Categoria: ransomware

Fabricante de relógios Seiko é a mais recente vítima de ransomware

O grupo de ransomware BlackCat/ALPHV confirmou uma nova vitima, e desta vez é um nome bem conhecido para amantes de relógios de luxo. A marca Seiko é a mais recente vítima de ransomware do grupo, que afirma ter atacado a empresa japonesa no início do mês.

A Seiko conta atualmente com 12.000 empregados a nível global, e possui receitas de mais de 1.6 mil milhões de dólares anuais. A 10 de Agosto de 2023, a empresa tinha confirmado ter sido vitima de um ataque informático, onde terceiros poderiam ter acedido a dados internos da empresa.

A empresa confirma que os atacantes obtiveram acesso a um dos servidores da empresa, onde estariam dados da mesma. Quando o ataque foi identificado, foram aplicadas medidas imediatas para conter o mesmo, e evitar o roubo de ainda mais dados.

Hoje é conhecido que o ataque foi realizado pelo grupo BlackCat, depois do mesmo ter confirmado no seu site da rede Tor o ataque, estando ainda a disponibilizar os dados roubados da entidade. Entre os dados encontram-se informações confidenciais da empresa, de alguns dos funcionários e clientes, com foco também para esquemas de produção de alguns dos produtos da marca.

Isto pode indicar que o grupo possui acesso a esquemas confidenciais da empresa sobre novos produtos que podem ainda não ter sido lançados no mercado, e que nas mãos erradas, podem valer bastante dinheiro como segredo da empresa.

Até ao momento não existem indícios que a Seiko tenha interesse em pagar o resgate para evitar a publicação dos dados, ou que o tenha realizado.

21/08/2023
Contas do LinkedIn estão a ser alvo de ataques em massa

Se possui uma conta do LinkedIn, talvez seja recomendado verificar se todas as medidas de proteção da mesma estão ativadas – como a autenticação em duas etapas – e se a senha usada é segura e atualizada. Isto porque, recentemente, uma campanha de ataques tem vindo a ser focada em contas na plataforma.

Durante os últimos dias, vários investigadores de segurança confirmaram campanhas de ataque a contas do LinkedIn em massa, que se focam em tentar obter acesso a contas na plataforma. Estas estão a ser lançadas em ataques de tentativas de login sobre credenciais possivelmente roubadas de outras plataformas, ou nos vulgares ataques de brute force.

Segundo a empresa de segurança Cyberint, existem vários utilizadores da rede social profissional que viram as suas contas afetadas em vários ataques desde o início da semana, e os mesmos têm vindo a aumentar consideravelmente. Em plataformas como o Reddit e nos fóruns de suporte da Microsoft existem vários relatos de utilizadores que perderam as suas contas face a estes ataques.

Segundo os investigadores, algumas das contas afetadas foram mesmo alvo de “ransomware”, onde os donos das mesmas estariam a ser chantageados para pagarem de forma a recuperarem o acesso às mesmas.

A esta situação junta-se ainda uma demora na resposta do LinkedIn face aos problemas dos utilizadores. Embora ainda não existe um comunicado oficial da plataforma sobre a onda de ataques, os utilizadores que contactam o suporte do LinkedIn afirmam que as mensagens demoram bastante tempo a serem respondidas.

O formato de ataque é praticamente idêntico em todos os casos reportados nos últimos dias. Depois dos atacantes obterem acesso às contas, alteram as senhas de acesso e o email da conta, de forma que os utilizadores originais deixem de ter acesso ao serviço.

Em alguns casos, os utilizadores recebem ainda uma mensagem de resgate, onde são levados a pagar uma determinada quantia para obterem a conta de volta.

Apesar de não existirem formas perfeitas de prevenir um ataque, a melhor forma será ativar o sistema de autenticação em duas etapas da conta, juntamente com manter uma boa senha segura.

16/08/2023
Microsoft Defender recebe melhorias de desempenho e detecção de malware

A Microsoft tem vindo a realizar melhorias para a base do Microsoft Defender, não apenas para garantir melhorias a nível da deteção de conteúdos maliciosos, mas também para otimizar o desempenho do mesmo dentro do sistema operativo.

Mas recentemente, a empresa parece ter confirmado uma das maiores alterações dos últimos tempos sobre a base de dados do programa de segurança do Windows 10 e 11. Segundo a empresa, a mais recente atualização do Microsoft Defender foca-se em melhorar a capacidade de identificação de conteúdos maliciosos, bem como em melhorar o desempenho do mesmo dentro do sistema.

A nova versão do Defender 1.395.68.0 chega com otimizações para identificar mais rapidamente conteúdo malicioso, desde trojans a ransomware. Uma das novidades desta versão será que a mesma agora é capaz de bloquear o programa AutoKMS, um popular software usado para ativar ilegalmente o Windows.

Ao mesmo tempo, esta atualização chega ainda com otimizações a nível de desempenho, que fornecem melhorias consideráveis no uso de recursos do sistema, e que devem tornar a análise de conteúdos mais rápida e eficiente nos mesmos.

A atualização encontra-se disponível para utilizadores do Windows 10, Windows 11 e Windows Server. A mesma deve chegar como parte das atualizações regulares do Windows, via o Windows Update.

14/08/2023
Grupos de ransomware começam a usar torrents para partilha de dados

Os grupos de ransomware adaptam-se para facilitarem a forma de acesso aos dados que são roubados das empresas, e uma das formas que parece estar a ser adotada agora passa por usar torrents para a partilha dos dados.

O grupo Clop encontra-se a alterar a forma como distribui os conteúdos roubados das empresas atacadas, sobretudo sobre a onda de ataques explorando as falhas do software MOVEit. Invés de fornecer os dados diretamente para download, o grupo agora encontra-se a usar torrents para facilitar a partilha.

Em parte, esta medida foi adotada para permitir que os dados possam ficar disponíveis com velocidades mais elevadas de download, e também para prevenir que, no caso dos links originais ficarem indisponíveis, sejam impedidos os acessos.

Normalmente os ficheiros contendo os dados roubados das empresas são enviados via links da rede Tor, conhecida por ser particularmente lenta a nível de velocidade de transmissão. Usar torrents para este fim possui vantagens para o grupo e para quem pretenda aceder aos ficheiros.

Além disso, usando a tecnologia P2P, os dados podem ser partilhados mesmo que as fontes originais sejam bloqueadas – o que pode acontecer caso os links originais de partilha sejam desativados ou, por alguma razão, bloqueados pelas autoridades.

O grupo encontra-se já a usar torrents para fornecer alguns dados de empresas que foram atacadas nas últimas semanas. Entre estas encontram-se a Aon, K & L Gates, Putnam, Delaware Life, Zurich Brazil, e Heidelberg.

O grupo encontra-se ainda a fornecer informações no seu portal da dark web de como os utilizadores podem aceder aos torrents e descarregar a informação usando clientes de torrent – incluindo de forma anónima.

De notar que, mesmo que este método seja diferente do tradicional, a medida pode não garantir velocidades mais elevadas, o que pode variar conforme as fontes que estejam a distribuir os conteúdos – e tendo em conta que este género de conteúdos não será algo que todos pretendam manter-se a partilhar, possivelmente as fontes disponíveis serão as que estão em controlo dos próprios atacantes.

07/08/2023
Novo malware distribui-se em publicidade da Google e Bing

De tempos a tempos surgem campanhas de malware que se propagam de forma diferente, e a mais recente do malware conhecido como “Nitrogen” é um exemplo disso.

O Nitrogen é um malware que foi confirmado como estando bastante ativo nos últimos dias pela empresa de segurança Sophos. Segundo a mesma, este malware, depois de instalado no sistema, realiza diversas medidas para infetar o sistema com ransomware do grupo BlackCat/ALPHV.

O malware parece focado para empresas nos EUA, sendo que se faz passar como os programas AnyDesk, Cisco AnyConnect VPN, TreeSize Free, e WinSCP. No entanto, a forma como o mesmo se distribui será o ponto a ter em conta, uma vez que este usa campanhas de publicidade no Google Ads e no Bing para surgir nos primeiros resultados de pesquisa para termos regulares de pesquisa destes programas.

O esquema tenta enganar os utilizadores que procurem nos motores de pesquisa pelo software, levando os mesmos para resultados de sites em controlo dos atacantes, onde estão a ser descarregadas versões com malware dos programas.

Como a publicidade da Google e do Bing surge no topo dos resultados, os utilizadores podem pensar estar a aceder ao site verdadeiro, quando na verdade estão a aceder a uma cópia falsa com o programa modificado para integrar o malware.

Ao mesmo tempo, os sites usados para a campanha são capazes de identificar quando os utilizadores acedem via uma pesquisa ou diretamente. Se o utilizador aceder por intermédio de uma pesquisa, é apresentado o conteúdo para o tentar enganar – mas caso se tente aceder diretamente ao domínio, os utilizadores são redirecionados para o YouTube.

Isto permite que os atacantes possam também direcionar as campanhas de malware para países específicos – se os utilizadores não se encontrarem num pais que esteja como sendo o alvo, são redirecionados para conteúdos diferentes.

Caso seja instalado no sistema, o malware começa por se configurar para ser executado a cada cinco minutos, e para persistir no sistema mesmo se removidos os ficheiros do mesmo. Feito isto, procede com o download do ransomware, que começa então a encriptação e roubo dos dados.

Uma das formas de se evitar este género de ataques passa por evitar o acesso a links promovidos nos resultados de pesquisa, e verificando sempre o site de onde se encontra a descarregar o conteúdo, e se corresponde à localização esperada.

26/07/2023
Malware criado em Rust infeta tanto sistemas Windows como Linux

Recentemente foi revelado que a Microsoft iria começar a adicionar suporte para código Rust no Windows 11, melhorando algumas partes do kernel do sistema. Esta alteração foi recebida de bom agrado pela comunidade, em parte porque poderia permitir melhorar o desempenho geral do sistema e a sua estabilidade – atualizando uma das partes fundamentais do sistema.

A medida foi feita também para melhorar a segurança do sistema. De acordo com o Vice Presidente da divisão de segurança da Microsoft, David Weston, o Rust permite que o sistema seja consideravelmente mais seguro do que o código existente no kernel anterior do Windows.

No entanto, isso não quer dizer que o mesmo seja “impenetrável”. Recentemente, um grupo de investigadores da Palo Alto Networks revelaram ter descoberto um novo malware, criado em Rust, e que infeta tanto Windows como sistemas Linux. O malware, apelidado de P2PInfect, encontra-se construído em Rust, o que lhe permite ser capaz de infetar tanto sistemas Windows como Linux de forma similar.

O malware explora uma falha (CVE-2022-0543) que é conhecida desde 2022, mas que apenas agora se encontra a ser usada como a base do ataque. O malware foca-se sobretudo em sistemas que tenham servidores Redis, uma popular base de dados para aplicações, e que é também bastante usada em ambientes de sistemas Cloud.

O foco do malware parece ser infetar os sistemas para roubar informação potencialmente sensível, e executar outro malware dentro do mesmo, como ransomware. Ao mesmo tempo, o malware encontra-se criado para ser capaz de se propagar dentro de uma rede – dai o nome P2P. O mesmo pode analisar outros sistemas que também se encontrem vulneráveis dentro da mesma rede, passando o ataque para os mesmos.

22/07/2023
Ataques de ransomware a caminharem para novos recordes em 2023

O mercado do ransomware continua a encontrar-se bastante ativo, e não apenas a nível dos ataques que são realizados, mas também das empresas e entidades que acabam por realizar o pagamento.

