Categoria: ransomware

Blackbaud vai pagar 3 milhões de dólares por falhas na gestão de ataque ransomware

A empresa Blackbaud foi recentemente condenada ao pagamento de uma multa, no valor de 3 milhões de dólares, por não ter fornecido detalhes sobre um ataque ransomware que afetou a empresa em 2020.

As autoridades dos EUA, nomeadamente a Securities and Exchange Commission (SEC), confirmaram a aplicação da multa depois de ter sido dado como provado que a empresa falhou na gestão deste ataque. O mesmo aconteceu em meados de 2020, tendo afetado vários sistemas internos da empresa, e mais de 13.000 clientes terão sido afetados.

Segundo as autoridades, a Blackbaud terá falhado a revelar detalhes sobre o ataque, bem como a extensão dos mesmos e dos clientes afetados. De notar que a Blackbaud conta com clientes de várias empresas e organizações sem fios lucrativos ou escolares a nível mundial.

As autoridades consideraram que a empresa revelou pouca informação sobre o ataque, quando o mesmo aconteceu, apesar de terem esses detalhes disponíveis para o público e dos funcionários, internamente, conhecerem a extensão do mesmo. A Blackbaud também terá falhado em revelar os detalhes do ataque para os investidores da empresa, algo que é obrigatório de realizar quando a empresa obtém a informação necessária para tal.

Esta multa é um claro exemplo de que as empresas necessitam de ser o mais transparentes possível na gestão de ataques ransomware, fornecendo o máximo de informação que seja possível sobre a extensão do ataque. Simultaneamente, poderá também servir de exemplo para outras empresas não realizarem as mesmas ações, sob a pena de poderem enfrentar pesadas multas – a maioria dos países possuem leis específicas sobre o potencial de dados de clientes serem afetados em ataques.

12/03/2023
Ransomware IceFire agora pode afetar sistemas Linux

Os responsáveis pelas operações do ransomware IceFire agora possuem novos alvos na mira. Foram recentemente descobertas variantes deste ransomware que começaram a ser adaptadas para sistemas Linux – anteriormente o ransomware era focado apenas para sistemas Windows.

De acordo com os investigadores da empresa de segurança SentinelLabs, foram descobertas novas variantes deste malware, focadas para sistemas que tenham como base o sistema Linux. O método de atuação será o mesmo, focando-se em encriptar e roubar os conteúdos dos sistemas, usando depois a chantagem para se obter pagamentos e desbloquear o acesso aos conteúdos.

O malware possui ainda a capacidade de se propagar dentro da rede, infetando sistemas que possam ser encontrados com vulnerabilidades. Anteriormente o malware focava-se apenas em sistemas Windows, explorando falhas na rede para infetar o máximo de sistemas possíveis, mas agora pode também afetar sistemas e servidores Linux.

Este ransomware começou as suas atividades em Março de 2022, e em meados de Novembro do mesmo ano ficou praticamente inativo. No entanto, em Janeiro de 2023 voltou à atividade, encontrando-se a afetar novos sistemas praticamente todos os dias.

A maioria dos ataques do ransomware IceFire encontram-se a ocorrer sobre a China e os EUA.

09/03/2023
Acer confirma roubo de dados internos da empresa

Recentemente surgiram rumores que a Acer poderia ter sido alvo de um roubo de dados, depois de um utilizador ter colocado para venda, sob um site da dark web, mais de 160 GB de dados associados com a empresa.

Apesar de, na altura, não terem sido confirmados detalhes se o roubo de dados seria legítimo, parece que o mesmo terá realmente ocorrido. De acordo com o portal The Register, a Acer terá confirmado o ataque, indicando que se encontra a investigar a situação. A empresa sublinha ainda que os dados obtidos serão respeitantes à própria entidade, e não existe informação de clientes afetada.

De relembrar que os conteúdos foram colocados para venda no início desta semana, e incluíam segundo o vendedor 160GB de dados roubados da Acer, em 655 pastas e 2869 ficheiros diferentes. Acredita-se que os conteúdos incluem diversa informação interna da empresa, nomeadamente dados confidenciais de produtos, ficheiros de código fonte, BIOS e chaves de ativação do Windows, entre outros.

A confirmar-se, esta informação pode ser bastante valiosa para alguns utilizadores, e fornece dados sensíveis sobre os produtos e serviços da Acer, que não deveriam ser partilhados com o público. Não existem detalhes sobre se a venda terá sido ou não realizada, bem como dos valores envolvidos, tendo em conta que o vendedor indica que os interessados devem contactar por mensagem privada por canais seguros.

De relembrar que a Acer já teve alguns problemas com ataques informáticos no passado. Em março de 2021 a empresa confirmou ter sido alvo de um ataque de ransomware, onde diversos sistemas internos terão sido afetados e um pedido de resgate de 50.000.000 dólares foi feito á empresa. Seis meses mais tarde, a divisão da empresa na Índia foi alvo de um ataque ransomware, onde foram roubados 60GB de dados internos.

08/03/2023
Dados sensíveis da Acer estão à venda na dark web

A Acer pode ter sido a mais recente alvo de um ataque informático, tendo em conta uma recente descoberta sobre um fórum da dark web. No mesmo, o alegado hacker encontra-se a vender informação sensível associada com a empresa.

De acordo com a mensagem publicada no site, o hacker estará a vender mais de 160 GB de dados pertencentes à Acer, em mais de 3 mil ficheiros diferentes. Os conteúdos indicam ser dados confidenciais da empresa, associados com produtos da mesma, e também alguma informação sensível associada com a empresa e funcionários.

Existem ainda dados associados com os sistemas internos da Acer, bem como materiais usados pelos funcionários para reparações e instalações do Windows em diversos produtos. Dados dos funcionários também estarão entre os conteúdos alegadamente disponíveis – embora se desconheça a existência de dados associados a clientes.

O vendedor destes dados afirma que os conteúdos terão sido obtidos em Fevereiro de 2023. Por volta desta altura a empresa não confirmou qualquer ataque direto. No entanto, em 2021, a empresa terá sido alvo de um ataque de ransomware, por parte do grupo REvil, onde poderão ter sido comprometidos dados internos.

Até ao momento a Acer não deixou qualquer comunicado relativamente a esta situação.

06/03/2023
Autoridades afirmam ter detido suspeitos do grupo de ransomware DoppelPaymer

Existe um verdadeiro jogo do gato e do rato entre as autoridades e os gestores de operações de ransomware em larga escala. E recentemente, uma ação conjunta de várias autoridades em diferentes países pode ter levado à identificação dos membros do grupo do ransomware DoppelPaymer.

Numa ação conjunta entre as autoridades da Ucrânia e da Alemanha, com a ajuda da Europol e do FBI, acredita-se que os membros responsáveis pelo ransomware DoppelPaymer podem ter sido detidos. Este ransomware tinha vindo a ganhar bastante destaque pela internet desde meados de 2019 – altura em que começaram a ser realizados os primeiros ataques do grupo.

De acordo com o portal TechCrunch, as autoridades da Alemanha afirmam ter detido o que consideram ser um dos principais responsáveis do grupo “DoppelPaymer”, que estaria a residir no pais. Ao mesmo tempo, as autoridades da Ucrânia também confirmaram ter detido um suspeito de ter ligações com o grupo – de notar que o grupo do ransomware DoppelPaymer acredita-se ter ligações a entidades na Rússia.

As autoridades afirmam estar a verificar os sistemas que foram apreendidos dos suspeitos, de forma a identificarem o seu nível de participação no grupo e, potencialmente, a identificarem outros autores do ransomware.

Segundo o comunicado da Europol, este grupo de ransomware terá sido relacionado com, pelo menos, 37 ataques a entidades na Alemanha, ao que se junta ainda vítimas nos EUA e em diversos outros países. Apesar de o número exato de vítimas não ter sido revelado pelas autoridades, acredita-se que o grupo tenha obtido mais de 40 milhões de euros derivado dos ataques entre Maio de 2019 e Março de 2021.

Um dos ataques mais significativos deste grupo terá sido a um centro hospitalar na região de Düsseldorf, que levou ao falecimento de um idoso de 78 anos, depois de a instituição medica ter de suspender as suas atividades por falhas nos sistemas.

As autoridades acreditam que o grupo associado ao ransomware DopplePaymer terá, entretanto, alterado o nome do mesmo para “Grief”, mantendo, no entanto, as suas atividades com os mesmos alvos.

06/03/2023
Ataques de ransomware aumentaram em Portugal em 2022

A S21sec, um dos principais fornecedores de cibersegurança da Europa, publicou o seu relatório semestral de referência, Threat Landscape Report, que analisa a evolução do cibercrime ao longo da segunda metade de 2022. O relatório, liderado pela equipa de Threat Intelligence da empresa, analisou um total de 1.487 ciberataques e 44 famílias de ransomware, que tiveram como alvo distintos setores estratégicos.

Ransomware em crescimento

No contexto de ransomware, com um total de 11 ciberataques, um aumento de 120% face ao semestre anterior, Portugal encontra-se na 24.ª posição no ranking mundial de países mais afetados por este tipo de ciberataque.

Estes ciberataques, que representam 65% do total analisado, visaram principalmente o setor industrial (14%), seguido do comércio a retalho (7%) e sector de saúde (7%). Setores como a construção, tecnologia, educação, transporte e logística, bem como o governo e as suas diferentes administrações, por essa ordem, também sofreram com estas ameaças.

As diferentes famílias ou grupos de ransomware por detrás dos ciberataques têm-se concentrado em alvos na América do Norte, com um total de 696 ataques e 42% do número total de ataques reivindicados, entre os Estados Unidos e o Canadá. Em segundo lugar, a Europa registou 421 ataques, com a Espanha com 48, atrás do Reino Unido, Alemanha e França. As 10 famílias de ransomware mais ativas no segundo semestre do ano, representando mais de 70% da atividade, são: LockBit, BlackCat, Black Basta, Hive, Karanut, Royal, Bian Lian, Vice Society, LV e Play.

