investigadores conseguiram contornar as medidas de proteção e isolamento de sites que o Safari implementa, e que se focam em evitar que os mesmos recolham dados sensíveis, para aceder aos mesmos. Os investigadores afirmam que a falha pode ser explorada através do simples acesso a um site que tenha sido maliciosamente criado para o efeito. Ao mesmo tempo, se essas páginas forem integradas em outros conteúdos ou sites, podem também roubar dados que sejam introduzidos nos mesmos – como é o caso de senhas ou emails e outra informação dos utilizadores.

Tudo o que as vítimas necessitam de realizar é interagir com o site usado para explorar a falha, e a partir dai o mesmo pode recolher dados do navegador – mesmo que se encontre em outra janela ou aba do mesmo. Os investigadores usaram a falha para recolher dados do Gmail, usando a exploração pelo site maliciosamente criado para esse fim.

Os investigadores também aplicaram o mesmo conceito para roubarem informação mais sensível, como as senhas do Instagram que foram automaticamente preenchidas por um gestor de senhas (LastPass) no navegador.

De notar que a falha afeta sistemas que tenham processadores da Apple (M1 e M2, bem como a linha A). Com isto, a falha pode afetar praticamente todos os dispositivos mais recentes da empresa, que tenham sido lançados depois de 2020 e contem com um processador das linhas A ou M.

Além disso, o ataque é realizado de forma silenciosa, sendo que os dados podem ser roubados sem praticamente qualquer identificação de tal no sistema das vítimas – mesmo posteriormente ao roubo.

Os investigadores reportaram esta falha à Apple em Setembro de 2022, sendo que a Apple aplicou medidas para mitigar o problema em vários sistemas afetados.

26/10/2023
Flipper Zero pode enviar mensagens de spam via Bluetooth

O Flipper Zero é uma das ferramentas mais conhecidas dos últimos meses para “hacking”, sendo um pequeno dispositivo para entusiastas, que gostam de aprender e mexer com tudo o que seja relacionado com redes. No entanto, este acaba de receber agora um firmware personalizado que pode abrir portas para o envio de spam via Bluetooth.

O dispositivo recebeu recentemente um firmware personalizado “Xtreme”, que conta com funcionalidades que permitem usar o Bluetooth para enviar mensagens de spam para dispositivos Android e Windows. A ideia passa por usar as funcionalidades de ligação do Flipper Zero, enviando falsos pacotes para ligações Bluetooth perto do dispositivo, que são interpretadas como mensagens nos sistemas operativos. Os atacantes podem enviar mensagens consecutivas para as potenciais vítimas, tornando difícil de validar as que são legitimas ou não – o que pode ter consequências.

O firmware foi desenvolvido exatamente para explorar o sistema de forma a permitir o envio das mensagens de spam. O youtuber Talking Sasquach testou o sistema, e como seria de esperar, este funciona – incluindo também em dispositivos iOS da Apple.

O envio de mensagens de spam via Bluetooth pode ter algumas consequências, sobretudo se forem em quantidades elevadas. O número de mensagens pode causar problemas no processo do sistema responsável por as receber, levando a bloqueios e lentidão do mesmo.

Felizmente, este ataque apenas pode ser explorado caso os utilizadores estejam perto de um dispositivo Flipper Zero que esteja a enviar as mensagens. Isso indica que o atacante necessita de se encontrar fisicamente perto das vítimas para enviar este género de mensagens.

25/10/2023
Seiko confirma roubo de dados de clientes em ataque ransomware

Recentemente a fabricante de relógios Seiko confirmou ter sido vítima de um ataque de ransomware, que terá sido realizado pelo grupo conhecido como Black Cat. Agora, a empresa veio deixar mais detalhes sobre o ataque, confirmando que existem dados de clientes possivelmente comprometidos.

De acordo com a empresa, o ataque terá exposto dados sensíveis de alguns clientes, parceiros e funcionários da empresa. Segundo a empresa, cerca de 60.000 itens associados com a empresa terão sido comprometidos neste ataque.

