Categoria: ransomware

Emotet volta ao ataque depois de cinco meses em pausa

Houve um tempo em que o nome “Emotet” era bem reconhecido por entre a indústria da cibersegurança. No entanto, as atividades do mesmo deixaram subitamente de acontecer – mas parece que terá sido apenas uma curta pausa.

Depois de quase cinco meses sem atividades, a operação do Emotet parece ter voltado ao ativo. O Emotet é uma campanha de malware, que se distribuir sobretudo por ficheiros do Office maliciosos, que possuem macros para realizarem atividades maliciosas no sistema.

Uma vez instalado no sistema, o Emotet tenta roubar contas de emails que podem ser usadas para difundir ainda mais o malware, bem como procede com a instalação de malware no sistema – que eventualmente leva a casos de ransomware.

Apesar de uma forte atividade desde o início do ano, a 13 de Junho de 2022, subitamente a sua atividade parou. Este processo manteve-se durante cinco meses, até que de forma recente se confirmou a reativação as campanhas de malware em massa.

De acordo com os investigadores do grupo “Cryptolaemus“, que monitorizam as atividades do Emotet, as campanhas de spam do mesmo começaram novamente em força durante o dia 2 de Novembro.

O formato de distribuição do malware continua idêntico, com emails de spam a serem enviados contendo anexos maliciosos – nomeadamente ficheiros do Excel com macros. A nova variante dos ficheiros possuem ainda uma pequena mensagem que alerta os utilizadores para contornarem o alerta de segurança de macros do Office – que é usado para evitar a execução automática dos mesmos.

Como sempre, é importante que os utilizadores tenham cuidado sobre qualquer ficheiro que seja descarregado da internet, sobretudo de fontes desconhecidas.

02/11/2022
Grupo de ransomware Hive confirma ataque à empresa Tata Power

O grupo de ransomware Hive confirmou ter realizado o ataque a uma das maiores empresas de eletricidade na Índia, a Tata Power, e encontra-se agora a divulgar a informação da empresa publicamente.

A Tata Power é considerada uma das maiores empresas de eletricidade no mercado indiano, fazendo parte da Tata Group. Recentemente surgiram rumores que a empresa teria sido alvo de um ataque informático, o que foi confirmado como sendo de ransomware do grupo Hive.

Durante o dia de hoje, os operadores do grupo começaram a disponibilizar alguns dados sobre a empresa, o que não apenas confirma o ataque, mas também que esta não terá pago a quantia exigida pelo grupo para evitar a divulgação das informações.

De acordo com a informação partilhada por vários investigadores de segurança, por entre os dados que estão a ser divulgados encontram-se informações de vários funcionários da empresa, incluindo números de identificação, informações de salário, nomes, moradas, contactos e outros detalhes pessoais. Existem ainda informações respeitantes à empresa e alguns dos seus clientes.

O grupo Hive afirma que os dados terão sido encriptados a 3 de Outubro. A empresa apenas confirmou o ataque a 14 de Outubro, num relatório financeiro, tendo indicado que alguns dos seus sistemas internos foram comprometidos, mas sem adiantar detalhes sobre o mesmo.

A empresa afirma ainda que os sistemas afetados terão sido restaurados para a normalidade, mas isso não impede que os dados possam ter sido roubados durante o ataque, contendo informação potencialmente sensível.

25/10/2022
Pontos de carregamento de veículos elétricos estão em risco de ataque
De acordo com um recente estudo da empresa de segurança Check Point Software, os pontos de carregamento para veículos elétricos podem estar abertos a serem alvo de ataques, com consequências graves para os utilizadores.

Governos de todo o mundo estão a pressionar as empresas, para a utilização de tecnologias mais verdes, para combater as alterações climáticas e reduzir a sua dependência dos hidrocarbonetos.

A Noruega construiu uma rede de 17.000 pontos de carregamento, enquanto o Departamento de Transportes dos EUA anunciou recentemente um plano de $5B para a criação de uma nova rede de estações de carregamento de VE.

Já em Portugal, o governo, apoia a criação dos postos de carregamento, através de uma comparticipação de 80% no valor do posto, tendo que ser posteriormente ligado à rede Mobi.E. No entanto, embora as empresas automóveis estejam a aumentar a produção de novos veículos elétricos, a indústria automóvel não está a fazer o suficiente para lidar com as preocupações de cibersegurança em torno, do que são essencialmente dispositivos IoT.

Quando os utilizadores carregam os seus veículos, existe também uma ligação de dados entre o veículo e o servidor da empresa que gere o posto. As estações de carregamento estão ligadas à Internet e, como qualquer outro dispositivo IoT, são vulneráveis às ações dos cibercriminosos.