“Assistimos a um aumento significativo das operações de ransomware, bem como das famílias ou grupos cibercriminosos por detrás delas. Estamos convencidos de que a tendência continuará a aumentar, tornando urgente e necessário que as organizações, neste caso, todas aquelas que constituem o tecido produtivo de qualquer país, reforcem a sua estrutura de cibersegurança para se protegerem e evitarem estes ataques disruptivos e o consequente desvio de dados”, destaca Hugo Nunes, responsável da equipa de Intelligence da S21sec em Portugal.

As vulnerabilidades zero-day

Embora boa parte dos últimos seis meses tenha sido marcada pela exploração de vulnerabilidades ou fraquezas de software já conhecidas na primeira metade de 2022, tais como Follina (CVE-2022-30190) ou a vulnerabilidade CVE-2022-26134 de Atlassian Confluence, muitas das vulnerabilidades com maior impacto observadas no período analisado foram exploradas em ataques zero-day (ataques que ocorrem antes sequer da divulgação ou publicação da vulnerabilidade para o público), ou em ataques em que a vulnerabilidade já foi dada a conhecer, mas ainda não estava disponível um patch ou correção.

A S21sec analisou um total de 13.243 vulnerabilidades publicadas com um nível crítico (17%), elevado (41%), médio (40%) e baixo (2%) de gravidade. Os meses mais ativos na divulgação de vulnerabilidades foram os meses de agosto, setembro e dezembro, e a engenharia social foi o principal vetor de acesso inicial através de campanhas de phishing. O relatório está disponível gratuitamente aqui.

01/03/2023
Ransomware MortalKombat já possui um desencriptador

A empresa de segurança Bitdefender revelou ter disponibilizado uma nova ferramenta para desencriptar conteúdos que tenham sido bloqueados pelo ransomware “MortalKombat”. Esta nova ferramenta vai permitir aos utilizadores recuperarem os ficheiros sem terem de pagar o resgate.

Este ransomware ainda é relativamente recente, tendo começado a surgir em Janeiro de 2023, mas desde então tem vindo a focar-se sobretudo em empresas dos EUA. O MortalKombat distribui-se sobretudo por emails contendo ficheiros maliciosos, normalmente focados em enganar funcionários das empresas a abrirem os mesmos para os mais variados fins.

Estes ficheiros possuem normalmente um ficheiro BAT mascarado, de onde é iniciado o processo de descarga do ransomware para o sistema.

Um dos motivos pelos quais a ferramenta de desencriptação foi rapidamente desenvolvida pode encontrar-se relacionado com o facto de este ransomware ser uma variante do Xorist, um ransomware que foi desencriptado em 2016. Como tal, a adaptação para a nova variante será relativamente simples de ser feita.

A aplicação permite analisar e restaurar conteúdos que tenham sido encriptados numa drive, mas os utilizadores podem também optar por escolher apenas uma pasta especifica para restaurar os conteúdos. A ferramenta encontra-se disponível sobre interface gráfica e por linha de comandos – mas a Bitdefender afirma que os utilizadores ainda devem ter cuidado na tarefa de recuperação dos dados, uma vez que existe a possibilidade destes ficarem corrompidos.

A ferramenta pode ser descarregada a partir do site da Bitdefender.

28/02/2023
Gigante das frutas “Dole” sofreu ataque de ransomware

A empresa Dole Food Company, uma das maiores produtoras e distribuidoras de fruta e vegetais, foi o mais recente alvo de um ataque de ransomware, que se encontra a afetar as operações da empresa em geral.

Segundo o comunicado da empresa, partilhado sobre o seu site, esta indica que se encontra a investigar o ataque e a trabalhar com as autoridades para avaliar os dados que poderão ter sido comprometidos.

A empresa categoriza o ataque como sendo “limitado”, no entanto é importante relembrar que esta é uma das maiores produtoras e distribuidoras no mercado das frutas e legumes a nível mundial. A mesma conta com cerca de 38.000 funcionários e receitas anuais em torno dos 6.5 mil milhões de dólares.

Derivado do ataque, a empresa terá também colocado em suspenso todos os envios previstos para os próximos dias. Numa mensagem enviada para algumas lojas nos EUA, e partilhada pelo portal BleepingComputer, a empresa afirma que devido ao ataque, algumas das encomendas encontram-se atualmente suspensas.

De notar que a empresa não clarificou quando o ataque aconteceu, mas alguns clientes da marca afirmam que tinham vindo a verificar a falta de produtos da mesma nas lojas faz cerca de uma semana.

23/02/2023
Ransomware HardBit pede informações sobre seguros das vítimas

Uma nova variante do ransomware HardBit encontra-se a ser propagada, não apenas bloqueando os ficheiros das vítimas, mas também pedindo informações sobre o seguro das mesmas para negociar o valor do resgate.

Com o aumento dos ataques de ransomware, várias empresas começaram também a aumentar as suas proteções, nomeadamente sobre a ativação de seguros digitais para a proteção dos dados. Com isto em mente, segundo os investigadores da empresa de segurança Varonis, uma nova variante do ransomware HardBit encontra-se agora a propagar pela Internet, requerendo também informações relativamente aos dados de seguro das vítimas.

Os gestores do ransomware, depois de encriptarem e roubarem os ficheiros, requerem ainda que as vítimas enviem detalhes sobre os seus seguros de proteção digital para que seja feito o pedido de resgate. O valor final do pedido será variável com base no seguro feito.

Ao mesmo tempo, existe ainda a possibilidade dos dados roubados serem publicados caso a empresa não realize o pagamento.

O ransomware HardBit é bastante persistente no sistema, e difícil de contornar. O mesmo desativa todas as proteções do sistema, além de se colocar como entrada de arranque no mesmo e repetidamente tentar infetar o sistema – caso identifique tentativas de restauro de conteúdos.

Este ransomware é ainda conhecido por não apenas roubar e encriptar os ficheiros do sistema, mas também de os sobrescrever com valores aleatórios, para dificultar ainda mais a tarefa de recuperação. Mesmo que uma ferramenta de desencriptação seja fornecida, as vítimas podem ter ficheiros completamente diferentes dos originais.

É sempre importante que os utilizadores tenham planos para a eventualidade de um ataque deste género, nomeadamente com medidas de segurança nos sistemas e a realização constante de backups em locais externos.

21/02/2023
Águas do Porto foi alvo de ataque ransomware

A entidade Águas e Energia do Porto foi o mais recente alvo do grupo de ransomware Lockbit, tendo sido recentemente alvo de um ataque informático onde dados internos da empresa aparentam ter sido roubados.

O ataque tinha sido confirmado pela entidade no passado dia 30 de Janeiro, onde esta indicou que alguns dos seus sistemas teriam sido comprometidos. No entanto, na altura, a entidade não deixou detalhes concretos sobre as consequências do ataque, tendo apenas referido que o mesmo não afetou o funcionamento dos serviços essenciais de abastecimento público de água e saneamento.

A empresa indicou ainda que estaria a trabalhar com as autoridades para investigar o ataque. No entanto, agora o grupo Lockbit publicou no seu site que terá sido o autor do ataque, estando a prever disponibilizar os ficheiros roubados em aproximadamente 16 dias.

Até ao momento não se conhecem detalhes sobre os ficheiros que terão sido roubados no ataque, embora estes possam vir a ficar acessíveis dentro do período estipulado pelo grupo.

18/02/2023
Oakland declara Estado de Emergência depois de ataque ransomware

O estado de Oakland, nos EUA, decretou durante o dia de hoje o estado de emergência, após ter sido confirmado um ataque de ransomware sobre as infraestruturas principais da cidade.

O ataque terá ocorrido no passado dia 8 de fevereiro, sendo que desde então alguns dos serviços do estado encontram-se inoperacionais. Face aos problemas causados pelo ataque, o estado decretou hoje o Estado de Emergência, dando prioridade para algumas tarefas que sejam consideradas críticas.

As autoridades locais afirmam que o ataque não afetou a capacidade de atuação da polícia e bombeiros, as quais se encontram a funcionar na normalidade. A linha de emergência também se encontra ativa e funcional.

É ainda referido que, apesar de o ataque não ter afetado serviços críticos das autoridades, muitos dos sistemas ainda se encontram inacessíveis. Isto acaba por causar impacto para vários setores, com sistemas impossíveis de processar os pedidos dos cidadãos.

De notar que ainda se desconhece o grupo que terá realizado o ataque, e as autoridades não revelam detalhes sobre a origem do mesmo nem dos sistemas comprometidos. Também se desconhece se dados podem ter sido comprometidos ou roubados com o ataque.

Esta não é uma situação única nos EUA, sendo que, em 2019, o governador do estado do Luisiana também decretou estado de emergência depois de uma onda de ataques de ransomware a várias instituições de educação.

15/02/2023
Hogwarts Legacy é usado para esquemas na Internet

Nos últimos dias, Hogwarts Legacy tem sido um tema em destaque na comunidade dos videojogos. Lançado oficialmente na passada sexta-feira, o título já se encontra como um dos mais vendidos da Steam e na PS5, e com um grande número de utilizadores ansiosos por colocarem as mãos no título.

No entanto, para quem procura formas menos apropriadas de obter o jogo, pode ter algumas surpresas. Isto porque também se encontram a surgir pela internet esquemas que tentam tirar proveito do jogo para enganar os utilizadores mais desatentos.

Existem já sites na internet que prometem oferecer o download gratuito de Hogwarts Legacy para PC, bem como o crack para permitir jogar o mesmo sem pagar. De acordo com os investigadores de segurança da empresa Kaspersky, os esquemas tentam levar os utilizadores a descarregar conteúdos para os seus sistemas, pensando tratar-se de uma cópia de Hogwarts Legacy, quando, na verdade, é malware.

Tendo em conta que o jogo acabou de ser lançado, ainda não existe uma versão pirata do mesmo na internet, mas quem cria estes esquemas tenta tirar proveito disso para explorar a possibilidade de infetar os sistemas com malware diverso.

Se as vítimas descarregarem o suposto crack para o jogo, acabam por instalar malware capaz de realizar as mais variadas tarefas no sistema – entre roubar dados pessoais a instalar outro malware no mesmo, nomeadamente ransomware.