A relembrar que o ataque foi confirmado a 21 de Agosto, quando o grupo BlackCat confirmou que a Seiko estaria na sua lista de vítimas, tendo indicado que teriam controlo de vários dados da empresa, incluindo planos de fabrico e dados de clientes. No entanto, a Seiko tinha confirmado que teria identificado acesso indevido aos dados da empresa a 10 de Agosto, e que esses acessos teriam sido realizados a 28 de Julho de 2023.

Depois da investigação do incidente, agora a empresa veio confirmar que os dados de clientes terão sido comprometidos. Os clientes afetados já terão sido notificados pela empresa. Entre os dados roubados encontram-se nome, morada, telefone, emails e outros dados de contacto de clientes, parceiros e funcionários.

A empresa sublinha que não foram acedidos a dados de cartões de crédito ou de pagamento, visto estes encontrarem-se em sistemas diferentes dos afetados. A empresa refere ainda que vai continuar a analisar a situação.

25/10/2023
1Password confirma ter sido vítima do ataque à Okta

A entidades responsável pelo gestor de senhas 1Password confirmou recentemente ter sido uma das vítimas no ataque feito à Okta. De relembrar que a Okta foi recentemente alvo de um ataque, onde terão conseguido aceder a dados internos da empresa sobre o sistema Okta ID.

De acordo com o comunicado da empresa, esta terá identificado algumas atividades suspeitas com relação aos sistemas da Okta, e que, depois de investigado, se chegou à conclusão que estaria associado com o incidente que a empresa sofreu faz alguns dias.

A empresa afirma que as atividades suspeitas começaram a 29 de Setembro, quando algumas atividades começaram a ser realizadas nas aplicações interligadas ao sistema da Okta.

A empresa sublinha que as atividades foram imediatamente terminadas, e que dados dos clientes ou da empresa não foram diretamente afetados. No entanto, a empresa confirma que o ataque terá sido realizado porque os hackers obtiveram acesso aos cookies de sessão de um dos funcionários da empresa, que terá estado em contacto com a Okta e terá enviado os ficheiros HAR para o suporte – permitindo assim o roubo como parte dos dados comprometidos.

A 1Password afirma que tem estado a trabalhar diretamente com a Okta para a resolução do problema, e investigação do incidente. No entanto, para a parte dos clientes, a empresa não possui indícios que qualquer dados sensível tenha sido acedido ou informações comprometidas, sendo que o ataque terá sido parado a tempo.

24/10/2023
Autoridades espanholas detiveram grupo que enganou 4 milhões de pessoas

As autoridades em Espanha desmantelaram recentemente uma rede de criminosos, que durante os últimos anos, terão roubado dados de quase 4 milhões de pessoas.

De acordo com o comunicado das autoridades, estas realizaram mais de 16 rusgas em várias cidades em Espanha, e detiveram 34 membros do alegado grupo. Foram ainda confiscadas armas, dinheiro e vários materiais informáticos, que terão sido usados para a prática dos crimes.

As autoridades afirmam que o grupo estaria associado com vários esquemas de phishing, nos quais eram enviadas mensagens SMS e emails em nome de empresas de transporte e de eletricidade, levando as potenciais vítimas a realizarem pagamentos avultados.

Foi ainda referido que o grupo terá usado técnicas de chantagem, sobretudo sobre alegadas mensagens enviadas para pais, em como os seus filhos tinham sido raptados e que, para reaver os mesmos, era necessário realizar um pagamento urgente. Alguns dos membros do grupo teriam ainda acesso a informações privilegiadas dentro de empresas de transporte, que terão sido usadas para reencaminhar algumas encomendas para outros destinos.

O grupo não teria um género de “ataque”, sendo que explorava diferentes meios de obter dinheiro de forma ilícita, a maioria usando esquemas online ou fraudes.

As investigações a este grupo terão começado no início de 2023, quando as autoridades começaram a receber notificações sobre alegadas burlas. O número de vítimas foi aumentando ao longo dos meses, assim como o acesso a dados sensíveis que os membros do grupo teriam – entre dados bancários, a dados pessoais – que eram, usados posteriormente para os esquemas.

