Categoria: ataque

Steam vai implementar autenticação em duas etapas após vaga de malware

A Valve confirmou que vai aplicar medidas adicionais de segurança para criadores de jogos na Steam, como forma de mitigar um problema que tem vindo a surgir recentemente na plataforma.

A Steam vai agora exigir que todos os criadores de jogos implementem a verificação em duas etapas via SMS. A ideia será proteger a conta dos programadores e dos estúdios, depois da Valve ter confirmado que existe uma nova vaga de malware que se encontra a ser distribuído como atualizações de jogos, via contas de programadores comprometidas.

Segundo a Valve, desde o início de Setembro que se começou a verificar um elevado número de contas da Steamworks comprometidas, que estariam a ser usadas para o envio de malware através de atualizações de jogos. A empresa refere que, tendo em conta os sistemas de identificação de malware da empresa, as atualizações maliciosas chegaram apenas a uma centena de utilizador, que foram prontamente notificados.

Face a este problema, a partir de 24 de Outubro de 2023, a Valve vai requerer que todas as contas da Steamworks tenham a verificação em duas etapas ativa, nomeadamente via SMS. Isto será aplicado para todas as contas que tenham permissões de realizar tarefas como as de enviar atualizações ou patches dentro da Steamworks.

No entanto, apesar de esta verificação adicional ser certamente bem vinda, ao mesmo tempo ainda existem programadores que apontam falhas na mesma. Um dos exemplos encontra-se no caso do programador Benoît Freslon, o qual recentemente teve a sua conta da Steam comprometida depois de um dos sistemas nos seus estúdios ter sido comprometido com malware. Este roubou os dados de sessão do navegador, e eventualmente procedeu ao envio de pacotes maliciosos como atualização dos seus jogos na Steam.

A autenticação em duas etapas não teria resolvido este problema, visto que o ataque roubo diretamente os cookies de sessão do navegador. Neste caso, o ataque terá ocorrido depois do programador ter sido enganado para descarregar uma aplicação de “teste” no Discord, a qual roubo os dados de login de diferentes plataformas sociais, incluindo da Steam.

16/10/2023
Signal nega relatos de falha zero-day que permitia controlo dos dispositivos

Recentemente surgiram rumores que a aplicação do Signal teria uma falha zero-day, a qual estaria a ser explorada para ataques, através da funcionalidade de “Preview” de links dentro das conversas dos utilizadores.

No entanto, agora a empresa veio deixar mais detalhes sobre esta alegada falha, tendo indicado que não existem evidências sobre qualquer ataque a decorrer com a mesma, nem se conhecem falhas sobre esta.

Esta mensagem surge depois de, durante o fim de semana, terem surgido indicações que uma falha na aplicação do Signal estaria a permitir a atacantes terem total controlo dos dispositivos onde a app se encontra.

No entanto, a empresa refere agora que, depois de uma investigação, não identificou qualquer falha zero-day sobre a sua aplicação. Ao mesmo tempo, é ainda referido que se desconhece a existência de qualquer notificação feita sobre a alegada falha, seja por parte da comunidade diretamente como bug do Signal ou por autoridades.

De relembrar que as fontes da alegada falha indicavam que esta se encontrava sobre a funcionalidade de pré-visualização de links do Signal, e que poderia permitir acesso total ao dispositivo. A falha teria, alegadamente, sido descoberta e estaria a ser usada pelas autoridades para controlo do dispositivo das vítimas.

Apesar dos relatos, as mensagens partilhadas pelos meios sociais não indicavam detalhes sobre a falha, ou confirmações sobre como esta estaria a ocorrer. Apesar de a Signal não ter identificado qualquer falha, ainda apela para os investigadores interessados em partilharem informações sobre a existência da mesma para os meios de segurança da empresa.

16/10/2023
Telegram não vai remover conteúdos sensíveis dos ataques em Israel

Várias plataformas sociais começaram a ser pressionadas pela Comissão Europeia, sobre os conteúdos que estariam a ser partilhados nas mesmas sobre os ataques em Israel. X, Meta e TikTok foram algumas das entidades visadas.

Praticamente todas indicaram estar a fazer esforços para remover conteúdo violento ou de desinformação respeitante às ações do Hamas em Israel. No entanto, o caso vai ser diferente no Telegram.

O CEO do Telegram, Pavel Durov, veio confirmar que a empresa não vai aplicar medidas relativamente a conteúdos associados com os ataques em Israel, indicando que essa informação pode ser importante, e que a plataforma tem vindo a provar ser um meio fundamental de comunicação neste género de situações.

O mesmo alega ainda que o Telegram não se compara diretamente a outras plataformas sociais, tendo em conta que os utilizadores apenas recebem conteúdos de canais onde se encontram subscritos para tal – embora esta indicação não deixe claro que a plataforma permite que esses utilizadores partilhem os conteúdos com terceiros.

Durov afirma que o Telegram tem vindo a usar IA para remover conteúdos que são claramente uma violação das regras da plataforma, e quando estes são partilhados publicamente e de forma aberta. No entanto, a empresa sublinha que não vai remover conteúdos sensíveis no foco da partilha de informação sobre a guerra.

O mesmo afirma ainda que a plataforma tem vindo a ser um importante meio de comunicação para todas as partes envolvidas, dando como referência o facto que o Hamas usou o seu canal na plataforma para alertar pessoas em Ashkelon sobre um conjunto de bombardeamentos, e sublinhando que “O encerramento do canal ajudaria a salvar vidas – ou poria em perigo mais vidas?”.

É importante notar que o Telegram tem vindo a ser uma das principais formas por onde conteúdos associados com os ataques têm vindo a surgir para o mundo. Nos dias ou horas que se seguiram ao ataque em Israel, vários grupos dentro do mesmo começaram a partilhar fotos e vídeos dos ataques.

Ao mesmo tempo que deixa esta declaração, Durov também aponta que a plataforma tem vindo claramente a beneficiar da situação, com mais utilizadores a registarem-se na mesma. Durov afirma que, nos dias seguintes aos ataques, a plataforma registou mais do dobro da média diária de novos registos, sobretudo nas zonas afetadas pelos ataques.

A mensagem partilhada por Durov, no entanto, vem de encontro ao que a plataforma já permitia no passado. Esta tem vindo a classificar-se de forma diferente com as tradicionais plataformas sociais, onde o conteúdo não é partilhado publicamente, mas sim para quem ativamente procura o mesmo.

Durov acredita que, ao contrário de plataformas onde existem algoritmos a recomendar conteúdos, os canais do Telegram são mais usados como fontes de informação, e não como meios de distribuição ou propaganda.

13/10/2023
Meta responde à Comissão Europeia sobre conteúdos de desinformação

A par com a X, também a Meta recebeu uma carta da Comissão Europeia, relativamente a conteúdo de desinformação e violento que estaria a ser partilhado no Facebook, sobre os incidentes em Israel.

A carta, enviada por Thierry Breton, encontrava-se direcionada a Mark Zuckerberg, e apontava que existiam evidências que a Meta estaria com falhas na moderação de certos conteúdos dentro da sua plataforma, que iriam dentro da legislação da DSA.

A Meta respondeu agora a esta carta, indicando que a empresa tem vindo a evoluir consideravelmente os seus sistemas para se adaptar à moderação de conteúdos. A empresa afirma que, desde os ataques dos Hamas em Israel, a Meta tem vindo a trabalhar para combater conteúdos de desinformação que foram sendo partilhados na plataforma, aumentando as equipas voltadas para os idiomas em questão e para melhorar a moderação dos conteúdos partilhados.

Esta sublinha ainda que, com as medidas aplicadas, estas permitem remover os conteúdos consideravelmente mais rápido e de forma eficaz, embora também seja reconhecido que ainda existem melhorias que podem ser realizadas.

Os dados da Meta indicam que já foram removidas mais de 795,000 publicações com conteúdos associados ao ataque, e que teriam sido partilhados na plataforma da empresa. Mais ainda foram colocados com as tags de violentos.

Foram ainda removidas várias contas de utilizadores associados com os dois países, que estariam a usar a plataforma para desinformação.

De notar que o Hamas encontra-se na lista de entidades ou organizações perigosas da Meta, que bane conteúdos dos mesmos das suas plataformas. Portanto, qualquer conteúdo que seja associado com o grupo, e partilhado pelo mesmo em celebração dos ataques realizados, é punido pela Meta. No entanto, conteúdos de noticias ou discussão social são permitidos.

A Meta garante ainda que pode aplicar mais restrições no futuro, como a limitação de visibilidade de certas hashtags ou mudanças mais severas a nível das politicas da empresa para a remoção de conteúdo violento. Os algoritmos também foram ajustados para que menos conteúdo violento fosse apresentado aos utilizadores durante a navegação pela plataforma.

Até ao momento ainda se desconhece se a clarificação será suficiente para evitar uma investigação mais aprofundada, de forma similar ao que aconteceu com a X.

13/10/2023
Shadow alvo de roubo de dados em ataque sofisticado

A plataforma de cloud gaming e streaming de PC Shadow confirmou ter sido alvo de um ataque, de onde podem ter sido roubados dados de clientes da mesma.

A Shadow é conhecida por fornecer serviços que permite aos utilizadores realizarem o streaming de sistemas Windows remotamente. No entanto, recentemente, o CEO da empresa veio confirmar que a mesma foi alvo de um ataque informático, de onde podem ter sido roubados dados dos clientes.

Segundo o comunicado da empresa, entre os dados roubados encontra-se o nome, email, morada, data de nascimento, endereço de faturação e data de expiração do cartão de crédito. Eric Sele, CEO da empresa, refere que esta foi vítima de um ataque sofisticado de engenharia social, que levou os atacantes a obterem acesso a uma base de dados da empresa, onde se encontravam os detalhes dos clientes.

A empresa sublinha que, desde o ataque, foram aplicadas medidas de segurança para garantir que todos os sistemas se encontram seguros. A empresa refere ainda que nenhuma senha ou informação financeira foi roubada – tirando o dado da data de expiração do cartão de crédito.

A empresa garante ainda que vai implementar novas medidas de segurança, para evitar ataques similares no futuro.

13/10/2023
Google regista valor recorde em ataque DDoS

Os ataques de DDoS têm vindo a ficar cada vez mais poderosos nos últimos anos, e consequentemente, encontram-se a atingir recordes de forma também mais rápida.

A Google confirmou ter sido alvo de um dos maiores ataques DDoS que foram registados, durante o mês de Agosto. O ataque teve atingiu o pico de 398 milhões de pedidos por segundo (RPS), um dos valores mais elevados de sempre.

Para comparação, este valor corresponde, nos dois minutos que durou, a todos os pedidos que foram feitos à Wikipédia durante o mês inteiro de Setembro de 2023.