Como sempre, os utilizadores devem ter extremo cuidado no download de conteúdos de fontes desconhecidas, ainda mais quando estes prometem acesso a conteúdos pagos de forma gratuita.

12/02/2023
Onda de ciberataques afeta milhares de servidores VMware ESXi

Uma onda de ciberataques encontra-se a afetar centenas de servidores online, baseados em VMware ESXi. Durante o fim de semana, vários investigadores de segurança confirmaram ter começado a verificar uma onda de ciberataques contra servidores VMware ESXi, explorando uma falha existente em versões desatualizadas do mesmo.

De acordo com o portal The Stack, cerca de vinte servidores por hora estariam a ser alvo de ataques de ransomware, onde era explorada esta falha para o processo. Os ataques começaram a ser verificados sobretudo sobre o fornecedor de serviços OVHcloud, mas encontra-se a expandir rapidamente.

Os ataques aparentam encontrar-se a ser realizados de forma automática contra servidores VMware ESXi que não se encontram atualizados. Quando bots identificam um sistema neste formato, exploram a falha para injetarem ransomware no sistema, bloqueando os ficheiros das vítimas.

Acredita-se que o ataque esteja a explorar a falha CVE-2021–21974 do software, mas ainda existe algum debate sobre a verdadeira origem do mesmo ou se esta será a única forma de exploração. De notar que esta falha foi inicialmente reportada à VMWare em Fevereiro de 2021, e entretanto corrigida. No entanto, nem todos os sistemas terão sido atualizados para a versão mais recente, e que será o alvo desta onda de ataques.

Os administradores de sistemas ESXi devem garantir que os seus servidores estão atualizados para as versões mais recentes, e que estão protegidos com firewalls, sem portas desnecessárias acessíveis pela internet.

A OVHcloud também confirmou esta onda de ataques, tendo recomendado os utilizadores a manterem os seus sistemas atualizados e a garantirem que as proteções dos mesmos estão ativas.

06/02/2023
Royal Ransomware explora falha para infetar sistemas VMWare ESXi

Uma nova variante de ransomware encontra-se a propagar em massa na Internet, explorando falhas sobre sistemas Linux, mais concretamente sobre servidores virtuais baseados em VMware ESXi.

O novo ransomware explora uma falha que se encontra sobre este software, e que pode permitir a instalação de programas dentro das máquinas virtuais, levando neste caso à instalação do malware no sistema – de acordo com o portal BleepingComputer, a falha encontra-se atualmente a ser explorada pelo grupo Royal Ransomware.

No entanto, tendo em conta que a exploração é de uma falha existente sobre o VMWare, é possível que venha a surgir de outros grupos de ransomware bem conhecidos pela internet.

No caso do Royal Ransomware, a variante foi descoberta pelo investigador de segurança Will Thomas, da empresa de segurança Equinix Threat Analysis Center (ETAC). A mesma instala-se sobre sistemas Linux, que é um dos sistemas mais usados em nível de servidores online.

O grupo Royal começou as suas atividades de ransomware em meados de Setembro do ano passado, mas tem vindo a intensificar as suas atividades nos últimos meses. Este grupo é conhecido por atacar empresas de elevado prestigio no mercado, com pedidos de resgate que podem ascender os milhares de euros.

06/02/2023
Microsoft encontra-se ativamente a monitorizar 100 grupos de ransomware

A Microsoft revelou durante o dia de hoje que se encontra ativamente a monitorizar mais de 100 grupos de ransomware na realização dos seus ataques. A empresa sublinha ainda que desta monitorização, cerca de 50 são famílias únicas de ransomware que estavam a ser ativamente usadas até ao final do ano passado.

Entre as famílias de ransomware monitorizadas encontram-se a Lockbit Black, BlackCat (aka ALPHV), Play, Vice Society e Black Basta, & Royal. A Microsoft afirma que, através desta monitorização, é possível identificar a origem dos ataques, mais concretamente o que terá levado o ransomware a atuar dentro de uma determinada entidade.

A Microsoft afirma ainda que, apesar de novas famílias de ransomware surgirem de tempos a tempos, a maioria dos atacantes usam técnicas consistentes entre si, e identificar as mesmas pode ajudar a prevenir ataques futuros.

Os atacantes também se têm focado em desenvolver ataques que vão além do simples ataque de phishing. Estes grupos estão cada vez mais a usar técnicas de ataque através da exploração de falhas em softwares vulneráveis, ou de serviços.

Um dos exemplos encontra-se também nas recentes campanhas de phishing, que têm surgido e exploram a plataforma de publicidade da Google para propagar malware, roubar senhas de acesso a plataformas diversas e variados outros ataques.

A investigação de muitos destes ataques pode ajudar também a compreender como os grupos de ransomware funcionam, e quais os potenciais alvos.

31/01/2023
Câmara Municipal do Vimioso alvo de ataque informático

A Câmara Municipal do Vimioso é a mais recente entidade nacional a ser alvo de um ataque de ransomware, alegadamente feito pelo grupo Lockbit.

A partir do seu site na rede Tor, o grupo confirmou ter realizado o ataque à entidade, estando agora a prepara-se para divulgar os dados roubados da entidade. O mesmo indica que irá realizar a publicação de todos os dados recolhidos dentro de 14 dias.

Até ao momento ainda não existe um comunicado oficial da entidade sobre o ataque, embora o grupo alegue que tenha vários documentos associados com a entidade, entre os quais se encontram diversos documentos internos da mesma e relatórios das várias instituições no Vimioso.

A confirmar-se o ataque pode igualmente conter informação potencialmente danosa para utilizadores do portal da CM do Vimioso, ou de utilizadores nas várias instituições locais, que podem incluir dados pessoais ou sensíveis. De notar que, até ao momento, ainda não existe uma confirmação oficial da entidade sobre o mesmo.

30/01/2023
Novo ransomware Mimic adota curioso sistema para encriptar conteúdos

Existe um novo ransomware que tem vindo a ganhar algum destaque nos últimos dias, e que tira proveito de uma popular ferramenta de pesquisa do Windows para essa tarefa.

Apelidado de Mimic, este novo ransomware foi descoberto por investigadores da empresa de segurança Trend Micro, sendo que parece focado sobretudo para utilizadores com o Windows em Inglês e Russo.

Este malware possui alguns traços similares a outro bastante conhecido, o Conti, mas neste caso o mesmo encontra-se adaptado para usar as APIs que são fornecidas pelo programa de pesquisa do Windows “Everything”. Este programa é conhecido por ajudar os utilizadores a encontrarem conteúdos dentro do sistema, e uma alternativa ao sistema de pesquisa do Windows – mas está a ser usado para levar as potencialidades do ransomware neste caso.

O Mimic conta ainda com várias barreiras de proteção, para impedir que possa ser terminado depois de se instalar no sistema. Este é capaz de desativar a proteção do Microsoft Defender, juntamente com contornar as medidas de segurança nativas do Windows. É também capaz de identificar quando os utilizadores ou programas estejam a tentar terminar os seus processos.

Durante a fase de infeção de um sistema, o Mimic coloca no mesmo os DLLs essenciais do Everything, tirando proveito do mesmo para realizar as suas atividades, identificando ficheiros que possam ser interessantes para os atacantes ou para serem encriptados.

Ao mesmo tempo, o ransomware tenta ainda evitar ficheiros do sistema operativo, que se encriptados poderiam levar ao utilizador ficar impossibilidade de arrancar o sistema.

De notar que este ransomware é relativamente novo no mercado, portanto ainda não possui muita atividade direta, mas tem vindo a ganhar destaque por usar um código sofisticado para infetar os sistemas.

26/01/2023
Autoridades confirmam desmantelamento do grupo de ransomware Hive

Depois de o site ter sido misteriosamente desativado durante o início do dia de hoje, agora chega a confirmação: as autoridades apreenderam os sistemas usados pelo grupo de ransomware Hive, numa ação conjunta entre o FBI, Europol e várias autoridades – onde se inclui a PJ em Portugal.

De acordo com o comunicado da PJ, esta, através da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T), participou na operação levada a cabo contra o grupo de ransomware HIVE, que resultou no desmantelamento das operações do grupo.

O grupo era conhecido por agir num sistema de dupla extorsão, onde além de encriptar ficheiros dos sistemas afetados, também os roubava para posteriormente partilhar no seu site da rede Tor – caso as vítimas não realizassem o pagamento. As autoridades acreditam que o grupo tenha atacado centenas de empresas a nível global, onde se inclui também algumas entidades em Portugal.

De acordo com o comunicado da PJ, esta terá conseguido “identificar a infraestrutura tecnológica usada pelos membros deste grupo criminoso, bem como as chaves privadas usadas pelos mesmos para cifrar os dados das vítimas. Como resultado da operação de hoje, o grupo criminoso ficou privado dos meios para lançar ciberataques, muitas vezes capazes de paralisar totalmente as operações da vítima afetada e que causavam graves prejuízos económicos e de imagem às instituições visadas.”

As autoridades teriam mantido acesso à rede interna do grupo desde meados de Julho de 2022, onde começaram secretamente a monitorizar as atividades do mesmo, recolhendo o máximo de informação possível.

O FBI afirma ter fornecido mais de 300 chaves de desencriptação para vítimas que estavam a ser alvo do grupo, bem como mais 1000 para outras entidades que tinham sido atacadas no passado.

Derivado disto, acredita-se que o grupo tenha perdido mais de 120 milhões de euros em possíveis resgates, de vítimas que foram ajudadas pelas autoridades com o acesso às chaves privadas que foi obtido.

26/01/2023
Site do grupo de ransomware Hive apreendido pelo FBI

O grupo de ransomware Hive tinha vindo a ganhar algum destaque nos últimos meses, tendo realizado ataques a diversas empresas. No entanto, parece quer o grupo encontra-se agora na mira das autoridades.

O portal do grupo na rede Tor encontra-se atualmente inacessível, surgindo com a mensagem de ter sido apreendido pelas autoridades. Isto pode indicar que suspeitos associados ao grupo terão sido também detidos, juntamente com os acessos aos dados do site oficial do grupo.