Estima-se que o grupo tenha feito mais de 3 milhões de euros dos esquemas nos mais variados formatos. Estes fundos eram depois convertidos em criptomoedas, de forma a tentar dificultar o rasto do dinheiro roubado.

23/10/2023
Cidade de Filadélfia investiga ataque após o conhecer por cinco meses

A cidade de Filadélfia, nos EUA, encontra-se a investigar um alegado ataque, que aconteceu a vários emails de entidades governamentais da região. Neste ataque, terão sido realizados acessos não autorizados a contas de email de diferentes entidades e personalidades, onde o incidente terá ocorrido faz mais de cinco meses.

De acordo com o comunicado das autoridades, o incidente aconteceu a 24 de Maio de 2023, depois de terem sido identificados acessos fora do comum a contas de email de entidades da cidade. Na investigação do caso, as autoridades identificaram que os atacantes poderão ter acedido a contas de email de funcionários da cidade durante, pelo menos, dois meses antes da identificação.

O comunicado da cidade afirma que entre 26 de Maio e 28 de Julho de 2023, um autor não identificado terá acedido a contas de email de certos representantes da cidade, bem como a informação que se encontrava nas mesmas. Ainda se desconhecem detalhes de qual a informação que poderia ter sido acedida, mas esta pode contar com dados sensíveis.

Uma investigação mais aprofundada das autoridades revela ainda que, em certos casos, podem ter sido acedidos dados relacionados com pacientes e de saúde, embora de um número ainda desconhecido de cidadãos.

A investigação do incidente ainda se encontra a decorrer, mas as autoridades indicam que dados como o nome, número de segurança social, informação médica e outros dados considerados como sensíveis podem ter sido acedidos por terceiros. Os afetados serão, dentro das capacidades das entidades, notificados quando a investigação estiver concluída.

Para já, as contas afetadas terão sido colocadas em quarentena, estando ainda a decorrer a investigação para identificar o possível autor dos ataques.

23/10/2023
Okta confirma que hackers acederam a dados de clientes

A Okta confirmou que um grupo de hackers terá obtido acesso aos sistemas internos da empresa, e que terá usado esse acesso para roubar dados de clientes da empresa, num número não revelado até ao momento. A confirmação foi deixada no final da semana passada, e a investigação aponta agora mais detalhes sobre o que ocorreu.

De acordo com a nota da empresa, os atacantes terão obtido acesso a credenciais de login num dos sistemas de suporte da empresa, a partir dos quais teriam acesso a dados de clientes que teriam estado em contacto direto com a empresa de forma recente. Os atacantes aproveitaram esse acesso para recolher dados de centenas de clientes, embora o número final ainda seja desconhecido.

A Okta afirma ainda que os atacantes tiveram a capacidade de ver ficheiros recentemente enviados pelos clientes para o suporte da empresa, juntamente com os dados associados aos perfis dos mesmos – onde se pode encontrar informação considerada como sensível. A empresa sublinha que o sistema de suporte da empresa encontra-se separado dos servidores de produção da mesma, estes últimos que não foram alvo de qualquer ataque.

A empresa afirma que terá começado a trabalhar com os clientes afetados por este acesso, e que forneceu todo o suporte necessário para garantir a segurança dos seus dados e das suas contas. Todos os clientes afetados terão ido entretanto notificados – a empresa sublinha que, para quem não tenha recebido a mensagem da Okta sobre o incidente diretamente nos seus emails, não foi afetado pelo mesmo.

Relativamente aos ficheiros que os atacantes acederam, a empresa refere que se tratam de arquivos HAR, que normalmente são requeridos pela parte técnica da empresa para averiguar possíveis problemas de ligação ou erros. Estes ficheiros tendem a possuir dados sensíveis, que podem ser replicados noutros navegadores – como tokens de sessão e cookies – que os atacantes podem teoricamente usar para ataques.