De acordo com um estudo realizado pela empresa de análise do mercado Chainalysis, durante a primeira metade do ano encontra-se a atingir novos valores recorde de atividade de ransomware, ultrapassando os anteriores dados. Mas a acompanhar essa tendência encontra-se também o aumento de pagamentos feitos destes ataques.

Entre todos os formatos de esquemas e fraudes online, o ransomware é um dos poucos que regista um forte crescimento. Até finais de junho, tinham-se registados mais de 449.1 milhões de dólares em pagamentos deste género de crime – a maioria de entidades que pagaram pelo resgate dos seus ficheiros ou para evitar a publicação dos dados.

Na verdade, estes valores encontram-se próximos de atingir os valores recorde de 2022, sendo que na primeira metade do ano já se encontra a 90% do que se registou em todo o ano anterior.

Se a tendência se mantiver, é possível que os criminosos atinjam mais de 900 milhões de dólares roubados das vítimas, apenas alguns milhões abaixo dos 940 milhões de dólares registados em ransomware por 2021.

Em parte, os investigadores apontam que este aumento das receitas parte do facto que os ataques encontram-se cada vez mais direcionados para as grandes empresas, invés de serem apenas para pequenas entidades. Isto leva muitas a pagarem valores avultados para evitarem a divulgação de dados.

BlackBasta, LockBit, ALPHV/Blackcat e Clop estão entre os nomes na frente da lista, com mais pagamentos recebidos dos seus ataques. Apenas o grupo Clop registou uma média de 1.7 milhões de dólares por pagamento realizado.

As campanhas de ataques explorando falhas do GoAnywhere e MoveIT foram alguns dos exemplos que deixaram o grupo em destaque, pela quantidade de empresas que foram afetadas – e algumas ainda continuam a ser.

Alguns especialistas apontam que é possível verificar-se a uma tendência onde os pagamentos serão cada vez menos realizados, para a segunda metade do ano, mas os criminosos terão mais ações para realizar ataques e onde possam receber largas quantias de pagamento.

12/07/2023
Microsoft confirma falha zero-day no Office a afetar participantes no NATO Summit

A Microsoft confirmou que uma nova falha zero-day foi recentemente descoberta no Windows e Office, permitindo aos atacantes executarem código remotamente via arquivos do Office especialmente criados para explorar a mesma.

A falha é complexa de ser explorada, mas pode permitir a execução de código remoto sem que o utilizador tenha de realizar qualquer género de interação. Caso seja explorada, os atacantes podem obter acesso ao sistema e a informação potencialmente sensível.

A Microsoft afirma que a falha encontra-se a ser ativamente explorada para alguns ataques direcionados. No entanto, para a mesma ser explorada, o atacante ainda necessita de convencer a vítima a abrir o documento malicioso – apenas descarregar o mesmo não realiza a tarefa.

A falha ainda não foi corrigida, mas a Microsoft afirma que a correção deve ser lançada durante o pacote de atualizações mensais da empresa.

A empresa acredita que esta falha esteja a ser ativamente explorada para ataques a organizações que vão estar presentes na NATO Summit. As autoridades e investigadores de segurança afirmam terem descoberto que várias das entidades que vão encontrar-se no evento estão a ser alvo ativo de ataques de spam e phishing, focados em explorar exatamente esta falha.

Acredita-se que as campanhas ativas de exploração da falha estejam a ser realizadas pelo grupo RomCom, que é conhecido por ter ligações com as autoridades russas. Este grupo foca-se no roubo de dados sensíveis das empresas, e aplica várias técnicas de ransomware nas entidades afetadas.

Para evitar a exploração da falha, a Microsoft recomenda que os utilizadores tenham o Defender for Office ativo nos seus dispositivos, e mais concretamente a opção “Block all Office applications from creating child processes” ativada nas configurações do mesmo.

12/07/2023
Porto da cidade de Nagoya no Japão suspende atividades por ataque ransomware

O Japão continua a ser fustigado com ondas de ataques ransomware, e as mais recentes parecem agora estar a afetar as operações do porto da cidade de Nagoya, um dos maiores da região.

De acordo com as autoridades locais, os sistemas do porto de Nagoya terão sido comprometidos num ataque ransomware, o que se encontra a afetar o funcionamento do mesmo e das atividades. Este porto é responsável por quase 10% de todas as transações feitas no Japão, sendo que gere mais de dois milhões de contentores ao longo de um ano.

Este é também usado pela Toyota para a exportação de veículos do Japão para outras partes do mundo, e o recente ataque encontra-se a afetar igualmente as entregas em algumas regiões. De acordo com as autoridades, o sistema Nagoya Port Unified Terminal System, usado pelo porto para o controlo e gestão do mesmo, encontra-se seriamente afetado devido a um ataque de ransomware.

O ataque terá começado no dia 4 de Julho de 2023, quando as autoridades começaram a verificar que os sistemas de controlo do porto começaram a apresentar problemas. Por precaução, os sistemas que ainda estariam a funcionar foram inteiramente isolados.

As autoridades esperam que o sistema esteja reposto durante o dia de amanhã, no entanto, esta medida vai ter graves impactos a nível das operações por mais de 24 horas, o que pode causar atrasos nos envios do porto. Todos os envios e carregamentos encontram-se suspensos até que a situação seja resolvida.

Apesar das autoridades do porto terem lidado com ataques do género no passado, este parece ter sido um dos que mais afetou as operações no registo da entidade. De momento ainda se desconhecem detalhes sobre a origem do ataque ou o grupo responsável pelo mesmo.

05/07/2023
Siemens Energy e Schneider Electric confirma roubos de dados

Nos últimos dias, o grupo de ransomware Clop tem estado bastante ativo no mercado, com vários ataques a algumas empresas bem conhecidas no mercado. A mais recente foi a Siemens Energy, que terá sido alvo de roubo de dados derivado da exploração da falha do software MOVEit.

A Siemens Energy encontra-se sediada em Munique, sendo que conta com receitas anuais de 35 mil milhões de dólares. Recentemente o grupo de ransomware Clop confirmou ter obtido dados associados com a empresa, possivelmente obtidos através da exploração da falha do software MOVEit.

De acordo com o portal BleepingComputer, o grupo começou por confirmar o roubo de dados no seu portal da rede Tor, de forma a pressionar a empresa a pagar o resgate e evitar a publicação dos dados roubados. Eventualmente o grupo espera divulgar os dados roubados, embora tal ainda não tenha acontecido.

Em comunicado sobre o incidente, a Siemens Energy confirma o ataque, mas indica que nenhuma informação critica terá sido roubada da empresa. Esta sublinha ainda que as operações continuam como esperado, sendo que os sistemas afetados pelo ataque foram prontamente isolados para prevenir afetar outras áreas da entidade.

Além de ter confirmado o roubo da Siemens Energy, o grupo também indicou ter roubado dados da Schneider Electric, uma empresa sediada em França, do mesmo setor, com receitas anuais de 37 mil milhões de dólares.

Acredita-se que o roubo de dados desta entidade terá sido realizado usando o mesmo formato, através da exploração de falhas do software MOVEit.

27/06/2023
Lockbit alarga ataques para dispositivos macOS

O LockBit, um dos grupos de ransomware mais prolíficos do mundo, atualizou recentemente as suas operações com uma funcionalidade multiplataforma aperfeiçoada, de acordo com os especialistas em cibersegurança da Kaspersky. O LockBit ganhou notoriedade pelo seu implacável ataque a empresas em todo o mundo, deixando um rasto de devastação financeira e operacional. Este relatório recente da Kaspersky mostra a determinação do LockBit em expandir o seu alcance e maximizar o impacto das suas atividades maliciosas.

Nas suas fases iniciais, o LockBit operava sem portais de fuga, táticas de extorsão dupla ou exfiltração de dados antes de encriptar os dados das vítimas. No entanto, o grupo tem desenvolvido continuamente a sua infraestrutura e medidas de segurança para proteger os seus ativos contra várias ameaças, incluindo ataques aos seus painéis de administração e ataques disruptivos de negação de serviço distribuído (DDoS).

A comunidade de cibersegurança observou que o LockBit está a adotar código de outros grupos de ransomware infames, como o BlackMatter e o DarkSide. Este movimento estratégico não só simplifica as operações para potenciais afiliados, como também alarga a gama de vetores de ataque utilizados pelo LockBit. As recentes descobertas do KTAE (Threat Attribution Engine) da Kaspersky revelaram que o LockBit incorporou aproximadamente 25% do código anteriormente utilizado pelo agora extinto grupo de ransomware Conti, resultando numa nova variante conhecida como LockBit Green.

Num avanço significativo, os investigadores da Kaspersky descobriram um ficheiro ZIP que contém amostras do LockBit especificamente adaptadas a várias arquiteturas, incluindo Apple M1, ARM v6, ARM v7, FreeBSD, entre outras. Após uma análise e investigação minuciosas utilizando o KTAE, confirmaram que estas amostras eram originárias da versão LockBit Linux/ESXi anteriormente observada.

Embora algumas amostras, como a variante macOS, exijam configuração adicional e não estejam devidamente assinadas, é evidente que o LockBit está a testar ativamente o seu ransomware em várias plataformas, o que indica uma expansão iminente dos ataques. Este desenvolvimento sublinha a necessidade urgente de medidas robustas de cibersegurança em todas as plataformas e de uma maior sensibilização da comunidade empresarial.

“O LockBit é um grupo de ransomware altamente ativo e notório, conhecido pelos seus devastadores ciberataques a empresas de todo o mundo. Com os seus contínuos melhoramentos de infraestruturas e a incorporação de código de outros grupos de ransomware, o LockBit representa uma ameaça significativa e em evolução para organizações de vários sectores. É imperativo que as empresas reforcem as suas defesas, atualizem regularmente os sistemas de segurança, eduquem os funcionários sobre as melhores práticas de cibersegurança e estabeleçam protocolos de resposta a incidentes para mitigar eficazmente os riscos colocados pelo LockBit e por grupos de ransomware semelhantes”, afirma Marc Rivero, investigador de segurança sénior da Equipa de Análise e Pesquisa Global da Kaspersky.

27/06/2023
Problemas continuam no Reddit: 80GB de dados alegadamente roubados em ataque

O Reddit encontra-se a ter um dos piores períodos dos seus últimos anos. Numa altura em que a plataforma ainda se encontra a batalhar com as mudanças dos termos da sua API, que levaram a uma contestação generalizada por parte da comunidade, parece que agora a empresa pode ter sido o alvo de roubo de dados internos num novo ataque.

O grupo de ransomware AlphV afirma ter acedido aos servidores do Reddit a 5 de Fevereiro de 2023, de onde obteve cerca de 80 GB de dados da empresa – em ficheiros comprimidos, portanto os dados realmente roubados podem ser superiores.

Ao mesmo tempo, o grupo afirma que tentou contactar o Reddit sobre este roubo de dados no dia 13 de Abril e 16 de Junho, sem que a empresa tivesse respondido ao incidente.

O grupo afirma ainda que este leak surge numa das “melhores alturas” para o Reddit, que se encontra a meio de uma campanha de protesto pela sua comunidade e onde se espera também que a empresa vá entrar oficialmente na bolsa norte-americana.

Tendo em conta que se trata de um aparente ataque de ransomware, o grupo encontra-se a requerer 4.5 milhões de dólares pela remoção dos dados alegadamente roubados. Curiosamente, o grupo também alega que, para além do pagamento, o Reddit deve alterar a sua política da API paga.

Depois das notícias do ataque terem sido divulgadas, o Reddit publicou uma nota no seu blog oficial, indicando que apesar de ter confirmado a existência de roubo de dados internos da empresa, estes não afetam os dados dos utilizadores ou as suas contas. Os dados obtidos serão, segundo a empresa, associados com conteúdos internos da mesma – embora a investigação do incidente ainda esteja a ser realizada.

