Categoria: ransomware

OmniVision revela roubo de dados em ataque ransomware de 2023

A empresa OmniVision encontra-se a confirmar que teve um roubo de dados associado com um ataque ransomware, registado o ano passado, e que pode ter comprometido informação interna da mesma e de alguns dos seus clientes.

A OmniVision é conhecida por desenvolver sensores fotográficos, bastante usados em câmaras de smartphones e diversos dispositivos em geral. Em 2023, a empresa contava com 2200 funcionários, e teria receitas de 1.4 mil milhões de dólares.

Durante esta semana, a empresa notificou as autoridades norte-americanas sobre uma falha de segurança, que terá sido identificada a 4 de Setembro de 2023, e durou até 30 de Setembro de 2023. Neste período, os sistemas da entidade foram afetados por ransomware, onde conteúdos dos mesmos foram igualmente roubados.

A mensagem indica que, a 30 de Setembro, a empresa foi notificada do incidente de segurança, onde vários sistemas da mesma teriam sido encriptados com ransomware. Agora sabe-se também que dados da empresa terão sido roubados como resultado deste ataque.

Entre os dados potencialmente roubados encontram-se cópias de passaportes e acordos da empresa, bem como contratos e outros documentos confidenciais, que envolvem tanto a empresa como alguns dos seus clientes.

A mensagem enviada às autoridades continha alguns exemplos de documentos que podem ter sido roubados, mas de forma censurada.

O grupo responsável pelo ataque terá disponibilizado gratuitamente o acesso a todos os dados roubados na altura do mesmo, o que terá forçado a empresa a investigar a situação, e a chegar agora a esta conclusão. O conteúdo foi, entretanto, removido do site usado na rede Tor pelo grupo de ransomware.

21/05/2024
PuTTy e WinSCP distribuídos em campanhas maliciosas pela Google

Vários grupos de ransomware encontram-se a focar utilizadores do sistema Windows, distribuindo versões modificadas de programas como o PuTTy e WinSCP para administradores de sistemas.

Estes programas são distribuídos sobretudo em publicidade da Google, e surgem no topo dos resultados de pesquisa. Os mesmos fazem-se passar pelos programas legítimos, com sites criados para enganar os utilizadores e levar a descarregar as variantes maliciosas.

Os programas foram modificados para conterem malware, nomeadamente para o roubo dos dados que sejam usados para acesso aos sistemas via esses programas. Em base, os programas parecem funcionar como esperado, pelo que os utilizadores podem ser afetados sem saberem.

De acordo com os investigadores da empresa de segurança Rapid7, as campanhas parecem focadas para quem usa o Google para procurar como descarregar estes programas, onde a publicidade maliciosa usa o próprio motor de pesquisa para surgir no topo dos resultados.

Se os utilizadores descarregarem as aplicações existentes nos sites maliciosos, estas tentam instalar malware no sistema, via scripts phyton, que correm no Windows diretamente. Feito isto, o programa instala como era suposto, pelo que os utilizadores podem ter acesso ao mesmo na normalidade.

Mas em segundo plano é igualmente instalado o malware, que procede com o roubo de dados sensíveis do sistema, nomeadamente de acesso a servidores e outras fontes remotas.

Como sempre, é recomendado que se tenha atenção ao local de onde os conteúdos são descarregados. A publicidade da Google tem sido cada vez mais usada para distribuir malware, fazendo-se passar por software legítimo, e aproveitando as pesquisas dos utilizadores para tal. Como esta surge antes de todos os resultados, pode levar mais utilizadores a carregarem nessas opções do que nos resultados reais.

No passado, já ocorreram casos similares para diverso software, como o 7-Zip, CCleaner, entre outros.

20/05/2024
Europol confirma ter sido alvo de ataque em portal web

A Europol confirmou ter sido vítima de um ataque informático, que afetou a Europol Platform for Experts (EPE). De acordo com o comunicado da entidade, o ataque encontra-se agora em investigação, sendo que o alegado hacker responsável pelo ataque afirma ter dados sensíveis da instituição em sua posse.

O EPE é um portal usado por especialistas das forças de segurança, como forma de partilhar informações e boas práticas a nível de crimes digitais.

A Europol afirma que foi notificada para o possível acesso de terceiros ao sistema, de onde podem ter sido recolhidos dados dos participantes no mesmo. No entanto, a entidade afirma que esta plataforma não conta com dados sensíveis da Europol, nem de investigações atualmente em vigor ou que possam ser drasticamente comprometidas.

Desta forma, a entidade afirma que nenhum dado operacional da mesma foi comprometido, nem das investigações atualmente em vigor. É importante sublinhar que, nos últimos meses, a Europol tem vindo a realizar um conjunto de detenções e medidas associadas com ciberataques, sobretudo no campo do ransomware.

Neste momento, o site da EPE encontra-se inacessível, com uma mensagem a informar de que a plataforma encontra-se sobre manutenção. Possivelmente será mantido nesse formato até que seja feita toda a investigação do incidente.

“IntelBroker”, um dos alegados atacantes, afirma que a plataforma continha dados de operações e confidenciais. Este alega ainda ter roubado vária informação que pode ser considerada sensível para a instituição.

O atacante afirma ainda ter atacado os sistemas da SIRIUS, um sistema usado pela Europol para partilhar informação associada com investigações em vigor com várias forças de segurança internacionais. Esta plataforma é vista como um meio seguro para a partilha de informações sensíveis sobre investigações a decorrer.

O mesmo encontra-se agora a vender os dados roubados, embora ainda se desconheça se existem interessados na compra.

11/05/2024
Autoridades confirmam identidade do gestor do grupo Lockbit

O FBI, Europol e NCA revelaram hoje a identidade e sanções do gestor da rede de operações do ransomware Lockbit. Esta revelação surge depois das autoridades terem apreendido a infraestrutura usada pelo grupo para as atividades.

De acordo com o comunicado das autoridades, o gestor das operações do Lockbit, conhecido na internet como “LockBitSupp”, foi confirmado como sendo Dmitry Yuryevich Khoroshev, residente na Rússia, com 31 anos. O mesmo terá ganho mais de 100 milhões de dólares com as atividades de ransomware e os vários pagamentos feitos ao grupo pelos ataques.

As autoridades encontram-se agora a acusar formalmente Khoroshev de todas as atividades relacionadas com o grupo de ransomware, e terão já aplicado medidas para a sua detenção – embora o mesmo esteja atualmente na Rússia, ficará impossibilitado de viajar para outros países, e caso entre em alguns dos países dentro do acordo das autoridades, enfrenta a possível pena de prisão.

Ao mesmo tempo, estas sanções e medidas das autoridades devem começar a ter um forte impacto nas atividades do grupo Lockbit, que agora fica consideravelmente mais apertado a nível dos ataques. As empresas que eventualmente paguem pelo resgate de conteúdos ao grupo enfrentam ainda outras penalizações.

Como parte do programa de recompensas, as autoridades encontram-se a colocar 10 milhões de dólares em oferta para quem consiga fornecer informações que possam levar à detenção por parte das mesmas de Khoroshev.

Por fim, as autoridades afirmam que a apreensão da infraestrutura do grupo permitiu às autoridades obterem ainda mais chaves de desencriptação dos conteúdos roubados, que serão agora distribuídos pelas vítimas.

07/05/2024
Cidade de Wichita encerra sistemas depois de ataque ransomware

A cidade de Wichita, no Kansas, confirmou que teve de encerrar a sua infraestrutura informática, depois de ter sido alvo de um ataque de ransomware no fim de semana.

O ataque terá afetado alguns dos sistemas fundamentais da rede da cidade, forçando a que tivessem de ser desligadas partes importantes da rede. A cidade de Wichita é considerada uma das mais populosas dos EUA, com mais de 400.000 habitantes.

Em comunicado, as autoridades locais afirmam que o ataque obrigou a que os sistemas da cidade tivessem de ser encerrados, o que deixou muitos serviços públicos sem capacidade de responder a vários pedidos dos cidadãos.

De momento ainda se desconhecem detalhes sobre os dados potencialmente roubados, caso tal tenha ocorrido, mas os ataques de ransomware normalmente levam ao roubo de dados e encriptação de sistemas. Tendo em conta as medidas aplicadas, é bastante provável que os sistemas da cidade tenham sido afetados desta forma.

O comunicado aponta ainda que as autoridades encontram-se a investigar o incidente, de forma a avaliar os danos causados, e devem fornecer mais informações durante as próximas semanas.

Embora a rede da cidade esteja afetada, alguns dos serviços básicos, como de segurança e emergência, ainda se encontram funcionais, com as atividades reguladas por meios alternativos.

07/05/2024
Membro do grupo de ransomware REvil condenado a 14 anos de prisão

O cidadão ucraniano foi condenado a quase 14 anos de prisão, e ao pagamento de 16 milhões de dólares em restituições, pelas suas ações dentro do grupo de ransomware REvil.

Yaroslav Vasinksyi, também conhecido como “Rabotnik”, era membro do grupo de ransomware REvil, que terá participado em mais de 2500 ataques de ransomware. No total, o grupo terá obtido mais de 700 milhões de dólares em pagamentos de entidades que foram alvo do mesmo.

Derivado das suas atividades dentro do grupo, “Rabotnik” foi condenado pelas autoridades norte-americanas a 13 anos e 7 meses de prisão. O tribunal deu como provado que Vasinksyi terá realizado vários dos ataques do grupo, enviando o malware para as empresas de forma a tentar obter receitas com o pagamento de resgate dos conteúdos encriptados ou roubados.

O tribunal considera ainda que, embora as medidas tenham sido aplicadas pela lei norte-americana, as ações do grupo de ransomware atingiram empresas em todo o mundo.

Em 2022, cerca de um ano depois de Vasinksyi ter sido detido na Polónia, o mesmo foi extraditado para os EUA, onde foi formalmente acusado dos crimes associados com o grupo de ransomware. Eventualmente este viria a considerar-se culpado pelos crimes cometidos.

As autoridades apreenderam ainda mais de 39.89138522 bitcoins e 6.1 milhões de dólares que terão sido obtidos dos ataques realizados pelo grupo.

O grupo REvil era conhecido por aplicar uma técnica de extorsão dupla, onde primeiro encriptava os conteúdos dos sistemas infetados, mas também roubava os mesmos e ameaçava publicar informação sensível caso o pagamento não fosse realizado.

02/05/2024
Pagamentos de ransomware caem durante primeiro trimestre de 2024

Embora os ataques de ransomware ainda estejam bastante fortes no mercado, parece que os atacantes estão a receber cada vez menos dessas atividades. De acordo com um estudo realizado pela empresa Coveware, os pagamentos realizados de ataques ransomware estão num dos valores mais baixos dos últimos anos.

De acordo com o estudo, durante o último trimestre de 2023, apenas 29% dos ataques de ransomware realizados no mercado tiveram pagamentos associados. No entanto, este valor caiu para os 28% durante o primeiro trimestre de 2024, demonstrando que existem ainda menos entidades a realizar os pagamentos, apesar do aumento de ataques.

Em parte, o volume mais reduzido de pagamentos encontra-se em queda derivado das entidades estarem mais preparadas para recuperar deste género de ataques, bem como da implementação de novas medidas de proteção contra este género de ataques.

Ao mesmo tempo, embora os ataques e roubos de dados de ransomware ainda ocorram, existem cada vez menos grupos de ransomware a realmente publicar os conteúdos roubados.

No entanto, embora o volume de pagamentos realizados de ataques ransomware estar em queda, os valores dos pagamentos realizados encontram-se a atingir novos valores recorde. Em parte isto ocorre porque os atacantes encontram-se também a aumentar os valores dos pagamentos para resgate de conteúdos e para evitar que a publicação dos mesmos seja realizada.

Em média, os pagamentos encontram-se agora nos 381,980 dólares, uma queda de 32% face ao mesmo período anterior.