A mensagem indica que o bloqueio do site terá sido realizado pelo FBI, numa operação conjunta com várias entidades em diferentes países. O site surge com mensagens em Inglês e Russo.

De notar que o grupo já se conhecia ter origens da Rússia, e terá atacado mais de 1300 empresas desde que surgiu pela internet.

26/01/2023
Empresa “Bom Calçado” alvo de ataque informático

Existe mais uma empresa nacional a ser vítima de um ataque de ransomware, onde foram alegadamente roubados cerca de 11GB associados com a entidade.

O grupo de ransomware “Mallox” confirmou ter realizado um ataque contra a empresa Bom Calçado S.A, uma empresa produtora de calçado e acessórios sediada em Leiria. O grupo alega ter realizado o ataque, roubando cerca de 11 GB de informação interna, que se encontra disponível publicamente para download no site do mesmo.

Entre os dados roubados encontra-se diversa informação interna da empresa, dados de clientes e de fornecedores, entre outros conteúdos potencialmente sensíveis. Tendo em conta o método de atuação do grupo, acredita-se que o mesmo tenha realizado o ataque a sistemas internos da entidade, encriptando os conteúdos e pedindo o resgate dos mesmos – que não tendo sido pago, levou à publicação dos dados.

Até ao momento ainda não existe uma confirmação por parte da empresa sobre o ataque. A Bom Calçado, S.A. foi fundada em 1993. Esta dedica-se na distribuição e na comercialização de calçado e acessórios para Homem, Senhora e Criança.

25/01/2023
Riot Games alerta para possível aumento de cheats nos seus jogos

Depois da Riot Games ter confirmado que, no final da semana passada, alguns dos seus sistemas de desenvolvimento foram alvo de um ataque informático, a empresa veio hoje confirmar que o ataque teria sido de ransomware, com o pedido de resgate .

Apesar de causar alguns atrasos no lançamento de atualizações para os jogos da editora, a mesma afirma que o ataque não comprometeu qualquer informação associada aos jogadores. No entanto, pode ter comprometido informações associadas com os jogos, que a empresa afirma que podem ser usados para criar cheats dedicados.

O ataque afetou determinadas plataformas de desenvolvimento da Riot Games, onde se encontrava também código fonte de vários títulos da empresa. Com isto, este código pode agora vir a parar na Internet, abrindo portas para que os criadores de cheats possam criar programas especificamente desenhados para contornar as medidas de proteção da empresa.

Além do código fonte de determinados jogos, a empresa confirmou também que o ataque teria comprometido o código fonte de um sistema de anti-cheat, que a Riot Games afirma não usar faz mais de cinco anos. No entanto, este código pode ser partilhado com algumas soluções usadas no dia de hoje, e portanto, os criadores de cheats podem usar o mesmo para criar métodos de contornar as proteções de forma mais eficaz.

A Riot afirma esperar um aumento no uso de programas para obter vantagens ilícitas dentro dos seus jogos, caso o código fonte venha a ser revelado. Mas a empresa afirma também estar a trabalhar para mitigar os possíveis efeitos desta divulgação, bem como em adicionar novos meios de segurança para impedir o uso dos ditos programas.

Ainda assim, os jogadores podem preparar-se para alguns casos de abusos durante os próximos tempos, algo que a empresa aconselha que seja reportado usando as ferramentas dedicadas dos jogos.

24/01/2023
Riot Games confirma ataque de ransomware e nega pagamento

Recentemente a Riot Games confirmou ter sido alvo de um ataque informático, onde alguns dos seus sistemas internos teriam sido alvo de ataque e roubo de conteúdos. Felizmente o ataque aparenta ter sido contido a apenas alguns sistemas de desenvolvimento, mas está a causar atrasos no lançamento de algumas atualizações para os jogos da editora.

No entanto, a empresa deixa agora mais detalhes sobre o ataque. De acordo com o comunicado da empresa, esta terá recebido recentemente o pedido de resgate, o que também confirma que o ataque teria sido de ransomware.

Os atacantes terão pedido o resgate à empresa para se reativar os ficheiros roubados e encriptados, mas a empresa afirma que não vai seguir as exigências.

Segundo a empresa, apesar deste ataque ter comprometido sistemas internos da empresa, e de potencialmente vir a afetar a marca no futuro, esta continua confiante que nenhuma informação associada com clientes da entidade foi afetada.

Acredita-se que os atacantes obtiveram acesso a alguma parte do código fonte dos clientes de League of Legends (LoL), Teamfight Tactics (TFT) e de um cliente de anti-cheat antigo da editora.

A empresa afirma que caso o código fonte venha a ser publicamente revelado, pode levar a que sejam criados mecanismos de cheats para o jogo, mas que estão a ser feitas medidas para evitar que tal aconteça. Ao mesmo tempo, parte do código roubado também inclui conteúdos que ainda estavam para ser lançados pela editora para os diferentes títulos.

A Riot Games afirma que ainda se encontra a investigar o incidente, e a trabalhar com as autoridades. No entanto, a empresa sublinha que nenhum dado associado com clientes da empresa foi afetado.

Durante a semana passada, quando o ataque foi confirmado, a editora confirmou que o ataque teria impedido o lançamento de algumas atualizações previstas para os jogos da mesma, e que eventualmente iria levar a atrasos nesse processo.

24/01/2023
Receitas de ataques ransomware em queda com menos pagamentos

Apesar de a onda de ataques ransomware parecer não ter fim, com cada vez mais empresas afetadas por este género de ataques, ao mesmo tempo as receitas que originam dos mesmos parecem estar numa tendência de queda.

Um ataque de ransomware ocorre quando se realiza o roubo e bloqueio de dados, sendo pedido um resgate para desbloquear os ficheiros afetados. Este ataque tem vindo a tornar-se cada vez mais popular nos últimos anos, sobretudo devido ao grau de potencial ganho para os atacantes e aos danos que pode causar.

No entanto, de acordo com um recente relatório da empresa Chainalysis, parece que os atacantes encontram-se a receber cada vez menos deste género de ataques. Durante todo o ano de 2022, os ataques de ransomware acredita-se terem levado para os atacantes 456.8 milhões de dólares. Este valor, apesar de elevado, corresponde a uma queda considerável se tivermos em conta que, em 2021, o mesmo valor encontrava-se nos 765.6 milhões de dólares.

Ou seja, isto indica que existem menos empresas ou indivíduos a realizarem pagamentos para reaverem os seus ficheiros, ou evitarem a sua exposição. De acordo com os investigadores, apesar de ainda existir muita gente que pondera em realizar o pagamento dos resgates, a grande maioria não parece optar por esta via.

Ainda assim, o volume de ataques de ransomware tem vindo a aumentar consideravelmente. Existem cada vez mais ataques realizados no mercado, ainda mais contra pequenas e médias empresas. No entanto, muitas entidades também começam a adotar medidas mais rígidas de segurança, incluindo a de realizarem o backup constante de dados, evitando assim que ocorram perdas de dados ou seja necessário pagamentos para reaver os ficheiros.

Desde 2019, os dados indicam que o número de vítimas que acabam por pagar ataques de ransomware caiu de 76% para menos de 41% – a ter em conta que esta queda pode também estar associada com as novas leis que entraram em vigor, e que basicamente tornam os pagamentos de ransomware uma ilegalidade.

Em setembro de 2021, as autoridades dos EUA indicavam que iriam começar a aplicar penalizações para as empresas que realizassem o pagamento de resgates, tendo em conta que estariam a incentivar a realização de mais ataques e a fomentar o crime em geral.

Ao mesmo tempo, muitas empresas também começaram a aplicar medidas de segurança em nível de seguradoras, que possuem regras mais restritas para garantir o seguro em caso de ataques de ransomware, e que obrigam as entidades a aplicar essas medidas de segurança adicionais.

19/01/2023
Malware Raccoon e Vidar espalha-se por sites de cracks para programas piratas

Se usa software pirateado, talvez seja melhor ter atenção aos locais de onde se encontra a descarregar o mesmo, tendo em conta que recentemente foi verificado um aumento considerável de ransomware a ser distribuir sobre este género de programas.

De acordo com a empresa de segurança SEKOIA, nos últimos meses tem vindo a ser verificado um aumento considerável de sites de cracks para programas piratas que distribuem versões modificadas dos mesmos, contendo o malware Raccoon e Vidar.

O mais grave será que a campanha de distribuição deste malware por este género de programas não é algo recente, e tem vindo a ocorrer desde meados de 2020. De acordo com os investigadores, os sites fornecem o mais variado conjunto de cracks para programas legítimos, que por sua vez descarregam o malware de fontes aparentemente legitimas – como o GitHub.

Os principais alvos destas campanhas são utilizadores que usam software pirata, ou que procuram nos motores de pesquisa por sites que fornecem este género de programas. Ao mesmo tempo, para tentar obter as primeiras posições das pesquisas, os sites que distribuem este género de malware aplicam também técnicas de SEO para surgirem nos topos dos resultados.

De notar que o malware Raccoon e Vidar são conhecidos como sendo focados no roubo de informações pessoais e dados de login, vasculhando o sistema e recolhendo o máximo de dados de login possíveis do mesmo.

Como sempre, na linha da frente para evitar estas infeções encontra-se o próprio utilizador, que deve evitar sempre que possível o uso de software pirata ou com recurso a software desconhecido de ativação.

16/01/2023
Avast lança ferramenta de desbloqueio do ransomware BianLian

As vítimas do ransomware BianLian possuem agora uma pequena esperança de recuperar os seus ficheiros encriptados, tendo em conta que a empresa de segurança Avast revelou ter disponibilizado uma nova ferramenta de desbloqueio deste ransomware.

De acordo com a empresa, o programa agora fornecido pretende ajudar as vitimas do ransomware BianLian a recuperarem os seus ficheiros sem terem de pagar por isso. Este programa surge também cerca de meio ano depois das atividades do grupo do ransomware terem começado a aumentar.