19/06/2023
Ataques de ransomware estão cada vez mais sofisticados

O ransomware é notícia nos jornais há vários anos consecutivos. Na busca por lucro, os criminosos têm visado quase todo o tipo de organizações, desde instituições de saúde e de ensino a prestadores de serviços e empresas industriais. A Kaspersky publicou um relatório que analisa o que aconteceu ao longo 2022, como está a ser 2023 e as principais tendências para este ano.

Em 2022, as soluções Kaspersky detetaram mais de 74,2 milhões de tentativas de ataques de ransomware, um aumento de 20% em relação a 2021 (61,7 milhões). Já no início de 2023, assistimos a um ligeiro declínio do número de ataques de ransomware. Porém, estes tornaram-se mais sofisticados e direcionados. Além disso, houve uma mudança drástica entre os grupos de ransomware mais influentes e prolíficos. Os REvil e Conti, que ocupavam, respetivamente, o 2.º e 3.º lugar em termos de ataques no primeiro trimestre de 2022 foram substituídos, nos primeiros três meses de 2023, pelos Vice Society e BlackCat. Dois dos outros grupos mais ativos atualmente são os Clop e os Royal.

Durante 2022, foram também descobertas modificações de ransomware multiplataforma que atraíram muita atenção dos analistas da Kaspersky. É o caso do Luna e do Black Basta. Os cibercriminosos tornaram-se ainda mais profissionais, com grupos como o BlackCat a melhorar e a aperfeiçoar as suas técnicas ao longo do ano. A situação geopolítica também está a ser explorada por alguns grupos de ransomware para promover os seus interesses, como o caso do ‘stealer’ Eternity, com os cibercriminosos a criar todo um ecossistema com uma nova variante do ransomware.

Para 2023, os peritos da Kaspersky apresentaram três tendências principais no desenvolvimento de ameaças de ransomware. A primeira refere-se à funcionalidade de auto-propagação ou uma imitação da mesma, com os Black Basta, LockBit e Play entre os exemplos mais significativos de ransomware que se propaga por si próprio.

Outra tendência emergente é a utilização abusiva de controladores para fins maliciosos. Algumas das vulnerabilidades dos controladores AV foram exploradas pelas famílias de ransomware AvosLocker e Cuba, sendo que a análise da Kaspersky mostra que até a indústria de jogos pode ser vítima deste tipo de ataque. Supostamente, o controlador anti-cheat Genshin Impact foi utilizado para eliminar a proteção de endpoint na máquina visada. Uma ameaça que também paira sobre vítimas de elevado perfil, como instituições governamentais em países europeus.

Por último, os especialistas da Kaspersky alertam para o facto de os maiores grupos de ransomware mundiais estarem a adotar código divulgado ou vendido por outros cibercriminosos para melhorar as funções do malware. Recentemente, o grupo LockBbit adotou, pelo menos, 25% do código Conti divulgado, e emitiu uma nova versão inteiramente baseada nele. Este tipo de iniciativas proporciona aos afiliados semelhanças e facilidades para trabalharem com famílias de ransomware com as quais já estavam habituados a trabalhar, podendo reforçar as suas capacidades ofensivas, o que deve ser tido em conta na estratégia de defesa das empresas.

“Os grupos de ransomware surpreendem-nos continuamente e nunca param de desenvolver as suas técnicas e procedimentos. O que temos vindo a observar ao longo do último ano e meio é que estão gradualmente a transformar os seus serviços em empresas de pleno direito. Este facto torna até os atacantes amadores bastante perigosos”, afirma Dmitry Galov, investigador de segurança sénior da Equipa de Análise e Pesquisa Global da Kaspersky. “Por isso, para proteger a sua empresa e os seus dados pessoais, é muito importante manter os seus serviços de cibersegurança atualizados.”

16/06/2023
Autoridades dos EUA detiveram suspeito do grupo de ransomware LockBit

As autoridades norte-americanas acreditam ter detido um dos afiliados do grupo de ransomware Lockbit, que terá usado o ransomware em vários ataques de elevado perfil.

O suspeito é cidadão russo, Ruslan Magomedovich Astamirov, e foi detido na cidade do Arizona, tendo apenas 20 anos. As autoridades acreditam que Astamirov terá realizado ataques usando o ransomware entre Agosto de 2020 e Março de 2023.

As autoridades afirmam que o mesmo terá participado, ativamente, em várias campanhas para usar o ransomware contra sistemas de empresas norte-americanas e estrangeiras, com o objetivo de obter os pagamentos dos eventuais resgates. As autoridades afirmam existirem provas concretas que ligam Astamirov a, pelo menos, cinco ataques realizados nos EUA.

O mesmo encontra-se a enfrentar uma possível pena de prisão de até 20 anos, juntamente com multas que podem atingir os vários milhares de dólares.

As autoridades norte-americanas têm estado mais atentas aos ataques de ransomware, sendo que Astamirov é o terceiro membro a usar o ransomware do grupo a ser detido desde novembro de 2022. O primeiro suspeito a ser detido foi Mikhail Vasiliev, que atualmente se encontra a aguardar extradição do Canadá para os EUA.

As autoridades afirmam que os membros do grupo LockBit não se podem esconder atrás de um alegado anonimato que existe nas suas atividades do dia a dia, e que, mais cedo ou mais tarde, serão eventualmente identificados.

De notar que o grupo LockBit começou a realizar ataques em Setembro de 2019, e tem sido um dos mais ativos grupos de ransomware no mercado desde então, tendo reclamado várias vitimas em diversos países.

15/06/2023
Novo ransomware tenta enganar jogadores de Enlisted

Existe uma nova campanha de ransomware ativa, que se foca em jogadores de “Enlisted”, um popular jogo de FPS no mercado. A campanha encontra-se a ser distribuída por falsos sites associados com o jogo, que prometem o título.

Enlisted é um jogo legítimo, criado em 2021, e que conta com cerca de 500.000 jogadores mensais. O jogo é gratuito, mas o que a campanha se encontra a realizar é aproveitar o instalador do mesmo, onde os criminosos modificam os conteúdos para integrar ransomware no mesmo.

De acordo com os investigadores da empresa de segurança Cyble, o ransomware integrado aparenta ser uma variante do WannaCry, criado com base no open-source ‘Crypter’ Python – que normalmente é usado apenas para fins educacionais.

O instalador falso, se executado, coloca o ransomware no sistema, juntamente com o jogo original, para evitar possíveis deteções. No entanto, em segundo plano, as atividades maliciosas são também ativadas.

O ransomware começa a encriptar ficheiros que considere serem importantes, além de criar a nota de resgate, que conta com a carteira para onde as vítimas devem enviar os pagamentos.

O foco parece ser para vítimas localizadas na Rússia, tanto que os sites descobertos a distribuir a versão maliciosa do jogo encontram-se na sua maioria traduzidos para russo. No entanto, é possível que os mesmos surjam para outros utilizadores e em outros idiomas – e podem ser usados em outras campanhas para se propagarem mais facilmente, como em publicidade maliciosa.

15/06/2023
Governo na Suiça confirma vaga de ataques DDoS e roubo de dados

O Governo da Suíça confirmou que pode ter sido alvo de um ataque de ransomware, de forma indireta, sobre uma entidade que fornece alguns serviços para o mesmo.

Em causa encontra-se a entidade Xplain, sediada na Suíça, e que é responsável por fornecer várias soluções de software para o governo do pais. No dia 23 de Maio de 2023, a entidade terá sido alvo de um ataque de ransomware, onde o grupo “Play” terá acedido a dados sensíveis da empresa.

O grupo, no dia 1 de Junho, publicou vários dos documentos que teriam sido roubados desta entidade, possivelmente depois da mesma não ter pago pelo resgate. No entanto, o leque de dados agora divulgados pode ser mais extenso que o inicialmente previsto.

Agora, o governo suíço encontra-se a alertar para a possibilidade que, por entre os dados que foram divulgados, pode encontrar-se informação sensível do governo. As entidades governamentais ainda se encontram a analisar o leak, mas existem suspeitas que informações do governo podem ter sido passadas no mesmo.

Esta clarificação surge depois de, na altura do ataque, ter sido indicado que dados do governo não teriam sido comprometidos, algo que agora veio a confirmar-se.

Ao mesmo tempo, as autoridades da Suíça confirmam que várias das suas plataformas encontram-se atualmente a ser alvo de um ataque DDoS, que estaria a causar graves problemas de acesso a vários sistemas das instituições locais.

O ataque encontra-se a ser lançado, alegadamente, pelo grupo conhecido como “NoName”, que possui ligações com a Rússia, e nos últimos meses tem vindo a realizar vários ataques contra países da NATO, derivado da ajuda na Ucrânia.

As autoridades afirmam que os ataques encontram-se a ser mitigados, apesar das falhas sentidas nos serviços junto do público em geral.

12/06/2023
Câmara de Lagoa alvo de ataque informático com roubo de dados

Durante o final da semana passada, a Câmara de Lagoa foi alvo de um ataque informático, o qual terá comprometido o funcionamento dos sistemas da autarquia.

O ataque foi confirmado pela instituição durante o dia de hoje, sendo que, no comunicado da mesma, esta afirma que o ataque deixou todo o sistema informático inacessível. Foi ainda confirmado que o ataque terá resultado no roubo de aproximadamente 600 MB de informação, pertencente à entidade.

Até ao momento ainda se desconhecem os detalhes do ataque, mas tendo em conta o roubo de dados, existe o potencial de ser associado com um ataque ransomware, onde além da encriptação de conteúdos é também realizado o roubo de documentos dos sistemas infetados.

A entidade afirma que se encontra a trabalhar com as autoridades para identificar a origem do ataque. Estão ainda a ser feitos esforços para retomar a normalidade das operações no sistema informático da instituição, para retomar as atividades regulares do dia a dia.

Até ao momento, na investigação realizada pelo TugaTech, nenhum grupo conhecido de ransomware confirmou a autoria do ataque – no entanto, a confirmação pode demorar vários dias a ocorrer.

07/06/2023
Executivos Portugueses não compreendem cibersegurança

Um estudo recente da Kaspersky revela que mais de metade dos executivos de topo portugueses considera que as ciberameaças são um risco maior do que o agravamento do ambiente económico para as suas empresas. No entanto, não conseguem definir prioridades de ação devido à terminologia confusa utilizada em cibersegurança.

De acordo com o estudo ‘Separados por uma linguagem comum: podem os executivos de C-level decifrar e agir perante a ameaça real dos ciberataques’, 52% dos gestores portugueses inquiridos considera que os ciberataques são o maior risco enfrentado pelas suas empresas, à frente dos fatores económicos (33%). Porém, 47% dos responsáveis considera que a linguagem utilizada em cibersegurança é o maior obstáculo à compreensão das questões de segurança por parte da sua equipa de gestão.

Entre os inquiridos portugueses, 30% dos executivos de C-level portugueses não compreendem o termo “ataques de phishing”, 34% consideram a palavra “malware” confusa, 29% não percebem a expressão “ataques à cadeia de abastecimento” e 28% dizem o mesmo em relação a “ataques de ransomware”. Resultados preocupantes, tendo em conta que os ataques de ransomware duplicaram em 2022 em todo o mundo, tendo os especialistas da Kaspersky avisado no início deste ano que esta tendência ascendente continuaria em 2023.

Apesar de a totalidade dos inquiridos estar consciente da frequência com que as suas empresas são atacadas por agentes de ameaças, apenas 44% dos executivos afirmaram que a cibersegurança está sempre na agenda das suas reuniões, em comparação com os 51% que admitiram que este tema só faz parte da agenda ‘às vezes’.