Por entre os principais meios usados para os ataques encontra-se uma tendência crescente para explorar falhas em sistemas de acesso remoto, bem como um aumento dos casos em que a origem do ataque é desconhecida.

21/04/2024
Programa das Nações Unidas para o Desenvolvimento confirma roubo de dados em ransomware

A United Nations Development Programme (UNDP) confirmou que se encontra a investigar um possível ciberataque à sua rede, onde os atacantes podem ter obtido acesso aos dados internos da entidade.

A UNDP faz parte das Nações Unidas, e desenvolve uma rede interligada de 170 países e territórios onde as nações unidas se encontram ativamente. Num recente comunicado, a entidade afirma que atores externos conseguiram obter acesso à rede interna da organização, em finais de Março, sendo que usaram esse acesso para roubar dados internos da entidade.

Depois do ataque ter sido identificado, foram realizadas todas as medidas de segurança para conter o mesmo, e evitar que mais dados fossem acedidos. A entidade ainda se encontra a investigar o incidente, bem como os dados concretos que foram roubados e qual o impacto dos mesmos.

Embora a entidade ainda não tenha revelado detalhes sobre a origem do ataque, o mesmo já terá sido reivindicado pelo grupo de ransomware 8Base. Numa mensagem publicada no seu site da Dark web, o grupo alega ter obtido acesso a dados internos da instituição, incluindo faturas, documentos de contabilidade, dados pessoais, certificados e acordos com funcionários.

O grupo alega ainda ter acedido e roubado dados confidenciais da organização, que poderiam ser prejudiciais para os programas da mesma.

O grupo 8Base é relativamente recente no mercado do ransomware, tendo começado as suas atividades em Junho de 2023, mas expandindo os ataques para um largo número de entidades em diferentes países. Atualmente o grupo conta com mais de 350 vítimas no seu portal.

19/04/2024
Grupo de ransomware HelloKitty muda de nome e divulga dados da CDPR e Cisco

O grupo de ransomware conhecido como “HelloKitty” terá realizado recentemente um “rebranding” do seu nome, ao que se conjuga ainda a divulgação de dados alegadamente de duas novas empresas.

O grupo passou agora a chamar-se “HelloGookie”, tendo aproveitado a mudança para divulgar dados associados com as empresas CD Projekt e a Cisco. A isto junta-se ainda as chaves de desbloqueio para ataques antigos, a sistemas que teriam sido comprometidos no passado.

Este grupo é agora gerido por uma pessoa apelidada de “Gookee/kapuchin0”, que se diz o autor original do grupo anterior. Além da mudança de nome, o grupo divulgou ainda um novo portal na dark web, que será usado para a partilha de dados das empresas atacadas.

O primeiro alvo terá sido a CD Projekt, sendo que o grupo divulgou quase 450 GB de dados associados com o código fonte original de Witcher 3, Gwent, Cyberpunk e vários SDKs da empresa.

De relembrar que o grupo, ainda sobre o nome de HelloKitty, tinha realizado um ataque contra esta entidade em Fevereiro de 2021, altura em que o mesmo alegava que os sistemas da editora teriam sido comprometidos e encriptados, com os dados roubados.

Na altura, o grupo alegou que os dados roubados teriam sido vendidos, incluindo código fonte do não lançado Witcher 3.

Quanto ao leak de dados da Cisco, este integra um conjunto de chaves NTLM (NT LAN Manager), encriptadas, que supostamente foram extraídas de sistemas internos da empresa através de exploração de falhas na rede interna da mesma.

19/04/2024
Grupo alega roubo de dados da Família Real Britânica

Um grupo de ransomware afirmou recentemente ter roubado dados associados com a Família Real Britânica.

O grupo de ransomware conhecido como “snatch” afirmou, pelo seu portal na rede Tor, que terá obtido dados da Família Real Britânica, estando a publicar dados potencialmente sensíveis da mesma e de vários dos seus integrantes.

De notar que, até ao momento, o grupo não deixou provas concretas dos dados que terão sido obtidos, sendo que a indicação apenas surge no site do mesmo. O grupo alega que deverá publicar brevemente mais informações sobre os dados roubados.

A ter também em conta que, até ao momento, as autoridades do Reino Unido não deixaram qualquer mensagem relativamente a possíveis roubos de dados, nem existe uma confirmação oficial sobre o mesmo.

Tendo em conta a pouca informação existente sobre o ataque e alegado roubo de dados, deve-se ter em atenção que pode ser um roubo fabricado pelo grupo. No entanto, iremos atualizar o presente artigo caso venham a surgir novas informações.

15/04/2024
Câmara de Elvas alvo de ataque informático

A Câmara de Elvas foi recentemente alvo de um ataque informático, onde podem ter sido comprometidos alguns sistemas internos da instituição.

De acordo com o jornal Linhas de Elvas, o ataque terá ocorrido entre segunda e terça-feira, sendo que afetou alguns dos sistemas internos da entidade. No entanto, acredita-se que dados pessoais ou sensíveis não tenham sido comprometidos.

No entanto, este ataque terá afetado o normal funcionamento da instituição, com alguns dos serviços com contratempos, sobretudo os serviços dependentes dos sistemas informáticos.

De acordo com a entidade, o ataque terá sido relacionado com um malware, que se instalou em alguns sistemas da organização. Não existem indícios, até ao momento, de que tenha sido um ataque de ransomware – de onde poderia ocorrer o roubo de dados.

No entanto, a investigação do incidente ainda se encontra a decorrer.

Os sistemas infetados foram isolados da restante rede, para evitar a propagação. A entidade afirma que, atualmente, os serviços afetados já se encontram restaurados na normalidade.

10/04/2024
Targus afirma ter sido alvo de ataque informático

A fabricante de acessórios para portáteis e tablets “Targus” confirmou ter sido alvo de um ataque informático. A empresa afirma que os atacantes terão conseguido aceder aos servidores da empresa, e obtiveram acesso a dados internos da mesma.

A Targus é uma empresa reconhecida por produzir acessórios premium para computadores portáteis, tablets e smartphones. Esta conta com clientes a nível global e os seus produtos são vendidos em várias plataformas, tanto físicas como digitais.

De acordo com os documentos apresentados nas autoridades dos EUA, a Targus identificou o ataque no dia 5 de Abril de 2024, quando foram identificados ficheiros suspeitos nos sistemas usados pela entidade. Os atacantes foram posteriormente identificados com acesso a vários servidores usados pela entidade, e onde estariam localizados ficheiros da mesma.

A empresa iniciou as medidas de resposta ao incidente, tendo isolado imediatamente todos os sistemas afetados. No entanto, esta ação também levou a que a rede interna da Targus ficasse inacessível, juntamente com vários dos serviços fornecidos pela mesma.

A empresa afirma que o ataque terá sido contido, e que se encontra atualmente a ser feita a investigação do incidente com a ajudar de entidades externas.

A entidade não revelou quais os dados que terão sido afetados pelo ataque, embora tendo em conta que os atacantes obtiveram acesso aos dados internos dos servidores da empresa, é possível que se inclua acesso a dados sensíveis ou de clientes e encomendas.

Até ao momento, nenhum grupo de ransomware confirmou o ataque.

09/04/2024
Campanha de malware sobre IA propaga-se em publicidade do Facebook

O Facebook encontra-se a ser alvo de uma nova campanha de malware em publicidade, distribuída na plataforma por páginas e contas roubadas. Nesta campanha, são promovidos serviços de IA, nomeadamente acessos às plataformas da MidJourney, SORA da OpenAI e ao ChatGPT-5, com o objetivo de levar as vítimas a descarregarem potencial malware para os sistemas.

As campanhas propagam-se como publicidade dentro do Facebook, através de contas roubadas ou comprometidas, onde os utilizadores são aliciados para poderem usar as ferramentas de IA a custo zero. Para tal, apenas necessitam de descarregar o software de fontes externas – a maioria de sites de armazenamento cloud, como a Dropbox e Mega.

Para dar mais credibilidade à campanha, a publicidade pode não direcionar os utilizadores diretamente para o conteúdo malicioso, mas sim para grupos privados dentro do Facebook, onde são partilhados exemplos de conteúdos criados por IA. Junto a estes encontram-se os links onde se pode, alegadamente, descarregar os conteúdos.

Se as vítimas descarregarem os softwares para os seus sistemas, encontram-se a abrir portas a potenciais ataques, com o mesmo a descarregar diferentes malwares, desde ransomware a keyloggers, que roubam dados de login dos sistemas.

Num dos casos investigados pela empresa de segurança Bitdefender, a página do Facebook usada para a campanha maliciosa prometia acesso a ferramentas do Midjourney, sendo que possuía cerca de 1.2 milhões de seguidores. Esta encontrava-se ativa durante mais de um ano, sem que a Meta tenha aplicado medidas contra a mesma.

Acredita-se que os atacantes não tenham criado a página de raiz, mas sim obtiveram acesso à mesma, tendo alterado no processo para levar ao esquema.

A maioria dos conteúdos que são oferecidos para download, e que prometem o acesso às ferramentas de IA, encontram-se em ficheiros comprimidos, que estão protegidos com senhas para prevenir a verificação por parte de softwares de segurança.

Este género de campanhas encontram-se novamente ativas em peso, e embora algumas das páginas usadas para as mesmas tenham sido, entretanto, removidas, os autores do esquema encontram-se a criar e usar páginas com um volume elevado de seguidores para continuar a campanha.

Os utilizadores são aconselhados a terem atenção aos conteúdos que acedem pela internet, sobretudo quando estes são requeridos para tarefas duvidosas ou são provenientes de fontes pouco credíveis – ou envolvem passos adicionais, como os de introduzir senhas para acessos.

05/04/2024
Autoridades da Alemanha encerram portal da darkweb Nemesis

As autoridades da Alemanha confirmaram ter apreendido a infraestrutura do portal da darkweb “Nemesis”, bastante usado para a venda de conteúdos ilegais. As autoridades confirmam que a ação terá interrompido as atividades do portal por completo.

As autoridades afirmam que a operação levou a que toda a infraestrutura fosse apreendida, no passado dia 20 de Março de 2024, juntamente com mais de 100.000 dólares em dinheiro de suspeitos de manterem ativa a mesma.

O site “Nemesis” foi originalmente lançado em 2021, como mais um portal de venda de conteúdos ilegais na dark web, sobretudo de drogas, bem como cartões de crédito roubados e outros. Era um palco de venda de atividades de ransomware e phishing, onde os vendedores colocavam à disposição dos interessados informação pessoal e sensível das vítimas.

No seu pico, a plataforma contava com mais de 150.000 contas registadas, e mais de 1100 vendedores, sendo que 20% dos mesmos encontravam-se diretamente na Alemanha.

As autoridades terão começado a investigação ao portal em outubro de 2022, sendo que, desde então, atuaram com as autoridades de vários países para tentar obter acesso à infraestruturam, e eventuais administradores do site.

Ao mesmo tempo foi ainda recolhida informação sobre os vendedores e utilizadores registados no portal, que será usada para ajudar em eventuais investigações ativas nos mesmos.

O site na rede Tor do portal encontra-se atualmente encerrado, com uma mensagem deixada pelas autoridades sobre a operação.

22/03/2024
Ransomware StopCrypt recebe nova versão capaz de contornar proteções

Foi recentemente identificada uma nova variante do ransomware StopCrypt, que nos últimos tempos tem vindo a crescer de popularidade. A nova variante encontra-se agora focada para tentar contornar algumas das medidas de segurança que podem encontrar-se nos sistemas.

O ransomware StopCrypt, ao contrário dos grupos de ransomware regulares, não se foca a grandes empresas, mas sim a utilizadores regulares. Considera-se que seja uma das variantes de ransomware mais distribuídas a nível global, mas raramente ganha atenção devido a focar-se apenas em vitimas individuais, por vezes com pagamentos de resgate relativamente pequenos – cerca de 400 a 1000 dólares.