O ataque, registado e mitigado contra um cliente da Google Cloud, terá sido cerca de 7 vezes superior ao anterior recorde. Em 2022, o recorde encontrava-se em “apenas” 46 milhões de RPS.

No entanto, a Google não foi a única empresa alvo de um ataque durante este período. A Cloudflare, empresa de serviços de internet e proteção de sites, também registou um ataque de 201 milhões de RPS, e até a Amazon AWS registou um de 155 milhões de RPS.

A Google afirma que os ataques desta magnitude começaram em Agosto, e têm vindo a durar até aos dias de hoje – embora em escala menor do que nos picos atingidos. No caso da Google, a empresa afirma que, apesar do ataque e da sua intensidade, os sistemas da empresa conseguiram mitigar o mesmo com sucesso.

Face aos ataques, as três principais empresas alvo dos mesmos partilharam durante o mês várias informações e detalhes, para ajudar na mitigação.

Estes ataques exploraram uma nova técnica apelidada de “Rapid Reset”, que explora o protocolo HTTP/2 para realizar várias requisições a um sistema. O HTTP/2 possui uma funcionalidade que permite integrar vários pedidos de uma origem como apenas um – ou seja, a origem apenas realiza um pedido, mas os servidores recebem vários – na ideia de melhorar o carregamento de conteúdos e a velocidade dos mesmos.

No entanto, isto também leva a que a funcionalidade possa rapidamente realizar milhões de pedidos, com um volume relativamente pequeno de sistemas a enviarem os mesmos. Praticamente qualquer sistema que tenha suporte para HTTP/2 pode ser afetado por este ataque.

12/10/2023
CEO da X responde à carta de conteúdos de desinformação na X

Depois da Comissão Europeia ter alertado a X, numa carta enviada para Elon Musk, sobre a desinformação na plataforma face aos recentes ataques em Israel, Linda Yaccarino, CEO da empresa, veio agora deixar a resposta.

De acordo com a mensagem da mesma, a X encontra-se focada em redistribuir os recursos internos para melhorar os seus sistemas de moderação, tendo já implementando medidas para tal.

Yaccarino deixou algumas das medidas que a X realizou desde o conflito para combater a desinformação dentro da plataforma e a propagação de desinformação.

O caso começou depois de Thierry Breton, comissário da UE, ter enviado a Elon Musk uma carta para este responder sobre a forma como a X se encontra a moderar conteúdos, indicando ainda que existem indicações que conteúdos de desinformação e violentos encontram-se a ser partilhados dentro da plataforma, em violação da DSA.

Em resposta, Yaccarino afirma que a X tem vindo a remover ou marcar milhares de conteúdos deste formato desde que o incidente em Israel começou. A mesma afirma ainda que foram removidas centenas de contas associadas ao grupo Hamas, que estariam a usar a plataforma para partilhar conteúdo violento.

Yaccarino afirma que a plataforma conta com mais de 700 notas comunitárias associadas a eventos do ataque, ao que se junta ainda mais de 5000 comentários associados com vídeos e fotos, e onde foram deixadas informações adicionais.

Esta afirma ainda que, no caso de vídeos e imagens, as notas podem surgir em apenas alguns minutos depois de serem criadas. No caso de publicações de texto, podem demorar cerca de cinco horas, mas a X encontra-se a trabalhar para reduzir ainda mais este tempo.

Sobre as alegações de conteúdos ilegais que estariam presentes na X, Yaccarino refere que não recebeu qualquer notificação das autoridades para estes conteúdos, e pede para que sejam fornecidos mais detalhes dos mesmos de forma a que seja feita a investigação necessária.

12/10/2023
Microsoft Defender será capaz de isolar contas de utilizador comprometidas

O Microsoft Defender for Endpoint, a versão da suíte de proteção da Microsoft para redes de sistemas Windows, agora recebeu uma nova funcionalidade de segurança, que pode ajudar a evitar ataques dentro da rede onde os sistemas se encontram – e até dentro do mesmo sistema.

Um dos métodos de ataque muitas vezes usado, sobretudo em ransomware, encontra-se em usar contas comprometidas de um sistema na rede local, para a partir dessas, se ganhar acesso a outros sistemas e contas em diferentes sistemas.

Este formato de ataque, no entanto, vai agora ficar mais difícil de executar em sistemas com o Microsoft Defender for Endpoint, tendo em conta a nova proteção de isolamento de contas de utilizadores.

A Microsoft revelou que, com esta novidade, o Microsoft Defender for Endpoint será capaz de isolar as contas de utilizadores que sejam identificadas como suspeitas, ou que estejam a realizar atividades maliciosas. Dessa forma, mesmo que a conta seja comprometida, ficará consideravelmente mais difícil para os atacantes explorarem outros sistemas na rede.

Basicamente, o sistema, ao identificar atividade suspeita, será capaz de isolar as contas de utilizador, bloqueando todas as ligações internas e externas da mesma. A conta permanece isolada até que os administradores tenham a capacidade de avaliar a situação.

Ao mesmo tempo, para os atacantes nas contas comprometidas, é como se estes se encontrassem apenas no seu próprio ambiente, sem qualquer ligação externa com a rede local, ou outras contas em diferentes sistemas da rede.

Segundo os dados da Microsoft, usando esta funcionalidade nas fases de testes, mais de 6500 dispositivos foram prevenidos de serem infetados com ransomware.

11/10/2023
Microsoft confirma que vai remover VBScript do Windows

O malware dentro do Windows pode propagar-se de várias formas, mas uma das mais frequentes encontra-se no uso do VBScript, que permite realizar várias atividades dentro do sistema por parte de scripts automáticos.

Depois de quase 30 anos no Windows, finalmente a Microsoft decidiu descontinuar esta funcionalidade. A partir do seu site, a Microsoft confirmou que o VBScript vai brevemente ser desativado no Windows, passando a ser considerado uma funcionalidade opcional.

Os utilizadores que realmente necessitem do mesmo, ainda o poderão ativar, mas por padrão, este encontra-se desativado do sistema.

De relembrar que o VBScript trata-se de uma linguagem de programação para o Windows, similar ao Visual Basic, que foi lançada em Agosto de 1996. Esta rapidamente se integrou como parte do Internet Explorer, e eventualmente, por scripts que interagiam com o Windows Script.

Apesar de a Microsoft não o referir explicitamente, a remoção desta funcionalidade do Windows pode vir a ajudar a evitar um vetor de ataque por malware. O VBScript é muitas vezes usado por diferentes famílias de malware, derivado da sua antiguidade e integração com o Windows, de forma a infetar os sistemas.

Existem vários malwares no mercado que usam este para infetarem os sistemas, ou como porta de entrada para permitir que conteúdos maliciosos sejam descarregados. Além disso, é também um vetor de ataque para aplicações que fazem uso do mesmo, com o Office.

10/10/2023
Hackers usam páginas de erro 404 para roubar dados de cartões bancários

Se possui uma loja online baseada em Magento ou WooCommerce, será recomendado que verifique se a mesma está atualizada e segura, tendo em conta uma recente onda de ataques verificada contra esta plataforma.

De acordo com os investigadores da empresa de segurança Akamai Security Intelligence, foi recentemente descoberto que se encontra uma onda de ataques contra sites baseados em Magento e WooCommerce , sobretudo plataformas de vendas online, explorando uma falha sobre as páginas de erro 404 dos sites.

No caso de sites Magento, os investigadores afirmam que os atacantes estão a explorar uma falha na página 404 do script, para integrar código que se executa no navegador dos utilizadores quando estes navegam para a página, levando a que dados do cartão de crédito possam ser roubados.

Os investigadores apontam que esta técnica de ataque é bastante inovadora, e que não existem relatos de outros casos parecidos no passado.

O ataque começa quando o site realiza um pedido aparente para conteúdos em páginas 404, que à primeira vista, não levanta grandes suspeitas – estes géneros de pedidos são normais de poderem acontecer em ambientes web. No entanto, ao realizar o pedido, o site encontra-se automaticamente a carregar os conteúdos que se encontram nessa página, que incluem scripts que podem levar ao roubo de dados introduzidos no site – nomeadamente dados de cartões bancários, o que aparenta ser o foco dos atacantes.

A ideia de usar a página 404 para carregar o conteúdo malicioso pretende ser uma forma de evitar a deteção do malware, e consequentemente, que o site pode ter sido comprometido.

10/10/2023
Air Europa confirma roubo de cartões de crédito em ataque informático

Se viajou recentemente na Air Europa, talvez seja melhor cancelar o seu cartão de crédito. A empresa confirmou, de forma recente, ter sido alvo de um ataque informático, que pode ter comprometido dados de pagamento de clientes que tenham usado recentemente a entidade.

De acordo com o portal El Pais, a entidade confirmou o ataque durante o dia de hoje, tendo começado a notificar os clientes do mesmo. Este ataque afetou os sistemas de pagamento da empresa, e pode ter comprometido dados de cartão de crédito que tenham sido usados pelos sistemas da mesma.

A empresa sublinha que terá conseguido controlar o ataque, e que a falha explorada encontra-se agora resolvida. No entanto, para quem tenha usado os sistemas, os dados do cartão de crédito foram efetivamente comprometidos, com a empresa a recomendar o cancelamento dos mesmos.

A empresa refere ainda que os dados recolhidos terão sido somente dos de cartões de crédito, e não dos dados diretos dos clientes. Ainda assim, estes dados serão certamente importantes, e podem ser usados para transações maliciosas. Além do alerta público, a empresa enviou ainda um email para todos os clientes afetados.

10/10/2023
Sistemas da Ordem dos Contabilistas Certificados alvo de ataque informático
Durante o passado fim de semana, o site da Ordem dos Contabilistas Certificados esteve inacessível, no que agora se confirma ter sido um largo ataque realizado contra a instituição.

Durante o dia de ontem, a Bastonária Paula Franco, via o Facebook, informou que a plataforma foi alvo de um ataque informático, do qual o sistema da entidade terá sido comprometido.

De acordo com o comunicado, a instituição terá contactado as autoridades competentes, sendo que se encontra a ser avaliada a dimensão do ataque. No entanto, derivado do mesmo, alguns dos serviços da entidade encontram-se atualmente limitados ou restringidos. Isto inclui:
- Pasta CC ou questões enviadas por e-mail para o geral@occ.pt;
- CCclix;
- Site da Ordem;
- SICC;
- Acesso a faturas;
- Licenças do TOConline;
- Inscrições em eventos da Ordem e outros serviços dependentes da Pasta CC e site
A entidade afirma estimar que a plataforma fique indisponível durante os dias de hoje e amanhã, embora não seja possível de clarificar se poderá ficar durante um período mais alargado de tempo.