Por dimensão da organização, 55% das empresas com entre 1.000 e 1.999 colaboradores em Portugal afirmam que a cibersegurança é sempre um tema nas suas reuniões, em comparação com 41% das organizações com entre 2.000 e 2.999 trabalhadores e os 25% das empresas com mais de 5 mil colaboradores. Ou seja, quanto maior é a empresa, menor é a presença da cibersegurança na agenda das reuniões executivas.

Questionados sobre que medidas de cibersegurança são mais importantes para a sua organização, 43% dos inquiridos portugueses indicou a segurança da cadeia de abastecimento, 42% a segurança dos dados gerados pela empresa e 38% as ameaças internas, perda de dados e níveis de acesso aos dados.

“Embora as equipas de gestão sénior considerem os ciberataques como o maior risco para o seu negócio, a sua dificuldade em compreender a natureza das ameaças significa que não é uma prioridade ao nível da direção”, explica David Emm, Analista de Segurança Principal da Kaspersky.

“Isto significa que muitas vezes tomam decisões críticas sem uma imagem clara do cenário de ameaças, o que coloca o negócio em risco. A linguagem inibe a capacidade das organizações de estabelecerem uma cultura de melhores práticas de cibersegurança, partilharem conhecimentos e implementarem inteligência de ameaças acionável”, conclui o especialista.

06/06/2023
Dados do Politécnico de Leiria distribuídos na Dark Web

Recentemente foi confirmado que o Politécnico de Leiria tinha sido alvo de um ataque informático, que durante vários dias colocou a plataforma inacessível, incluindo as plataformas destinadas aos estudantes e serviços administrativos.

O ataque confirmou-se como sendo de ransomware, tendo sido realizado pelo grupo Akira. E agora, os dados do ataque estão disponíveis para download pela dark web.

No seguimento do ataque registado faz algumas semanas, as informações que foram roubadas do Politécnico de Leiria encontram-se agora disponíveis para download em vários portais da Dark Web. O grupo alega ter roubado cerca de 2 GB de informação da instituição, embora ainda não seja possível validar se a mesma inclui dados sensíveis.

De relembrar que, no passado, a instituição tinha indicado que o ataque foi controlado e que não tinha sido roubada informação sensível da mesma. No entanto, o grupo indicava no seu portal da Dark Web que, por entre os dados, estaria disponível informação sensível de alunos e docentes.

Neste momento, as plataformas do Politécnico de Leiria aparentam ter retomado a normalidade, estando novamente acessíveis.

25/05/2023
Politécnico de Leiria alvo de ataque ransomware com roubo de dados

No passado dia 2 de Maio, o Politécnico de Leiria colocou todas as suas plataformas informáticas offline, depois de ter ocorrido a suspeita de um ataque informático. Tanto o site principal da instituição como diversas plataformas da mesma ficaram inacessíveis desde essa altura.

Desde então, a instituição tem vindo a tentar restabelecer o acesso aos sistemas, embora muitos ainda se encontrem inacessíveis ou com falhas.

No entanto, agora surge a confirmação de que o ataque terá sido de ransomware. O grupo de ransomware Akira confirmou no seu portal da Dark Web ter realizado o ataque, obtendo acesso a dados internos sensíveis da instituição.

O grupo alega ter conteúdos sensíveis que foram obtidos dos sistemas internos da instituição. Entre estes pode encontrar-se informação dos alunos. A mensagem deixada pelo grupo indica ainda que este conteúdo poderá brevemente ser partilhado na dark web.

De relembrar que, de forma recente, a instituição afirmou que ainda se encontrava a investigar a extensão do ataque e os danos causados. Neste momento ainda se encontram várias plataformas da mesma inacessíveis – incluindo o portal focado para o pagamento de propinas e de gestão do calendário escolar dos alunos.

11/05/2023
Western Digital confirma roubo de dados de clientes em ataque de Março

A Western Digital encontra-se a deixar mais informações sobre o ataque que afetou a empresa de forma recente, tendo agora confirmado que dados dos clientes podem ter sido comprometidos.

A Western Digital foi alvo de um ataque no passado dia 26 de Março, que terá afetado vários sistemas da entidade e que colocou os mesmos indisponíveis para os clientes durante vários dias. Durante duas semanas, as plataformas web da empresa estiveram inacessíveis para os clientes.

Na altura, algumas fontes indicavam que o ataque teria sido realizado por um grupo de hackers organizado, que teria recolhido dados da empresa e estaria a aplicar técnicas de chantagem para a mesma, num esquema de ransomware.

Agora, a empresa veio confirmar que, em parte deste ataque, dados dos utilizadores podem ter sido comprometidos. Segundo uma mensagem enviada aos clientes afetados, o ataque que ocorreu no dia 26 de Março terá afetado a plataforma da loja digital da empresa, juntamente com a base de dados da mesma, onde se encontra informação pessoal dos utilizadores.

Esta informação inclui nomes, moradas, emails e números de telefone, de clientes que usaram a loja online da empresa. A base de dados continha ainda, de forma encriptada, as senhas das contas e números parciais de cartões de crédito. Como parte do processo de análise, a empresa também decidiu colocar a sua loja online em suspensão.

A loja online da empresa apresenta, atualmente, uma mensagem de manutenção e a informar que deverá voltar a aceitar encomendas em breve. A empresa indica no comunicado que espera reativar a mesma no dia 15 de Maio de 2023.

De relembrar que, no dia 28 de Abril, o grupo que alega ter realizado o ataque à WD publicou também um conjunto de imagens e informações, que indicariam que os mesmos ainda mantinham acesso aos sistemas da empresa mesmo depois desta ter confirmado o ataque. O grupo também indicou que teria acesso ao sistema interno da mesma, onde se encontravam dados dos clientes.

O grupo ainda não revelou os dados da empresa, o que poderá indicar que ainda se encontram a tentar extorquir a Western Digital em ransomware para evitar a divulgação dos dados.

07/05/2023
Fabricante de óculos para drones Orqa afirma ter sido alvo de “ransomware” pelo firmware

A empresa Orqa é fabricante de óculos usados em drones de competição, também conhecidos como óculos First Person View (FPV). A empresa recentemente começou a receber relatos de clientes que, subitamente, tinham os seus dispositivos colocados em modo de recuperação – sem razão aparente para tal.

A história poderia ser de um simples erro de software, mas segundo a empresa, vai mais longe do que isso. De acordo com a Orqa, esta afirma que uma entidade contratada faz alguns anos para desenvolver parte do firmware dos dispositivos terá colocado uma “bomba relógio” de ransomware no código.

Segundo a empresa, os relatos de problemas começaram a surgir no início desta semana, sendo que inicialmente afetou utilizadores no Japão. No entanto, conforme as horas passaram, começaram a surgir também para outros clientes em mais países.

Na análise do problema, a Orqa afirma ter descoberto que uma entidade contratada, faz alguns anos, para produzir parte do código do firmware terá colocado um pequeno “segredo” no mesmo.

Uma parte do código continha uma espécie de “bomba relógio” de ransomware, que tinha sido introduzida no bootloader para se ativar automaticamente ao fim de um período de tempo. A ideia de quem colocou o código seria, mais tarde, pedir um “resgate” à empresa para realizar a correção do problema nos seus clientes.

A entidade que realizou esta prática manteve-se próxima da Orqa nos últimos anos, com o objetivo de manter a relação comercial para pequenos projetos, e eventualmente ter a possibilidade de resolver a situação que teria criado.

Esta entidade também terá fornecido uma versão de firmware atualizada para corrigir o problema, mas a empresa recomenda que os utilizadores não tentem atualizar os sues dispositivos com a mesma – uma vez que pode ter sido maliciosamente modificada.

Invés disso, a Orqa afirma que se encontra a testar uma versão “limpa” do firmware, que vai resolver o problema, e espera disponibilizar a mesma durante os próximos dias. A empresa sublinha que apenas uma parte do código da empresa terá sido afetado, e portanto, este pode ser corrigido.

03/05/2023
FBI apreendeu nove sites de exchanges usadas para lavagem de criptomoedas

As autoridades norte-americanas confirmaram ter apreendido nove sites, associados com exchanges de criptomoedas conhecidas por serem usadas para lavagem de dinheiro de esquemas e fraudes.

Estas plataformas estariam reconhecidas como sendo usadas por criminosos para lavarem criptomoedas roubadas em ataques e ransomware, sem controlo direto. Segundo o comunicado do FBI, esta operação foi possível com a ajuda das autoridades na Ucrânia, sendo que os sites apreendidos agora apresentam uma mensagem das autoridades sobre a atividade.

Os sites permitiam aos utilizadores converterem as suas criptomoedas em dinheiro direto, usando técnicas de anonimato. As tarefas também poderiam ser realizadas sem qualquer controlo das entidades, e de forma anónima.

A maioria dos sites forneciam suporte direto em Inglês e Russo, sendo quer se acredita que teriam as suas atividades a partir de solo Russo.

As autoridades afirmam que os servidores das plataformas foram igualmente apreendidos, sendo que a maioria encontrava-se localizado nos EUA, Ucrânia e várias cidades europeias. Os dados presentes nestes sistemas irão agora ser analisados pelas autoridades para identificar a origem dos esquemas, potencialmente levando a mais detenções no futuro.

De momento ainda se desconhece se foram realizadas detenções sobre esta nova operação, ou se as autoridades irão usar os dados agora na sua posse para obterem mais informações.

02/05/2023
Cuidado com um novo malware que se propaga pela Google

Existe uma nova ameaça para os utilizadores do Google, que se propaga tentando infetar sistemas Windows através de falsa publicidade.

Apelidado de “LOBSHOT”, este novo malware para Windows distribui-se, sobretudo, por publicidade da Google, que redireciona os utilizadores para falsos sites de software popular como o 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus, entre outros.

Quando os utilizadores pesquisam por estes programas no Google, a publicidade tende a surgir no topo dos resultados, aparentemente associada com os sites onde os utilizadores podem descarregar os mesmos. No entanto, as versões que são distribuídas redirecionam para sites de terceiros, com conteúdo malicioso.

De acordo com os investigadores da empresa de segurança Elastic Security Labs, o malware possui a capacidade de se instalar no sistema como um servidor VNC, dando controlo aos atacantes para controlarem remotamente o mesmo. Com este acesso, os atacantes podem descarregar conteúdos de e para o sistema, bem como executar o mesmo para levar à infeção por outras variantes de malware e ransomware.

Quando o LOBSHOT se instala no sistema, este começa por verificar se o Microsoft Defender se encontra ativo, e caso esteja, desativa o mesmo. No entanto, caso o Defender não seja identificado, o malware cria uma entrada no registo, que faz com que o mesmo inicie automaticamente com o sistema, enviado de cada vez informação sobre o mesmo para os atacantes.

O malware possui ainda a capacidade de verificar se o utilizador possui alguma carteira de criptomoedas instalada no sistema, e em caso positivo, tenta recolher os dados da mesma – incluindo de extensões no Edge, Chrome e Firefox.

No entanto, o malware também instalada no sistema uma variante de hVNC, basicamente, um sistema oculto de VNC que permite aos atacantes obterem acesso remoto, a qualquer momento, para o sistema infetado. Isto permite que os mesmos recolham dados dos utilizadores sem estes se aperceberem, ou literalmente controlem o dispositivo.

Como sempre, é importante que os utilizadores tenham atenção aos locais de onde se encontram a descarregar novo software, e que verifiquem sempre se o mesmo é proveniente do site legitimo. Outra medida de proteção pode passar por usar um bloqueador de publicidade – que neste caso, bloqueia a publicidade da Google, prevenindo que a mesma possa chegar aos utilizadores.