No entanto, isso não implica que o ransomware seja menos perigoso, já que pode levar ao roubo de informações potencialmente sensíveis, e também ao bloqueio de sistemas com conteúdos indispensáveis para muitos.

Embora o ransomware tenha vindo a sofrer mudanças nos últimos tempos, recentemente verificou-se a existência de uma nova variante do mesmo, ainda mais perigosa. Os investigadores da empresa SonicWall revelaram uma nova versão do ransomware, que é capaz de contornar algumas das medidas de segurança que se encontram tradicionalmente nos sistemas.

Usando um conjunto de técnicas avançadas, esta nova variante é capaz de esconder as suas atividades dos softwares de segurança, e acabar por encriptar os conteúdos de forma eficaz – mesmo que os utilizadores tenham total cuidado.

O malware possui primeiro a capacidade de analisar o sistema silenciosamente, verificando quais os processo ativos e a forma como este é usado. Depois, quando for a altura certa, o mesmo procede com o “ataque”, injetando o conteúdo malicioso nos processos da memória.

Esta nova variante tem vindo a ser descoberta em alguns dos mais recentes ataques do ransomware. Como referido anteriormente, o foco não será grandes empresas, mas sim pequenos indivíduos que podem ter mais incentivo para realizar o pagamento de pequenas quantias, de forma a evitarem terem os seus dados encriptados.

15/03/2024
Nissan vai notificar clientes sobre roubo de dados em Dezembro

A Nissan Oceania confirmou ter sido a mais recente vítima de um ataque informático, de onde terão sido comprometidas informações de 100.000 clientes. A empresa confirmou que vai começar a notificar os clientes afetados durante os próximos dias.

O ataque terá ocorrido em Dezembro de 2023, a mesma altura em que o grupo de ransomware Akira terá confirmado que teria obtido acesso aos sistemas da entidade. Os dados dizem respeito a clientes da Nissan na Austrália e Nova Zelândia, e inclui dados pessoais dos mesmos que foram usados para obter serviços da empresa.

Entre estes inclui-se cartões de cidadão, passaportes, ficheiros de finanças e licenças de condução. Integra-se ainda informação dedicada da empresa, que terá sido também comprometida do ataque.

A empresa indica que irá começar a notificar os clientes afetados, indicando os dados potencialmente roubados e os passos a seguir. A empresa também lamenta o sucedido, indicando que irá melhorar a segurança dos seus sistemas para prevenir situações similares no futuro.

Segundo o comunicado da Nissan, “Estamos empenhados em contactar as pessoas afectadas o mais rapidamente possível para lhes dizer quais as informações envolvidas, como as estamos a apoiar e as medidas que podem tomar para se protegerem contra o risco de danos, roubo de identidade, burlas ou fraudes.”

Na Austrália, a Equifax oferece aos indivíduos afetados 12 meses de monitorização de crédito gratuita e, na Nova Zelândia, um serviço semelhante está a ser disponibilizado pela Centrix.

Os indivíduos em ambos os territórios terão também acesso aos serviços da IDCARE para proteção contra a utilização indevida de dados roubados, e aqueles que necessitem de substituir documentos de identificação podem solicitar o reembolso dos custos à Nissan Oceânia.

Embora a empresa não tenha confirmado que o ataque terá sido de ransomware, o grupo Akira tinha reivindicado o roubo de dados da empresa em finais de 2023, e aparenta ter sido a origem da divulgação das informações agora confirmadas pela Nissan.

14/03/2024
Afiliado do grupo de ransomware LockBit condenado a quatro anos de prisão

Mikhail Vasiliev, um dos afiliados do grupo LockBit, que recentemente teve as operações afetadas por uma investigação das forças de segurança, foi sentenciado a quatro anos de prisão pelo seu envolvimento com o grupo.

Vasiliev foi detido pelas autoridades em Novembro de 2022, tendo-se declarado como culpado de oito crimes em Fevereiro de 2024. O mesmo estaria acusado de vários crimes informáticos, associados com as suas atividades como afiliado do grupo de ransomware LockBit.

As autoridades acreditam que Vasiliev seria um dos principais afiliados do grupo, e terá participado em alguns dos maiores ataques do mesmo, tendo levado a mais de 100 milhões de dólares pagos em resgates.

A maioria das vítimas de Vasiliev terão sido afetadas entre 2021 e 2022, altura em que o mesmo esteve mais ativo dentro do grupo. O advogado do mesmo afirma que Vasiliev terá começado as atividades criminosas durante a pandemia, e que se encontra responsável pelos seus atos.

Para além de quatro anos de prisão, Vasiliev encontra-se ainda sujeito ao pagamento de quase 860.000 dólares em restituições para as vítimas do mesmo em diferentes países. Este encontra-se ainda a aguardar extradição do Canadá para os EUA, onde pode enfrentar ainda mais coimas.

Em tempos, o LockBit foi um dos mais ativos grupos de ransomware no mercado, tendo contado com centenas de vitimas em todo o mundo. O grupo encontrava-se a preparar para lançar a sua quarta geração do ransomware aos afiliados, antes de ter sido destabilizado pelas forças de segurança, que desmantelaram as atividades e sistemas usados pelo grupo.

Apesar disso, o grupo terá voltado a surgir no mercado, sobre uma nova infraestrutura, e encontra-se novamente a realizar várias vítimas.

13/03/2024
Universidade de Stanford falhou durante quatro meses a identificar ransomware

A Universidade de Stanford confirmou que foi vítima de um incidente informático, que terá permanecido indetetável durante quase quatro meses. O ataque terá ocorrido durante o ano passado, e os atacantes mantiveram acesso aos sistemas da instituição por quatro meses antes de terem sido identificados.

Em outubro de 2023, o grupo de ransomware Akira tinha indicado que teria obtido dados da instituição, no que aparentava ser um ataque de ransomware aos sistemas internos da mesma. No entanto, na altura, a Universidade apenas indicou que estaria a investigar a situação, sem mencionar diretamente um roubo de dados.

Esta confirmação apenas viria a surgir mais tarde, quando uma notificação foi enviada para 27.000 pessoas afetadas pelo ataque. Na mesma, a Universidade confirmava o ataque de ransomware, com consequente roubo de dados, e forneceu alguns detalhes sobre a investigação que teria sido feita.

No entanto, os documentos apresentados durante esta semana para as autoridades dos EUA, revelam ainda mais detalhes sobre o caso. Aparentemente a Universidade terá sido atacada, mas apenas quatro meses depois é que esta terá obtido conhecimento de tal.

No relatório apresentado às autoridades dos EUA, a Universidade afirma que as investigações levaram a indicar o ataque como tendo ocorrido a 12 de Maio de 2023, mas apenas a 27 de Setembro do mesmo ano é que este acesso indevido foi identificado pela instituição. Durante mais de quatro meses, os atacantes tiveram acesso à rede interna e sistemas da instituição, período que terão usado para roubar dados sensíveis da mesma, antes de bloquearem os sistemas com o ransomware.

De momento ainda se desconhecem detalhes sobre a informação que foi concretamente comprometida, mas é possível que envolva diversas divisões da universidade.

Todos os utilizadores afetados pelo ataque terão recebido 24 meses de serviço de monitorização para fraudes bancárias e possuem acesso a um sistema de seguro de 1 milhão de dólares, para cobrir possíveis perdas relacionadas com o ataque.

Enquanto isso, o grupo de ransomware Akira afirma ter roubado mais de 430 GB de dados, que inclui documentos internos e dados pessoais de funcionários e docentes em geral. Os dados encontra-se agora disponíveis publicamente pelo grupo.

13/03/2024
Ataque de ransomware roubo documentos sensíveis da Suíça

O National Cyber Security Centre (NCSC) da Suíça emitiu recentemente o seu relatório sobre o ataque ransomware à entidade Xplain, confirmando que centena de documentos sensíveis do governo podem ter sido comprometidos.

A Xplain é uma empresa focada no desenvolvimento de tecnologias e softwares que são usados por várias entidades governamentais na Suíça. Recentemente a entidade confirmou ter sido alvo de um ataque de ransomware, de onde terão sido roubados dados sensíveis da mesma.

O ataque foi confirmado pelo grupo Play, a 23 de Maio de 2023. Na altura, o grupo afirmava ter obtido acesso a documentos sensíveis da entidade, tendo em Junho do mesmo ano publicado os mesmos.

Depois de uma investigação iniciada pelo governo da Suíça, chega-se agora à conclusão que, por entre os dados roubados, podem encontrar-se documentos e conteúdos sensíveis de várias organizações governamentais do pais.

Segundo o relatório da investigação, mais de 65.000 documentos do governo foram revelados no leak. No total, foram identificados mais de 1.3 milhões de ficheiros no leak, mas apenas estes 5% dizem respeito a informação potencialmente sensível.

Foi ainda revelado que cerca de 5 mil documentos possuem dados sensíveis de informação pessoal, como nomes, moradas, emails, números de telefone e outras informações identificativas.

As autoridades afirmam que o relatório do incidente terá demorado mais tempo que o inicialmente previsto tendo em conta a quantidade elevada de informação que se encontra no leak, e dos dados sensíveis existentes.

08/03/2024
Grupo de ransomware BlackCat terá encerrado atividades em rumores de “scam”

O grupo de ransomware BlackCat encontra-se a realizar um alegado “scam”, tendo encerrado as suas atividades, alegando que a infraestrutura dos mesmos foi apreendida, enquanto fica com o dinheiro dos afiliados do grupo.

O grupo confirmou ainda que vai vender o código fonte do seu malware, pelo preço de 5 milhões de dólares. A partir de um fórum na dark web, um alegado membro do grupo afirma que o mesmo terá decidido encerrar o projeto, alegando que as autoridades teriam acesso à infraestrutura, mas não foram fornecidos detalhes adicionais.

Vários analistas, no entanto, indicam que o grupo não terá sido alvo de uma rusga das autoridades, mas sim decidiram aproveitar o momento para enganar os afiliados, ficando com o dinheiro dos ataques realizados recentemente.

O investigador Fabian Wosar afirma que o grupo apenas se encontra a apresentar uma falsa mensagem, que estaria alojada em outro site do grupo no passado. As autoridades também terão indicado que não possuem qualquer informação sobre a apreensão dos sistemas do grupo, e não se encontra ativo nenhum processo de apreensão dos sistemas pelas mesmas.

Embora ainda não existe uma confirmação oficial de que se trata de um “scam”, alguns afiliados afirmam que o grupo terá encerrado as suas operações depois de ter obtido um pagamento de 22 milhões de dólares, alegadamente do ataque de ransomware realizado à Change Healtcare.

Esta fonte terá ainda indicado que o grupo obteve cerca de 350 Bitcoins associados a este pagamento, o que totaliza os 23 milhões de dólares, tendo posteriormente repartido esse valor em várias carteiras para começar a realizar a “lavagem” do dinheiro virtual.

A fonte indica que o grupo terá encenado a apreensão dos sistemas pelas autoridades, para dar mais credibilidade ao esquema, enquanto fica com o dinheiro dos afiliados que usaram o seu ransomware. Ao mesmo tempo, este encontra-se a tentar obter ainda mais fundos com a venda do código fonte do seu ransomware por 5 milhões de dólares.

05/03/2024
IBM revela novo SSD capaz de bloquear ataques de ransomware

Os ataques de ransomware fazem cada vez mais vítimas, e embora as proteções contra os mesmos tenham também vindo a evoluir, ainda é complicado de prevenir os mesmos por inteiro.

A pensar nisso, a IBM apresentou agora uma solução algo “radical”, mas que pode ser bastante importante para quem pretenda garantir a segurança dos seus dados digitais. A empresa revelou um novo disco SSD, o qual usa Inteligência Artificial para identificar possíveis ataques de ransomware.