Nos comentários da publicação, é igualmente referido que os dados encontram-se protegidos, sendo que os sistemas encontram-se apenas inacessíveis por precaução, mas ainda não existe uma confirmação oficial sobre tal.
09/10/2023
Base de dados do site Perfumes.pt colocada à venda na dark web

O site perfumes.pt classifica-se como um revendedor de perfumes e conteúdos de estética e maquilhagem, contando com milhares de clientes associados. No entanto, recentemente a base de dados do site foi disponibilizada publicamente, no que aparenta tratar-se de um ataque direto à entidade.

A base de dados foi partilhada num site dedicado para a partilha de leaks e bases de dados roubadas. Segundo a informação da publicação, esta integra mais de 60 mil registos, de clientes que realizaram encomendas a partir do site.

Entre os dados acessíveis encontram-se nomes, moradas, números de telefone, emails, dados de identificação como o NIF e outros, que podem ser considerados sensíveis.

A base de dados lista ainda detalhes das contas dos utilizadores, onde se encontra o email de acesso e a senha, encriptada no formato MD5. Apesar da encriptação, este formato pode ser teoricamente desencriptado, sobretudo em senhas relativamente simples.

Os utilizadores que tenham realizado qualquer encomenda a partir deste site, ou tenham registado as suas contas no mesmo, recomenda-se que tenham atenção a possíveis emails de spam e phishing que possam ser enviados contendo a informação roubada.

Como precaução, é igualmente recomendado que a senha usada no portal seja verificada e, caso esteja a ser usada em outras plataformas, seja modificada o quanto antes.

08/10/2023
ECH pode vir a acabar com bloqueios de DNS a sites piratas

Recentemente, o Cloudflare começou a ativar, para todos os seus clientes, o suporte a Encrypted Client Hello. Isto aplica-se até a sites que se encontrem nos planos gratuitos da plataforma, o que inclui vários sites com conteúdos piratas ou que se encontram bloqueados a nível de DNS.

Apesar de a funcionalidade ser um ganho para a privacidade, ao mesmo tempo, torna a capacidade de bloqueio via DNS ineficaz. E isto será brevemente ainda mais notável para quem costuma aceder a estes conteúdos.

Faz algum tempo que, em vários países, incluindo Portugal, existem bloqueios aplicados a nível do DNS das operadoras, que impedem acesso a sites bloqueados por razões legais. A maioria destes sites são as conhecidas plataformas de partilha de conteúdos ilegais.

Quando uma ordem de bloqueio é lançada, as operadoras aplicam um bloqueio a nível do DNS para impedir o aceso a esses sites. Normalmente, estes bloqueios são aplicados para quem use os DNS padrão das operadoras.

No entanto, a chegada do ECH vai ter um grande impacto na forma como este bloqueio é aplicado. A tecnologia garante que toda a comunicação DNS entre o sistema e o DNS é feita de forma encriptada, basicamente sendo impossível para terceiros saberem exatamente a que site o utilizador se encontra a aceder.

O problema é que isso torna fútil igualmente qualquer bloqueio que seja aplicado a nível de DNS. Como as comunicações agora ficam praticamente invisíveis para as operadoras, passa a ser impossível de bloquear diretamente o pedido que é feito.

De notar que o ECH necessita de ser suportado tanto a nível do DNS como dos servidores de destino. Para quem tenha sites configurados sobre o Cloudflare, a plataforma recentemente começou a permitir que todos os sites, incluindo os que estejam em planos gratuitos, possam ter o ECH ativo.

Ao mesmo tempo, cada vez mais navegadores começam também a integrar suporte para ECH – o Firefox é o mais recente exemplo disso. Conforme a tecnologia venha a ser mais usada pela internet, isso pode ditar o fim dos bloqueios de sites piratas por DNS.

De acordo com o portal TorrentFreak, em alguns testes realizados sobre navegadores e sites com o ECH ativo, que anteriormente estavam bloqueados nas operadoras de vários países, estes encontram-se agora acessíveis na normalidade – e a capacidade de bloquear os mesmos por parte das operadoras será agora consideravelmente mais difícil, ou até impossível.

No entanto, isto pode abrir portas para que entidades focadas em bloquear estes conteúdos possam, no futuro, começar a adotar técnicas diferentes para bloquearem acesso a conteúdos piratas. Entre as medidas pode encontrar-se o ataque direto contra as plataformas de alojamento, ou para plataformas como o Cloudflare, exigindo que as mesmas desativem a funcionalidade de determinados sites ou apliquem outros bloqueios.

07/10/2023
MGM Resorts estima perda de 100 milhões de dólares devido a ataque informático

Durante o mês passado, a MGM Resorts tinha confirmado ter sido alvo de um ataque informático, que causou vários problemas para os sistemas da empresa. O ataque foi confirmado a 11 de Setembro de 2023, e afetou vários serviços da entidade, tanto a nível do website como de serviço de reservas, e até as máquinas do casino da mesma em Las Vegas.

Alguns dias mais tarde, o ataque foi confirmado também pelo grupo de ransomware Scattered Spider. O grupo terá invadido vários sistemas da entidade, encriptado dados e roubado informação sensível. Os danos causados pelo ataque foram substanciais, e agora conhecem-se mais detalhes dos mesmos para a entidade.

Em documentos oficiais apresentados pela entidade, a MGM Resorts revela que o ataque levou a perdas de quase 100 milhões de dólares, entre investigações e recuperações que foram necessárias de se realizar. Ao mesmo tempo, a entidade afirma ainda que sentiu perdas de reservas durante o mês de Setembro, como parte da indisponibilidade dos seus sistemas de reserva online.

Além dos 100 milhões de dólares registados em perdas dos ataques, a entidade afirma que pagou ainda 10 milhões de dólares adicionais para várias entidades, que ajudaram na recuperação dos sistemas e resolução de problemas legais do eventual ataque. De notar que, por entre os dados roubados, encontram-se informações internas da empresa, que podem incluir dados dos clientes.

A MGM Resorts afirma que dados pessoais de alguns clientes, com nome, morada, número de telefone e email, data de nascimento, de segurança social, passaporte e carta de condução podem ser sido comprometidos. A investigação não revela que dados de senhas ou cartões bancários tenham sido comprometidos, mas ainda assim, os dados que foram obtidos pelos atacantes são considerados sensíveis. A empresa vai oferecer serviços de monitorização bancária e de identidade para todos os clientes afetados pelo ataque e dos dados roubados.

06/10/2023
Dados da Câmara Municipal de Gondomar à venda na dark web

No passado dia 27 de Setembro de 2023, a Câmara Municipal de Gondomar confirmou ter sido alvo de um ataque informático. No entanto, na altura não eram conhecidos os detalhes do mesmo, sendo que afetou alguns dos serviços da entidade.

Mas agora, o grupo responsável pelo ataque veio confirmar o mesmo e o potencial roubo de dados sensíveis. O grupo de ransomware conhecido como Rhysida veio oficialmente confirmar o ataque da instituição, estando a partir do seu portal na Dark Web a vender os dados roubados.

O grupo afirma ter dados sensíveis da instituição, que podem incluir documentos de identificação e outros ficheiros internos. Os dados encontram-se agora a ser colocados em leilão por aproximadamente 9.99 BTC, o equivalente a cerca de 26 mil euros.

De relembrar que, na altura do ataque, a instituição referiu que estaria a realizar a investigação do incidente e que todas as autoridades competentes teriam sido notificadas. Alguns dos serviços da mesma foram afetados durante o ataque, embora rapidamente restabelecidos.

Ainda se desconhece, para já, a extensão dos dados que podem ter sido recolhidos do ataque.

06/10/2023
Lyca Mobile alvo de ataque e possível roubo de dados dos clientes

A operadora Lyca Mobile confirmou durante o dia de hoje que um ciberataque realizado à empresa pode ter causado problemas na infraestrutura da mesma, além de um potencial roubo de dados de clientes.

A operadora encontra-se em mais de 60 países, incluindo ainda uma pequena participação em Portugal. De acordo com o comunicado da operadora, o ataque afetou todos os mercados onde a operadora se encontra exceto nos EUA, Austrália, Ucrânia e Tunísia. Os utilizadores em Portugal também devem ter sentido problemas no acesso à infraestrutura da empresa derivado deste ataque.

As chamadas nacionais e internacionais foram afetadas, com os clientes a reportarem falhas no acesso à rede da operadora. Face ao ataque, a empresa iniciou uma investigação aprofundada, tendo determinado que existe o potencial de dados dos clientes terem sido igualmente afetados. Foi ainda referido que será iniciada uma investigação juntamente com firmas externas e as autoridades, para apurar mais detalhes do ataque.

No comunicado, a empresa afirma encontrar-se confiante que todos os dados que terão sido roubados encontram-se encriptados, e como tal, será consideravelmente mais difícil para os atacantes de obterem acesso aos mesmos – mas não inteiramente impossível. A investigação ainda se encontra a decorrer, e como tal, não existe para já muitos detalhes sobre os dados acedidos.

Foi ainda referido que os problemas no acesso à rede da operadora foram igualmente resolvidos em todos os mercados, embora ainda possam existir certos serviços que não se encontram completamente funcionais – a empresa não referiu detalhes sobre quais em concreto.

05/10/2023
Sony confirma roubo de dados em recente ataque

Recentemente um grupo de hackers confirmou ter realizado um ataque contra a Sony Interactive Entertainment (Sony), de onde teria obtido diversa informação interna da empresa, incluindo informação de clientes e sensível. Inicialmente a Sony indicou que estaria a investigar o caso, mas agora chega a confirmação que foram realmente roubados dados no ataque.

A empresa confirmou que terá notificado 6800 pessoas, devido ao roubo de dados que foi realizado. Este roubo ocorreu através da exploração de uma falha zero-day na plataforma MOVEit Transfer, que a empresa usa para as suas atividades. Esta falha começou a ser explorada ativamente pelo grupo de ransomware Clop, sendo que a Sony tinha sido uma das empresas visadas em Junho. Apesar disso, apenas agora chega a confirmação que foram realmente roubados dados do ataque.

Segundo a notificação enviada para os utilizadores afetados, o roubo ocorreu a 28 de Maio, três dias antes da falha no MOVEit Transfer ter sido confirmado pela empresa Progress Software. No entanto, a investigação do roubo apenas começou a ser realizada depois do grupo ter confirmado o roubo de dados. A mensagem indica ainda que, depois da falha ter sido descoberta e de se ter chegado à conclusão de que dados teriam sido roubados da mesma, a Sony decidiu desativar todas as suas plataformas associadas à mesma.

A empresa iniciou ainda uma investigação com a ajudar de entidades de segurança externas e as autoridades.

Foi confirmado o roubo de dados de 6791 pessoas nos EUA, que estariam associados a dados existentes nos sistemas comprometidos. A empresa sublinha ainda que nenhum outro sistema foi comprometido.