Apesar do uso de bloqueadores de publicidade ser algo controverso para alguns, neste caso é recomendado que se tenha em prioridade a segurança dos utilizadores, e sem dúvida que se consegue isso com esta medida.

Usar um software de segurança atualizado também será importante, e não apenas manter a proteção do Microsoft Defender, que apesar de ter vindo a melhorar, ainda se encontra longe de atingir o patamar de alguns softwares de segurança mais reconhecidos no mercado.

01/05/2023
Hacker revelam mais detalhes do ataque da Western Digital

O grupo de ransomware ALPHV publicou recentemente um conjunto de imagens, associadas com o ataque realizado à empresa Western Digital. Nas imagens, o grupo deixa indicações de como terá mantido o acesso aos sistemas da empresa, mesmo depois de esta ter obtido conhecimento que teria sido atacada.

O caso ficou do conhecimento público no dia 26 de Março, quando a WD confirmou ter sido alvo de um ataque, onde os seus sistemas internos terão sido afetados. No entanto, a empresa garantiu que não teria sido vítima de ransomware nem que dados foram encriptados no processo.

Apesar disso, alguns dias depois, a WD procedeu com a suspensão das plataformas My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi, e SanDisk Ixpand Wireless Chargerm, tanto a nível das suas aplicações como via web.

Os primeiros relatos do ataque indicavam que um grupo – na altura desconhecido – teria atacado os sistemas internos da Western Digital e levou ao roubo de centenas de conteúdos sensíveis da mesma – incluindo potencialmente informação de clientes.

Os atacantes teriam mesmo conseguido obter acesso às chaves privadas da empresa, usadas para assinar o software da mesma – estas chaves tendem a ser bastante secretas, por permitirem que se assine um software como sendo associado com a entidade, mesmo que não o seja.

O grupo de atacantes viria mais tarde a ser revelado, com a confirmação do ataque pelo grupo conhecido como ALPHV. No entanto, apesar de a WD ter começado a restabelecer os serviços que foram afetados, o grupo de ransomware deixou agora novas informações sobre o ataque e das práticas da empresa.

Segundo o grupo, que partilhou um conjunto de provas com o investigador de segurança Dominic Alvieri, o mesmo manteve acesso aos sistemas da WD mesmo dias depois do ataque ter sido confirmado.

Por norma, uma das primeiras medidas de segurança que as empresas devem tomar nestes casos será identificar a origem dos acessos indevidos, bloqueando os mesmos. No entanto, a WD parece ter “saltado” esse passo, sendo que os atacantes ainda mantiveram acesso aos sistemas internos da empresa durante dias depois da confirmação do mesmo.

Num conjunto de mensagens e imagens, os atacantes demonstraram várias comunicações internas da empresa, incluindo de reuniões onde se estaria a discutir o ataque, e até mesmo funcionários que estavam a partilhar informações com os meios de imprensa.

O grupo afirma ainda que possui dados de clientes, obtidos através do acesso que foi mantido à infraestrutura interna da empresa. Os atacantes terão conseguido recolher milhares de dados sensíveis de clientes da empresa.

Os atacantes terão divulgado também algumas imagens destes dados, mas não existe forma de confirmar que serão reais. Neste momento, a WD não se encontra em negociações com os atacantes, o que parece ter sido um dos motivos que leva o grupo a divulgar ainda mais informações do ataque publicamente.

Além disso, o grupo deixa ainda a indicação de que irá continuar a divulgar informação interna da empresa até que esta pague o resgate dos conteúdos.

01/05/2023
Grupos Lockbit e Clop exploram falhas do PaperCut para ataques

Durante o mês passado, foram descobertas duas falhas de segurança no software PaperCut, a qual permitia aos atacantes enviarem comandos remotos para os sistemas afetados. Esta falha acredita-se que estaria a ser ativamente explorada para ataques, e a 19 de Abril, a empresa responsável pelo software confirmou exatamente isso.

Agora surgem mais detalhes sobre as possíveis entidades que se encontram a fazer uso desta falha. Segundo a Microsoft, a falha no PaperCut encontra-se a ser ativamente aproveitada pelos grupos de ransomware Clop e LockBit como forma de infetar os sistemas vulneráveis, e roubar dai informações sensíveis.

De relembrar que o PaperCut é um software, voltado para o uso empresarial, que permite gerir a impressão dentro de uma instituição. Este é vulgarmente usado num sistema central da rede, como forma de controlar as tarefas de impressão da mesma.

O software encontra-se ativo em milhares de sistemas a nível global, desde empresas a entidades governamentais, sendo bastante popular. Com isto, existe o potencial de um elevado número de utilizadores poderem ser afetados pela falha caso não atualizem os seus sistemas.

Segundo a Microsoft, o grupo de ransomware Clop é um dos que se encontra mais ativos no uso destas falhas, tendo recentemente aumentado a sua onda de ataques exatamente por proveito desta falha.

A empresa afirma que o grupo encontra-se a explorar ativamente as falhas desde o dia 13 de Abril, como forma de obter acesso a redes internas das empresas. Com esse acesso, o grupo procede com o uso de outras técnicas para infetar as redes e sistemas locais, roubando informação potencialmente sensível das mesmas, e instalando ransomware no máximo de sistemas possíveis.

A Microsoft afirma ainda que o grupo LockBit também se encontra a explorar a falha nos seus ataques, embora se desconheça se os ataques usando as mesmas começaram depois da falha ter sido publicamente revelada ou se já estariam do passado.

A principal recomendação para quem use sistemas PaperCut será atualizar os mesmos para a versão mais recente, que se encontra protegida contra estas falhas.

27/04/2023
Finlândia regista aumento de ataques informáticos desde adesão à NATO

A Finlândia agora encontra-se na lista de países da NATO, sendo que desde esta inclusão as autoridades locais verificaram também uma nova tendência no país.

De acordo com Kirsi Karlamaa, diretor-geral da Finnish Transport and Communications Agency (Trafficom), as autoridades da Finlândia verificaram um aumento considerável no número de ciberataques a serem realizados contra as infraestruturas do país, desde que a mesma entrou para a NATO.

É ainda referido que a Rússia é atualmente um dos principais países de origem para a maioria dos ataques, sendo que tal medida demonstra também como as autoridades russas mudaram consideravelmente como é recolhida inteligência para os mais variados fins.

Segundo as autoridades, “As operações cibernéticas russas contra a Finlândia também se tornaram mais frequentes porque a Rússia foi forçada a recorrer ao ambiente cibernético à medida que as suas operações de inteligência humana se dificultaram”.

É importante notar que, em setembro do ano passado, as autoridades finlandesas já esperavam que fossem verificados aumentos de ataques contra o país nos meses seguintes. Isto parece agora ter sido confirmado, apesar de nenhum dos ataques ter causado danos significativos a nível das operações das entidades.

Karlamaa, da Trafficom, também sublinha que os ataques de ransomware aumentaram consideravelmente nos últimos tempos, focando-se em tentar obter informações de empresas privadas e que podem conter informação importante para os aliados da Rússia.

De notar que, desde o início dos confrontos entre a Rússia e a Ucrânia, na esfera digital tem vindo a ser verificado um aumento globalizado de ataques, sobretudo nos focados em obter informações de empresa ou entidades importantes para as forças militares, mas também nos que se focam apenas em causar o máximo de danos possíveis nas infraestruturas críticas dos países aliados.

23/04/2023
Malware EvilExtractor ganha tração na Europa e EUA

Um novo malware, conhecido como “EvilExtractor”, tem ganho bastante notoriedade entre os atacantes para roubar dados sensíveis de utilizadores na Europa e EUA.

De acordo com vários investigadores de segurança, este malware é vendido por uma empresa conhecida como “Kodex”, onde o mesmo é fornecido como um malware por subscrição, com um custo final de 59 dólares mensais. Os utilizadores recebem com o mesmo o malware, bem como ferramentas para permitirem editar e controlar o mesmo – incluindo a capacidade de o utilizador como meio de ransomware e contornar as proteções tradicionais de segurança, incluindo contornar o Windows Defender.

Apesar de o EvilExtractor ser promovido pela entidade como um software legitimo, o mesmo encontra-se a ser usado, sobretudo, para atividades maliciosas, infetando os sistemas dos utilizadores.

As atividades do malware começaram a surgir em Outubro de 2022, altura em que começou também a ser vendido sobre diversas plataformas da Dark Web. Desde então o mesmo tem expandido-se, sendo que, atualmente, encontra-se focado sobretudo para atacar utilizadores nos EUA e na Europa.

Este malware foca-se sobretudo no roubo de informação, nomeadamente de dados de login e outras informações que possam ser consideradas úteis para os atacantes. Existem casos onde o malware pode também ser adaptado para distribuir ransomware, além de roubar os dados.

O pico do EvilExtractor terá ocorrido em Março de 2023, altura em que o mesmo começou a ser distribuído sobre diversas campanhas de phishing pela internet.

Os dados demonstram ainda que a atividade deste malware tem aumentado consideravelmente nos últimos tempos, e é possível que se agrave para o futuro, com novos meios de ser distribuído.

22/04/2023
Novo recorde de ataques ransomware registados em Março de 2023

Depois de um período calmo a nível de ataques de ransomware, parece que o mês de março veio para superar os recordes anteriores. Os dados indicam ter ocorrido cerca de 459 ataques de ransomware durante este mês, sendo um novo recorde registado a nível mensal.

Ao mesmo tempo, este valor corresponde a um aumento de 91% face ao mês anterior, e a 62% face ao mesmo mês de 2022.

De acordo com a empresa de análise NCC Group, a maioria dos ataques de ransomware registados neste período tiveram como origem a exploração da falha CVE-2023-0669, associada com o programa GoAnywhere.

A falha foi usada para roubar dados de mais de 130 empresas em menos de dez dias depois de ter sido descoberta. No entanto, o volume de ataques registado neste período será importante também tendo em conta anos anteriores.

O mês de Março de 2023 foi um dos que registou mais ataques de ransomware nos últimos três anos, sendo um novo recorde. O grupo de ransomware conhecido como Clop foi o que realizou mais ataques neste período, com 129 registados, seguindo-se o LockBit 3.0 com 97 ataques. A maioria dos ataques foram realizados para empresas localizadas nos EUA, seguindo-se depois a Europa e Ásia.

Este aumento de ataques também demonstra ser consideravelmente importante para as empresas manterem os seus sistemas atualizados o mais rapidamente possível, para garantirem que não são alvo de possíveis ataques e exploração de falhas.

19/04/2023
Ransomware LockBit começa a focar-se em sistemas da Apple

O grupo de ransomware conhecido como “LockBit” tem vindo a focar-se sobretudo em sistemas baseados em Windows, Linux e VMware. No entanto, parece que as atividades do grupo encontram-se agora a voltar-se também para sistemas da Apple.

Segundo os investigadores do grupo “MalwareHunterTeam“, o LockBit encontra-se a testar uma nova variante do seu ransomware, focada para sistemas macOS. Os investigadores revelaram ter descoberto um novo conjunto de ficheiros de encriptação que aparentam ter sido criados com base no código do ransomware do LockBit, mas são focados a encriptar conteúdos de sistemas Mac.

Os ficheiros de encriptação que foram descobertos parecem indicar uma variante do ransomware destinada a sistemas com processadores Apple M1, onde o código parece otimizar para tirar proveito do desempenho destes processadores na encriptação dos dados.