A medida é feita a nível do próprio disco, portanto não requer qualquer software e funciona em qualquer sistema. Quando um potencial ataque de ransomware é identificado, o disco “bloqueia” as suas atividades, impedindo que o mesmo possa encriptar um elevado volume de dados.

De momento, esta tecnologia encontra-se focada sobretudo para sistemas empresariais e servidores, portanto não é algo que esteja ao alcance do consumidor em geral. No entanto, a tecnologia pode vir a revelar-se importante para o futuro, como uma ferramenta adicional para prevenir este género de ataques.

Esta tecnologia monitoriza constantemente a leitura e escrita de dados no disco, sendo que, quando identifica padrões que podem ser considerados de atividades de ransomware, aplica um bloqueio geral do disco, prevenindo a escrita ou alteração dos dados no mesmo.

Como referido anteriormente, estes discos encontram-se atualmente focados para sistemas empresariais ou de servidores, e ainda deve demorar algum tempo até que venha a ficar acessível para utilizadores em geral.

02/03/2024
Grupo de ransomware afirma ter roubado dados de hotel de luxo em Lisboa

O grupo de ransomware Trigona afirma ter realizado um ataque ao Hotel Avenida Palace, um hotel de luxo situado no centro de Lisboa.

A partir do site na rede TOR do grupo, este afirma ter realizado o ataque ao grupo de hotéis, de onde se encontra englobado o Hotel Avenida Palace. O grupo divulgou ainda alguns dos conteúdos que terão sido obtidos do ataquem, onde se encontram dados de clientes, incluindo imagens de cartões de cidadão e emails trocados com a instituição. Surgem ainda dados relativos a faturas e documentos de reservas feitos em plataformas onde o hotel se encontra registado.

O grupo encontra-se atualmente a vender os dados roubados, com um valor inicial de venda nos 1,000,000.00 de dólares. Caso não seja encontrado comprador no prazo de 27 dias, os dados passam a ser vendidos para quem tenha oferecido a licitação mais alta.

O Hotel Avenida Palace é classificado como um hotel de luxo, de cinco estrelas, e regularmente alberga algumas personalidades de renome. Este encontra-se localizado numa zona histórica de Lisboa.

29/02/2024
Epic Games nega ter sido alvo de ataque ransomware e roubo de dados

Durante o dia de ontem, o grupo de ransomware Mogilevich alegou na sua plataforma da rede Tor que teria atacado a Epic Games, de onde obteve vária informação interna da empresa.

O grupo alegava ter mais de 189 GB de dados associados com a empresa, entre os quais se encontrava emails, senhas, dados de pagamento e código fonte. O grupo estaria a vender os dados para os interessados e que pagassem mais.

No entanto, o grupo não forneceu nenhuma prova dos dados obtidos, o que levantou algumas suspeitas. E agora, a Epic Games veio pronunciar-se sobre o caso.

De acordo com a empresa, não existem indícios de que o grupo de ransomware Mogilevich tenha realizado o roubo de qualquer informação interna da mesma. Ao mesmo tempo, a Epic Games afirma que o grupo não contactou a mesma com qualquer resgate, nem existem provas dos dados efetivamente roubados.

A única informação existente sobre o potencial roubo de dados será apenas da mensagem que o próprio grupo deixou na sua plataforma, onde normalmente coloca os conteúdos à venda.

A própria Epic Games afirma que também não existem indícios que os seus sistemas tenham sido de alguma forma comprometidos.

Até ao momento o grupo não deixou qualquer informação adicional sobre o ataque, nomeadamente a nível de provas dos dados obtidos da entidade.

28/02/2024
Grupo de ransomware afirma ter roubado dados da Epic Games

O grupo de ransomware conhecido como “Mogilevich” afirmou recentemente ter realizado o roubo de dados da Epic Games, uma das maioríssimas plataformas de videojogos no mercado.

A partir do site do grupo na rede TOR, o mesmo afirma ter acedido aos sistemas internos da Epic Games, de onde foram roubadas informações internas da mesma. Por entre os dados alegadamente roubados encontra-se o código-fonte do software e jogos da empresa, emails e senhas, dados de pagamento e outras informações potencialmente sensíveis.

O grupo afirma ter roubado um total de 189 GB de informação dos sistemas da empresa, dados que se encontram agora à venda. Os mesmos podem ainda ser divulgados caso a compra não seja feita até ao dia 4 de Março de 2024.

De momento ainda se desconhecem detalhes sobre os dados efetivamente roubados, sendo que a Epic Games não deixou nenhum comunicado sobre o eventual roubo dos mesmos.

O grupo de ransomware Mogilevich é relativamente recente no mercado, mas nos últimos dias tem vindo a realizar alguns ataques de peso, afirmando já ter roubado informação de várias entidades.

27/02/2024
LockBit teria mais de 110 milhões de dólares em criptomoedas não usadas

Depois da operação que desmantelou a infraestrutura do grupo de ransomware LockBit, surgem agora mais detalhes sobre as atividades do mesmo. Mais concretamente dos fundos que o grupo possuía associado com os resgates e pagamentos feitos pelas vítimas.

Dentro da operação das autoridades do Reino Unido, foram apreendidas centenas de carteiras de criptomoedas, que teriam associados pagamentos de resgate das vítimas do ransomware. Segundo a NCA, o grupo contava com mais de 500 carteiras ativas para estas atividades.

De acordo com a investigação das autoridades, estas carteiras terão recebido, ao longo de 18 meses, mais de 125 milhões de dólares de vítimas do ransomware. Além disso, as autoridades descobriram ainda que 2.200 BTC pertencentes ao grupo ainda estariam ativos nestas carteiras – não tendo sido gastos para as atividades do mesmo.

Tendo em conta o valor do bitcoin atualmente, isto totaliza cerca de 110 milhões de dólares por gastar dos pagamentos realizados pelas vítimas do ransomware.

No entanto, as autoridades relembram que este valor não inclui os pagamentos feitos por afiliados do grupo, pelo que o valor retirado das vitimas pode ser consideravelmente superior.

É importante relembrar que estes valores foram atingidos com apenas 18 meses de atividade do grupo, sendo que a continuação das atividades pode levar a perdas ainda mais avultadas – recentemente o grupo parece ter voltado ao ativo sobre um novo endereço da rede Tor, e com novas vítimas.

Ao mesmo tempo, é bastante provável que os valores tenham sido usados pelo grupo para as suas atividades, portanto o total gasto para as atividades maliciosas pode ter sido em valores bastante mais avultados.

As autoridades também revelaram que o grupo mantinha algumas carteiras em plataformas populares de criptomoedas, como a Binance, que contavam com algumas centenas de dólares. Estas eram possivelmente usadas para atividades mais “banais” de pagamentos – todas as carteiras identificadas nestas plataformas foram prontamente bloqueadas.

26/02/2024
Insomniac Games alerta funcionários devido a ataque ransomware

A Insomniac Games, editora de jogos subsidiária da Sony, encontra-se a alertar os seus funcionários para um novo potencial de ataque contra os mesmos, depois da entidade ter sido alvo de um ataque de ransomware em Novembro do ano passado.

A editora é conhecida por vários títulos populares no mercado, como Spider-Man 2, que foi lançado recentemente para a PlayStation 5, e encontra-se agora a trabalhar em Wolverine.

Em dezembro de 2023, a Sony confirmou que um ataque de ransomware à Insomniac Games terá levado ao roubo de 1.3 milhões de ficheiros da rede interna da empresa, incluindo informações sobre jogos da mesma, e também dados pessoais de alguns dos seus funcionários.

O ataque terá sido realizado pelo grupo de ransomware Rhysida, que exigia o pagamento de 2 milhões de dólares para evitar a publicação dos conteúdos – algo que não aconteceu. Como tal, o grupo divulgou mais de 1,67 TB de materiais associados com a editora.

Por entre os dados roubados encontra-se informação pessoal de vários funcionários da empresa, incluindo os seus cartões de identificação e outros conteúdos pessoais.

Numa mensagem interna, a empresa deixa agora mais detalhes para os funcionários sobre os conteúdos efetivamente roubados. De acordo com a mesma, após a investigação do incidente, a entidade afirma que o grupo terá roubado informações sensíveis e pessoais dos funcionários, incluindo números de segurança social e outros elementos de identificação, que podem agora começar a ser usados contra os mesmos.

A empresa vai ainda oferecer aos seus funcionários serviços da ID Watchdog, uma entidade focada na proteção de identidade, de forma a evitar possíveis usos da informação para outros crimes. Foi ainda estabelecida uma linha de contacto direta para os funcionários afetados, onde estes podem obter mais informações sobre o incidente e obter eventual ajuda.

De momento ainda se desconhece o número exato de funcionários que terão sido afetados por este ataque, sendo que a Sony não revelou números concretos. A empresa indica, no entanto, que a investigação sobre o incidente ainda se encontra a decorrer.

26/02/2024
LockBit volta ao ativo depois de mega operação das autoridades

Durante a semana passada, as autoridades do Reino Unido revelaram uma das maiores operações contra um dos maiores grupos de ransomware no ativo. O grupo LockBit é atualmente um dos mais reconhecidos na área, tendo começado as suas atividades em meados de 2019.

As autoridades revelaram recentemente a operação Cronos, onde foram apreendidos vários servidores e sistemas usados pelo grupo para os seus ataques. O site do grupo, que anteriormente teria as vitimas do mesmo, passou também a ser controlado pelas autoridades, que o usaram para partilhar informações sobre a operação, o grupo, e ajuda para as vítimas do mesmo.

No entanto, embora a operação tenha levado ao desmantelamento dos sistemas usados pelo grupo para os seus ataques, e de vários sites onde essa informação era partilhada, parece que não impediu inteiramente as atividades deste.

Dentro da rede TOR, o grupo encontra-se agora de novo no ativo, tendo já um novo site .onion, e contando também com uma lista de novas vítimas. Isto indica que as atividades do grupo ainda se encontram bastante ativas, apesar do impacto que a operação das autoridades teve.

Ao mesmo tempo, o grupo veio publicamente deixar uma mensagem sobre o sucedido. Na sua mensagem, o grupo afirma que as autoridades apenas obtiveram acesso à infraestrutura antiga devido à “preguiça” do grupo em atualizar as suas infraestruturas.

Mais concretamente, este afirma que as autoridades terão explorado uma falha relativamente recente no PHP, que terá levado a obter detalhes dos sistemas, e eventualmente, ao controlo dos mesmos. Esta falha terá sido explorada porque os sistemas usados pelo grupo não estariam atualizados corretamente.

Na mesma mensagem, o grupo deixa ainda claro que lançou o novo site, sobre novos servidores, com atualizações em linha. Além disso, o grupo afirma ainda que irá recompensar qualquer um que encontre falhas de segurança nos novos sistemas.

O grupo alega que as autoridades apenas terão ficado interessadas no grupo depois de ter ocorrido um ataque de ransomware à Fulton County, que levou a que vária informação sensível sobre o caso em ativo nos tribunais dos EUA fosse igualmente roubada. Face a isto, o grupo afirma que irá começar a focar-se em realizar mais ataques para entidades governamentais dos EUA, de forma a pressionar as mesmas.

Por fim, o grupo alega ainda que, das 1000 chaves de desencriptação obtidas pelas autoridades, estas diriam respeito a malware relativamente simples, que terá sido obtido de sistemas de encriptação usados por afiliados “de entrada”, com pedidos de resgate relativamente pequenos. Os sistemas que as autoridades tiveram acesso teriam ainda 20.000 chaves das quais estariam protegidas, e não foram obtidas, de um total de quase 40.000 chaves criadas desde o inico das operações do grupo.