O BianLian começou a tornar-se mais popular durante o Verão de 2022, tendo afetado algumas empresas de renome no mercado. No entanto, a ferramenta agora disponível apenas pode ajudar as vítimas de versões conhecidas do ransomware BianLian – algumas mais recentes não podem ser desbloqueadas com este programa.

De relembrar que o ransomware BianLian é conhecido por atacar sobretudo empresas, sendo focado em sistemas Windows. O mesmo usa uma encriptação de algoritmo AES-256, e pode encriptar ficheiros em mais de 1013 extensões diferentes. Os ficheiros encriptados ficam bloqueados sobre a extensão .bianlian.

A ferramenta da Avast permite o desbloqueio dos ficheiros, sendo que os utilizadores devem fornecer um ficheiro encriptado para se recolher do mesmo a senha, e proceder em seguida ao desbloqueio de mais conteúdos no sistema.

Mais informações sobre a ferramenta podem ser encontradas no site da Avast.

16/01/2023
Grupos de ransomware começam a divulgar conversas com as empresas

Muitos grupos de ransomware tendem a contactar as vítimas para tentarem que estas paguem o resgate dos conteúdos encriptados, bem como evitem que os conteúdos roubados sejam divulgados publicamente.

Isto ocorre como parte de uma negociação que existe em muitas situações entre as empresas e os responsáveis pelo ataque. Normalmente estas conversas são tidas entre as duas partes em segundo plano.

No entanto, uma nova tendência parece estar a surgir entre alguns grupos de ransomware. Em alguns ataques recentes, os grupos além de publicarem os conteúdos roubados das empresas, procedem também com a publicação das conversas realizadas com as entidades.

Esta medida será feita para colocar mais pressão sobre as empresas para evitarem ter os dados publicados e para realizarem o pagamento, evitando que as conversas sejam igualmente divulgadas.

Em alguns ataques estas conversações foram também divulgadas, e a maioria centra-se na tentativa de adiar a publicação dos dados ou reduzir o pagamento necessário para evitar a divulgação.

Além disso, alguns grupos também começaram a ter “extras” para a publicação de conteúdos. Por norma, os ficheiros roubados de diferentes entidades em ataques de ransomware são publicados ao fim de um determinado tempo. No entanto, grupos como o Lockbit agora começaram a permitir o pagamento de “extras” para gerir a forma como os conteúdos são divulgados.

Por exemplo, o grupo agora permite que as empresas paguem para aumentar o tempo até a divulgação dos dados, ou para destruir completamente os ficheiros disponíveis – possivelmente valores consideravelmente acima dos que foram alvo de tentativas de negociação.

Esta nova técnica pode colocar novas pressões sobre as empresas que estejam a ponderar realizar o pagamento, já que passam a incluir também as conversas tidas entre as duas partes.

13/01/2023
Inforlandia foi alvo de ataque de ransomware

Cada vez mais empresas têm sido alvo de ataques informáticos nos últimos tempos, e em Portugal o número de entidades afetadas tem vindo também a aumentar. O mais recente nome a juntar-se na lista terá sido a empresa Inforlandia, que recentemente foi alvo de um ataque de ransomware.

A Inforlandia, sediada em Portugal, é considerada uma das principais fabricantes europeias de computadores pessoais, dispositivos móveis e electrónicos, desenvolvendo os seus produtos também sobre as marcas INSYS e Matrixx.

O grupo de ransomware Royal revelou ter realizado o ataque à empresa Inforlandia no passado dia 26 de Dezembro de 2022. O grupo público esta confirmação sobre o seu site na rede tor.

Este grupo é conhecido por usar ataques de ransomware, onde são encriptados e roubados dados dos sistemas das entidades, e posteriormente pedido um resgate para evitar a divulgação dos mesmos.

No caso da Inforlandia, o grupo não confirmou exatamente quais ou se dados internos da empresa teriam sido roubados. No entanto, a empresa terá confirmado ao TugaTech que foi, efetivamente, alvo deste ataque.

Segundo a empresa, o ataque afetou um conjunto limitado de estações de trabalho, tendo sido tomadas todas as medidas necessárias para evitar a propagação do mesmo, e incluindo a comunicação às autoridades competentes.

A empresa sublinha que o grupo terá tentado realizar o resgate para o pagamento pelo desbloqueio dos ficheiros bloqueados, o qual a entidade terá descartado. De sublinhar ainda que, na investigação ao ataque, a empresa indica não terem sido roubados dados internos da mesma, bem como não foi realizado qualquer acesso aos sistemas ou sites da entidade e das suas submarcas.

De notar que os atacantes não publicaram qualquer informação da entidade, até à data, nem indicam terem realizado o roubo de dados na sua mensagem inicial.

11/01/2023
Windows 8.1 chega oficialmente ao fim de suporte

Depois de quase dez anos, o Windows 8.1 chega hoje oficialmente ao seu fim de vida, com o encerramento do suporte oficial da Microsoft.

Tal como estava previsto faz já algum tempo, a partir de 10 de Janeiro de 2023 o Windows 8 e 8.1 deixam de ser sistemas suportados pela Microsoft, o que quer dizer que vão deixar de receber qualquer futura atualização e suporte técnico. Isto aplica-se também a atualizações de segurança, portanto quem ainda se encontre sobre o sistema pode agora começar a ficar consideravelmente em risco de ataques.

De forma imediata os utilizadores não devem verificar qualquer mudança. O sistema ainda irá funcionar na normalidade, e possivelmente a maioria das aplicações também não devem ter problemas. No entanto, daqui em diante vai ser cada vez mais difícil de usar o mesmo.

Sem atualizações de segurança isso indica que as falhas não serão corrigidas, e podem ser rapidamente exploradas por atacantes para os mais variados fins – deixando os sistemas consideravelmente inseguros e vulneráveis a malware, vírus e ransomware.

Além disso, espera-se que muitos dos programas deixem de suportar o sistema, como é o caso de navegadores como o Chrome e Edge. Isto também abre novas portas para problemas, já que as versões suportadas serão antigas, e não contam com as mais recentes correções de segurança.

De notar também que, ao contrário do que aconteceu com o Windows 7, esta versão não vai receber os pacotes de atualizações estendidas ESU, portanto nem mesmo as empresas que pretendam podem pagar para ter o sistema atualizado durante mais algum tempo.

De acordo com os dados mais recentes da Statcounter, cerca de 2.59% dos sistemas no mercado global ainda usam o Windows 8.1, o que será um volume ainda elevado. No entanto, de relembrar que os utilizadores podem realizar o upgrade gratuito para o Windows 10 – caso tenham uma licença válida do Windows 8. Este será o processo mais aconselhado para quem esteja ainda no sistema.

10/01/2023
Bitdefender lança ferramenta de desbloqueio para ransomware MegaCortex

A empresa de segurança Bitdefender disponibilizou recentemente uma nova ferramenta para desbloquear ficheiros alvo do ransomware MegaCortex. Esta nova ferramenta permite que as vítimas deste ransomware possam agora ter acesso aos seus ficheiros sem terem de pagar pelo resgate.

A ferramenta de desbloqueio dos ficheiros é relativamente simples de usar, sendo que não necessita de instalação e é capaz de identificar os ficheiros bloqueados pelo ransomware de forma automática. No entanto, os utilizadores podem optar por recuperar os ficheiros de uma drive completa ou apenas de uma pasta em particular.

Em tempos, os responsáveis pelo ransomware MegaCortex foram considerados um dos grupos mais ativos em ataques pela web, focando-se sobretudo em empresas. Os primeiros ataques do grupo começaram a ser identificados em meados de Maio de 2019, e desde então o volume de ataques tinha vindo a aumentar consideravelmente.

Durante o ano de 2020, no entanto, a atividade do grupo caiu drasticamente, e eventualmente, em Outubro de 2021, as autoridades confirmaram ter detido 12 indivíduos que seriam responsáveis por mais de 1800 ataques ransomware, em 71 países. Acredita-se que este grupo seria o responsável pelo MegaCortex.

Estas detenções levaram também a que fossem disponibilizadas ferramentas para desbloqueio de outro ransomware, o LockerGoga, depois de terem sido descobertas as chaves privadas para a tarefa dos sistemas apreendidos pelas autoridades.

06/01/2023
The Guardian contacta autoridades de proteção de dados após suspeita de ransomware

O jornal “The Guardian” terá recentemente contactado as autoridades de proteção de dados do Reino Unido, no seguimento de um suposto ataque de ransomware verificado no passado dia 20 de Dezembro de 2022.

De acordo com o portal TheRecord, ainda se desconhece o motivo para este contacto, e se os dados pessoais de funcionários ou utilizadores do jornal foram afetados. De notar que, segundo as leis do Reino Unido, as empresas são obrigadas a contactar as autoridades no caso de existir o potencial de dados pessoais terem sido comprometidos em ataques, no prazo de 72 horas depois de terem obtido conhecimento do mesmo.

Apesar de o ataque ter sido realizado no dia 20 de Dezembro, durante este período acredita-se que a entidade terá começado a investigar o suposto ataque, e a analisar se algum dado pessoal poderia ter sido comprometido como parte do mesmo. Desconhece-se o motivo de apenas agora as autoridades terem sido contactadas.

Apesar das suspeitas de ataque, tanto a publicação online como física do jornal continuaram a ser realizadas na normalidade. Os funcionários da empresa foram, no entanto, aconselhados a trabalharem a partir de casa pelo menos até ao dia 23 de Janeiro de 2023.

De notar que fontes ligadas à entidade já tinham confirmado a existência de um ataque interno, onde alguns dos sistemas da empresa teriam sido comprometidos, e estariam a prejudicar a publicação de conteúdos. No entanto, na altura, desconhecia-se se dados pessoais teriam sido comprometidos no ataque.

03/01/2023
Grupo de ransomware LockBit pede desculpa por atacar hospital pediátrico

Não é todos os dias que os criminosos online surgem a pedir desculpa pelos ataques que realizaram, no entanto, o grupo LockBit veio recentemente com este género de pedido.