É importante notar que o ataque pode não ter sido realizado apenas de forma recente. A empresa de segurança BeyondTrust afirma que, depois de contactar o suporte da Okta, terá verificado atividade suspeita nos seus sistemas, coincidente com o que poderia ser o roubo de credenciais do navegador usado para criar o arquivo HAR. Este incidente aconteceu a 2 de Outubro, sendo que a entidade contactou a Okta sobre o caso no dia seguinte a fornecer mais informação sobre o possível ataque. No dia 11 de Outubro, as duas partes tiveram uma reunião via Zoom onde foram deixados detalhes sobre o incidente, e eventualmente, a Okta viria a confirmar o mesmo a 19 de Outubro. Ou seja, durante este período os atacantes poderiam ter mantido acesso aos sistemas internos da empresa.

22/10/2023
Google e Meta retiram participação da Web Summit devido a mensagem de Cosgrave

A Google e a Meta são as duas mais recentes empresas que confirmaram que não vão estar presentes na Web Summit deste ano, depois de declarações deixadas pelo fundador do evento. Estas são as duas mais recentes perdas de peso para o evento, que também teve nomes como a Intel e a Siemens a deixarem de lado a participação.

Em causa encontram-se declarações recentemente deixadas por Paddy Cosgrave, classificando a reação de Israel ao ataque do Hamas como “um crime de guerra”. De acordo com o portal Bloomberg, a Google e a Meta confirmaram que não vão participar no Web Summit deste ano. De notar que ambas as empresas tinham participantes que iriam encontrar-se no evento, entre os quais se encontra a participação de alguns oradoras no mesmo.

Na passada quinta-feira, também a Siemens e Intel decidiram deixar de participar no evento deste ano, depois de várias outras entidades e fundos de investimento terem também deixado claro que não iriam marcar presença no evento.

A mensagem de Cosgrave foi seguida pouco depois de um pedido de desculpas, embora pareça ter sido tardio, com vários participantes e fundos de investimento a confirmarem que não vão marcar presença no mesmo. Além disso, também representantes de Israel não vão estar presentes no mesmo.

Na sua mensagem de desculpa, Cosgrave afirma que “A Web Summit tem uma longa história de parceria com Israel e as suas empresas tecnológicas, e lamento profundamente que esses amigos tenham ficado magoados com tudo o que disse. O meu objetivo é e sempre foi lutar pela paz. Espero de todo o coração que isso possa ser alcançado”.

20/10/2023
Contas verificadas da X contribuem largamente para desinformação

De acordo com um recente estudo, associado com a X, a maioria dos conteúdos de desinformação relativos ao Hamas e aos ataques em Israel surgem dentro da plataforma por contas que possuem o sinal de verificado – e consequentemente, que pagam para obter o X Premium.

De acordo com um estudo da NewsGuard, numa análise das publicações com mais interações entre 7 e 14 de Outubro, relativamente aos confrontos em Israel e com desinformação, a maioria das contas que os promoveram foram associadas com contas verificadas.

74% das contas que partilharam conteúdos de desinformação contavam com o sinal de verificado ou o X Premium ativo nas mesmas. No total foram analisadas 250 publicações dentro destes termos, que se tornaram virais dentro da X, apesar de conterem desinformação.

Entre estas encontram-se publicações de que equipas de reportagem da CNN estariam sobre ataque, com vídeos de tal, e que existiam crianças presas dentro de jaulas. No total, estas publicações receberam 1,349,979 interações, entre gostos, partilhas, comentários e outros, e foram vistas mais de 100 milhões de vezes – apesar de serem totalmente falsas.

A NewsGuard aponta que o facto que qualquer utilizador pode agora comprar o sinal de verificado na plataforma, e que tal dá tanto mais visibilidade aos conteúdos como uma maior autoridade face ao que é reconhecido do próprio, é um dos responsáveis para este problema.

Antes de Elon Musk adquirir o Twitter, os utilizadores verificados dentro da plataforma tinham a reputação de serem fontes credíveis de alguma informação, e incluíam celebridades, jornalistas e outros. No entanto, como agora qualquer um pode comprar o mesmo, isso leva a que a mentalidade anterior ainda prevaleça – com o sinal a ser visto como algo genuíno para os conteúdos partilhados – mas, ao mesmo tempo, algo que qualquer pessoa pode comprar.