Face à mensagem, fica claro que as atividades do grupo não devem parar, mesmo com a operação das forças de segurança. A lista de vítimas encontra-se agora a crescer no novo site da rede TOR, e espera-se que mais informações venham a ser reveladas em breve.

Ao mesmo tempo, a operação das autoridades, mesmo não tendo terminado com o grupo, causou danos graves na sua reputação e na informação que o mesmo possui, que pode influenciar as atividades futuras do mesmo, mas também de outros grupos de ransomware ligados a este.

25/02/2024
LockBit estaria a desenvolver ransomware ainda mais poderoso

Recentemente as autoridades desmantelaram praticamente todas as operações do grupo de ransomware LockBit. No entanto, antes disso acontecer, o grupo parecia estar a preparar-se para uma nova onda de ataques, com um novo ransomware ainda mais poderoso.

De acordo com a revelação das autoridades do Reino Unido, antes da operação ter desmantelado as operações do grupo, este encontrava-se a trabalhar numa nova geração do seu malware. Apelidado de LockBit 4.0, este novo sistema pretendia fornecer consideráveis melhorias na encriptação dos dados e na forma como os ataques seriam realizados.

O malware do LockBit encontra-se desenvolvido em código C++, no entanto, o LockBit 4.0 estaria desenvolvido em linguagem .NET, e seria consideravelmente mais poderoso que a geração anterior. Não apenas seria mais difícil de identificar, mas também iria realizar a encriptação dos dados de forma consideravelmente mais rápida.

De acordo com a empresa de segurança Trend Micro, que analisou o malware em desenvolvimento, este ainda possui algumas funcionalidades em falta comparativamente à geração anterior. No entanto, a sua funcionalidade base já estaria ativa, e permitiria realizar ataques em larga escala consideravelmente mais eficazes na encriptação dos dados.

Este conta ainda com um sistema de autodestruição, que poderia identificar quando as vitimas não realizaram o pagamento a tempo, e destrói automaticamente os ficheiros encriptados nos sistemas, preenchendo os mesmos com dados aleatórios.

Tendo em conta que as autoridades desmantelaram as operações do grupo, este malware não chegou a surgir em ataques. Mesmo que o código fonte do mesmo venha a ser usado para outras variantes de malware, as autoridades possuem agora conhecimento vasto do mesmo, o que pode ajudar a prevenir e contornar futuros ataques.

22/02/2024
EUA oferecem até 15 milhões de dólares por informações do grupo LockBit

Depois das autoridades de vários países terem desmantelado as operações do grupo de ransomware LockBit, agora as autoridades dos EUA encontram-se a oferecer até 15 milhões de dólares em recompensa para quem fornecer informações sobre o grupo e os seus membros.

As autoridades encontram-se a oferecer 10 milhões de dólares por informações que possam levar à captura do membro líder do grupo, com 5 milhões de extra para quem possa levar à apreensão de afiliados do grupo.

As autoridades dos EUA consideram que o grupo é responsável por mais de 2000 ataques a empresas a nível global, com 120 milhões de dólares em pagamentos realizados de resgates – embora o valor possa ser consideravelmente superior na realidade.

As autoridades encontram-se ainda a fornecer um portal dedicado na rede Tor para quem pretenda enviar informações de forma segura e anónima.

De relembrar que o grupo tem estado na mira das autoridades faz alguns meses, mas foi durante o início desta semana que uma operação conjuga de várias autoridades, liderada pela NCA do Reino Unido, levou ao desmantelamento dos sistemas usados pelo grupo, juntamente com a recolha de informações das suas atividades e membros.

As autoridades encontram-se ainda a fornecer uma ferramenta para desencriptar o ransomware do grupo, mais concretamente o LockBit 3.0 Black Ransomware, através de 1000 chaves que foram recolhidas dos sistemas do grupo.

Dois membros do grupo foram ainda presos na Polónia e Ucrânia, e encontram-se indiciados de terem ligações diretas ao grupo. No total, as autoridades apreenderam 34 servidores a nível global que eram usados para as atividades do grupo, juntamente com 200 carteiras de criptomoedas, usadas para recolher pagamentos das vítimas. O valor presente nas carteiras será ainda desconhecido.

21/02/2024
O que sabemos da investigação ao grupo de ransomware LockBit

De forma recente, um dos grupos de ransomware mais conhecidos no mercado, o LockBit, foi desmantelado numa mega operação das autoridades do Reino Unido.

O grupo era um dos mais reconhecidos, e também dos mais antigos, tendo começado as suas atividades em meados de 2019. Ao longo dos anos, este terá atacado milhares de empresas, em algumas situações até mesmo instituições que outros grupos de ransomware não se focavam – como hospitais e centros críticos de segurança.

Numa operação conjuga, várias autoridades em diferentes países desmantelaram praticamente todas as operações do grupo, mas também deixaram publicamente detalhes do mesmo. Os sites do grupo, onde anteriormente se encontravam as vítimas e dados associados às mesmas, encontra-se agora a apresentar informações sobre o grupo, os seus ataques, formas das vítimas tentarem recuperar conteúdos encriptados e outras informações.

No entanto, esta operação também permitiu conhecer um pouco de como funciona o submundo do ransomware e dos grupos mais reconhecidos, e como as autoridades realizam as suas tarefas para os identificar.

> Pagamento nem sempre leva a dados eliminados

Em primeiro lugar, um dos principais pontos de um ataque ransomware encontra-se na extorsão das vítimas. Estas são levadas a pagar uma elevada quantia, para evitar que os seus dados sejam expostos online para qualquer um ver.

No entanto, ao que parece no caso do LockBit, o grupo não estaria a eliminar os dados que possuía, mesmo depois das vítimas pagarem. As autoridades afirmam que muitas das vítimas que pagaram ainda teriam os dados guardados nos sistemas do grupo, o que poderia abrir portas para que, futuramente, esses dados fossem maliciosamente usados.

O grupo, durante as suas operações e negociações, indicava às vítimas que depois do pagamento os dados seriam eliminados. No entanto, isso nem sempre acontecia, com as autoridades a confirmarem que existem ainda dados presentes de vítimas confirmadas que pagaram pelo resgate.

> Vulnerabilidades afetam até os maus da fita

Ao mesmo tempo, a investigação das autoridades também levou a uma curiosidade. Mesmo os grupos de ransomware, que atuam na margem da lei, possuem alguma lentidão a corrigir vulnerabilidades do software que usam.

De acordo com o grupo de investigação vx-underground, um dos motivos que terá levado às autoridades obterem acesso aos sistemas do LockBit terá sido a exploração de uma falha de segurança no PHP. Isso terá permitido aos investigadores acederem aos sistemas do grupo, e eventualmente, a terem controlo do mesmo.

Isto terá ocorrido porque os sistemas que eram usados pelo grupo ainda não se encontravam atualizados para corrigir estas falhas. Isso terá permitido às autoridades explorarem a mesma para realizarem as suas investigações.

> As investigações podem demorar meses

Embora apenas agora as autoridades tenham confirmado o desmantelamento do grupo, a investigação ao mesmo teria começado muito antes. A operação Cronos, que levou a esta atividade, terá sido iniciada anos antes da confirmação.

Estima-se que a investigação começou em Abril de 2022, mas existe a possibilidade do grupo já se encontrar na mira de algumas autoridades ainda antes disso.

> LockBit terá atacado milhares de empresas

O grupo era conhecido como um dos mais ativos no mercado, mas ao mesmo tempo, não se conhecia inteiramente a extensão dos ataques realizados. Embora os sites do grupo na rede Tor apresentassem uma listagem das empresas afetadas, o número é consideravelmente superior.

As autoridades afirmam que existem mais de 2000 empresas que foram afetadas pelo ransomware do LockBit, com o grupo a receber mais de 120 milhões de dólares em pagamentos das mesmas pelos resgates.

> Encerramento do LockBit pode afetar outros grupos

Embora o LockBit tenha sido um dos grupos mais reconhecidos no mercado, o seu desmantelamento agora pelas autoridades pode ter impacto também para outros grupos que atuam na mesma área.

Ivan Gennadievich Kondratiev, um dos detidos que geria as operações do LockBit, acredita-se que teria ligações com outros grupos igualmente populares de ransomware, como o REvil, RansomEXX e Avaddon.

Tendo em conta a sua detenção, isso pode ter impacto para outros grupos onde o mesmo atuava, que mesmo mantendo-se ainda em atividade, podem vir a começar também a ser alvo de investigações das autoridades.

A apreensão da infraestrutura do LockBit também pode vir a permitir obter informações sobre atividades de outros grupos de ransomware, o que pode vir a levar a ainda mais baixas durante os próximos tempos.

Não existe como negar que o desmantelamento do grupo de ransomware LockBit foi uma das atividades mais exaustivas das autoridades contra este género de crimes, e que certamente terá impacto para o futuro das mesmas e até para outros grupos que ainda se mantenham em atividade.

21/02/2024
Código fonte do ransomware Knight à venda na dark web

O código fonte do ransomware Knight encontra-se atualmente à venda num site da dark web, alegadamente contendo a terceira geração do mesmo. Esta venda ocorre depois das atividades do grupo terem sido aparentemente desmanteladas.

O ransomware Knight foi inicialmente identificado nos finais de Julho de 2023, como parte de um rebranding das operações de outro grupo, conhecido como Cyclops. Este grupo focava-se sobretudo em sistemas Windows, macOS e Linux.

O grupo começou a ganhar notoriedade depois de ter começado a fornecer uma versão “de entrada” para o seu ransomware, que permitia aos afiliados terem as suas próprias versões do mesmo, adaptadas para pequenas empresas, e com custos mais reduzidos.

De acordo com a firma de cibe inteligência KELA, a venda do código fonte foi colocada num site da dark web, onde o vendedor alega ser a terceira geração do ransomware, incluindo os acessos ao painel de controlo e todo o código fonte, que aparentemente encontra-se desenvolvido na linguagem de programação Glong C++.

Esta versão foi originalmente lançada em Novembro de 2023, na altura com velocidades de encriptação dos dados consideravelmente mais rápidas que as gerações anteriores, o que permitia realizar os ataques mais rapidamente antes de o mesmo ser identificado.

O grupo não forneceu nenhuma informação concreta sobre se terá terminado as suas atividades, mas não existem relatos de ataques do mesmo desde inícios de Dezembro de 2023. Desde o início das suas atividades, o grupo terá atacado mais de 50 empresas a nível global.

21/02/2024
Autoridades detiveram membros do grupo LockBit em mega operação

Depois de ter sido confirmado, durante o dia de ontem, que as operações do grupo LockBit teriam sido desmanteladas, hoje chega o comunicado oficial das autoridades sobre a detenção dos gestores deste grupo.

Foram detidos membros do grupo LockBit na Polónia e Ucrânia. As autoridades de França e dos EUA também emitiram três mandados de detenção para membros do grupo, e indiciaram cinco suspeitos de atividades relacionadas ao grupo.

Segundo os documentos das autoridades norte-americanas, dois dos indiciados são os cidadãos russos Artur Sungatov e Ivan Gennadievich Kondratiev.

De relembrar que as atividades do grupo LockBit foram desmanteladas recentemente, numa operação liderada pela National Crime Agency (NCA), com o nome de Operação Cronos, e coordenada pela Europol e Eurojust. A investigação terá começado em Abril de 2022 pela Eurojust, depois de uma queixa apresentada pelas autoridades francesas.

Conforme o comunicado, as autoridades terão desmantelado a infraestrutura usada pelo grupo, e obtiveram acesso a várias informações internas do grupo, de onde se inclui chaves de encriptação e outros conteúdos. Foram ainda apreendidos mais de 34 servidores em países como a Alemanha, Finlândia, França, Suíça, Reino Unido, EUA e outros.