É importante relembrar que, durante o mês passado, surgiram novas alegações que a Sony teria sido novamente atacada, de onde se roubou 3.14 GB de dados dos sistemas da empresa. No entanto, a Sony ainda se encontra a investigar este incidente, e para já não existe uma confirmação oficial de que os dados tenham sido roubados.

04/10/2023
Nova falha identificada no Microsoft SharePoint Server

Os utilizadores do Microsoft SharePoint Server devem ficar particularmente atentos a uma nova falha identificada no programa, que pode permitir a atacantes obterem privilégios administrativos no sistema.

A falha, CVE-2023-29357, pode permitir que atacantes não autenticados possam obter acesso administrativo no sistema, através de um conjunto de ações que não requerem a interação dos utilizadores. Esta falha já teve uma prova de conceito lançada no GitHub, o que indica que pode brevemente começar a ser explorada ativamente para ataques. Para explorar a falha, os atacantes não necessitam de ter qualquer género de privilégio no sistema, e os utilizadores que sejam vítimas do mesmo não necessitam de realizar qualquer ação.

A falha tinha sido revelada a 25 de Setembro, pela empresa de segurança STAR Labs, que realizou uma avaliação da falha e dos seus potenciais de ataque. O investigador da empresa que descobriu a falha revelou a mesma durante o evento Pwn2Own, tendo ganho um prémio de 100.000 dólares pela mesma. Um dia depois da análise técnica da falha ter sido publicada, uma prova de conceito do seu funcionamento surgiu no GitHub, o que indica que pode agora ser aproveitado para ataques.

É recomendado que os utilizadores de sistemas Microsoft SharePoint Server realizem a atualização dos mesmos para garantir que são aplicadas todas as correções de segurança das falhas identificadas.

29/09/2023
Ataque à Microsoft levou a roubo de 60.000 emails do governo dos EUA

Em maio deste ano, um grupo de hackers sediados na China terá roubado milhares de emails associados com entidades governamentais dos EUA, depois de um ataque realizado a sistemas Microsoft Exchange. O ataque poderá ter comprometido milhares de conteúdos potencialmente sensíveis que se encontrariam nestes sistemas.

Durante uma recente reunião com o Senado dos EUA, foi confirmado que, depois da investigação feita ao ataque de Maio a sistemas da Microsoft, e que terá afetado várias instituições norte-americanas, os atacantes poderão ter acedido a mais de 60.000 emails do Outlook pertencentes a contas de entidades do estado. Segundo revela a Reuters, os atacantes terão ainda obtido uma lista contendo todos os emails associados com os departamentos dos EUA.

De acordo com o Senador Eric Schmitt, o governo norte-americano necessita de começar a trabalhar para melhorar as suas defesas contra este género de ciberataques, os quais podem ter graves consequências sobre as entidades afetadas. Ao mesmo tempo, o senador apelou também a que se deva analisar a forma como os conteúdos do governo encontram-se focados apenas sobre uma entidade. De notar que as investigações confirmaram que o ataque terá sido realizado por grupos de hackers com ligações à China.

De relembrar que, em Julho, a Microsoft tinha confirmado que atacantes conseguiram obter, no dia 15 de Maio de 2023, acesso a contas do Outlook de várias instituições – entre as quais estariam entidades associadas com o governo dos EUA. A Microsoft não revelou detalhes sobre o ataque ou quais as entidades realmente afetadas pela mesma. No entanto, no mesmo mês, foi também confirmado que os atacantes apenas obtiveram acesso a documentação não sensível. Ao mesmo tempo, a Microsoft confirmou que os atacantes terão obtido acesso aos sistemas através de uma chave privada de um funcionário da empresa, que teria sido comprometida num crash dump feito do seu sistema – e onde a chave estaria indevidamente colocada.

Acredita-se que o ataque terá sido realizado por uma entidade conhecida como “Storm-0558”, sendo que as investigações indicam que estes obtiveram acesso direto para as contas de email, e terão usado o mesmo para recolher dados existentes nas mesmas.

Com acesso à chave privada, os atacantes tiveram acesso aos sistemas do Exchange Online e a contas Azure Active Directory (AD), de onde procederam com o roubo dos dados.

29/09/2023
CVE-2023-5129: a temida falha escondida no Libwebp

Nos últimos dias vários navegadores foram atualizados, depois de ter sido descoberta uma grave falha sobre alguns componentes base dos mesmos. Esta falha era considerada como sendo de gravidade elevada, e poderia permitir aos atacantes realizarem atividades maliciosas nos sistemas apenas com o uso de uma imagem.

A falha encontrava-se presente no Libwebp, uma biblioteca usada na maioria dos navegadores atuais para apresentar conteúdos WebP, um formato de imagens bastante popular na internet. Na altura que a falha foi revelada, a Google não deixou detalhes sobre a mesma, embora tenha indicado que esta encontrava-se a ser ativamente explorada. Mas agora conhecem-se finalmente mais detalhes… e são graves.

Mas o que é exatamente a falha CVE-2023-5129?

Na realidade, não é apenas a CVE-2023-5129, mas um conjunto de falhas que foram sendo descobertas. A CVE-2023-5129 foi originalmente identificada pela Google. No entanto, esta foi posteriormente rejeitada para receber uma classificação de vulnerabilidade, tendo em conta que era um duplicado de outra falha, a CVE-2023-4863. Esta falha encontrava-se relacionado com a biblioteca libwebp, que é usada para apresentar corretamente imagens webp nos navegadores e em diversas aplicações.

A falha encontra-se sobre o algoritmo de codificação Huffman, que pode permitir aos atacantes usarem uma imagem WebP para executar código malicioso nos sistemas das vítimas. E tudo o que é necessário é abrir a imagem no navegador. A falha recebeu uma classificação de gravidade 10.0, a mais elevada que existe. A mesma afeta as versões 0.5.0 a 1.3.1 da libwebp.

O número do CVE encontra-se, no entanto, a ser relacionado entre outras falhas – dai que a CVE-2023-5129 foi inicialmente rejeitada como sendo uma duplicação. Esta encontra-se associada com a CVE-2023-41064 e a CVE-2023-4863. Isto indica também que a falha encontra-se a ser ativamente explorada por várias frentes, o que eleva ainda mais o potencial de ataque. Tendo em conta que o libwebp é fortemente usado em várias aplicações atualmente, e em vários sistemas, isto eleva a gravidade da falha, visto que pode afetar um elevado número de sistemas.

No final, o importante a reter encontra-se no facto que a falha possui a capacidade de ser explorada de forma simples, e pode causar graves problemas para os utilizadores. A abertura de uma imagem é o suficiente para explorar a falha, e isto será relativamente vulgar de ocorrer em qualquer site atual.

Como tal, é importante que todas as aplicações que usem o Libwebp tenham as suas versões atualizadas. As versões mais recentes disponíveis da biblioteca devem encontrar-se protegidas, e esta encontra-se a ser integrada em praticamente todos os navegadores atuais.

Independentemente do navegador que use, é recomendado que verifique se existe uma atualização para o mesmo. Isto aplica-se também a aplicações que fazem uso do componente, como apps em Electron. A falha também pode afetar qualquer sistema, seja Windows, macOS, Linux ou sistemas operativos de dispositivos móveis.

28/09/2023
Falha em sistema informático paralisa VW na Alemanha

Desde o início de quarta feira que a rede da Volkswagen encontra-se fortemente afetada por falhas, no que aparenta ser um “apagão” da empresa, com origem na sede da mesma na Alemanha. De acordo com o portal Handelsblatt, a falha encontra-se a afetar várias linhas de produção da empresa no pais, mas está a ter ramificações para outros países.

A falha causou com que os sistemas estivessem, durante várias horas, inacessíveis e com falhas, impedindo a produção de veículos, mas também o acesso a várias plataformas críticas da empresa. As falhas foram igualmente sentidas em outros países fora da Alemanha, sobretudo sobre sistemas base da empresa que são acedidos regularmente pelos funcionários da empresa.

De acordo com as fontes mais recentes, a empresa terá confirmado a falha, e informou que esta foi corrigida durante a madrugada. Os sistemas devem encontrar-se novamente funcionais.

A empresa não deixou detalhes sobre os motivos da falha, mas de acordo com um porta-voz da mesma, em comunicado à Reuters, encontra-se excluída a possibilidade de um ataque informático.

28/09/2023
Sony investiga alegado ataque e roubo de dados da empresa

A Sony confirmou que se encontra a investigar o recente ataque, que foi alegadamente realizado pelo grupo RansomedVC. Este grupo alega ter acedido a sistemas internos da empresa, e obtido informações sensíveis da mesma.

O caso começou a ser reportado no início desta semana, quando o grupo RansomedVC confirmou ter realizado um ataque aos sistemas da Sony, e de onde teria obtido dados internos da empresa. O grupo afirmava ter comprometido “todos os sistemas da Sony”, e que estaria a colocar para venda os dados roubados. Para provar o roubo, o grupo colocou ainda algumas provas, que consistiam em pequenos ficheiros internos da empresa sem grande relevância.

Ao portal BleepingComputer, o grupo afirma que roubo mais de 260 GB de dados da Sony durante o ataque, e que se encontram a tentar vender os dados por 2.5 milhões de dólares – até ao momento ainda se desconhece se a venda terá sido realizada.

Face ao ataque, um porta-voz da Sony aponta apenas que a empresa encontra-se a investigar o ataque, e que, para já, não existem comentários adicionais a serem feitos. A investigação certamente que se encontra a ser feita, mas ainda pode demorar algum tempo até que detalhes da mesma sejam reveladas.

27/09/2023
Falha do Openfire encontra-se a ser usada para encriptar servidores desatualizados

Os servidores Openfire encontram-se a ser o alvo mais recente de uma campanha de ataques, que estão a explorar falhas no software para encriptar os sistemas. Os atacantes encontram-se a explorar falhas em sistemas não atualizados com o software de mensagens Openfire, que são depois usados para encriptar os conteúdos com ransomware.

O Openfire é um popular cliente de chat XMPP, baseado em Java, que conta com mais de 9 milhões de downloads. É usado sobretudo por entidades que pretendem um formato de comunicação seguro e direto em diferentes plataformas. A falha, identificada como CVE-2023-32315, permite que os atacantes possam contornar os sistemas de autenticação no painel de administração, tendo praticamente acesso sem restrições ao sistema e servidor.

A falha encontra-se em servidores configurados desde a versão 3.10.0, datada de 2015, até à 4.6.7, bem como desde a 4.7.0 até à 4.7.4. Todos os sistemas que ainda se encontram em versões desatualizadas do software podem vir a ser comprometidos, e os atacantes encontram-se a analisar a internet por sistemas vulneráveis para tal.