Na verdade, apesar de apenas agora terem sido descobertos, acredita-se que o código dos ficheiros de encriptação de conteúdos encontra-se em desenvolvimento faz algum tempo, sendo que os primeiros registos apontam para versões iniciais do mesmo desde Dezembro de 2022.

Com isto, é possível que as campanhas de ransomware deste grupo comecem a basear-se também para atacar sistemas da Apple, invés de se focarem apenas em variantes do Windows e Linux. De relembrar que o LockBit é conhecido por não apenas encriptar os conteúdos, mas também roubar os mesmos e disponibilizar os mesmos publicamente caso as vítimas não paguem o resgate.

16/04/2023
Microsoft disponibilizar Patch Tuesday com importantes correções de segurança

A Microsoft encontra-se a disponibilizar a nova atualização para o Windows dentro do Patch Tuesday, focada em corrigir algumas falhas de segurança recentemente identificadas no sistema operativo – tanto no Windows 10 como no Windows 11.

Esta atualização será particularmente importante tendo em conta que corrige 97 falhas conhecidas do sistema, incluindo uma falha zero-day que se encontra a ser ativamente explorada para ataques. Além disso, sete das falhas estão classificadas como “Críticas”, por permitirem a execução remota de código potencialmente malicioso.

A correção mais importante deste Patch Tuesday encontra-se sobre uma falha zero-day descoberta sob o driver Windows CLFS, que pode permitir aos atacantes obterem permissões de acesso como utilizadores SYSTEM, usando os mesmos para ataques.

A falha encontra-se a ser ativamente explorada por grupos de ransomware para propagarem o malware dentro do sistema.

Noutro ponto, apesar de não se encontrar a ser ativamente explorada, a Microsoft refere ainda ter corrigido falhas sob o Word, Publisher e Office, que poderiam permitir a execução remota de código.

Como sempre, a atualização encontra-se disponível para os utilizadores via o Windows Update, e tendo em conta que será uma atualização de segurança, a sua instalação é certamente recomendada.

12/04/2023
Microsoft corrige falha zero-day no Windows usada para ataques ransomware

A Microsoft confirmou ter corrigido uma vulnerabilidade zero-day sobre o Windows, que afetava o Windows Common Log File System (CLFS), e estaria a ser ativamente explorada para ataques de ransomware em larga escala.

Esta falha foi descoberta pelos investigadores Genwei Jiang da Mandiant e Quan Jin da DBAPPSecurity’s WeBin Lab, e afeta praticamente todas as versões do Windows, tanto das versões para desktop como servidores.

A falha, se explorada, pode permitir aos atacantes executarem código no sistema sem a interação dos utilizadores, com privilégios SYSTEM – o que pode levar a que o sistema fique completamente comprometido.

A falha encontra-se a ser ativamente explorada pelo grupo de ransomware Nokoyawa, como forma de distribuir o malware em sistemas Windows. Acredita-se que a falha estaria a ser explorada desde meados de Junho de 2022, mas apenas de forma recente a mesma foi efetivamente confirmada pelos investigadores de segurança.

O ransomware Nokoyawa é conhecido por realizar um ataque de duas fases, onde começa por roubar dados dos sistemas infetados, antes de encriptar os mesmos. Dessa forma, caso as vítimas não paguem o resgate, os ficheiros roubados podem ser distribuídos pela dark web.

Esta falha foi entretanto corrigida pela Microsoft, com o Patch Tuesday que se encontra disponível a partir de hoje para os sistemas Windows. Os utilizadores devem instalar esta atualização o mais rapidamente possível, através do Windows Update.

11/04/2023
Dona da Pizza Hut, KFC e Taco Bell revela roubo de dados pessoais em ataque ransomware

A Yum! Brands, empresa mãe de marcas como a KFC, Pizza Hut e Taco Bell, encontra-se a enviar um conjunto de notificações para vários utilizadores, após ter sido alvo de um ataque de ransomware.

De acordo com o portal BleepingComputer, a empresa encontra-se a notificar vários utilizadores sob um ataque realizado no dia 13 de Janeiro, que terá afetado os sistemas da empresa. Este ataque terá sido de ransomware, e acredita-se que alguma informação interna da empresa pode ter sido roubada no processo.

Na mensagem partilhada pela empresa, esta confirma que os atacantes podem ter obtido acesso a informações pessoais na marca, entre as quais se encontram nomes, dados de cartões de cidadão e cartas de condução, entre outras informações pessoais. A grande maioria dos dados acredita-se que estejam relacionados com utilizadores nos EUA.

De notar que a empresa ainda não revelou detalhes sobre se este roubo de dados estará associado com informações dos clientes ou de funcionários. Na mensagem da empresa enviada para algumas das partes afetadas, esta indica que, após uma investigação interna, não se acredita que os dados roubados tenham sido usados para falsificação de identidade, mas ainda assim encontram-se comprometidos.

De notar que, derivado deste ataque de ransomware, a Yum! Brands foi forçada a encerrar 300 restaurantes no Reino Unido, depois dos sistemas da empresa terem ficado inacessíveis. A notificação da empresa às autoridades indica ainda que vários sistemas internos da organização ficaram comprometidos como parte do ataque, e na altura, não se saberia ainda da possível recolha de dados pessoais desses sistemas.

10/04/2023
MSI confirma ter sido vítima de ataque de ransomware

Depois de terem surgido rumores sobre um possível ataque à MSI, agora a empresa veio oficialmente confirmar o mesmo, deixando também mais detalhes sobre o que aconteceu.

Os rumores começaram a surgir depois do grupo de ransomware Money Message ter confirmado que teria atacado a empresa, e estaria a pedir mais de 4 milhões de dólares para evitar a divulgação dos dados roubados. Entre estes encontram-se ficheiros internos da empresa, dados de clientes e funcionários e também diverso código fonte associado com programas e BIOS da empresa.

A MSI confirma que terá sido alvo do ataque de ransomware, onde os atacantes terão obtido acesso a diversos ficheiros internos da empresa, e encontram-se a realizar o pedido de ransom. Ao mesmo tempo, a empresa afirma que, assim que o ataque foi identificado, o mesmo foi contido e as autoridades contactadas.

A empresa não revelou, no entanto, detalhes sobre quando o ataque aconteceu ou quais os dados que poderão ter sido acedidos no processo. No entanto, é referido que este ataque não teve impacto sobre as operações da empresa nem a nível financeiro – como tal, acredita-se que possa ter sido alvo pequeno.

A empresa também aconselhou os utilizadores a apenas descarregarem conteúdos de sites oficiais ligados com a empresa, evitando qualquer fonte externa que não seja reconhecida. Isto aplica-se a programas e a conteúdos como BIOS.

De relembrar que os atacantes indicavam ter em sua posse mais de 1.5TB de dados que, alegadamente, foram roubados dos sistemas da empresa. Até ao momento os atacantes apenas partilharam imagens dos supostos ficheiros que foram roubados, não tendo sido ainda fornecido qualquer dado concreto.

08/04/2023
Grupo de ransomware afirma ter atacado a MSI

A MSI (Micro-Star International) pode ter sido a mais recente empresa a ser afetada por um ataque de ransomware. O grupo “Money Message” publicou uma nova mensagem no seu site na dark web, referindo terem atacado a empresa, e de onde pode ter sido roubado algum código fonte interno.

A MSI é uma das maiores empresas fabricantes de hardware no mercado, entre os quais se encontram computadores, placas gráficas, motherboards e outros componentes. Os atacantes indicam ter roubado diversa informação interna da empresa, onde se encontram detalhes de clientes da empresa e dos seus sistemas, mas também projetos internos e códigos fonte de diversos serviços da mesma, chaves privadas e detalhes do firmware da BIOS.

O grupo afirma que vai revelar todos os documentos roubados do ataque nos próximos cinco dias, caso a MSI não siga as exigências do ransomware.

Apesar de não existirem detalhes sobre a quantidade de informação roubada, o portal BleepingComputer afirma que os atacantes podem ter roubado mais de 1.5 TB de informação dos sistemas da empresa, e estariam a pedir um pagamento de 4.000.000 dólares para evitar a publicação dos conteúdos.

Se for confirmado, e a informação roubada for efetivamente disponibilizada, esta pode acabar por conter informações sensíveis para a empresa e para os seus produtos, incluindo código que pode ser usado para os mais variados fins – e que certamente a MSI não pretenderia ver divulgado.

Até ao momento a MSI não deixou qualquer comentário relativamente a este ataque.

06/04/2023
Western Digital continua com serviços inacessíveis 2 dias depois do ataque

Os utilizadores da Western Digital My Cloud continuam sem conseguirem aceder aos seus conteúdos na plataforma da empresa, quase dois dias depois de a mesma ter confirmado que foi vítima de um ataque.

A plataforma do My Cloud é utilizada para os utilizadores manterem os seus conteúdos na cloud, supostamente de forma segura e acessível a partir de qualquer equipamento. No entanto, desde que a WD confirmou ter sido vítima de um ataque, onde terceiros terão acedido aos sistemas internos da empresa, o serviço tem permanecido inacessível.

Pelas redes sociais os utilizadores continuam a queixar-se de problemas no acesso à plataforma, sendo impossível de realizar o login nas contas e de aceder aos conteúdos que nestas se encontram.

A página de Estado do Serviço encontra-se, desde o passado dia 3, a indicar que praticamente todos os serviços da empresa estão inacessíveis. A última atualização também é respeitante ao ataque, sendo que não foi fornecida qualquer informação posterior.

Apesar de o comunicado oficial da empresa apenas referir que terceiros terão conseguido obter acesso à rede interna da empresa, e a alguns sistemas da mesma, a longa indisponibilidade das plataformas leva agora a crer que o ataque possa ter sido mais alargado do que o inicialmente apontado.

As suspeitas apontam que existe a possibilidade deste ataque ter sido do formato de ransomware, e que conteúdos da empresa possam ter sido afetados – ou até de clientes, tendo em conta a quantidade de plataformas inacessíveis.

Atualmente a indisponibilidade aplica-se aos serviços My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS5, SanDisk ibi, e SanDisk Ixpand Wireless Charger.

Nas redes sociais os utilizadores continuam a demonstrar o seu desagrado, não apenas com o facto que estão bloqueados de acederem às suas contas e conteúdos das mesmas, mas também pela falta de informação por parte da WD.

Até ao momento ainda se desconhece quando os serviços vão voltar a retomar a normalidade. A empresa também não deixou novas informações sobre o ataque, sendo que os últimos relatos apontam apenas para que ainda se encontra a ser feita a investigação do incidente.

05/04/2023
Descoberto um dos ransomwares mais rápidos de sempre

Depois de uma onda de ataques a empresas nos EUA, foi descoberta uma nova variante de ransomware que está a preocupar os investigadores de segurança, sobretudo porque é uma das mais rápidas que existe atualmente.

Conhecida como “Rorschach”, esta variante de ransomware é considerada uma das mais rápidas que existe nas tarefas a que se destina, além de aplicar técnicas únicas para dificultar a identificação.

De acordo com os investigadores da empresa de segurança Check Point, o Rorschach foi identificado depois de os investigadores terem analisado um ataque feito a uma empresa nos EUA. Esta variante de ransomware é única no mercado, sendo que aplica diferentes técnicas não apenas para infetar os sistemas, mas também para encriptar os dados dos mesmos.

O mais impressionante será que a tarefa de encriptação dos dados é feita de forma substancialmente mais rápida que outras variantes de ransomware. Os investigadores consideram mesmo que este é um dos ransomwares mais rápidos atualmente no mercado, e que pode comprometer um sistema de forma silenciosa.

O ransomware parece ser bastante personalizável, o que indica que pode ser uma variante distribuída como ransomware as a service em portais da dark web.