Toda a infraestrutura do grupo encontra-se atualmente sob o controlo das autoridades, que também confirmaram tal medida com a alteração do site usado pelo grupo, e onde se encontravam alguns dos “leaks” feitos recentemente. Foram ainda identificadas mais de 14.000 contas usadas por afiliados e membros do grupo.

Como parte da operação, as autoridades afirmam ainda ter recolhido mais de 1000 chaves de desencriptação de conteúdos, das vítimas mais recentes do grupo. Estas chaves serão agora usadas para a criação de uma ferramenta de desencriptação para as vítimas do ransomware.

Foram ainda apreendidas 200 carteiras de criptomoedas, que teriam fundos do grupo e das vítimas do mesmo ao longo dos anos, embora o valor concreto aprendido ainda seja desconhecido. A Europol afirma ainda ter obtido bastante informação sobre o grupo e as operações do mesmo, que poderá ajudar em outras investigações em curso.

Ainda como parte desta operação, a NCA aparenta ter alterado o site principal do grupo na rede Tor, passando a indicar algumas informações sobre a operação – depois de, no dia de ontem, este ter apresentado uma mensagem de ter sido apreendido pelas autoridades.

Hoje o site apresenta mais detalhes sobre o que ocorreu, juntamente com detalhes sobre o grupo e as futuras atividades. Existe ainda informação para as vítimas, que são aconselhadas a entrarem em contacto com as autoridades para tentarem obter as chaves de desencriptação de conteúdos.

No site é ainda indicado que, no dia 23 de Fevereiro, serão fornecidos mais detalhes sobre “LockbitSupp”, uma das personalidades mais reconhecidas do grupo, tendo em conta que seria a responsável pelas comunicações externas do mesmo.

De relembrar que as atividades do grupo começaram em Setembro de 2019, e desde então, este tem realizado vastos ataques a diversas empresas a nível global, incluindo a algumas entidades em Portugal.

20/02/2024
Grupo de ransomware LockBit desmantelado em operação policial

Numa operação conjunta de várias autoridades, em mais de 11 países, foram desmanteladas as operações do grupo de ransomware LockBit. Esta operação ficou conhecida como “Cronos”, e levou a que os sistemas do grupo fossem inteiramente desmantelados.

O site anteriormente usado pelo grupo para partilhar os ataques mais recentes apresenta atualmente uma mensagem das autoridades, indicando ter sido apreendido pelas autoridades do Reino Unido. A mensagem indica ainda algumas das entidades que participaram na operação Cronos, onde se inclui o FBI.

Apesar do site principal do grupo, onde eram partilhadas a maioria dos ataques, apresentar esta mensagem, existem alguns sites de backup do grupo que ainda se encontram ativos – embora tendo em conta a operação, é possível que venham a ser desativados nos próximos dias.

As autoridades esperam apresentar mais detalhes da operação num comunicado, durante o dia de amanhã. De momento ainda se desconhece se esta operação teve impacto apenas para o site ou se foram detidos suspeitos como parte do grupo.

O LockBit é um dos mais reconhecidos grupos de ransomware que se encontravam em atividade, tendo iniciado os ataques em Setembro de 2019. Desde então, o grupo tem vindo a realizar vários ataques a entidades de reconhecido perfil, incluindo a algumas empresas sediadas em Portugal.

19/02/2024
Grupo de ransomware Cactus confirma roubo de 1.5 TB de dados da Schneider Electric

O grupo de ransomware Cactus confirmou ter roubado mais de 1.5 TB de dados da empresa Schneider Electric, depois de um ataque que terá ocorrido no mês passado.

O grupo confirmou ter estado por detrás do ataque à Schneider Electric, que ocorreu durante o mês de Janeiro, e de onde a empresa já tinha confirmado que teria sido alvo do ataque. O grupo confirma agora a autoria do mesmo, tendo roubado cerca de 1.5 TB de dados associados com a entidade, clientes e parceiros.

Para comprovar o ataque, o grupo disponibilizou um ficheiro com 25 MB, contendo alguns dos dados roubados, e de onde se encontram fotos de passaportes e cartões de cidadão de vários clientes da empresa.

O grupo encontra-se agora a tentar extorquir a empresa, que caso não realize o pagamento, terá os dados publicamente revelados. De momento ainda se desconhecem detalhes sobre os dados que terão sido roubados, mas sabe-se que o ataque ocorreu na divisão de Sustentabilidade. Como tal, é possível que tenha alguns dos parceiros da entidade e de alguns dos seus clientes.

O grupo de ransomware Cactus é relativamente recente no mercado, tendo começado os seus ataques apenas em Março de 2023. O grupo é conhecido por realizar a extorsão das empresas relativamente aos dados roubados, usando várias técnicas para tentar obter acesso aos sistemas internos das mesmas – a partir de onde começa a recolher dados para posterior ataque.

19/02/2024
Grupo de ransomware Alpha ligado a membros do antigo grupo NetWalker

Vários investigadores de segurança confirmaram que o modelo de operação do grupos de ransomware Alpha possui indicações de ser bastante similar às operações do grupo “Netwalker”, que foi desmantelado depois de uma operação das autoridades em 2021.

O grupo Netwalker foi bastante ativo no meio, fornecendo ransomware-as-a-service (RaaS) entre Outubro de 2019 e Janeiro de 2021, até à altura em que as autoridades apreenderam a infraestrutura do mesmo – e basicamente ditaram o fim das operações. Embora ninguém do grupo tenha sido diretamente indiciado pelos crimes, as atividades do mesmo foram suspensas por tempo indeterminado – e o grupo desapareceu da lista de ataques.

No entanto, em Fevereiro de 2023, um novo grupo “Alpha” começou a surgir no mercado, e embora tenha mantido um perfil de baixo destaque, com pequenos ataques a serem realizados de tempos a tempos, parece que existem agora indícios que apontam para a possibilidade deste grupo ser formado por antigos membros do Netwalker.

Um relatório da empresa Neterich afirma que o grupo tem vindo a intensificar as suas atividades, e que o número de vítimas pode ser consideravelmente superior ao que se encontra no site oficial do mesmo -atualmente cerca de 9 entidades.

De acordo com Neterich, o pedido de resgate varia entre 0,272 BTC (13.200 dólares à taxa de câmbio atual) e até 100.000 dólares, dependendo provavelmente da dimensão da empresa da vítima.

A empresa de segurança Symantec também indica que, analisando o ransomware do grupo, e o modo de ataque, existem fortes indícios de que o mesmo estará ligado com membros do antigo grupo Netwalker. Existem bastantes semelhanças a nível do código do ransomware, e da própria forma como este infeta os sistemas, para se acreditar que venham da mesma fonte no final.

Embora ainda tenha as suas atividades bastante “ocultas” no meios de outros grupos de ransomware mais populares, muitos investigadores de segurança apontam que o grupo Alpha tem o potencial de vir a tornar-se bastante importante nos próximos meses.

17/02/2024
Ataques informáticos aumentaram 40% em 2023

A S21sec, uma das líderes europeias em serviços de cibersegurança adquirida pelo Grupo Thales em 2022, publicou o seu relatório semestral – Threat Landscape Report –, que analisa a evolução dos ciber-riscos, ciberataques e do cibercrime ao longo do segundo semestre de 2023. Neste período registaram-se 2.492 incidentes de ransomware a nível global, face a 1.487 no segundo semestre de 2022, o que representa um aumento de 40%.

O relatório, liderado pela equipa de Threat Intelligence da empresa, refere que se registaram 47 ataques de ransomware em Espanha e 12 em Portugal, ocupando o 8.º e 28.º lugar, respetivamente, na lista de 104 países analisados.

Os Estados Unidos lideram o ranking de países alvos de ataques de ransomware, com 1.194 incidentes identificados, seguidos pelo Reino Unido e pelo Canadá, como 167 e 98 ataques respetivamente. No segundo semestre, registou-se um total de 2.492 incidentes de ransomware a nível global, contabilizando 4.619 ao longo de todo o ano de 2023. Entre os setores mais afetados neste período encontram-se a indústria em primeiro lugar, ocupando 31% dos ataques, a consultoria em segundo lugar como 13%, e o setor de serviços contabilizando 8% do total.

Relativamente aos grupos de cibercriminosos, o LockBit mantém-se como a ameaça mais ativa em 2023, com um total de 517 incidentes, um lugar que mantém desde 2022, seguido pelo BlackCat (ALPHV), que ocupa o segundo lugar com 206 vítimas. O grupo de ransomware Play ascendeu ao terceiro lugar, com 202 empresas afetadas nos últimos seis meses de 2023. Ainda assim, verificou-se uma proliferação de novos grupos que se juntam aos grupos cibercriminosos de ransomware existentes, registando-se 11 novos grupos, entre as quais se encontraram entidades conhecidas como Cactus, INC Ransom, Metaencryptor, Ransomed VC (Raznatovic), ThreeAM, CiphBit, LostTrust, Hunters International, Meow, DragonForce e Lobisomens.

Conflito Israel-Hamas: um aumento dos ataques informáticos

O conflito entre Israel e o Hamas, com início em outubro de 2023, proporcionou o aparecimento e a mobilização de diversos grupos hacktivistas, bem como diversos atores de ameaças que exploram a situação de guerra para avançarem com os seus próprios objetivos. Ainda assim, reafirma-se a existência de grupos patrocinados por estados como o Irão ou a Rússia, que têm interesse especial na região. Esses cibercriminosos estão a levar a cabo diversos tipos de ataques, como DDoS (Distributed Denial Of Servicel, a alteração não autorizada de conteúdos de websites (deface), a exfiltração de dados, a encriptação e bloqueio de dados e a participação em espionagem informática.

Estes ataques foram impactados em setores chave para a segurança nacional, como a energia, infraestruturas críticas, telecomunicações, transporte, educação ou finanças. No entanto, alguns serviços públicos como a eletricidade, o gás ou os fornecedores de água, e outros setores que sustentam um pilar essencial para a sociedade, também forma vítimas desses grupos criminosos.

Esses atores hacktivistas cometeram ataques maliciosos através de canais como o Telegram e outros fóruns da Dark Web como BreachForums, Dread Forum, Cracked, Nulled e Leakbase. Além disso, a maior parte destes perfis está alinhada com ideologias políticas especificas mais de 25 declararam o seu apoio a Israel, enquanto mais de 70 mostraram a sua postura de favorecer a palestina.

“Este aumento da atividade hacktivista reflete também o aprofundamento da dimensão digital dentro do conflito Israel-Hamas, evidenciando o papel crescente das alianças cibernéticas nas disputas geopolíticas. A maioria destes grupos de atores maliciosos tem motivações ideológicas ou religiosas, tendo sido identificadas a atacar seletivamente entidades israelitas ou palestinianas, mas também organizações e entidades localizadas em países não relacionados com o conflito, mas com interesses ou posições favoráveis a uma das causas”, destacou Hugo Nunes, responsável da equipa de Threat Intelligence de S21sec em Portugal.

15/02/2024
Bank of America alerta cliente para potencial roubo de dados

O Bank of América, uma das maiores entidades bancárias nos EUA, encontra-se a alertar os seus clientes para a possibilidade de dados pessoais dos mesmos terem sido comprometidos, depois de uma entidade terceira com a qual este trabalha ter sido atacada durante o ano passado.

Em causa encontra-se a empresa Infosys McCamish Systems (IMS), que durante o ano passado foi alvo de um ataque informático. Deste ataque, podem ter sido comprometidos alguns dados pessoais, de onde se encontram os de titulares de contas bancárias no “Bank of América”.

Entre os dados potencialmente comprometidos encontram-se nomes, moradas, emails, números de segurança social, datas de nascimento, dados financeiros e outros. Embora a entidade bancária não tenha indicado o número de clientes afetados, os documentos apresentados pela IMS às autoridades apontam que 57,028 clientes podem ter os dados comprometidos.