Recentemente o hospital pediátrico no Canadá SickKids foi alvo de um ataque de ransomware, que terá sido levado a cabo por um afiliado do LockBit. O SickKids é considerado um dos principais hospitais pediátricos no Canadá, sendo que o ataque levou a que vários sistemas internos da instituição ficassem inacessíveis.

O ataque terá levado a que sistemas de telefone, de atendimento e vários outros internos, usados para tratar os pacientes, ficassem impossíveis de ser usados. Como resultado deste ataque, para além de ser necessário restaurar os sistemas afetados, as consultas e atendimentos passaram a demorar consideravelmente mais tempo que o previsto.

No entanto, o grupo responsável pelo ransomware revelou recentemente, a partir do seu site na rede Tor, um pedido de desculpas para o ataque realizado ao SickKids, tendo também fornecido a ferramenta de desencriptação dos ficheiros de forma totalmente gratuita.

Segundo o grupo, o ataque foi realizado por um dos afiliados do grupo, violando os termos do mesmo em não atacar sistemas que podem colocar em risco a vida de utilizadores. Face a isto, o grupo decidiu fornecer a ferramenta para desencriptação dos ficheiros de forma gratuita.

De notar que o LockBit funciona como Ransomware-as-a-service, onde os afiliados recebem uma percentagem dos pagamentos feitos contra diferentes instituições. No entanto, o grupo possui regras para os alvos que podem ser usados nos ataques, e instituições de saúde ou de infraestruturas críticas são consideradas fora dos limites.

03/01/2023
Grupo de ransomware Lockbit confirma roubo de dados do Porto de Lisboa

De forma recente foi confirmado que o Porto de Lisboa tinha sido alvo de um ataque informático, o qual terá causado problemas no acesso a várias plataformas internas da empresa. No entanto, agora foram confirmados mais detalhes sobre a origem do ataque.

O grupo de ransomware conhecido como Lockbit confirmou ter realizado o ataque à entidade do Porto de Lisboa, nomeadamente à Administração do mesmo, estando agora a ameaçar com a divulgação dos dados internos da empresa.

A mensagem partilhada no blog do grupo na rede Tor confirma que o mesmo terá atacado a entidade, tendo obtido acesso a vários documentos e informações internas da empresa, juntamente com registos de clientes, contratos e outras informações consideravelmente sensíveis de sistemas internos da Administração.

Tendo em conta o funcionamento do grupo, este terá possivelmente requerido um resgate para os conteúdos agora roubados, estando a dar como data limite para pagamento o dia 18 de Janeiro de 2023, altura em que os conteúdos roubados serão disponibilizados online.

De relembrar que a entidade tinha confirmado o ataque no passado dia 25 de Dezembro, embora os detalhes sobre o mesmo fossem na altura desconhecidos. Esta indicação agora confirma que realmente se tratou de um ataque de ransomware, e que informações internas poderão ter sido assim comprometidas.

29/12/2022
Malware propaga-se por resultados do Google sobre software legitimo

O sistema de publicidade da Google tem vindo a ser cada vez mais usado para distribuir campanhas de malware, e recentemente foi identificada uma nova forma de enganar os utilizadores que realizam pesquisas no mesmo.

De acordo com os investigadores da empresa de segurança Guardio Labs, uma nova campanha de malware encontra-se a propagar a partir da publicidade da Google, focando-se em software popular no mercado.

O esquema começa quando os utilizadores realizam a pesquisa na Google por um software – até agora entre os nomes afetados encontra-se a Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird e Brave.

Quando se realiza a pesquisa no Google, sobre certos termos, o motor de pesquisa apresenta alguns resultados de publicidade no topo da página, como parte do Google Ads. Estes links surgem diretamente no topo dos resultados para todos os utilizadores.

Aproveitando este facto, o que os criminosos estão a realizar será a colocação de sites maliciosos, que fornecem versões adulteradas dos programas que os utilizadores estão a pesquisar, sobre sites falsos e replicados dos originais.

Desta forma, os utilizadores que realizem a pesquisa pelo software, podem estar a pensar que acederam ao link do site oficial do programa, quando na verdade estão a carregar num link de publicidade, direcionando os mesmos para um falso website com versões modificadas do programa.

Para evitar a deteção pelos sistemas de segurança da Google, os links podem direcionar primeiro para um site legitimo, que apresenta informações sobre o software, antes de direcionar as vítimas para o falso site onde a versão com malware do programa se encontra.

As versões modificadas dos programas são adulteradas para conterem malware focado em roubar dados sensíveis dos sistemas, e que podem abrir portas para outro género de ataques, como ransomware.

Como sempre, o recomendado será que os utilizadores tenham cuidado sobre os locais onde descarregam aplicações, validando sempre se os domínios são os oficiais das entidades responsáveis pelos mesmos.

28/12/2022
The Guardian alvo de possível ataque de ransomware

A entidade de notícias The Guardian pode ter sido a mais recente no alvo de ataques ransomware, de acordo com os rumores do portal The Record.

Os funcionários da empresa terão sido, durante o dia de hoje, aconselhados a não se dirigirem aos escritórios da empresa, e invés disso continuarem o seu trabalho a partir de cada. Entre os motivos encontra-se a suspeita de um ataque ransomware que terá ocorrido nos sistemas internos da organização.

O ataque parece ter sido realizado a vários sistemas internos da organização, mas não aparenta ter afetado o site ou os sistemas das apps da entidade, que ainda se encontram ativas e a publicar noticias na normalidade.

Num email citado pela fonte, os funcionários são informados que as investigações do incidente ainda se encontram a decorrer, mas que os trabalhos devem ser mantidos de forma remota. Até ao momento ainda se desconhece se algum dado interno da empresa poderá ter sido comprometido, no entanto, apesar de ser um portal de notícias, é importante relembrar que os jornalistas possuem diversa informação que pode ser considerável sensível – incluindo dados pessoais e de fontes de noticias da entidade.

A empresa, sediada no Reino Unido, é apenas mais uma das recentes a ser alvo de um ataque deste género. Até ao momento ainda se desconhecem detalhes sobre a origem do ataque ou os dados potencialmente roubados.

21/12/2022
INEM e Universidade Católica Portuguesa algo de ataques de ransomware

O INEM e o sistema da Universidade Católica Portuguesa são as duas mais recentes entidades a serem alvo de ataques informáticos, no que terá resultado o roubo de informação sobre ataque do estilo de ransomware.

No caso do INEM, o ataque terá ocorrido durante o início desta semana, e por entre os conteúdos roubados dos sistemas internos da entidade podem encontrar-se dados sensíveis dos funcionários, nomeadamente credenciais de acesso.

O ataque terá sido confirmado pelo INEM, sendo que a origem do mesmo ainda é desconhecida. No entanto, a entidade afirma que foram implementadas de imediato as medidas de segurança para esta situação.

De acordo com várias ferramentas de monitorização de ataques, existem registos que vários dados de login associados com funcionários da entidade podem ter sido afetados, juntamente com ficheiros internos, o que indica que alguns dos sistemas da entidade podem ter sido comprometidos.

Estes registos possuem datas do início de Dezembro, pelo que o roubo de dados podem ter sido realizado ainda antes da confirmação oficial da entidade para o início desta semana.

O INEM admite já ter comunicado o incidente ao Centro Nacional de Cibersegurança (CNCS) e a Polícia Judiciária, sendo que se encontra a decorrer a investigação.

No caso da Universidade Católica, o ataque terá ocorrido no final de Novembro, mas apenas agora o mesmo foi confirmado pelo grupo de ransomware “Vice Society”. O grupo confirmou ter roubado vários ficheiros associados aos sistemas internos da empresa, sendo que no seu site sobre a rede TOR foram ainda partilhados vários ficheiros da entidade – incluindo registos financeiros, de alunos e diversas informações internas da instituição.

A Universidade Católica Portuguesa terá notificado a sua comunidade do ataque no passado dia 30 de Novembro, sendo que desde então foram feitos esforços para repor a normalidade.

Em comunicado ao jornal Expresso, a entidade garante que não existem evidências de dados pessoais terem sido recolhidos do ataque, no entanto, o grupo responsável pelo ataque terá divulgado vários ficheiros que terão sido roubados do mesmo, e onde se encontram presentes conteúdos pessoais da comunidade – incluindo dados sensíveis – e igualmente da instituição.

O grupo Vice Society é conhecido por usar ransomware para realizar os seus ataques, onde os sistemas afetados possuem os seus dados roubados antes de os mesmos serem encriptados, sobre um pedido de resgate. Ainda se desconhece se este terá sido o método de ataque usado neste caso.

15/12/2022
Microsoft Defender surpreende em segurança… sobre o Windows 10

De forma recente, os testes feitos sobre o Microsoft Defender demonstraram que o sistema de segurança nativo do Windows tinha vindo a piorar consideravelmente. Na verdade, os testes da AV-Test indicavam que o Microsoft Defender, nos últimos resultados do Windows 11, apresentavam um desempenho e proteção abaixo de todas as restantes ofertas testadas.

Isto terá sido uma queda considerável para o software que, durante bastante tempo, esteve a ser considerado por entre os melhores. No entanto, parece que a empresa tem vindo a melhorar, embora agora seja sobre o Windows 10.

Os mais recentes testes da AV-Test apontam que o Microsoft Defender volta a ter bons resultados de proteção sobre o Windows 10. O mesmo não obteve o total de 18 pontos, devido sobretudo ao desempenho, mas a nível de proteção o programa recebe a nota máxima.

Mesmo que isto não o coloque novamente na lista das melhores soluções de segurança existentes, claramente a Microsoft tem vindo a fazer melhorias desde os últimos testes. Ainda assim, muitos especialistas de segurança consideram que a suíte de proteção da Microsoft ainda apresenta falhas, sobretudo a nível da proteção contra ransomware, pelo que talvez seja melhor optar por uma solução de terceiros durante mais algum tempo.

15/12/2022
Microsoft corrige falha zero-day no Windows usada por ransomware

A Microsoft revelou recentemente ter corrigido uma falha de segurança sobre o Windows, na qual era possível contornar o sistema de proteção do Windows SmartScreen, com o objetivo de levar à instalação de ransomware nos sistemas.