Apesar de a falha ter sido corrigida com a versão 4.6.8, 4.7.5, e 4.8.0, que foram lançadas em Maio de 2023, os dados da empresa de segurança VulnCheck indicam que ainda existem mais de 3000 servidores afetados em versões antigas. A empresa Dr. Web agora reporta que estes sistemas encontram-se a ser alvo de campanhas diretas para explorar a falha, levando à encriptação de conteúdos e instalação de ransomware nos sistemas.

Os primeiros indícios dos ataques datam de Junho de 2023, e continuam até à presente data. Apesar de os dados serem encriptados com ransomware, desconhece-se qual a entidade por detrás dos ataques – sendo que os conteúdos encriptados não contam com um meio de identificação claro.

Como sempre, a primeira linha de defesa parte por os administradores dos sistemas atualizarem os seus servidores e programas para a versão mais recente, o que garante que se encontram protegidos contra este ataque.

26/09/2023
Plataforma de criptomoedas Mixin confirma roubo de 200 milhões de dólares

Uma plataforma de criptomoedas sediada em Hong Kong afirma que terá perdido mais de 200 milhões de dólares em fundos em cripto ativos, depois da infraestrutura da entidade ter sido atacada.

A empresa Mixin, que se classifica como uma entidade open source que coloca a segurança, privacidade e descentralização em primeiro lugar, confirmou o ataque sobre as suas plataformas sociais.

A empresa afirma que o ataque ocorreu durante o início do fim de semana, sendo que esta suspendeu temporariamente todos os depósitos e retiradas de fundos das contas de clientes face ao mesmo.

A equipa da entidade afirma que as transações serão reativadas depois das falhas que permitiram o roubo terem sido corrigidas. A empresa afirma ter entrado em contacto com a Google para analisar o problema, bem como uma empresa de segurança blockchain.

A empresa sublinha ainda que vai analisar a forma de lidar com os fundos pedidos depois da investigação do incidente estar concluída. No entanto, para já, os clientes da plataforma continuam com as suas contas bloqueadas, bem como os fundos que teriam na entidade.

25/09/2023
Grupo de ransomware afirma ter atacado sistemas internos da Sony

A Sony encontra-se novamente a ser alvo de um suposto ataque, depois do grupo de ransomware conhecido como “Ransomed” ter confirmado que invadiu os sistemas da empresa, tendo roubado diversa informação sensível da mesma.

O grupo afirma que terá acedido aos sistemas internos da Sony, tendo obtido acesso a dados da empresa em vários departamentos. Estes dados encontram-se agora a ser colocados para venda a potenciais interessados.

Os hackers indicam ainda que não vão pedir qualquer resgate direto para a empresa, e que se encontram apenas a vender os dados. De notar que não existe ainda uma confirmação oficial dos dados que foram alegadamente roubados, mas o grupo forneceu uma pequena lista de ficheiros – que alguns investigadores apontam não conter informação importante, mas que será associada com a Sony.

O grupo indica ainda que, caso ninguém venha a adquirir os dados, estes serão publicamente revelados para todos a 28 de setembro. Este processo é algo vulgar do grupo.

Mesmo que não exista uma confirmação oficial da Sony para o ataque, o grupo tem vindo a acumular uma longa lista de vítimas nas últimas semanas. Na maioria dos casos, os dados são partilhados ao fim de alguns dias, caso não sejam adquiridos por entidades interessadas.

De relembrar também que esta não é a primeira vez que a Sony lida com um ataque e roubo de dados. Muitos utilizadores certamente devem recordar-se do incidente de 2011 com a PSN, onde dados sensíveis de 77 milhões de contas foram roubados, e o serviço esteve inacessível ou com falhas durante mais de 23 dias.

25/09/2023
Google ataca a Apple devido à falta de suporte RCS com o “iPager”

A Google tem vindo a investir bastante em integrar o sistema de RCS para a comunicação entre utilizadores, como forma de substituir as “antigas” mensagens SMS. As comunicações via RCS são mais atualizadas, permitindo incluir imagens, vídeos, sons e contam com várias outras funcionalidades uteis, como a encriptação dos conteúdos.

No entanto, se a Google está a tentar que os utilizadores do Android tenham cada vez mais acesso ao RCS como padrão de comunicação, do lado da Apple ocorre o oposto, com a empresa a continuar a focar-se no seu dedicado iMessage.

A Google tem vindo a incentivar a Apple a integrar suporte para RCS no iOS, mas parece que a empresa da maçã não está muito interessada nisso. Para a tentar convencer, a Google volta agora ao ataque com o “iPager”.

Numa nova campanha focada contra a Apple, a Google compara o sistema antiquado de comunicação da empresa com o de pagers antigos, onde apenas suportam mensagens de texto e pouco mais. O iPager pretende comparar a experiência que os utilizadores da Apple possuem ao enviar mensagens para quem tenha dispositivos Android, usando o antigo SMS.

Em parte, todos estes problemas poderiam ser evitados se a Apple decidisse integrar suporte para RCS nos seus sistemas, mas infelizmente parece que isso está ainda longe de acontecer – apesar de todas as campanhas da Google contra tal.

Ainda assim, a Google encontra-se decidida em manter os “ataques” à entidade para incentivar a adoção da tecnologia.

22/09/2023
Conta na X de Donald Trump Jr. alvo de roubo

A conta de Donald Trump Jr na X foi, durante o dia de hoje, alvo de um hack. Durante alguns minutos, a conta esteve a partilhar várias mensagens ofensivas contra outros utilizadores da plataforma, além de ter indicado que Donald Trump teria falecido.

A conta começou, durante o dia de hoje, a enviar várias mensagens consideradas como estranhas. A primeira começou quando esta indicou que Donald Trump teria falecido, e que a campanha para as presidenciais de 2024 iria agora ser liderada por Trump Jr. No entanto, esta mensagem viria a ser rapidamente sucedida de várias outras, contendo termos ofensivos contra outros utilizadores na plataforma.

As mensagens foram eliminadas alguns minutos mais tarde, mas não sem antes terem sido capturadas por alguns dos seguidores da mesma.

Até ao momento ainda se desconhece o motivo para as publicações, sendo que a conta ainda não parece encontrar-se no controlo de Trump Jr, mesmo que os conteúdos tenham sido removidos pela X.

Curiosamente, este ataque á conta de Trump Jr surge apenas alguns dias depois de terem surgido indicações que a X teria despedido alguns membros da divisão de segurança da empresa, que é responsável pela moderação de conteúdos na mesma.

20/09/2023
Grupo de ransomware “Cuba” volta ao ataque

A Kaspersky revelou uma investigação sobre as atividades do famoso grupo de ransomware conhecido como Cuba. Este grupo de cibercriminosos implantou recentemente um malware que conseguiu evitar a deteção mais avançada e visou organizações em todo o mundo, deixando um rasto de empresas comprometidas em vários sectores.

Em dezembro de 2022, a Kaspersky detetou um incidente suspeito no sistema de um cliente, descobrindo três ficheiros duvidosos. Estes ficheiros desencadearam uma sequência de ações que levaram ao carregamento da biblioteca komar65, também conhecida como BUGHATCH.

O BUGHATCH é um backdoor sofisticado que se instala na memória do processo. Executa um bloco de código de shell incorporado no espaço de memória que lhe é atribuído, utilizando a API do Windows, que inclui várias funções. Posteriormente, liga-se a um servidor de Comando e Controlo (C2), aguardando instruções adicionais. Pode receber comandos para descarregar software como o Cobalt Strike Beacon e o Metasploit. A utilização do Veeamp no ataque sugere fortemente o envolvimento do ransomware Cuba.

Em particular, o ficheiro PDB faz referência à pasta “komar”, uma palavra russa para “mosquito”, indicando a potencial presença de membros que falam russo no grupo. Uma análise mais aprofundada efetuada pela Kaspersky revelou módulos adicionais distribuídos pelo grupo Cuba, melhorando a funcionalidade do malware. Um desses módulos é responsável pela recolha de informação do sistema, que é depois enviada para um servidor através de pedidos HTTP POST.

Continuando a sua investigação, a Kaspersky descobriu novas amostras de malware atribuídas ao grupo Cuba no VirusTotal. Algumas destas amostras tinham conseguido escapar à deteção por outros fornecedores de segurança. Estas amostras representam novas iterações do malware BURNTCIGAR, empregando dados encriptados para evitar a deteção antivírus.

“As nossas últimas descobertas sublinham a importância do acesso aos mais recentes relatórios e informações sobre ameaças. À medida que os grupos de ransomware, como Cuba, evoluem e aperfeiçoam as suas táticas, manter-se à frente dos criminosos é crucial para mitigar eficazmente os potenciais ataques. Com o cenário das ameaças em constante mudança, o conhecimento é a melhor defesa contra os cibercriminosos emergentes”, afirma Gleb Ivanov, especialista em cibersegurança da Kaspersky.

Cuba é uma estirpe de ransomware de ficheiro único, difícil de detetar devido ao seu funcionamento sem bibliotecas adicionais. Este grupo de língua russa é conhecido pelo seu extenso alcance e visa sectores como o retalho, finanças, logística, governo e indústria transformadora na América do Norte, Europa, Oceânia e Ásia. Empregam uma mistura de ferramentas públicas e proprietárias, atualizando regularmente o seu conjunto de ferramentas e utilizando táticas como BYOVD (Bring Your Own Vulnerable Driver).

Uma das características da sua operação é a alteração dos carimbos de data e hora da compilação para enganar os investigadores. Por exemplo, algumas amostras encontradas em 2020 tinham uma data de compilação de 4 de junho de 2020, enquanto os carimbos de data/hora em versões mais recentes eram apresentados como tendo origem em 19 de junho de 1992.

A sua abordagem única envolve não só a encriptação de dados, mas também a adaptação de ataques para extrair informações sensíveis, tais como documentos financeiros, registos bancários, contas de empresas e código fonte. As empresas de desenvolvimento de software estão particularmente em risco. Apesar de estar na ribalta há já algum tempo, este grupo mantém-se dinâmico, aperfeiçoando constantemente as suas técnicas.

Caso tenha interesse pode ver a análise completa da empresa no site da Securelist.

18/09/2023
Site do governo encontra-se inacessível

Desde o início da tarde que o site do governo encontra-se inacessível, apresentando uma mensagem de erro no acesso.

Em comunicado à Lusa, a entidade responsável pela gestão do site garante que o problema não se encontra relacionado com qualquer género de ataque. Os utilizadores, ao tentarem aceder ao site, verificam apenas uma mensagem de erro genérica, associada com o serviço WAF do site.

Este erro pode ocorrer por vários motivos, mas normalmente encontra-se associado com problemas de configuração técnica – erros na configuração do site ou das definições do mesmo – e não diretamente com ataques.