O ataque ocorreu no dia 3 de Novembro de 2023, sendo que, na altura, alguns dos sistemas da entidade ficaram inacessíveis. A 24 de Novembro, a entidade terá informado o Bank of America do potencial roubo de dados associados com clientes da instituição bancária.

Este ataque foi eventualmente reivindicado pelo grupo de ransomware LockBit, que prometeu disponibilizar os dados caso a entidade não realizasse o pagamento. Na mensagem, o grupo indica ainda que comprometeu mais de 2000 sistemas da entidade.

13/02/2024
18 hospitais na Roménia offline devido a ataque ransomware

Cerca de 18 hospitais na Roménia foram durante o início desta semana alvo de um ataque ransomware, que colocou em baixo a infraestrutura interna das organizações, usada para a gestão dos pacientes e outros tratamentos.

Durante o fim de semana, o sistema Hipocrate Information System (HIS), usado pelas entidades de saúde no pais, foi algo de um largo ataque externo, que terá comprometido o sistema e as informações presentes no mesmo. Derivado do ataque, o sistema teve de ser colocado offline, o que prejudicou as operações de pelo menos 18 hospitais na região.

O ataque terá sido identificado entre os dias 11 e 12 de Fevereiro, nos sistemas usados para a produção do HIS. Como parte do ataque, alguns dos conteúdos foram encriptados, e consequentemente, o sistema teve de ser colocado offline para prevenir danos maiores.

As autoridades afirmam que se encontra a ser feita a investigação do incidente, sendo também recomendado que não se tente entrar em contacto com os departamentos técnicos dos hospitais afetados, visto que se encontram a trabalhar para restaurar a normalidade.

Os 18 hospitais afetados podem igualmente ter contratempos a nível das suas tarefas diárias, sobretudo as que estariam dependentes do sistema HIS para funcionamento.

De momento ainda se desconhece se informação dos pacientes ou outros dados sensíveis podem ter sido recolhidos como parte do ataque.

12/02/2024
Existe uma nova ameaça para o sistema da Apple

Os utilizadores do macOS devem ficar atentos aos conteúdos que descarregam de fontes na internet. Uma nova campanha de malware, com foco em utilizadores do sistema da Apple, encontra-se a propagar em força sobre vários meios.

A campanha de malware tem vindo a propagar-se desde meados de Novembro de 2023, e normalmente ocorre como falsas atualizações para o Visual Studio. Os utilizadores são aliciados a instalar uma atualização para o programa, quando na realidade, encontram-se a instalar o malware nos seus sistemas.

O malware encontra-se desenvolvido na linguagem Rust, o que lhe permite ser compatível tanto com hardware Intel como ARM, incluindo os mais recentes processadores da Apple.

Este malware é conhecido como RustDoor, e de acordo com os investigadores da empresa de segurança Bitdefender, o mesmo usa a infraestrutura do grupo de ransomware ALPHV/BlackCat.

Uma vez instalado nos sistemas, este comunica com servidores em controlo dos atacantes, de onde recolhe os primeiros comandos para iniciar o ataque, e eventualmente, para onde envia os dados recolhidos dos sistemas infetados.

De notar que, apesar de o malware ter como foco roubar dados sensíveis dos utilizadores, não aplica a encriptação de conteúdos. Até ao momento, tendo em conta a forma como o sistema da Apple se encontra desenvolvido, não existem diretamente ferramentas capazes de encriptar conteúdos em massa dentro do sistema operativo da Apple.

No entanto, isso não coloca o malware como sendo menos perigoso, uma vez que pode levar ao roubo de informações sensíveis e de dados dos utilizadores, incluindo de contas online que o mesmo tenha salvaguardado no sistema.

Ao mesmo tempo, o malware instala também um backdoor no sistema operativo, o que permite aos criminosos realizarem mais ações no futuro sobre o sistema, entre as quais encontra-se a capacidade de enviar comandos remotos para várias tarefas dentro do sistema.

Os investigadores apontam que o malware tem vindo a ser distribuído desde o final de 2023, e que pode ter estado mais de três meses sem ser identificado. Apensa recentemente as campanhas começaram a ser notadas.

Desconhece-se também o número de utilizadores potencialmente afetados por este malware.

09/02/2024
Hyundai Motor Europe alvo de ataque de ransomware

A Hyundai Motor Europe é a mais recente empresa a ser alvo de um ataque de ransomware, tendo confirmado o ataque por parte do grupo Black Basta.

O grupo alega ter atacado a empresa, de onde foram recolhidos quase 3 TB de dados internos. Os dados podem incluir informação sensível da empresa, funcionários e dos seus clientes.

A Hyundai Motor Europe faz parte da Hyundai Motor Company, sendo responsável pelas atividades da empresa na zona europeia, e tendo sede na Alemanha. O ataque terá ocorrido em meados de Janeiro, depois de terem surgido rumores de falhas na rede interna da empresa.

Na altura, a empresa indicou que estaria a resolver os problemas verificados. No entanto, apenas de forma recente a entidade confirmou ter sido vítima de um ataque informático, de onde terão sido recolhidos dados internos da empresa, com recurso a ransomware.

A empresa indica que terceiros terão conseguido aceder à rede interna da empresa na Hyundai Motor Europe, de onde recolheram dados sensíveis. É ainda referido que as investigações do incidente ainda se encontram a decorrer, com a ajuda de fontes externas de cibersegurança. No entanto, as autoridades competentes foram alertadas para o ataque.

Apesar de a empresa não ter confirmado a origem do ataque, o mesmo já terá sido reivindicado pelo grupo de ransomware Black Basta, que afirma ter recolhido 3TB de dados da entidade.

De momento ainda se desconhecem detalhes concretos sobre os dados que foram roubados da empresa.

08/02/2024
Autoridades dos EUA oferecem 10 milhões de dólares por informações do grupo Hive

As autoridades dos EUA encontram-se a oferecer mais de 10 milhões de dólares em recompensa para quem consiga identificar o autor do ransomware Hive. Esta é mais uma medida das autoridades norte americanas para tentarem terminar com as atividades deste conhecido grupo de ransomware.

De acordo com os dados do FBI, o grupo já terá extorquido mais de 100 milhões de dólares em 1300 empresas, de 80 países, que foram vítimas do ransomware. Estes dados estariam associados ao período entre Junho de 2021 e Novembro de 2022.

Com isto em mente, as autoridades encontram-se agora a oferecer até 10,000,000 dólares em recompensa para quem consiga fornecer dicas úteis que possam ajudar a identificar os administradores deste grupo, com permissões especiais e elevadas no mesmo.

As autoridades afirmam ainda que estão a oferecer até 5,000,000 dólares de recompensa para quem consiga fornecer informações que possam levar até aos autores de menor grau dentro do grupo ou à detenção dos mesmos.

De notar que esta não é a primeira vez que as autoridades dos EUA lançam recompensas para identificar membros de grupos reconhecidos de ransomware. No passado, as autoridades já forneceram até 15 milhões de dólares para quem ajudasse a identificar membros de grupos como o Clop, Conti, Revil, entre outros.

Ao mesmo tempo, esta medida surge depois do FBI ter, em Janeiro de 2023, conseguido obter acesso às chaves do site na rede Tor do grupo, bem como várias chaves de desencriptação de conteúdos das vítimas do mesmo. As autoridades conseguiram ainda infiltrar-se na rede interna do grupo, de onde foram recolhidas importantes informações sobre o mesmo e as suas atividades, que também ajudaram a identificar as vítimas.

08/02/2024
HPE investiga possível roubo de dados internos da empresa

A Hewlett Packard Enterprise (HPE) confirmou que vai começar a investigar o potencial roubo de dados internos da empresa, depois de dados terem surgido à venda em sites da dark web, associados com a empresa.

A publicação da venda dos conteúdos da Hewlett Packard Enterprise indicava conter dados de login para vários funcionários da empresa, e que permitiam o acesso a sistemas internos da entidade.

Em comunicado, a empresa garante que não existem indícios de ataques realizados aos sistemas internos da empresa, e não foram realizados pedidos de ransomware do mesmo, mas em todo o caso a entidade encontra-se a analisar a situação.

Ao mesmo tempo, a empresa afirma que não existem indícios de que os serviços da mesma tenham sido afetados, bem como os dados de funcionários ou clientes. No entanto, a investigação ainda se encontra a decorrer, portanto podem vir a surgir mais informações em breve sobre o tema.

Enquanto isso, o vendedor dos dados tem vindo a partilhar várias imagens que comprovam a informação que este possui, mais concretamente alguns dos dados de login e dos sistemas internos da empresa. O vendedor destes dados possui um historial de venda deste género de conteúdos no passado, mas ainda não existe confirmação sobre a veracidade dos mesmos agora a serem colocados para venda da HPE.

06/02/2024
AnyDesk confirma ter sofrido ataque informático em sistemas centrais

A aplicação AnyDesk, conhecido software de controlo remoto de sistemas, confirmou recentemente ter sido vitima de um ataque informático, que terá comprometido alguns dos principais sistemas da entidade.

De acordo com o comunicado da empresa, alguns dos sistemas em produção da mesma foram alvo de um ataque, de onde podem ter sido roubadas informações importantes.

A aplicação é mais usada no meio empresarial, como forma de permitir aos administradores de redes controlarem remotamente os sistemas. No entanto, também possui a sua utilização pelo meio doméstico, como forma de rápido controlo de sistemas remotamente.

A AnyDesk confirmou ter sido vitima do ataque, que terá sido descoberto durante uma investigação feita a alguns dos sistemas da empresa. Nos mesmos, foram identificados sistemas comprometidos, dos quais os atacantes teriam controlo.

A empresa não revelou detalhes sobre o ataque, indicando apenas que não seria relacionado com ransomware. O comunicado da mesma apenas referiu os procedimentos tomados como resposta ao incidente, e não detalhes sobre o mesmo.

Ao mesmo tempo, a empresa refere ainda que o AnyDesk continua seguro para ser usado, e que nenhum cliente final foi afetado pelo ataque, ou os sistemas onde o programa se encontra instalado.

No entanto, a empresa recomenda que os utilizadores verifiquem se estão a usar a versão mais recente da aplicação, que conta com um certificado de segurança atualizado.

Esta indicação levanta a possibilidade de que os antigos certificados da empresa, usados para assinar a aplicação do AnyDesk, podem ter sido comprometidos. Isto permite aos atacantes criarem software que pode fazer-se passar como assinado digitalmente pela AnyDesk.

Apesar de a empresa garantir que nenhum token de sessão foi comprometido, a empresa encontra-se a realizar o reset de todas as senhas das contas de cliente dos utilizadores, para prevenir que as mesmas possam ser usadas. Ao mesmos tempo, a empresa garante que o seu sistema encontra-se desenvolvido de tal forma que os tokens não se encontra nos sistemas da empresa, e sim nos dispositivos onde a aplicação se encontra.

Desconhece-se quando o ataque terá ocorrido, mas algumas fontes indicam que o portal web da empresa esteve inacessível desde o dia 29 de Janeiro, altura em que deixou de ser possível realizar o login nas contas dos utilizadores. Tendo em conta a confirmação agora deixada, é possível que o ataque tenha ocorrido por esta altura.

A AnyDesk afirma que o portal web da empresa vai continuar inacessível ou em manutenção, com algumas falhas de acesso previstas, durante os próximos dias. No entanto, os utilizadores ainda podem usar as suas contas e o software na normalidade.

Além disso, a empresa garante que esta inacessibilidade não se encontra relacionada com o ataque, mas sim com uma manutenção prevista para o sistema.

Como sempre, apesar de a empresa garantir que as senhas dos clientes não foram afetadas, é recomendado que os utilizadores atualizem as mesmas assim que possível, bem como em outros locais onde essa mesma senha tenha sido usada.