O “boost” que é dado a estes conteúdos para quem tenha contas verificadas também não ajuda a reduzir a distribuição de conteúdos enganadores ou falsos. De relembrar que a X encontra-se atualmente a ser alvo de uma investigação da Comissão Europeia, exatamente pela partilha de conteúdos ilegais ou de desinformação sobre a sua plataforma, sem moderação.

20/10/2023
Mais de 40.000 dispositivos Cisco com IOS XE alvo de falha zero-day

Recentemente foi descoberta uma falha sobre o sistema IOS XE da Cisto, que estará a afetar mais de 40.000 dispositivos da empresa que se encontram com este sistema instalado.

A falha, classificada como a CVE-2023-20198, não possui uma correção ainda disponível, mas acredita-se que já esteja a ser explorada em sistemas que se encontram expostos para a Internet, com os atacantes a realizarem o scan por dispositivos vulneráveis e a serem explorados.

Existem vários dispositivos da Cisco que podem contar com este sistema, e tecnicamente, se os mesmos estiverem expostos para a internet de alguma forma, podem ser alvo de ataques.

Os dados iniciais apontavam que existiriam cerca de 10.000 dispositivos com o sistema abertos para a Internet, mas este valor foi crescendo ao longo dos últimos dias, sendo que agora o mesmo atinge quase 40.000 que foram infetados pela exploração da falha.

Apesar de ser difícil precisar o número de dispositivos que se encontram potencialmente acessíveis, os dados da Shodan indicam que cerca de 145.000 hosts encontram-se com este sistema – a sua maioria nos EUA. Portanto o potencial de ataque é bastante elevado.

Se a falha for explorada, os atacantes podem obter acesso a dados sensíveis a que o sistema da Cisco tenha acesso, e podem não só enviar comandos remotamente, como passar a controlar os dispositivos praticamente na sua totalidade.

Apesar da falha CVE-2023-20198 ter sido revelada pela Cisco apenas esta semana, acredita-se que os atacantes já se encontram a explorar a mesma desde meados de Setembro.

20/10/2023
Mais de 40.000 dispositivos Cisco com IOSS XE alvo de falha zero-day

Recentemente foi descoberta uma falha sobre o sistema IOS XE da Cisto, que estará a afetar mais de 40.000 dispositivos da empresa que se encontram com este sistema instalado.

A falha, classificada como a CVE-2023-20198, não possui uma correção ainda disponível, mas acredita-se que já esteja a ser explorada em sistemas que se encontram expostos para a Internet, com os atacantes a realizarem o scan por dispositivos vulneráveis e a serem explorados.

Existem vários dispositivos da Cisco que podem contar com este sistema, e tecnicamente, se os mesmos estiverem expostos para a internet de alguma forma, podem ser alvo de ataques.

Os dados iniciais apontavam que existiriam cerca de 10.000 dispositivos com o sistema abertos para a Internet, mas este valor foi crescendo ao longo dos últimos dias, sendo que agora o mesmo atinge quase 40.000 que foram infetados pela exploração da falha.

Apesar de ser difícil precisar o número de dispositivos que se encontram potencialmente acessíveis, os dados da Shodan indicam que cerca de 145.000 hosts encontram-se com este sistema – a sua maioria nos EUA. Portanto o potencial de ataque é bastante elevado.

Se a falha for explorada, os atacantes podem obter acesso a dados sensíveis a que o sistema da Cisco tenha acesso, e podem não só enviar comandos remotamente, como passar a controlar os dispositivos praticamente na sua totalidade.

Apesar da falha CVE-2023-20198 ter sido revelada pela Cisco apenas esta semana, acredita-se que os atacantes já se encontram a explorar a mesma desde meados de Setembro.

20/10/2023
Site do grupo de ransomware Ragnar Locker apreendido pelas autoridades

O grupo de ransomware Ragnar Locker ficou conhecido em Portugal depois de ter realizado um ataque aos sistemas da TAP, de onde terão sido roubados dados de clientes da empresa.