A entidade afirma que se encontram a ser feitos os possíveis para repor a normalidade o mais rapidamente possível.

15/09/2023
Caesars Entertainment terá pago milhares de dólares em ataque informático

No início desta semana, a MGM Resorts foi alvo de um forte ataque informático, que causou a inacessibilidade de vários dos seus sistemas – e ainda se encontra a ser investigado. No entanto, este pode não ter sido o único ataque realizado recentemente a uma grande empresa em Las Vegas.

De acordo com a Bloomberg, a Caesars Entertainment também terá sido alvo de um ataque recentemente, sendo que as fontes indicam que esta terá pago milhares de dólares aos atacantes para evitar que os dados fossem divulgados.

A fonte indica que os atacantes terão roubado informação sensível dos sistemas internos da Caesars Entertainment, ameaçando divulgar publicamente os mesmos. A empresa, no entanto, terá optado por pagar para evitar essa divulgação.

Acredita-se que o ataque terá sido realizado por um grupo conhecido como Scattered Spider, e fontes próximas da investigação apontam que os atacantes estariam localizados nos EUA e Reino Unido, e podem ter idades a partir dos 19 anos.

Os ataques contra a Caesars Entertainment terão começado a 27 de Agosto, com os mesmos a obterem acesso a redes internas da empresa. Apesar de não ter sido feita qualquer confirmação da entidade para o ataque, espera-se que tal seja revelado em breve sobre os documentos oficiais para as autoridades.

O grupo Scattered Spider é conhecido por ter motivações financeiras nos seus ataques, e encontra-se igualmente associado com os recentes ataques à MGM Resorts.

14/09/2023
Unity Engine aplica nova taxa controversa no inicio de 2024

A partir do dia 1 de Janeiro de 2024, o popular motor de desenvolvimento Unity vai implementar o que é conhecido como Unity Runtime Fee, para todos os conteúdos criados usando o mesmo.

Esta consiste numa nova taxa, que vai ser aplicada aos criadores de jogos usando a Unity Engine, por cada download feito dos mesmos. No entanto, a taxa apenas se aplica para jogos que atinjam um determinado valor de receitas ou de instalações, dependendo da subscrição que os programadores tenham da Unity. Esta medida tem vindo a causar alguma controvérsia por entre a comunidade desde que foi oficialmente confirmada.

Para os utilizadores com a subscrição Unity Personal e Unity Plus, a taxa aplica-se apenas caso os jogos criados ultrapassem as receitas anuais de 200,000 dólares, ou tenham mais de 200,000 instalações. Para os planos Unity Pro e Unity Enterprise, os valores são mais elevados, com 1 milhão de dólares em receitas anuais ou 1 milhão de instalações.

O valor da taxa vai depender também da subscrição que cada utilizador tenha. Por exemplo, quem tenha a Unity Personal vai pagar uma taxa de 0.20 cêntimos, enquanto que quem tenha Unity Enterprise paga 0.01 cêntimos.

Esta nova taxa tem levado a criticas da comunidade, sobretudo por programadores que criam jogos usando o modelo free-to-play, e onde as receitas são provenientes sobretudo de compras in-app. Em alguns casos, estes passam a poder ter de pagar mais para a Unity em taxas do que propriamente as receitas do jogo em compras in-app.

Existem ainda questões sobre como esta taxa seria aplicada em conteúdos que se encontram em plataformas como a Game Pass ou PlayStation Plus, visto que podem atingir elevados valores de downloads rapidamente, e aumentar consideravelmente os custos logo no começo do desenvolvimento de um jogo.

Existem ainda questões sobre como estas contagens seriam feitas, integrando até casos onde o jogo seja reinstalado pelos utilizadores e até em pirataria, que teoricamente, iria contabilizar também como download para os efeitos da taxa.

Existem ainda receios que este novo sistema possa levar a uma nova forma de ataque contra estúdios, onde downloads em massa podem ser coordenados para elevar as despesas das entidades – invés de uma review negativa em plataformas online, os efeitos teriam aqui impacto nas finanças das entidades.

A medida vai aplicar-se a partir de 1 de Janeiro, tanto para novos jogos criados pela engine como também a conteúdos que já tenham sido criados no passado, caso atinjam os valores limite para pagarem a taxa.

13/09/2023
MGM Resorts investiga alegado ataque informático em larga escala

A MGM Resorts confirmou no início desta semana que se encontra a investigar um ataque informático, que terá sido realizado na sua rede interna. O ataque levou a que os sistemas usados pela entidade fossem desligados temporariamente – incluindo as redes de vários dos seus casinos nos EUA.

A entidade é mais conhecida por ser uma das maiores em Las Vegas, tendo o hotel e uma rede de casinos no seu nome na cidade norte-americana. Derivado do incidente, os sistemas internos da entidade foram desligados, o que causou com que várias máquinas e sistemas nos casinos da mesma deixassem de ficar disponíveis.

O website da entidade também se encontra inacessível, sendo que as reservas para o hotel estão a ser feitas apenas por telefone.

Em comunicado, a MGM Resorts afirma que foi alvo de um ataque informático nos sistemas internos, mas que ainda se encontra a ser feita a avaliação do mesmo. Por precaução, para proteger os dados, a empresa decidiu encerrar os seus sistemas temporariamente. Não foram, no entanto, deixados detalhes sobre os sistemas que foram desligados ou a extensão do ataque.

A investigação do incidente ainda se encontra a decorrer, mas espera-se que mais detalhes venham a ser conhecidos em breve.

12/09/2023
Novo ataque pode recolher PINs através de redes sem fios

Foi recentemente descoberto um novo ataque contra redes sem fios, apelidado de WiKI-Eve, que pode intercetar as comunicações de smartphones ligados a um ponto de acesso, e a partir das mesmas, deduzir as senhas numéricas de acesso dos mesmos com uma precisão de 90%.

O WiKI-Eve explora uma falha sobre o BFI, uma funcionalidade que foi originalmente criada em 2013, e bastante usada em redes WiFi 5, de foram a que os dispositivos possam dar feedback ao router sobre a sua localização, para mais facilmente o mesmo redirecionar o sinal para essa zona.

No entanto, os dados enviados via o BFI não se encontram, na maioria dos casos, encriptados, o que permite que terceiros possam recolher os mesmos sem grande esforço.

Um grupo de investigadores na China e Singapura decidiram tentar explorar esta funcionalidade. E o que descobriram é que é possível usar o sistema para recolher dados potencialmente sensíveis, o que inclui PINs e dados de acesso numéricos.

Os investigadores conseguiram identificar com 90% de precisão os toques em teclados numéricos, decifrar PINs de 6 dígitos com 85% de precisão ou obter senhas de apps com 66% de precisão.

Para realizar o ataque, os investigadores intercetaram os sinais BFI enviados pelos dispositivos, quando os utilizadores introduzem os PINs. Usando essa funcionalidade, e capturando os dados enviados pela mesma, os investigadores conseguem analisar as pequenas mudanças do dispositivo e sinal, e associar os mesmos a toques no ecrã – o que permite recolher os dados com bastante precisão.

Isto é possível porque, a cada pressionar do ecrã, o dispositivo move-se ligeiramente, e leva a alterações no sinal BFI, que os atacantes podem analisar para deduzir o número que foi pressionado.

Uma vez que os dados recolhidos são bastante simples, este ataque foca-se sobretudo para PINs numéricos, que são onde existe maior possibilidade de recolha dos dados. A recolha de senhas é, teoricamente, possível, mas tendo em conta a complexidade das mesmas leva a que seja um processo mais complicado de se realizar.

Apesar de este ataque ser bastante focado num ponto em particular, e necessita de algumas preparações prévias, demonstra que existe uma fragilidade sobre praticamente todas as redes sem fios atuais, que pode ser usada para a recolha de dados.

12/09/2023
Ataque da LastPass em Dezembro de 2022 associado a roubos de criptomoedas

Desde o ano passado que, praticamente todos os meses, milhões de dólares estariam a ser roubados de carteiras de criptomoedas e empresas. Mas agora, conhecem-se detalhes de onde pode ter sido a origem para o aumento de ataques neste formato.

Em Dezembro de 2022, a LastPass, plataforma de gestão de senhas, foi alvo de um ataque, no qual vários dados internos da empresa foram comprometidos. A empresa garantiu, na altura, que o ataque não levou ao roubo dos cofres dos clientes, contendo os dados sensíveis dos mesmos. Mas eventualmente confirmou que alguns dos cofres podem ter sido roubados.

Segundo a gestora de produtos da MetaMask, Taylor Monahan, a empresa analisou as ligações entre os roubos em carteiras de criptomoedas da sua plataforma e o ataque que ocorreu à entidade LastPass. A entidade verificou que existem ligações entre as vítimas dos roubos de criptomoedas das suas carteiras e o ataque da LastPass no final do ano passado.

Monahan afirma que, segundo a investigação, mais de 150 vitimas de roubos em carteiras de criptomoedas tinham os seus dados guardados na LastPass. Os roubos totalizaram mais de 35 milhões de dólares.

Muitas das vítimas aplicavam medidas de segurança das suas contas, mas isto não impede que as mesmas possam ser acedidas tendo a chave privada da mesma, que muitos guardavam diretamente nos seus cofres da LastPass.

Segundo o investigador de segurança Brian Krebs, desde o incidente com a LastPass, têm ocorrido roubos de elevadas quantias praticamente todos os meses, algo que não ocorria anteriormente.

Krebs afirma ainda que a LastPass recusou fornecer comentários sobre o incidente e o estudo, indicando apenas que o caso encontra-se a ser investigado pelas autoridades.

Existem suspeitas que os atacantes da LastPass terão conseguido aceder a alguns dos cofres que obtiveram acesso durante a realização do ataque em dezembro, e estejam a usar os dados dos mesmos para realizar o roubo de carteiras de criptomoedas das vítimas.

11/09/2023
Incêndio destrói parte dos escritórios dos criadores de Stalker 2

Recentemente, um incêndio causou a destruição de parte dos escritórios dos estúdios GSC Game World, que se encontram a desenvolver Stalker 2: Heart of Chornobyl.

De acordo com o portal Vortex, o incêndio terá começado nos escritórios do estúdio em Praga, e felizmente, ninguém ficou ferido do resultado do mesmo. No entanto, o incêndio destruiu praticamente um dos três andares no prédio onde a empresa se encontra, que necessita de uma reconstrução completa.

A investigação para as causas do mesmo ainda se encontra a decorrer, mas o estúdio afirma que os planos de lançar Stalker 2: Heart of Chornobyl continuam. Desconhecem-se os detalhes sobre o impacto que o incêndio terá no desenvolvimento, mas algumas fontes apontam que foram perdidos alguns servidores usados para backups de dados.