04/02/2024
Maior banco da China evitou ransomware… por usar servidor desatualizado

O Banco Industrial e Comercial da China, ICBC, é considerado uma das maiores entidades bancárias no mercado a nível de ativos. Faz alguns meses, a entidade sofreu um ataque informático, onde ransomware terá sido instalado nos sistemas da mesma.

Apesar de o ataque ter sido rapidamente contido, isto não terá ocorrido porque a entidade financeira estaria a usar práticas de segurança adequadas e recentes… mas sim exatamente o oposto. O ataque apenas foi contido rapidamente porque o sistema afetado pelo ransomware estaria consideravelmente obsoleto.

Não é a primeira vez que existem histórias de sistemas considerados como “fundamentais” que se encontram em sistemas bastante antigos, muitas vezes com décadas sem atualizações. Isto nem sempre é considerado seguro, mas para o caso da ICBC pode ter sido uma ajuda.

Os ataques de ransomware possuem apenas um objetivo: levar ao bloqueio dos ficheiros nos sistemas infetados, obrigando as entidades a pagarem caso pretendam voltar a ter acesso aos mesmos. Em alguns casos, esses conteúdos são roubados antes de serem encriptados, para levar as vítimas a terem ainda mais tendência a pagar – ou podem ter os dados publicamente divulgados.

No caso da ICBC, a entidade foi alvo de um ataque de ransomware pelo grupo Lockbit. No entanto, este não terá sido mais grave porque os sistemas afetados estariam consideravelmente desatualizados.

A entidade usava um servidor extremamente antigo, da fabricante Novell, o qual se encontrava com o seu próprio sistema operativo Novell NetWare. Este sistema possui mais de 20 anos, sendo que a marca Novell não se encontra no mercado faz mais de dez anos.

O único motivo pelo qual o ransomware não terá causado mais estragos dentro da entidade será porque o mesmo não estava preparado para encontrar um sistema tão antigo. Quando este tentou correr dentro do Novell NetWare, o mesmo simplesmente falhou, uma vez que o malware não estaria preparado para este sistema.

Neste caso em particular, isso pode ter ajudado a prevenir que o ataque tivesse dimensões mais elevadas, e teoricamente, pode ter sido considerada uma proteção contra o mesmo. No entanto, de longe, usar um sistema antigo não é de todo recomendado, visto existirem outras falhas que podem ser exploradas para ataques em larga escala.

Ao mesmo tempo, é importante ter em conta que este ataque também demonstrou que a entidade necessita de atualizar os seus sistemas, já que os atacantes terão acedido ao sistema interno da entidade explorando uma falha do Citrix Bleed, que era conhecida faz mais de um mês antes do ataque.

02/02/2024
Pagamentos de ransomware estão a ser cada vez menos realizados

Os ataques de ransomware continua a encontrar-se em força pelo mercado, mas ao mesmo tempo, os criminosos encontram-se a receber cada vez menos receitas dos ataques.

De acordo com os dados da empresa Coveware, os pagamentos relacionados com ransomware encontram-se a atingir valores mínimos históricos, com cada vez menos vítimas a realizarem os pagamentos.

Apenas no último trimestre de 2023, os pagamentos associados com estes ataques caíram para apenas 29%, depois de terem estado em queda considerável nos meses anteriores.

Em meados de 2019, cerca de 85% dos ataques levavam a pagamentos das vítimas, mas este valor caiu para apenas 46% em meados de 2021. A queda tem vindo a manter-se durante os meses seguintes, atingindo agora valores recorde.

De acordo com a Coveware, existem algumas razões para tal. Uma delas encontra-se na melhor preparação das empresas contra este formato de ataques – embora ainda existam algumas entidades que descuidam esta proteção, existe um maior interesse das mesmas em proteger os seus dados.

Ao mesmo tempo, junta-se ainda o facto que, em alguns países, passou a ser ilegal realizar o pagamento de resgates de ransomware, o que também desmotiva as entidades a realizarem os mesmos com a possibilidade de serem aplicadas coimas ainda mais avultadas.

Existe ainda a questão de que nem todas as entidades confiam nos atacantes, que podem sempre receber os pagamentos e continuar a publicar os dados roubados – algo que não é inédito de ocorrer.

Além de existir uma queda nas entidades que optam por pagar, também se verificou uma queda no valor médio que é pago aos criminosos. A média no último trimestre de 2023 encontrava-se em 568.705 dólares por ataque, uma queda de 33% face ao trimestre anterior.

As previsões apontam que estes valores devem continuar em queda durante os próximos tempos, mesmo que ataques ransomware ainda estejam a ser realizados de forma praticamente diária.

30/01/2024
Schneider Electric pode ter sido alvo de ataque ransomware

A empresa do ramo da eletricidade Schneider Electric foi recentemente alvo de um ataque informático, de onde podem ter sido roubados dados internos e de clientes.

De acordo com algumas fontes, o ataque terá sido realizado pelo grupo conhecido como Cactus, e terá sido no formato de ransomware, pelo que além do roubo de dados, os conteúdos terão ainda sido encriptados para prevenir o acesso.

O ataque terá ocorrido na divisão de sustentabilidade da empresa, no passado dia 17 de Janeiro de 2024. O ataque terá ainda afetado alguns dos sistemas cloud internos da entidade, alguns dos quais ainda apresentam falhas atualmente.

O grupo de ransomware terá, alegadamente, roubado vários TB de dados internos da empresa, e encontra-se agora em negociações para evitar que os mesmos sejam publicados – com a exigência de pagamento da entidade para tal.

De momento ainda se desconhecem os dados concretos que foram roubados da entidade, mas acredita-se que podem englobar tanto projetos e planos internos da empresa, como também dados de clientes e parceiros da mesma, sobretudo os que atuam diretamente com a divisão afetada.

Por entre a informação podem encontrar-se dados sensíveis tanto da empresa como dos parceiros. De momento ainda se desconhece se a empresa irá pagar o resgate, mas caso tal não aconteça, existe uma forte possibilidade de os dados virem a ser publicados no site do grupo de ransomware na rede Tor, ficando assim acessíveis para todos.

De relembrar que a Schneider Electric já tinha sido afetada no passado por um ataque de ransomware, do grupo Clop, que terá explorado uma falha na plataforma MOVEit para atacar mais de 2700 empresas.

30/01/2024
Criador do ransomware TrickBot condenado a cinco anos de prisão

Vladimir Dunaev, o criador do malware Trickbot, foi condenado a uma pena de prisão de 5 anos e quatro meses pelas suas atividades no desenvolvimento do malware e distribuição do mesmo contra várias entidades, entre as quais encontram-se hospitais e outros centros de saúde a nível global.

De acordo com os documentos do tribunal, Vladimir Dunaev foi considerado culpado pela sua ligação com o desenvolvimento do malware. De relembrar que Dunaev foi detido pelas autoridades em Setembro de 2021, quando tentava sair da Coreia do Sul depois de ter estado preso na região por quase um ano, derivado da pandemia.

Depois de ter sido detido, o mesmo considerou-se culpado dos crimes que era acusado. Em particular pelas suas ligações com a criação do Trickbot, que foi bastante usado para infetar sistemas em larga escala, e chegou mesmo a afetar instituições de saúde e críticas para o mercado.

Dunaev foi ainda considerado culpado de ter distribuído este ransomware para diversos locais, além dos hospitais. O mesmo chegou a atingir escolas, empresas e várias outras instituições, a grande maioria localizada nos EUA, embora com raízes para outros países.

O programador começou a trabalhar no malware em Junho de 2016, na altura com o código ainda bastante simples e focado apenas para recolher dados através da alteração das definições de proxy no Firefox. No entanto, o malware foi evoluindo desde então, atingido o pico com a criação de uma variante focada para ransomware, que encriptava dados das entidades a troco de um pedido de resgate.

25/01/2024
Reino Unido alerta para ransomware criado com ajuda de Inteligência Artificial

A Inteligência Artificial encontra-se cada vez mais presente no dia a dia dos utilizadores, e isto também a torna mais acessível para criminosos, que a pretendem usar para fins menos “legais”.

Um dos exemplos encontra-se no uso da IA para malware, que pode permitir a criação de novas ameaças com o potencial de causar fortes danos aos sistemas e empresas. A pensar nisso, a NCSC do Reino Unido veio agora deixar o alerta que poderemos estar para ver uma nova vaga de ransomware no mercado, que vai aproveitar a IA para se desenvolver e evoluir.

A agência de segurança indica que, nos próximos dois anos, poderemos verificar um aumento considerável nos casos de ransomware que usa IA para evoluir, e com o objetivo de causar danos ainda maiores a individuais e empresas.

Ao mesmo tempo, a entidade acredita que a IA pode criminosos digitais novatos a evoluírem nas suas técnicas, e a criarem ameaças ainda maiores para o mercado em geral. Espera-se que as primeiras ameaças criadas neste sentido comecem a surgir nos próximos dois anos.

A maioria das plataformas LLM atualmente no mercado, como o ChatGPT e Copilot, contam com algumas medidas de proteção que previnem a criação de código malicioso ou que possa ser usado para atos ilícitos. No entanto, existem formas de contornar o mesmo, e até existem alguns LLM que são criados especificamente para este fim.

Um dos exemplos encontra-se no WormGPT, um serviço de IA pago que pode ser usado para criar código de malware diverso. Este pode ser usado tanto para malware diretamente, como também para criar mensagens de phishing convincentes.

O WormGPT é um claro exemplo de como a IA já não se encontra limitada apenas a sistemas controlados e seguros, e pode começar a ser usada em larga escala para malware e ataques diversos. Estima-se que estes géneros de sistemas venham apenas a aumentar com o passar do tempo, e conforme as tecnologias de IA também vão evoluindo no mercado.

24/01/2024
Ransomware Kasseika tenta desativar processos de softwares antivírus

Recentemente, um grupo de investigadores revelou ter descoberto um novo ransomware, que se encontra a usar drivers de antivírus para desativar as funcionalidades dos mesmos nos sistemas a infetar.

A campanha do ransomware encontra-se apelidada de “Kasseika”, e de acordo com os investigadores, consiste em usar drivers de sistemas de segurança para contornar as proteções nos sistemas que se pretenda infetar.

Segundo os investigadores da Trend Micro, o ransomware foi inicialmente descoberto em Dezembro de 2023, mas acredita-se que as atividades tenham sido realizadas pelo mesmo durante bastante tempo antes disso. O ransomware possui indícios de ser baseado na família do BlackMatter.

O código-fonte do BlackMatter nunca foi oficialmente divulgado, desde que as operações do mesmo encerraram em 2021. Como tal, acredita-se que o novo ransomware tenha sido criado por antigos membros responsáveis pelo ransomware antigo.

O ransomware distribui-se sobretudo sobre mensagens de phishing, enviadas para funcionários de empresas com o objetivo de roubar dados de acesso, e assim permitir que os atacantes possam aceder à rede interna.

Depois de infetar o sistema, o malware tenta começar por desativar os softwares de segurança que se encontrem no mesmo. Usando uma driver modificada, o mesmo tenta terminar os processos vulgarmente usados por software de segurança – de uma lista de 991 processos.

O objetivo será evitar que os softwares de segurança identifiquem as atividades do malware, e desta forma, possam evitar que os conteúdos sejam encriptados. Feito isto, o processo continua com as suas tarefas, recolhendo dados sensíveis e enviando para sistemas em controlo dos atacantes.

De acordo com os investigadores, o ransomware pede 50 BTC para desbloquear os ficheiros dos sistemas infetados, o que corresponde a cerca de 2,000,000 dólares. Eventualmente, caso o pagamento não seja realizado em 72 horas, os atacantes adicionam um custo adicional de 500.000 dólares.

Como sempre, os utilizadores devem ter extremo cuidado com emails que requeiram o download de conteúdos ou a visualização de documentos suspeitos que se encontrem em anexo aos mesmos.

24/01/2024