No entanto, o site do grupo na rede Tor encontra-se agora inacessível, depois de ter sido apreendido numa operação que aparenta ter envolvido várias forças de segurança.

Como parte de um plano de várias forças de segurança internacionais, em diferentes continentes, o site do grupo aparenta agora ter sido apreendido, apresentando uma mensagem das autoridades a indicar que toda a informação encontra-se em posse das mesmas.

A operação foi confirmada por um porta-voz da Europol, que indica ter apreendido os sistemas usados pelo grupo, embora mais detalhes venham a ser revelados durante o dia de amanhã, no comunicado oficial.

De relembrar que o grupo Ragnar Locker começou a ganhar popularidade em meados de 2019, e desde então tem vindo a focar-se em realizar ataques sobretudo a grandes empresas, com o objetivo de encriptar os sistemas da rede local das mesmas, além de roubar a informação para extorquir por dinheiro posteriormente.

Em Portugal, o grupo foi responsável por ter realizado ataques e roubos de dados à EDP e TAP, onde se inclui informação de clientes das empesas. De momento ainda se desconhece quais os dados que as autoridades possuem sobre o grupo, e se algum membro do mesmo terá sido detido na operação.

19/10/2023
Casio confirma ataque com impacto em clientes de 149 paises

A fabricante de dispositivos eletrónicos Casio confirmou ter sido vítima de um ataque informático, de onde terão sido afetados sistemas da empresa em mais de 149 países. Os atacantes terão obtido acesso aos dados depois de conseguirem aceder a servidores ClassPad da empresa.

Em comunicado, a Casio afirma que terá identificado o ataque a 11 de Outubro, mas que os atacantes terão conseguido aceder aos dados de clientes da empresa no dia seguinte. Por entre os dados acedidos encontram-se nomes, emails, moradas, dados dos serviços usados e outras informações internas.

Encontram-se ainda sobre os registos dados de pagamentos feitos à empresa, mas a Casio afirma que os dados de cartões de crédito dos clientes não foram comprometidos, visto encontrarem-se numa plataforma diferente.

No dia 18 de Outubro, depois da investigação do incidente, o atacante teria acedido a 91,921 dados de clientes no Japão, e mais 35.049 dados de clientes em 149 países diferentes.

A empresa afirma ainda que, devido a erros de configuração e gestão, alguns dos sistemas de segurança da empresa que deveriam ter identificado o ataque não terão registado o mesmo a tempo.

É importante relembrar que, em Agosto, um hacker estaria a vender em portais da dark web a base de dados alegadamente da Casio, com 1.2 milhões de registos associados a clientes da empresa. No entanto, desconhece-se se estes dados encontram-se relacionados com o ataque agora realizado.

19/10/2023
Google alerta para exploração de falha no WinRAR em campanhas de malware

O WinRAR é um dos programas de compressão de ficheiros mais reconhecidos e usados, em parte pela sua politica de “trial infinito”. Este conta com mais de 500 milhões de utilizadores, tornando-se assim um alvo importante para potenciais ataques.

Recentemente, a Google, dentro da sua equipa da Threat Analysis Group (TAG), deixou o alerta para a descoberta de um novo ataque, que se encontra a explorar uma falha no WinRAR para campanhas de espionagem. Os investigadores apontam que a falha encontra-se a ser ativamente explorada por hackers de grupos com relações à China e Rússia.

A empresa refere que, em causa, encontra-se a exploração da falha CVE-2023-38831, que se encontrava no WinRAR. A falha foi entretanto corrigida em recentes atualizações do programa, mas tendo em conta que este não possui um sistema de atualizações automáticas, poderão existir muitos sistemas ainda abertos a exploração da mesma.

A falha CVE-2023-38831 no WinRAR não é propriamente desconhecida, sendo que se conhecem ataques à mesma desde meados de Abril deste ano, mas recentemente começaram a intensificar-se contra possíveis alvos governamentais ou de interesses para os países em questão.