A confirmar-se, não deverá causar grande impacto no desenvolvimento do jogo, mas serão conteúdos que certamente devem ser salvaguardados.

De relembrar que a GSC Game World tem vindo a ser fustigada nos últimos meses, desde o início da guerra na Ucrânia – onde se encontravam originalmente localizados. Isto terá levado a que fosse necessário mover os escritórios para Praga.

Além disso, recentemente uma build de desenvolvimento do jogo foi roubada dos estúdios por hackers russos, no que a GSC Game World afirma ter sido um ataque que durou mais de um ano. Ainda assim, o estúdio demonstra-se resistente, estando a planear o lançamento de Stalker 2: Heart of Chornobyl para 2024.

10/09/2023
Notepad++ 8.5.7 chega com várias correções de segurança

O Notepad++ é uma das versões mais conhecidas de editores de texto avançados – e substituto do tradicional bloco de notas. E agora, a versão 8.5.7 encontra-se finalmente disponível, trazendo consigo algumas correções importantes.

Esta nova versão corrige várias falhas no programa, que estariam a ser exploradas para ataques zero-day, com uma das mesmas a potencialmente permitir a execução de código nos sistemas.

As falhas foram inicialmente reportadas pelo investigador Jaroslav Lobačevski faz alguns meses, mas os programadores responsáveis pelo Notepad++ não consideraram as mesmas, na altura, como importantes. Ainda assim, com a nova versão 8.5.7, estas foram finalmente corrigidas.

As falhas foram identificadas a 21 de Agosto de 2023, mas apenas começaram a ganhar tração depois da comunidade de utilizadores terem aplicado pressão para os programadores do Notepad++ sobre a existência das mesmas, e da gravidade.

A falha mais grave foi a CVE-2023-40031, que se explorada, pode permitir que ficheiros especificamente criados para o ataque possam executar código nos sistemas sem interação dos utilizadores.

Os utilizadores podem descarregar a versão mais recente usando o sistema de atualização automática do Notepad++ ou via o site oficial.

09/09/2023
Biografia de Elon Musk revela detalhes sobre ações na Ucrânia

Alguns detalhes sobre o livro da biografia de Elon Musk, criado por Walter Isaacson, encontra-se a surgir, antecipando a chegada do mesmo na próxima semana. E ao mesmo tempos, estas revelações deixam também detalhes sobre algumas das ações de Musk nos últimos meses.

De acordo com a CNN, uma das ações de Musk ocorreu durante um dos períodos críticos da guerra entre Rússia e Ucrânia. Apesar de Musk ter fornecido internet para os cidadãos ucranianos quando foi necessário, várias fontes apontam que o mesmo terá decidido desligar o acesso ao Starlink na costa da Crimea, quando as autoridades ucranianas se encontravam a realizar um ataque de drones contra navios russos.

Musk terá afirmado que o acesso foi desligado pelos receios do mesmo em que este poderia vir a causar o uso de armas nucleares por parte das autoridades russas. Segundo a CNN, as forças militares ucranianas terão pedido a Musk para reativar o acesso da Starlink, de forma a realizar o ataque, mas tal não aconteceu e os drones caíram em zonas remotas sem provocar danos.

No entanto, as ações de Musk terão resultado em ataques das forças russas, que aproveitaram a aberta para lançar vários misseis contra cidades ucranianas. Mykhailo Podolyak, conselheiro de Volodymyr Zelensky, afirma que as ações de Musk levaram a mortes de civis em várias cidades ucranianas.

No entanto, de acordo com Musk, a Starlink não se encontrava ativa nas zonas onde foram realizados os ataques, pelo que, segundo o mesmo, não havia nada para desativar. No entanto, este afirma que recebeu mensagens das autoridades ucranianas para ativar as ligações na cidade de Sevastopol.

08/09/2023
Apple corrige falhas que permitem instalar spyware sem interação dos utilizadores

Os investigadores de segurança da empresa Citizen Lab revelaram ter descoberto duas vulnerabilidades zero day em sistemas da Apple, que foram corrigidas com a recente atualização que a empresa forneceu para vários dos seus sistemas.

Apesar de, na altura, não terem sido revelados detalhes sobre as falhas, agora sabe-se que estas diziam respeito a uma forma de ataque que poderia permitir a instalação de spyware nos sistemas.

Os investigadores afirmam que as duas falhas estariam a ser exploradas pelo NSO Group, conhecido pelo seu spyware Pegasus. As mesmas poderiam permitir que o spyware fosse instalado nos dispositivos, sem interação dos utilizadores.

O ataque ficou apelidado pela empresa de BLASTPASS, e basicamente, basta aos atacantes enviarem uma mensagem via o iMessage para as vítimas. Se estas abrirem a mensagem, mesmo sem qualquer interação na mesma, acabam por poder instalar o spyware nos seus dispositivos.

Os investigadores recomendam que os utilizadores atualizem o mais rapidamente possível para as mais recentes versões do sistema da empresa, ou que ativem o Lockdown Mode.

As duas falhas identificadas – CVE-2023-41064 e CVE-2023-41061 – podem ser usadas em diferentes dispositivos, e se exploradas permitem a execução remota de código no sistema, com o potencial de se instalar malware no mesmo.

As falhas foram corrigidas com a disponibilização do macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 e watchOS 9.6.2.

08/09/2023
Atacantes roubaram chave privada da Microsoft de um dump de crash do Windows

A Microsoft confirmou que o grupo Storm-0558, reconhecido com ligações na China, terão roubado uma chave privada de contas de entidades governamentais, depois de terem comprometido uma conta de um engenheiro da empresa. A chave terá sido obtida de um dump de informação de crash do Windows no sistema comprometido.

Esta chave terá sido depois usada para aceder aos serviços de Exchange Online e Azure Active Directory (AD) de aproximadamente duas dezenas de organizações, incluindo entidades governamentais dos EUA.

Em análise do incidente, a Microsoft afirma que a chave privada foi colocada no dump de um crash que tinha ocorrido em Abril de 2021. O dump não deveria conter a chave privada, mas devido a uma falha no sistema isso permitiu que a chave fosse colocada no mesmo inadvertidamente.

Este dump foi, mais tarde, movido da rede interna da empresa para um sistema onde estaria com acesso externo permitido – e que terá facilitado o acesso de terceiros para o ataque. Os atacantes obtiveram, eventualmente, acesso ao sistema onde o dump se encontrava, e do qual recolheram a chave.

Apesar de a empresa não ter dados sobre como a chave foi recolhida, tendo em conta que os logs foram, entretanto, eliminados, a empresa acredita que o grupo de hackers terá usado ferramentas automáticas para realizar o scan por chaves privadas e obter as mesmas do sistema comprometido.

O incidente tinha sido inicialmente referido pela Microsoft em Julho, sendo que a empresa alega que apenas o Exchange Online e Outlook foram comprometidos. No entanto, de acordo com o investigador de segurança Shir Tamari, a investigação do caso leva a crer que os atacantes podem ter obtido acesso a praticamente todos os serviços da Microsoft associados com as entidades afetadas. Isto inclui plataformas como o Outlook, SharePoint, OneDrive e Microsoft Teams.

A Microsoft afirma que todas as chaves comprometidas foram revogadas, e os sistemas revistos para prevenir que os atacantes possam criar novas chaves e obter novamente acesso.

06/09/2023
Toyota suspendeu produção por falta de armazenamento em servidores

A Toyota teve de suspender a produção em algumas das suas fábricas no Japão recentemente, sendo que agora conhecem-se mais detalhes sobre o que ocorreu para tal.

De acordo com a análise da empresa, a 29 de Agosto, várias fábricas da Toyota no Japão tiveram as suas produções suspensas por uma falha desconhecida nos sistemas das mesmas.

Tendo em conta que as fábricas eram as centrais da empresa, isto terá levado à perda de 13,000 unidades de veículos da marca produzidos por dia, com impacto também para a exportação global.

A empresa inicialmente indicou que a falha estaria associada com um problema identificado durante uma manutenção dos sistemas internos das fábricas. A manutenção teria como objetivo analisar as bases de dados das fábricas, e organizar as mesmas para melhor otimização e desempenho.

No entanto, um erro terá ocorrido durante o processo, que levou a que as capacidades dos sistemas da empresa fossem atingidos – basicamente, os servidores onde as bases de dados se encontravam esgotaram as suas capacidades de armazenamento.

Isto levou a que os sistemas começassem a falhar, eventualmente levando à paralisação das linhas de produção. Uma vez que a falha afetou diretamente os sistemas de encomendas e gestão de inventário, a produção teve de ser também suspensa durante a análise da resolução.

A Toyota explicou que tanto o sistema principal das fábricas como os backups encontravam-se sobre o mesmo sistema, e portanto, não foi possível realizar a transição direta para o sistema de backup.

A correção do problema apenas foi realizada dois dias depois, quando a empresa conseguiu obter sistemas com mais capacidade para concluir a tarefa. A produção retomou de seguida.

Felizmente, nenhum dado terá sido perdido no processo, e também se deixou de lado a possibilidade de ter sido um ataque informático – algo que surgiu em rumores quando a paragem das linhas de produção aconteceu.

06/09/2023
Nova onda de ataques focada contra administradores do Microsoft 365

De tempos a tempos surgem novas formas de ataque, que são baseadas em kits criados por terceiros para realizarem os ataques. É o mais recente exemplo de um kit criado para afetar utilizadores do Microsoft 365, o qual é capaz de contornar as proteções de autenticação em duas etapas da empresa com um pouco de engenharia social contra as vítimas.

O kit foi criado por um utilizador com o nome de W3LL, e encontra-se a ser vendido na dark web. De acordo com os investighadores de segurança da empresa Group-IB, acredita-se que o kit tenha sido usado para comprometer mais de 8000 contas do Microsoft 365 nos últimos meses.

O kit encontra-se criado para ser usado por atacantes de praticamente qualquer nível, e que nos últimos dez meses já terá sido usado contra mais de 56.000 contas da Microsoft 365. Nem todos os ataques foram realizados com sucesso, mas os investigadores apontaram cerca de 850 campanhas de phishing criadas neste tempo a usarem o kit.

Os primeiros ataques deste kit começaram a surgir em 2017, mas aumentaram consideravelmente nos últimos tempos, em parte porque os próprios kits fornecidos aumentaram também as suas capacidades de ataque.

Os investigadores afirmam que o kit criado por W3LL possui praticamente tudo o que é necessário para os atacantes realizarem o roubo de contas, desde ferramentas para roubar os dados de login a páginas falsas de login que podem ser alojadas em qualquer lugar. Existe ainda um painel de controlo para os atacantes terem acesso aos dados roubados e poderem gerir e atualizar os mesmos.

Este kit é fornecido como uma subscrição, onde os atacantes pagam por uma licença para poderem usar a ferramenta, e terem acesso aos dados através de um painel dedicado dos autores do kit. Se a subscrição for cancelada, o acesso e dados ficam também inacessíveis.