Segundo o comunicado da empresa, a falha pode ser explorada a partir de um simples ficheiro javascript, o qual pode ser integrado em paginas web ou colocado como anexo em mensagens. A mesma contorna a proteção do SmartScreen, na qual o utilizador é alertado para a execução de ficheiros descarregados da internet.

Com isto, e se o ficheiro for executado no sistema, pode levar a que ransomware seja instalado no mesmo. A Microsoft acredita que a falha já estaria a ser explorada ativamente na web.

A falha já estaria a ser explorada desde meados de Outubro, quando a empresa revelou ter descoberto a mesma, mas a correção apenas foi aplicada com o recente patch Tuesday do Windows 11.

De acordo com a empresa de segurança ANALYGENCE, a falha já terá sido usada para levar à instalação de ransomware nos sistemas, nomeadamente pela família de ransomware conhecida como “Magniber”.

Os utilizadores são aconselhados a instalarem a mais recente atualização para os seus sistemas, neste caso o Patch Tuesday de Dezembro de 2022, que a Microsoft começou também a disponibilizar durante esta semana.

14/12/2022
Microsoft terá assinado drivers maliciosas usadas em ransomware
O Windows possui diversas partes para funcionar corretamente, entre as quais se encontram as drivers. Estes pequenos ficheiros são essenciais para que o hardware possa comunicar corretamente com o software, e em parte, é o que permite uma grande parte do sistema funcionar sem problemas.

Tendo em conta a sua integração com o Windows, as drivers são também bastante importantes a nível de segurança. Todos os ficheiros de drivers necessitam de ser assinados e certificados pela Microsoft para poderem garantir que são aceites corretamente no Windows.

Isto previne que possíveis drivers maliciosas possam ser instaladas no sistema, obtendo permissões elevadas para as suas atividades maliciosas – e ainda mais escondidas de os tradicionais softwares de segurança.

A Microsoft conta com um programa de desenvolvimento para os fabricantes de hardware, onde estes podem certificar as suas drivers para poderem ser usadas no Windows. Este será um processo fundamental para quem pretenda usar componentes diversos dentro do Windows.

Todas as drivers necessitam de ser revistas manualmente pela Microsoft antes de serem certificadas. No entanto, é aqui que se encontra um recente problema.

A Microsoft confirmou ter conhecimento que algumas entidades dentro deste processo terão usado drivers certificadas pela Microsoft para distribuir malware em diversos sistemas Windows. As empresas de segurança SentinelOne, Mandiant e Sophos terão alertado a empresa para o facto que drivers certificadas pela mesma estariam a ser usadas para campanhas de ransomware.

Os criminosos terão conseguido obter a certificação direta da Microsoft para as drivers, colocando as mesmas em software diverso que, uma vez instalado no Windows, poderia levar a ataques de ransomware. Como as drivers possuem um acesso direto ao kernel do Windows, a maioria dos ataques não eram identificados pelos softwares de segurança tradicionais.

Ao mesmo tempo, como as drivers estariam também certificadas pela Microsoft, estas eram aceites no Windows sem problemas.

Segundo a investigação da empresa, as drivers assinadas para atividades maliciosas pertencem às empresas:
- Qi Lijun
- Luck Bigger Technology Co., Ltd
- XinSing Network Service Co., Ltd
- Hangzhou Shunwang Technology Co.,Ltd
- Fuzhou Superman
- Beijing Hongdao Changxing International Trade Co., Ltd.
- Fujian Altron Interactive Entertainment Technology Co., Ltd.
- Xiamen Hengxin Excellence Network Technology Co., Ltd.
- Dalian Zongmeng Network Technology Co., Ltd.
No entanto, a lista pode ser mais alargada, sendo que a investigação ao caso ainda se encontra a decorrer. Para já a Microsoft lançou uma atualização para o Windows que se fora em remover as drivers destas entidades do sistema, bem como colocar as mesmas sinalizadas como sendo maliciosas. O Microsoft Defender também foi atualizado para detetar estas drivers como malware.

Para já, os utilizadores apenas necessitam de garantir que os seus sistemas estão atualizados para as versões mais recentes do Windows. A Microsoft alerta igualmente para a necessidade dos utilizadores terem sempre cuidados redobrados na instalação de software de terceiros, sobretudo de fontes desconhecidas.
14/12/2022
UNA Seguros alvo de possível ataque ransomware

O grupo de ransomware conhecido como “PLAY” veio recentemente confirmar ter atacado uma nova empresa em Portugal. A partir do seu site na rede TOR, o grupo confirmou o ataque e roubo de dados da empresa “Una Seguros”.

De acordo com a mensagem partilhada pelo grupo na sua plataforma da rede TOR, o mesmo terá obtido acesso a uma quantidade desconhecida de dados associados com a seguradora, estando a prever divulgar os mesmos no dia 20 de Dezembro.

Por entre a informação encontram-se dados dos clientes da seguradora, passaportes, cartões de cidadão, documentos financeiros da empresa, contratos e outros documentos associados com a empresa e os clientes da mesma.

De notar que, tendo em conta o indicado como roubado pelo ataque, existe a possibilidade de se encontrar informação pessoal e sensível, tanto da empresa como dos clientes da mesma. No entanto, ainda se desconhece a extensão do ataque e dos dados roubados.

Tendo em conta que o grupo se foca em ataques ransomware, acredita-se que a informação possa ter sido roubada antes de ter sido encriptada nos sistemas da empresa, com o pedido de resgate associado – de valores ainda desconhecidos.

12/12/2022
Novo malware criado diariamente aumenta em 2022

Os softwares antivírus são uma das melhores ferramentas para prevenir ataques a um sistema operativo. No entanto, para manter essa segurança, estes devem também manter-se atualizados – e a tarefa pode ser um pouco mais complicada do que se poderia pensar.

De acordo com um recente estudo feito pela empresa de segurança Kaspersky, todos os dias são criados mais de 400 mil novas variantes de malware no mercado. Este valor corresponde a um crescimento de quase 5% face ao verificado o ano passado, o que indica que existem mais variantes de malware a surgirem no mercado.

Por entre os principais malwares, o ransomware continua a ser a tendência, tendo verificado um aumento de 181% em apenas um ano, sendo seguido de perto pelos ataques de phishing.

Verificou-se também um aumento no número de ataques direcionados para o Microsoft Office, com malware integrado em macros ou documentos maliciosos para a suíte da Microsoft. O crescimento neste caso terá sido de 85% face ao ano anterior.

Entre os sistemas operativos, o Windows continua a ser o alvo favorito do malware, em parte porque também é um dos sistemas mais usados pelos utilizadores, e com mais probabilidade do malware infetar as vitimas.

06/12/2022
Rackspace confirma ataque de ransomware a plataforma de Exchange

A empresa de serviços online Rackspace foi recentemente alvo de um ataque de ransomware, o qual terá afetado os clientes de serviços Hosted Exchange durante mais de quatro dias.

Os relatos de problemas para os clientes da empresa começaram a ser verificados no início do fim de semana, quando o acesso à plataforma de Hosted Exchange deixou de se encontrar disponível. As falhas foram sentidas no dia 2 de Dezembro, sendo que a empresa comunicou, na altura, encontrar-se a analisar o problema.

Desde então a empresa tem vindo a analisar o problema, sendo que hoje confirmou que a indisponibilidade terá sido derivada de um ataque de ransomware, o qual afetou a plataforma onde se encontrava o serviço de Hosted Exchange.

As investigações ainda se encontram a decorrer, no sentido de verificar se alguma informação dos clientes pode ter sido comprometida ou perdida no ataque. A empresa sublinha que irá informar de imediato os clientes caso sejam verificados indícios que dados pessoais possam ter sido acedidos.

A empresa também referiu nos seus recentes relatórios financeiros que, derivado deste ataque de ransomware, a mesma espera quebras nas receitas de quase 30 milhões de dólares, associados com os serviços Hosted Exchange que foram afetados.

Este valor não inclui ainda os custos associados com as despesas necessárias para restabelecer a normalidade dos serviços para os clientes afetados e das operações internas da empresa.

De momento, os clientes que teriam plataformas de Hosted Exchange na empresa ainda se encontram a ser afetados pelas falhas, com a inacessibilidade ao serviço e às plataformas de comunicação.

06/12/2022
Câmara de Faro foi alvo de ataque informático

A Câmara Municipal de Faro foi o mais recente alvo de um ataque informático, o qual aparenta ter comprometido várias infraestruturas da entidade.

De acordo com o portal Sul Informação, o ataque terá sido identificado durante o final da semana passada, a 19 de Novembro. A autarquia afirma que o funcionamento dos serviços será restaurado na normalidade durante os próximos dias, mas que será fornecido de acordo com a prioridade numa fase inicial.

O ataque aparenta ter sido de ransomware, onde dados internos da autarquia terão sido comprometidos, afetando o funcionamento de várias plataformas da mesma. Ainda se desconhece, para já, se os dados da autarquia podem ter sido roubados ou quais as informações que poderão ter sido alvo de acessos.

Em comunicado, a câmara de Faro afirma já ter comunicado o incidente ao Centro Nacional de Cibersegurança (CNC), Polícia Judiciária (PJ) e Procuradoria-Geral da República (PGR). O site da autarquia encontra-se atualmente inacessível.

21/11/2022
Novo ransomware foca-se em utilizadores com contas do Discord

Os utilizadores do Discord devem ficar atentos a um novo malware que tem vindo a propagar-se em força sobre a plataforma. Apelidado de “AXLocker”, este novo malware é capaz não apenas de encriptar os ficheiros do sistema onde seja instalado (ransomware), mas também de roubar os dados do Discord no processo.

Os utilizadores que tenham o Discord instalado nos seus sistemas usam uma versão do cliente que apenas guarda o token de acesso à conta. Ou seja, os dados de acesso apenas são usados no primeiro pedido feito no login do Discord, sendo que depois disso, a informação guardada é um token – que permite realizar os pedidos para a conta dos utilizadores invés de se enviar a senha.