A falha foi corrigida com o WinRAR 6.23, lançado a 2 de Agosto, mas ainda assim, muitos sistemas podem permanecer com versões antigas devido à falta de atualização manual dos administradores do mesmo. Esta atualização corrigiu também outras falhas no programa, como a CVE-2023-40477, que permitia a ficheiros RAR maliciosamente criados de executarem código no sistema.

18/10/2023
D-Link confirma ataque e roubo de dados em sistemas internos

A fabricante D-Link confirmou ter sido vitima de um ataque, de onde terão sido roubados dados internos da empresa, e colocados à venda no início do mês em sites da dark web.

Na altura, o atacante teria colocado à venda o código fonte, alegadamente, do software D-View, juntamente com vários dados pessoais de funcionários e executivos da empresa. Entre os dados encontravam-se detalhes do CEO da D-Link, que terão sido também colocados à venda por entre a informação roubada.

Na publicação da venda, foram deixados ainda samples dos dados roubados, que incluíam detalhes datados de 2012 e 2013. Isto levou alguns utilizadores a comentarem que o leak poderia tratar-se de dados antigos.

No entanto, a D-Link veio agora confirmar o roubo de dados, indicando que o mesmo terá ocorrido de um dos seus laboratórios de teste, depois de um funcionário da empresa ter sido enganado sobre um ataque de phishing. Este terá sido o ponto de entrada para que o atacante obtivesse acesso aos dados das redes internas da D-link.

Apesar de ter confirmado o ataque, a empresa afirma que os dados recolhidos terão sido de uma rede interna usada em laboratórios de teste da empresa, que estariam a usar o sistema D-View 6, o qual teria chegado ao fim de vida em 2015.

Ou seja, dentro da própria empresa estaria acessível e em uso ativamente um software que, teoricamente, terá sido descontinuado em 2015. As razões pelas quais o software não foi atualizado são, para já, desconhecidas.

A empresa afirma ainda que os dados recolhidos terão sido de sistemas que se encontravam inativos, e que não foram alterados nos últimos sete anos. Esta indicação condiz com os detalhes de que os dados agora à venda estariam consideravelmente desatualizados.

No entanto, mesmo desatualizados, ainda são considerados sensíveis e possuem informação respeitante a vários funcionários e executivos da empresa. A empresa sublinha, no entanto, que este ataque não terá afetado diretamente a maioria dos clientes da empresa.

17/10/2023
Falsa aplicação “RedAlert” focada para Israel instala spyware nos dispositivos

Os utilizadores em Israel encontram-se a ser alvo de uma nova campanha de spyware, que se encontra a usar uma app bastante usada na região – ainda mais em alturas de conflitos – para ajudar a população a identificar ataques de mísseis.

A aplicação “RedAlert – Rocket Alerts” é usada para alertar sobre ataques iminentes de mísseis. No entanto, durante as últimas semanas, versões maliciosas da app começaram a ser distribuídas sobre diferentes plataformas, focadas em recolher dados dos utilizadores.

As aplicações maliciosas aparentam funcionar como a app legitima, e possuem todas as funcionalidades que seriam de esperar. No entanto, em segundo plano, procedem com a recolha de dados sensíveis dos dispositivos dos utilizadores.

Apenas na Play Store, a app conta com mais de um milhão de downloads, sendo extremamente usada na região – e ainda mais depois do recente ataque terrorista dos Hamas.

De acordo com o Cloudflare, desconhece-se para já a entidade que se encontra por detrás das versões maliciosas, e quais os incentivos. No entanto, a recolha de dados abrange praticamente todos os dados possíveis de se obter dos dispositivos.

O site que se encontra a distribuir a versão maliciosa redireciona os utilizadores para uma app do iOS legitima, ou para o ficheiro APK malicioso no caso do Android.

Apesar de o site encontrar-se atualmente desativado, é possível que a campanha venha a usar outros sites ou plataformas para se distribuir, pelo que será extremamente importante os utilizadores terem atenção ao local de onde se encontram a descarregar as suas aplicações.

16/10/2023