Em parte, a velocidade de encriptação de conteúdos deste ransomware encontra-se na forma como a tarefa é realizada. Invés de encriptar completamente todos os conteúdos do sistema, o malware apenas encripta uma parte dos ficheiros, o suficiente para que estes possam surgir como danificados ao serem abertos, mas ainda assim eficaz em encriptar o conteúdo para o ataque.

Segundo os investigadores, em um sistema com 220,000 ficheiros e um processador recente de seis cores, o ransomware foi capaz de encriptar os conteúdos em menos de 4.5 minutos, um valor consideravelmente mais rápido do que os 7 minutos que demoraria a algo como o LockBit v3.0.

04/04/2023
Aumentam as ciberameaças no setor da Defesa devido ao conflito Rússia-Ucrânia

A S21sec, uma das fornecedoras líderes de cibersegurança na Europa, identificou no seu relatório semestral de referência, Threat Landscape Report, uma intensificação dos ciberataques contra os governos ocidentais aliados da Ucrânia, com o propósito de afetar infraestruturas críticas associadas a setores como: militar, logístico ou governamental. Neste sentido, o Conselho da União Europeia publicou um aviso dos riscos de ciberataques relacionados com a guerra da Ucrânia aos países europeus.

A empresa, que analisou a evolução mundial do cibercrime no decorrer do segundo semestre de 2022, destacou as ciberameaças como um dos principais perigos para os organismos estatais de Defesa. Segundo o documento, o Serviço de Segurança da Ucrânia apontou que os ciberataques dirigidos contra o território ucraniano triplicaram em 2022 em comparação com anos anteriores, uma situação que se alastra a governos dos países ocidentais aliados da Ucrânia, que também se viram afetados devido à intensificação dos ciberataques.

Com base no relatório da S21sec, e de acordo com a Microsoft, os serviços de inteligência russos mostraram esforços de intrusão nas redes de 42 países diferentes com 128 alvos de ataque específicos. A S21sec reúne no seu relatório os principais grupos que ameaçam o setor da Defesa, entre os quais se destacam os grupos APT (Advanced Persistent Threats), que levaram a cabo ciberataques avançados contra alvos militares e de defesa com o objetivo de identificar as vulnerabilidades dos organismos estatais, exfiltrar informações sensíveis e tentar provocar dano às infraestruturas de suporte dessas organizações.

“A maioria dos ataques tem como objetivo obter informação sensível dos Estados que têm um papel importante na NATO, com a finalidade de os destabilizar, pelo que é fundamental que todas as agências governamentais reforcem a sua operação de segurança tendo em vista o prolongamento do conflito cada vez mais cibernético entre a Rússia e a Ucrânia”, afirma Hugo Nunes, responsável da equipa de Intelligence da S21sec em Portugal.

Grupos organizados, hacktivistas e ATPs: as ameaças ao setor da Defesa

Sobre os grupos criminosos organizados, entre os quais se encontram os grupos que aplicam ransomware, a empresa registou neste relatório um total de 44 famílias de ransomware que afetam todo o tipo de setores. Dentro desta tipologia de ciberataques a S21sec localizou alguns grupos com uma maior atividade contra a indústria da Defesa, como: LockBit 3.0, BlackCat (ALPHV) e Black Basta.

O panorama dos grupos hacktivistas alterou-se desde o início da guerra da Ucrânia, com a participação dos chamados coletivos pró-russos e pró-ucranianos. A S21sec destaca neste relatório os grupos que se converteram nas principais ameaças contra empresas ou organizações do setor da Defesa, como é o caso do grupo Adrastea, que atacou uma empresa europeia de fabrico de mísseis.

Por outro lado, os grupos APT, que contam com uma alta capacidade de atuação e infeção, impactaram algumas organizações de Estados pertencentes à NATO. O estudo da S21sec assegura que este tipo de atores realizou ações de ciberespionagem contra entidades do setor da Defesa da União Europeia. Para além disso, assinala que estas ações são patrocinadas por Estados com apoio dos seus serviços de inteligência.

03/04/2023
Grupos de hackers enganam empresas com falsos ataques de ransomware

Ataques de ransomware podem ter graves consequências para as empresas, não apenas sobre o potencial de roubo de dados, mas também na reputação da empresa. E agora existem alguns grupos de hackers criados apenas com o propósito de realizar ransomware sobre a reputação das empresas.

Estes grupos alegam ter realizado ataques de ransomware sobre uma determinada empresa, e onde foram roubados dados sensíveis, apenas para levar as mesmas a acreditarem no caso e a realizarem o pagamento.

Segundo revela o portal BleepingComputer, o grupo em questão atua sobre o nome de “Midnight”, e terá começado as suas atividades em 16 de Março. O mesmo não leva a cabo qualquer ataque de ransomware, mas alega ter dados sensíveis sobre as empresas, e que vai divulgar os mesmos caso o pagamento não seja realizado.

Em alguns casos, estes grupos alegam ser de outros grupos reconhecidos de ransomware, para darem mais legitimidade. A maioria das notificações são deixadas via email, com ameaças sobre o potencial de roubo de dados – que não ocorreram na realidade.

Além de alegarem terem realizado o roubo de dados sensíveis das empresas, este grupo também ameaça com a realização de ataques DDoS contra as entidades caso os pagamentos não sejam realizados. Em alguns casos estes ataques são realmente realizados, mas ocorrem com menor impacto do que o verificado no roubo de dados diretamente de um ataque ransomware.

Até ao momento desconhece-se o número de vitimas que foram alvo deste género de ataques, mas acredita-se que pode ser uma tendência a aumentar nos próximos tempos, e que pode levar algumas empresas a acreditarem terem sido alvo de ataques quando, na realidade, não o foram.

É importante relembrar também que este género de esquemas não é propriamente novo. Existem casos reportados de falsos ataques de ransomware faz anos, que muitas vezes pretendem ser exatamente dedicados a enganar as empresas fazendo-as acreditar que foram alvo de ataques.

01/04/2023
Câmara de Odemira foi alvo de ataque informático

A Câmara de Odemira foi o mais recente alvo de um ataque informático, tendo confirmado a partir do seu website o incidente, no que aparenta tratar-se de um ataque de ransomware.

De acordo com o comunicado, o ataque foi realizado no dia 25 de Março, sendo que deverá comprometer o normal funcionamento dos serviços municipais durante os próximos dias. A entidade terá ainda informado os Centro Nacional de Cibersegurança, bem como foi avançada uma queixa-crime junto da PJ para o incidente.

O site da instituição aparenta encontrar-se ativo e sem falhas registadas, embora a entidade afirme que vários sistemas internos terão sido comprometidos, o que poderá comprometer também o funcionamento de algumas plataformas durante os próximos dias.

É ainda referido que a investigação do incidente ainda se encontra a decorrer, e espera-se que mais informações sejam conhecidas durante os próximos dias.

Até ao momento não existe nenhum grupo de ransomware conhecido que tenha reivindicado o ataque. Apesar de não existir a confirmação de que tenha sido um ataque ransomware, tendo em conta o comunicado e a extensão dos dados, tudo aponta para que se trata de uma variantes deste género.

Não se conhece também, para já, se algum dado sensível ou dados pessoais dos sistemas da instituição poderão ter sido comprometidos, como é regular de acontecer neste género de ataques.

27/03/2023
Cidade de Toronto vítima de ataque de ransomware

A cidade de Toronto, nos EUA, confirmou ter sido vítima de um ataque de ransomware, onde dados sensíveis podem ter sido afetados.

De acordo com as autoridades, o ataque terá ocorrido através da exploração de uma falha sobre o sistema de transferência de ficheiros seguros do GoAnywhere, que se encontra recentemente a ser o alvo de vários ataques e a levar várias entidades a serem afetadas.

O ataque foi confirmado pelo grupo de ransomware Clop, que se encontra na lista dos que mais tem vindo a usar as falhas deste protocolo para ataques.

O grupo afirma ter atacado o site principal da cidade, e acredita-se que sistemas internos de várias instituições podem ter sido afetados. Apesar de os detalhes sobre conteúdos potencialmente acedidos não ter sido revelado, as autoridades confirmam o ataque e que se encontram a analisar o mesmo.

Neste momento ainda se desconhece se dados de cidadãos terão sido afetados, mas a entidade afirma que os cidadãos serão prontamente notificados caso tal tenha acontecido.

A ter em conta que o grupo de ransomware Clop tem vindo a aumentar consideravelmente a lista de vítimas nos últimos dias, e acredita-se que o grupo esteja a explorar uma falha recentemente descoberta sobre o software GoAnywhere, que permite a transferência segura de ficheiros dentro de organizações.

24/03/2023
Kaspersky lança ferramenta para descodificar Conti ransomware

No final de Fevereiro de 2023, os especialistas da Kaspersky descobriram uma nova série de dados divulgados publicados em fóruns. Após analisar os dados, que continham 258 chaves privadas, código fonte e alguns descodificadores pré-compilados, a Kaspersky lançou uma nova versão do descodificador público para ajudar as vítimas desta modificação do Conti ransomware.

O Conti apareceu em finais de 2019 e esteve muito ativo ao longo de 2020, representando mais de 13% de todas as vítimas de ransomware durante este período. Contudo, há um ano, uma vez que o código fonte foi divulgado, várias modificações do Conti ransomware foram criados por vários grupos de cibercriminosos e utilizados nos seus ataques.

A variante malware, cujas chaves foram divulgadas, tinha sido descoberta por especialistas da Kaspersky em Dezembro de 2022. Esta variante foi utilizada em múltiplos ataques contra empresas e instituições estatais.

As chaves privadas divulgadas estão localizadas em 257 pastas (apenas uma destas pastas contém duas chaves). Algumas delas contêm descodificadores previamente gerados e vários ficheiros comuns: documentos, fotos, etc. Presumivelmente, estes últimos são ficheiros de teste – alguns ficheiros que a vítima envia aos scammers para se certificar de que os ficheiros podem ser decifrados.

Trinta e quatro destas pastas denominaram explicitamente empresas e agências governamentais. Assumindo que uma pasta corresponde a uma vítima, e que os descodificadores foram gerados para as vítimas que pagaram o resgate, pode sugerir-se que 14 das 257 vítimas pagaram o resgate.

Após análise dos dados, os especialistas lançaram uma nova versão do descodificador público para ajudar as vítimas desta modificação do Conti ransomware. O código de descodificação e todas as 258 chaves foram adicionados à última construção do utilizador RakhniDecryptor 1.40.0.00 da Kaspersky. Além disso, a ferramenta de descodificação foi adicionada ao site “No Ransom” da Kaspersky (https://noransom.kaspersky.com).

“Durante muitos anos consecutivos, o ransomware tem permanecido uma ferramenta importante utilizada pelos cibercrooks. No entanto, porque estudámos os TTPs de vários grupos de ransomware e descobrimos que muitos deles operam de forma semelhante, a prevenção de ataques torna-se mais fácil. A ferramenta de descodificação contra esta nova modificação já está disponível na nossa página web “No Ransom”. Contudo, gostaríamos de salientar que a melhor estratégia é reforçar as defesas e deter os atacantes nas fases iniciais da sua intrusão, impedindo a implementação de resgates e minimizando as consequências do ataque”, diz Fedor Sinitsyn, principal analista de malware na Kaspersky.

23/03/2023
Telepizza é alvo de ataque de ransomware

A Telepizza aparenta ter sido o mais recente alvo de um ataque informático, onde os sistemas internos da empresa podem ter sido comprometidos.