De acordo com os investigadores da empresa de segurança Cyble, foi recentemente descoberto um novo malware que, além de agir como ransomware para o sistema dos utilizadores, acaba também por se focar em roubar dados de login no Discord, mais concretamente o token usado para o acesso.

Na parte do ransomware, não existe muita diferença para qualquer outro ransomware similar: o programa avalia as extensões de ficheiros e bloqueia os mesmos, exigindo aos utilizadores o pagamento para reaverem o acesso aos mesmos. No entanto, é nas particularidades deste ransomware que existe a diferença.

Durante a encriptação dos ficheiros, o mesmo tenta recuperar o token do Discord em particular – caso a aplicação esteja instalada no sistema – enviando os dados para os sistemas dos criminosos. O ransomware é capaz de procurar este token sobre diferentes locais, seja nos tradicionais usados pela aplicação oficial do Discord ou também nos dados guardados por navegadores como o Chrome, Brave, Opera e Yandex.

O ransomware foca-se sobretudo para utilizadores individuais, e não propriamente empresas, e sobretudo para utilizadores que façam uso do Discord em algum formato. Uma vez com acesso às contas do Discord, os criminosos podem proceder ao envio de spam ou de links maliciosos para os amigos na conta.

20/11/2022
Ransomware ARCrypter expande operações para todo o mundo

Um ransomware até agora relativamente pouco conhecido encontra-se a alargar as suas operações a nível global. Conhecido como “ARCrypter”, este novo ransomware tinha mantido uma operação bastante pequena, focada sobretudo em empresas na América Latina.

No entanto, parece que os gestores do mesmo estão agora a começar a alargar as suas operações, com o objetivo de se focaram em empresas a nível global. Este ransomware é conhecido por afetar tanto sistemas Linux como Windows, sendo que encripta os ficheiros sobre a extensão .crypt.

Investigadores da empresa BlackBerry confirmaram que o grupo do ARCrypter encontra-se agora a expandir as suas operações para fora da América Latina, com o objetivo de afetar entidades noutros países – e recentemente já terão realizado alguns ataques a empresas no Canadá.

A maioria dos pedidos deste ransomware são de valores relativamente pequenos, em torno dos 5000 dólares – que comparativamente a outro ransomware no mercado pode ser considerado um valor “pequeno”.

Os primeiros sinais da existência deste ransomware começaram a surgir em Agosto de 2022, pelo que é um malware relativamente recente. A maioria distribui-se sobre ataques de phishing e sites com conteúdos maliciosos para download.

18/11/2022
Austrália pretende criar leis para banir pagamentos de ransomware

Os ataques de ransomware ainda continuam a acontecer, em parte porque ainda existem entidades que – quando afetadas – podem pagar para reaverem os conteúdos roubados. No entanto, as autoridades na Austrália pretendem agora tornar esta prática mais complicada.

O governo australiano encontra-se a estudar a possibilidade de tornar os pagamentos de ransomware por parte das empresas uma atividade considerada como ilegal. Com isto, as empresas que realizarem pagamentos associados com ataques de ransomware estariam a violar a legislação local, e poderiam enfrentar ainda mais consequências.

Clare O’Neil, ministra de cibersegurança no pais, afirma que existem planos traçados para criar uma nova lei que vai focar-se em combater este género de crimes – ataques de ransomware. No entanto, no processo de criação destas novas leis, existem também as que afetam diretamente as vítimas – onde se encontra a colocação de pagamentos de ransomware como algo ilegal no pais.

Por um lado, tornar os pagamentos de ransomware ilegais pode efetivamente reduzir o crime, mas ao mesmo tempo também pode tornar mais complicada a recuperação de potenciais dados – embora o pagamento deva sempre ser a última medida a aplicar-se. Os criminosos teriam menos incentivos a realizar ataques de ransomware no pais, uma vez que não teriam diretamente proveito financeiro de tal – pelo menos do ataque direto.

Além disso, as empresas que pagarem, podem ficar sujeitas a multas avultadas sobre tal ação, elevando ainda mais os prejuízos.

A Austrália não é o único pais com ideias de banir pagamentos de ransomware. Nos EUA também existem algumas partes que se encontra a pretender criar leis para tornar ilegal o pagamento de ransomware. No entanto, o FBI recomendou que tal lei não fosse aprovada, uma vez que poderia levar a ainda mais tentativas de extorsão por parte dos atacantes.

16/11/2022
Microsoft Defender cai para se tornar a pior proteção no Windows

Quando o Windows 11 foi lançado, uma das grandes novidades do sistema encontrava-se na integração do Microsoft Defender, uma solução de segurança nativa da Microsoft e que fornecia segurança para os utilizadores a partir do primeiro momento.

A empresa tem vindo a melhorar consideravelmente a segurança do mesmo, mas ao mesmo tempo, parece que nos últimos meses essa tendência tem vindo a perder-se. De acordo com os testes feitos pela empresa AV-Test, que regularmente testa os mais usados antivírus no mercado, a solução da Microsoft encontra-se a obter agora uma das piores pontuações da lista.

O relatório de Agosto de 2022 coloca o Microsoft Defender como uma das piores soluções a nível de segurança. De um total de 18 pontos, o Microsoft Defender obteve apenas 16, colocando-o na parte inferior da lista como uma das piores soluções de segurança para o Windows.

Este resultado será certamente surpreendente, ainda mais tendo em conta que a aplicação até tinha vindo a manter um resultado positivo nos últimos meses. Na verdade, em alguns meses até atingiu a pontuação máxima de segurança para o mesmo teste, dai que a queda para os valores atuais seja algo surpreendente.

De acordo com a AV-Test, entre os motivos para a queda de valores, além da proteção do sistema, encontra-se também o impacto que o software possui para o uso do mesmo. Entre os quais se encontra velocidades lentas de transferência de ficheiros e o uso elevado de recursos.

É importante notar que o Microsoft Defender também tem vindo a ser criticado não apenas pelo uso consideravelmente mais elevado de recursos, mas também pela ineficácia na proteção contra certos géneros de malwares, como é o caso de ransomware, bem como a proteção em formato “offline” – quando os sistemas se encontram sem ligação direta à internet.

16/11/2022
Conforama alvo de ataque informático com roubo de dados dos clientes

O grupo de ransomware conhecido como “BlackCat” encontra-se a realizar um pedido de resgate para a empresa Conforama, uma das maiores empresas de retalho de móveis e materiais para o lar.

Segundo a mensagem publicada pelo grupo na dark web, este terá conseguido aceder aos dados da empresa, sendo que terão sido roubados quase 1 TB de dados associados com a empresa e os seus clientes.

Acredita-se que o ataque pode ter afetado a filial da empresa em Portugal e em Espanha, sendo que a empresa já confirmou ter identificado o aceso indevido aos seus sistemas e o possível roubo dos dados. Até ao momento não existe confirmação de que qualquer pagamento tenha sido feito.

Por entre os dados encontram-se dados internos da empresa e financeiros, bem como dados pessoais e sensíveis de clientes da mesma e dos funcionários.

O grupo de ransomware encontra-se agora a pedir resgate para evitar a publicação dos dados, o que pode ocorrer nas próximas 48 horas caso a empresa não realize o pagamento.

11/11/2022
Suspeito do grupo de ransomware LockBit detido pelas autoridades

As autoridades dos EUA revelaram ter detido um suspeito que se acredita fazer parte do grupo de ransomware LockBit. Este encontra-se supostamente ligado a vários ataques que foram realizados pelo grupo nos últimos meses, e que terão resultado no roubo de dados de centenas de empresas.

Mikhail Vasiliev, de 33 anos, terá sido detido na cidade de Ontário, no Canada, no passado dia 26 de Outubro. Este terá sido o resultado de uma investigação feita por várias entidades a nível global, e que permitiram identificar o suspeito em vários dos ataques realizados pelo grupo nos últimos meses.

Durante a detenção, as autoridades conseguiram ainda apreender diverso material informático que se acredita ter sido usado para os crimes. Foram ainda apreendidos mais de 400.000 euros em criptomoedas.

Segundo o portal TechCrunch, esta medida das autoridades terás sido realizada depois de, em Outubro, também ter sido detido um suspeito de pertencer ao grupo na Ucrânia. De acordo com as autoridades, Vasiliev é identificado como “um dos maiores operadores de ransomware no mercado”, sendo que as suas vitimas eram muitas vezes apresentadas com pedidos de resgate nas casas dos vários milhões de euros.

Vasiliev encontra-se atualmente a aguardar a extradição para os EUA, onde será detido pelas práticas realizadas enquanto parte do grupo de ransomware. Vários analistas apontam que a detenção de Vasiliev poderá levar ao fim das operações do grupo, que eventualmente poderá ter os restantes membros com receio de manterem as atividades.

É importante relembrar que o LockBit era considerado um dos grupos de ransomware mais ativos dos últimos tempos, tendo realizado milhares de ataques em vários países e a diferentes empresas.

10/11/2022
Continental pode ser a mais recente vítima do grupo Lockbit

A Continental pode ter sido a mais recente vítima do grupo de ransomware LockBit, tendo em conta a revelação hoje deixada no blog deste grupo.

Alegadamente, o LockBit terá acedido aos sistemas da empresa alemã Continetal, com acesso a dados potencialmente sensíveis da entidade. O grupo afirma que irá publicar os dados da empresa em cerca de 22 horas, o que aponta que a entidade não terá pago qualquer resgate para evitar tal situação.

Até ao momento desconhecem-se quais os dados que podem ter sido afetados pelo ataque. No entanto, será importante relembrar que a Continental confirmou ter sido vítima de um ataque informático em 24 de Agosto, altura em que indicou existirem indícios que terceiros terão acedido a dados internos da empresa.

No comunicado da empresa, publicado na altura, esta afirma que foram identificados os acessos indevidos, e que a situação foi contida o mais rapidamente possível. A empresa também afirmou que estaria a investigar o ataque, bem como os danos potencialmente causados à entidade.

De notar que a Continental possui receitas de quase 33.8 mil milhões de dólares (segundo os dados de 2021) e conta com 190.000 funcionários espalhados por 58 países.

03/11/2022