Além deste kit, o W3LL também fornece contas de alojamento comprometidas, onde os atacantes podem depois alojar os conteúdos das falsas páginas de login para os ataques.

06/09/2023
Investigadores revelam extensões do Chrome que recolhem senhas do codigo fonte nos sites

As extensões do Chrome permitem integrar várias melhorias para o navegador, com novas funcionalidades, interligações e extras. No entanto, se mal usadas, podem também abrir portas para permitir um vasto roubo de dados, visto terem uma grande interação com o navegador e conteúdos do mesmo.

E a comprovar isso mesmo, um grupo de investigadores da Universidade de Wisconsin-Madison revelaram que extensões do Chrome podem ser criadas para recolher senhas diretamente dos sites, em texto plano, sem que o utilizador tenha conhecimento.

Ao mesmo tempo, isto ocorre porque muitos sites onde as senhas são implementadas para login não possuem meios seguros de garantir que os conteúdos introduzidos nos campos de login estão efetivamente protegidos antes do envio para os servidores.

As extensões criadas pelos investigadores eram capazes de analisar o código fonte dos sites, e recolher as senhas diretamente dos mesmos, antes destas serem sequer enviadas para os servidores das entidades. Basta os utilizadores preencherem o campo de senha para poderem ter os dados eventualmente comprometidos.

Isto ocorre em praticamente todos os sites que as entidades analisaram, incluindo de empresas como o Gmail, Facebook, Amazon, entre outros. Estes sites permitem que os conteúdos do código fonte sejam analisados antes de enviados para os servidores remotos, o que abre as portas para o possível roubo.

Para comprovar ainda mais o ataque, os investigadores enviaram as extensões em formato de teste para a Chrome Web Store, onde estas foram aceites.

As medidas de segurança para evitar este género de ataques partem dos próprios sites, que necessitam de implementar formas de evitar que as senhas fiquem visíveis diretamente no código fonte do site.

04/09/2023
Universidade de Sydney alvo de ataque informático

A Universidade de Sidney, USYD, confirmou ter sido vítima de um ataque informático, que afetou os sistemas de uma entidade terceira que fornece serviços à entidade. O ataque poderá ter exposto dados sensíveis de alunos recentemente registados na instituição ou que tenham sido inscritos de forma internacional.

A Universidade é considerada uma das mais antigas da Austrália, tendo mais de 70.000 alunos e 8500 docentes. No comunicado inicial, a entidade afirma que o ataque foi reduzido, e que não surgiram indícios de dados sensíveis de estudantes atualmente na instituição, ou de docentes, tenham sido comprometidos.

Em causa aparenta encontrar-se um sistema de terceiros, que a Universidade estaria a usar para realizar o registo de novas matrículas locais e internacionais. Os utilizadores que tenham usado esse sistema para realizarem o registo recente podem ter os dados comprometidos.

Desconhece-se, para já, se o atacante terá escolhido este período para a recolha dos dados e ataque, visto ser a altura em que se realizam mais registos na universidade, ou se foi apenas uma oportunidade que surgiu aleatoriamente.

A entidade afirma que ainda se encontra a analisar quais os dados que foram efetivamente comprometidos no ataque, mas recomenda que todos os inscritos recentemente na mesma acedam a este site para verificarem mais informações.

Os sistemas internos da universidade também continuam a funcionar na normalidade, uma vez que não foram diretamente afetados pelo ataque.

03/09/2023
Investigadores criam ferramenta de desbloqueio do ransomware do Key Group

As vítimas do ransomware Key Group podem agora ter uma nova via de tentar recuperar os conteúdos encriptados pelo ransomware, com uma nova ferramenta desenvolvida para a tarefa.

Os investigadores da empresa EclecticIQ revelaram ter conseguido desenvolver uma ferramenta que pode desencriptar os conteúdos que tenham sido bloqueados pelo ransomware do grupo até inícios de Agosto.

Apesar de o grupo alegar que a encriptação é feita via AES, os investigadores confirmaram que a chave e formato de encriptação entre todos os ataques é idêntica, o que permite que seja possível reverter a encriptação. Apesar de não ser um processo simples, a possibilidade encontrava-se em cima da mesa, e os investigadores confirmaram ter conseguido realizar essa tarefa.

No entanto, a ferramenta de desbloqueio ainda se encontra numa fase bastante inicial de desenvolvimento. Esta apenas se encontra disponível para uso via linha de comandos, visto tratar-se de um script Phyton. Os interessados podem verificar mais informações no site da empresa de segurança.

O grupo de ransomware Key Group é conhecido por ter ligações com a Rússia, sendo que começou as suas atividades no início de 2023. O mesmo realizou ataques a várias entidades desde então, a nível global, e muitas vezes divulga informações do grupo e dos seus ataques via o Telegram.

Os ficheiros encriptados pelo ransomware do grupo possuem a extensão .KEYGROUP777TG.

Tendo em conta que a ferramenta de desencriptação foi agora revelada, o grupo deve brevemente começar a atualizar as suas ferramentas, e adotar medidas para corrigir o que permitia o ataque de ser realizado em primeira instância. Isso pode levar a que as futuras versões do ransomware não possam ser desencriptadas dessa forma.

31/08/2023
Grupo confirma ataque à X com mensagem para Elon Musk

Durante a passada terça-feira, vários utilizadores da X, antigo Twitter, confirmaram que a plataforma encontrava-se inacessível de várias localizações. Durante cerca de duas horas, a plataforma verificou problemas de acesso em vários países, levando a erros e falhas no carregamento de conteúdos.

Agora, de acordo com a BBC, foi confirmado que as falhas estiveram relacionadas com um ataque realizado contra a plataforma social. O ataque foi confirmado pelo grupo de hackers conhecido como Anonymous Sudan, o qual indicou no Telegram que o ataque terá sido da sua autoria.

Na mensagem, o grupo deixa uma informação direta para Elon Musk, de forma a este disponibilizar a Starlink no Sudão – local onde o mesmo não se encontra atualmente disponível.

De acordo com membros do grupo, o ataque terá consistido em DDoS, tendo em conta que foi referido que os servidores da X terão sido inundados com tráfego desnecessário, levando à sobrecarga dos mesmos e inacessibilidade para utilizadores regulares.

As falhas foram verificadas um pouco por todo o mundo, mas afetaram sobretudo os utilizadores nos EUA e Reino Unido. Este grupo de hackers é conhecido por realizar ataques em larga escala com foco em entidades com relações ao Sudão.

A X não deixou qualquer comentário relativamente às falhas verificadas no início da semana ou sobre as declarações agora conhecidas do grupo.

31/08/2023
Paramount confirma roubo de dados em ataque informático

A empresa Paramount Global confirmou ter sido vítima de um ataque informático, onde podem ter sido roubados dados internos da mesma, incluindo a dados pessoais.

De acordo com o comunicado da empresa, o ataque terá ocorrido entre Maio e Junho de 2023, período no qual os atacantes estiveram com acesso aos sistemas infetados, puderam recolher dos mesmos dados potencialmente sensíveis da empresa.

A entidade afirma que, por entre os dados pessoais recolhidos, encontram-se o nome, morada, data de nascimento, número de Segurança Social e outros dados associados a diversos funcionários ou clientes com relações na Paramount. Os utilizadores afetados encontram-se agora a ser notificados pela empresa em mensagens diretas.

A empresa afirma ainda que, depois de ter tomado conhecimento do incidente, foram realizados todos os procedimentos para evitar a exposição dos dados e garantir a segurança dos sistemas afetados. Foi ainda contratada uma empresa externa de segurança para avaliar os danos causados.

A empresa revela, no entanto, que este ataque afetou menos de 100 pessoas com relações à Paramount. Apesar do número, a empresa afirma que é uma falha grave de segurança que comprometeu a informação pessoal.

Ainda se desconhece, no entanto, se a informação poderia conter também dados de possíveis clientes da empresa, ou de subscritores dos seus serviços de streaming.

31/08/2023
Universidade do Michigan encerra rede interna após ataque informático

A Universidade do Michigan foi forçada a encerrar a sua rede local e vários sistemas informáticos, depois de um ataque realizado contra a entidade de educação. O ataque terá causado com que fosse necessário encerrar as redes e sistemas internos para evitar a propagação.

A Universidade do Michigan é uma das instituições de educação mais antigas dos EUA, tendo mais de 30.000 docentes e 51.000 alunos atualmente. De acordo com o comunicado inicial da instituição, o ataque terá forçado ao encerramento das redes internas e ao acesso a várias ferramentas usadas pelos alunos, como o Google, Canva, email, entre outros.

Apesar de a equipa técnica da instituição ter conseguido bloquear o ataque, a mesma considerou necessário desligar a rede interna por precaução enquanto se realiza a vistoria do incidente. Isto tem impacto tanto no uso de serviços internos, como também para aceder a plataformas externas na Internet – a rede local encontra-se fortemente monitorizada.

Zoom, Adobe Cloud, Dropbox, Slack, Google, Canvas e Adobe Cloud foram alguns dos serviços que estiveram bloqueados, embora tenham sido entretanto restaurados alguns acessos.

O ataque encontra-se também a afetar os registos de novos estudantes, bem como a receção de novos que, tendo em conta que serão novos na instituição, ainda necessitam de algumas informações que se encontram apenas disponíveis na rede interna da Universidade.

29/08/2023
Autoridades alertam para onda de ataques de ransomware em Espanha

Os ataques de ransomware encontram-se cada vez mais ativos, e agora, mesmo ao lado de Portugal, as autoridades estão a alertar para uma série de ataques.

As autoridades espanholas encontram-se a alertar cidadãos e empresa para uma onda de ataques do ransomware “LockBit Locker”. Esta campanha encontra-se direcionada para potenciais vítimas através de mensagens de phishing.

O objetivo parece ser afetar empresas em Espanha com o ransomware, e potencialmente comprometer dados sensíveis das mesmas. Praticamente todos os ataques encontram-se a ser realizados via mensagens de phishing, enviadas para funcionários ou administradores das empresas.

As mensagens direcionam os utilizadores para anexos, a maioria protegidos ou em sites de terceiros, onde devem ser descarregados os conteúdos para aceder a supostas informações importantes.

As autoridades alertam que as mensagens estão a ser enviadas de um domínio inexistente ou que reencaminha para empresas legitimas espanholas.

As autoridades não revelaram muitos detalhes sobre o ataque, para além do grupo que o encontra a realizar. Como sempre, é importante ter atenção a todos os conteúdos que sejam recebidos de fontes desconhecidas, e esta ideia deve-se passar também a funcionários das empresas – que devem ter particular atenção e treino para tais situações.

28/08/2023