O ataque foi confirmado pelo grupo de ransomware Lockbit, o que indica que existe a possibilidade de conteúdos associados com a empresa terem sido roubados e encriptados. Neste momento ainda não existe a confirmação dos conteúdos potencialmente comprometidos.

No entanto, o site da empresa encontra-se atualmente inacessível, apresentando uma mensagem de erro. A aplicação para dispositivos móveis também aparenta encontrar-se com falhas no carregamento de conteúdos.

De notar que a empresa aceita encomendas a partir dos seus canais digitais, onde são usados dados dos clientes para a entrega. Desconhece-se neste momento se os dados destes meios se encontram comprometidos, no entanto, o grupo responsável pelo ataque encontra-se a indicar que irá disponibilizar os dados publicamente dentro de 18 dias.

A marca Telepizza surgiu em Espanha em 1987 e atualmente é líder de mercado no serviço de entrega ao domicílio de comida pronta-a-comer e conta com cerca de 1.000 estabelecimentos espalhados por todo o mundo, destacando-se em Espanha, Portugal e Chile.

21/03/2023
Ferrari foi alvo de ataque de ransomware

A Ferrari confirmou ter sido vítima de um ataque de ransomware, onde existe a possibilidade de dados de clientes da empresa terem sido comprometidos. Numa comunicação enviada aos clientes, a empresa confirma os detalhes do ataque.

Segundo a mensagem de email enviada pela empresa, esta confirma ter sido vítima de um ataque, onde terão sido realizados acessos não autorizados a sistemas internos da empresa. Entre os dados potencialmente comprometidos encontram-se nomes dos clientes, emails, moradas e números de telefone.

A empresa não confirmou se detalhes de pagamento terão sido comprometidos no ataque, embora se acredite que estes se encontrem sobre um sistema diferente, não tendo sido afetado. Foi ainda indicado que a empresa terá sido contactada pelos atacantes, para realizar o resgate dos conteúdos, o que indica que a empresa foi alvo de ransomware.

Esta indica ainda que não terá realizado qualquer pagamento, considerando que tal seria um formato de ajuda para os atacantes continuarem a realizar este género de atividades.

É ainda referido que se encontram a ser feitas as investigações deste ataque, e que mais detalhes devem ser revelados no futuro. No entanto, a Ferrari garante que o mesmo não irá afetar o funcionamento da empresa nem dos diversos serviços.

21/03/2023
10.3 mil milhões de dólares foram perdidos para fraudes na Internet em 2022

As burlas online continuam a crescer cada vez mais, e existem também cada vez mais vítimas que acabam por ser enganadas, muitas vezes em centenas ou milhares de euros. E os dados mais recentes das autoridades dos EUA não enganam.

De acordo com os dados do FBI, e relativo apenas ao mercado norte-americano, em 2022 foram perdidos mais de 10.3 mil milhões de dólares para esquemas na Internet, o que representa um considerável aumento face aos 6.9 mil milhões de dólares registados em 2021.

Apesar do aumento das perdas a nível monetário, as queixas junto das autoridades foram inferiores à de anos anteriores, em apenas 800,944. Muitas vítimas de esquemas online não relatam os acontecimentos às autoridades, e muitas vezes acabam por enfrentar as perdas silenciosamente.

A maioria dos esquemas envolveram algum género de esquema com criptomoedas, em parte devido à facilidade com que as criptomoedas podem ser usadas para ocultar a identidade dos atacantes, e por estarem consideravelmente mais acessíveis para as vítimas – também relacionado com o aumento de interesse neste campo.

No entanto, existem alguns valores positivos. O número de queixas nas autoridades relativamente a ataques de ransomware caiu consideravelmente – não que isso queira dizer que os ataques de ransomware tenham seguido a mesma tendência, mas é um bom caminho.

O FBI alerta, no entanto, que estes números podem não demonstrar todo o panorama dos ataques nos EUA – e muito menos a nível global, onde os valores podem ser consideravelmente mais elevados. Muitas das vítimas de ataques e esquemas online optam por não revelar os mesmos às autoridades, muitas vezes por vergonha ou por considerarem que as forças governamentais não iriam ajudar na causa.

15/03/2023
Autoridades confirma apreensão dos sistemas da plataforma de cripto ChipMixer

As autoridades de vários países confirmaram a apreensão dos sistemas de um dos maiores portais de lavagem de dinheiro em criptomoedas, conhecido como “ChipMixer”.

Esta plataforma era usada por hackers, grupos de ransomware e scammers para lavarem os ganhos obtidos por atividades criminosas online, usando criptomoedas. A Europol confirmou que, em coordenação com as autoridades na Alemanha e nos EUA, apreenderam os sistemas associados com a entidade.

No total foram apreendidos sete servidores, mais de 7 TB de dados e 46.5 milhões de dólares em Bitcoin, que estariam a ser usados no serviço para as lavagens de dinheiro. Esta é uma das maiores apreensões de fundos ilícitos de sempre pelas autoridades.

A ChipMixer tem vindo a ser uma das maiores plataformas de “mixing”, que são conhecidas por serem usadas para a lavagem de fundos roubados pela Dark Web. A plataforma iniciou as suas atividades em 2017 e rapidamente se tornou um destaque para este género de ataques.

Apesar de este género de plataformas poderem ser usados para garantir mais privacidade em certas transações, a grande maioria são usadas para esquemas e criminosos realizarem a lavagem de dinheiro, tornando mais simples a tarefa de trocar criptomoedas por dinheiro FIAT.

Os utilizadores que tentem aceder ao portal da plataforma na rede Tor devem agora verificar uma mensagem das autoridades da Alemanha, confirmando a apreensão dos servidores. As autoridades afirmam que, durante os anos que se encontrou ativo, a plataforma do ChipMixer poderá ter sido usada para lavar mais de 152.000 bitcoin, o que corresponde a cerca de 2.73 mil milhões de dólares.

Uma grande parte deste dinheiro encontra-se relacionada com grupos de ransomware e criminosos, que usam estas plataformas para tentar ocultar as suas atividades e origens. As autoridades esperam que as informações apreendidas dos sistemas da plataforma possam fornecer novas informações que ajudem na identificação dos responsáveis da plataforma, bem como de grupos que usaram a mesma.

15/03/2023
Google revela falha no SmartScreen da Microsoft explorada por ransomware

A Microsoft lançou recentemente uma correção para a funcionalidade de segurança SmartScreen do Windows, depois de ter sido identificado pelos investigadores de segurança da Google que a ferramenta estava a ser contornada por algumas variantes de ransomware.

De acordo com os investigadores do Threat Analysis Group da Google, uma falha existente sob o SmartScreen da Microsoft estaria a ser aproveitada pelo ransomware Magniber. A falha permitia contornar a proteção do sistema, e levar as vítimas a instalarem os conteúdos maliciosos no sistema.

Segundo os investigadores, ficheiros de instalação em formato MSI poderiam ser maliciosamente modificados para explorar a falha, usando as assinaturas do mesmo. Quando explorada, esta medida permitia que o SmartScreen falhasse na tarefa de identificar a ameaça, permitindo a execução do ficheiro.

De acordo com a Google, acredita-se que o ficheiro maliciosamente modificado para distribuir o ransomware terá sido descarregado mais de 100.000 vezes, desde Janeiro de 2023, sendo que a maioria dos downloads foram realizados na Europa.

Ao mesmo tempo, a Google afirma que a funcionalidade Safe Browsing, existente no Chrome, estaria a bloquear cerca de 90% dos downloads.

A falha foi identificada pela Google a 15 de Fevereiro, mas apenas agora foi corrigida com o Patch Tuesday fornecido para o Windows – tanto no Windows 10 como 11. Os utilizadores nestes sistemas são aconselhados a atualizarem os mesmos para garantirem que se encontram protegidos.

14/03/2023
Dados da SpaceX podem ter sido obtidos em ataque de ransomware

O grupo de ransomware Lockbit confirmou ter realizado um ataque a um parceiro da SpaceX, de Elon Musk, onde podem ter sido obtidos dados da empresa no processo.

Em causa encontra-se um ataque à empresa Maximum Industries Inc, sediada nos EUA e dedicada ao corte de metais via laser e para sistemas empresariais. Esta entidade é uma das parcerias da SpaceX, usada pela empresa de Elon Musk para a produção de alguns dos materiais que se encontram nos foguetes da mesma.

O grupo de ransomware Lockbit recentemente confirmou ter realizado o ataque a esta entidade, de onde terão também sido recolhidos dados que estão diretamente associados com a SpaceX. Este grupo afirma ter obtido acesso a detalhes de esquemas e outras informações sobre alguns dos projetos da SpaceX, e que os mesmos serão colocados para leilão dentro da próxima semana.

Tendo em conta a mensagem do grupo no seu site, este afirma possuir mais de 3000 ficheiros associados com esquemas, que foram aprovados pelos engenheiros da SpaceX.

Até ao momento a empresa não deixou detalhes sobre o ataque, e desconhece-se ainda quais os conteúdos potencialmente roubados pelo grupo no ataque.

13/03/2023
Ferramentas de IA usadas para criar vídeos convincentes de esquemas no YouTube

A Inteligência Artificial tem vindo a ser cada vez mais usada para os variados fins, mas nem todos podem ser considerados os mais legítimos. E uma tendência que parece estar a ganhar força passa pela criação de falsos vídeos, que podem levar as vítimas a descarregarem conteúdos maliciosos nos seus sistemas.

De acordo com a empresa de segurança CloudSek, uma nova tendência que tem vindo a ganhar terreno no meio social passa pelo uso de IA para a criação de vídeos, normalmente de guias ou ajudas, com foco a levar os utilizadores a acederem a conteúdos maliciosos.

Usando ferramentas que se encontram disponíveis na internet de IA, os criminosos criam vídeos bastante convincentes para os mais variados guias e ajudas, que são partilhados em plataformas como o YouTube, Facebook e Twitter, e que levam as vitimas a acederem a sites de terceiros com a promessa de descarregarem esses conteúdos.

Um dos conjuntos de vídeos mais encontrados dentro desta tendência alegam ajudar os utilizadores a descarregarem programas pagos como o Adobe Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD, entre outros.

Os vídeos possuem muitas vezes conteúdos aparentemente profissionais, e a qualidade pode enganar os utilizadores mais desatentos, que podem ser direcionados para sites externos onde, alegadamente, teriam acesso aos conteúdos.

No entanto, neste processo, encontram-se a descarregar potencial malware para os seus sistemas, entre o roubo de senhas e dados pessoais, à capacidade de instalar mais malware no sistema, como ransomware.

O YouTube, apesar de ter as suas regras contra este género de conteúdos, também é uma das plataformas onde mais se encontra vídeos neste formato. Em parte porque, apesar de os criminosos saberem que os vídeos serão eventualmente removidos, durante o período de tempo que se encontram acessíveis podem chegar a um grande conjunto de vitimas.

Os criminosos sabem que os vídeos são, eventualmente, removidos, mas quando isso acontece existe o potencial de já terem afetado vários utilizadores.

Ao mesmo tempo, conforme mais ferramentas de IA ficam disponíveis, também se torna consideravelmente mais simples de usar as mesmas para criar versões falsas de vídeos, que podem enganar até os utilizadores mais atentos, com conteúdos aparentemente legítimos ou de qualidade – e que podem ser replicados ou recriados numa questão de segundos para os mais variados esquemas.

Como sempre, a principal recomendação passa por os utilizadores terem conhecimento dos esquemas que existem, e terem cuidado no acesso a conteúdos que sejam desconhecidos, e sobretudo que prometam os mais variados fins que – por norma – não seriam possíveis de se obter (como é o caso de software premium disponível a custo zero, ou licenças de software a preços relativamente baixos).

13/03/2023