Se um hacker conseguir ter acesso a um centro de carregamento, isto pode ter consequências graves, tais como:
- Risco para a segurança do utilizador: Teoricamente, através de um ponto de carregamento, um hacker pode aceder ao sistema de gestão do motor de um veículo e ou comprometer a segurança, o desempenho ou desativar o veículo por completo. Imagine que o veículo em questão fosse uma ambulância, onde os atrasos poderiam constituir uma ameaça à vida.
- Comprometer as Redes de Carregamento: Os hackers teriam a possibilidade de derrubar uma rede inteira de centros de carregamento, aproveitando apenas uma vulnerabilidade de um dispositivo. Isto poderia resultar em perda de receitas para o operador, bem como em incalculáveis perturbações na rede rodoviária.
- Perda comercial: Para além de encerrar uma rede de hubs de VE, os hackers teriam acesso ao software de gestão dos operadores e poderiam atacar através de ransomware com os consequentes danos financeiros e de reputação. Além disso, muitas frotas comerciais estão a converter-se para energia elétrica e um hacker poderia desativar toda uma operação de entrega apenas a partir do portátil.
- Sistemas de pagamento: Os hackers podem potencialmente comprometer os sistemas de pagamento num ponto central de VE, causando perdas financeiras para o condutor e/ou para o operador de rede.
Os hackers não perdem tempo a aumentar a escala e a sofisticação dos ataques. A Check Point Research relatou recentemente um aumento global de 59% apenas nos ataques de ransomware, enquanto a indústria de transportes do Reino Unido registou uma média de 979 ciberataques por semana durante os últimos seis meses.

Como resultado, não demorará muito até que se note o potencial de exploração das estações de carregamento dos VE, pelo que é fundamental que as tecnologias mais recentes e mais ecológicas sejam protegidas.

“As alterações climáticas e a necessidade de reduzir a nossa dependência do petróleo realçam a mudança imperativa para meios e formas de transporte mais ecológicas. As preocupações com a cibersegurança podem ser outro obstáculo ao crescimento futuro do mercado de veículos elétricos, pelo que é vital que a indústria leve a sério a ameaça. Os dispositivos de carregamento não seguros são uma porta aberta a hackers cada vez mais sofisticados e, no entanto, existem soluções de segurança comprovadas para a Internet sem fios que poderiam prevenir tais ataques e encorajar ainda mais o desenvolvimento de viagens sustentáveis”, Afirma Rui Duro Country Manager na Check Point Software
19/10/2022
Universidade da Beira confirma ataque informático de ransomware

Durante o início desta semana, a Universidade da Beira Interior (UBI), na Covilhã, terá sido o alvo de um ataque informático, no formato de ransomware, e de onde conteúdos internos terão sido encriptados.

De acordo com o jornal ECO, o ataque terá acontecido durante a segunda feira, sendo que a instituição ainda se encontra a analisar os danos causados. No entanto, a mesma confirma que sistemas internos da instituição estão encriptados com ransomware, sendo apresentada a mensagem de pedido de resgate para pagamento.

Pedro Inácio, pró-reitor da UBI, afirma em comunicado que a instituição descarta a possibilidade de realizar qualquer pagamento para reaver os conteúdos encriptados. O mesmo afirma que alguns sistemas administrativos foram comprometidos, mas que as aulas continuam a decorrer na normalidade.

Sobre a possibilidade de dados internos da instituição terem sido roubados, o mesmo afirma que a situação ainda se encontra a ser analisada. No entanto, é importante sublinhar que muito do ransomware atualmente no mercado procede com o roubo de dados dos sistemas antes de realizar a encriptação, exigindo o pagamento para evitar a divulgação.

A instituição encontra-se agora a trabalhar com as autoridades e com outras instituições para repor a normalidade dos sistemas afetados.

18/10/2022
Autoridades enganaram grupo de ransomware com falsos pagamentos

Os grupos de ransomware aplicam diferentes técnicas para tentar enganar as suas vítimas, levando-as a bloquearem os ficheiros dos seus sistemas e a terem de pagar para reaver os seus conteúdos. No entanto, recentemente o grupo conhecido pelo ransomware “DeadBolt” foi enganado pelas autoridades com uma técnica bastante interessante.

De acordo com as autoridades dos Países Baixos, o grupo terá sido enganado para fornecer quase 155 chaves de desencriptação de conteúdos sem terem recebido os respetivos pagamentos das mesmas.

O grupo encontra-se ativo desde janeiro deste ano, e é conhecido por requerer o pagamento de 0.03 BTC para desbloquear os ficheiros das vítimas. No entanto, as autoridades conseguiram enganar o grupo ao usarem falsos pagamentos.

O grupo atua praticamente sempre da mesma forma: depois de infetar os sistemas e requerer o pagamento, as vítimas que realizem o mesmo recebem a chave de desencriptação automaticamente na mesma carteira virtual de onde o pagamento foi realizado.

Este processo é feito de forma automática pelo sistema do grupo, que quando deteta que uma das suas carteiras recebeu um pagamento, envia automaticamente a chave de retorno. No entanto, as autoridades conseguiram explorar este sistema ao realizarem os pagamentos, mas sem concluírem o mesmo. Ou seja, o pagamento era realizado, mas imediatamente cancelado sem chegar ao destino.

Isto terá sido suficiente para enganar o sistema, que apesar de realizar o envio da chave para a carteira que realizou o pagamento original de desencriptação de conteúdos, este não validava se os pagamentos eram realmente terminados antes desse processo.

Com recurso a esta técnica, as autoridades afirmam que conseguiram reaver 155 chaves de desencriptação associadas com vítimas que reportaram os seus ataques às autoridades.

Infelizmente, este método foi rapidamente identificado pelo grupo, que já terá atualizado o seu sistema para apenas enviar as chaves depois de duas verificações do pagamento ter sido realizado terem sido feitas. Desta forma, no momento, as chaves apenas são enviadas depois do pagamento ter sido efetivamente validado na rede – ainda assim, terá sido um método inteligente de contornar o sistema, permitindo a 155 vítimas conseguirem recuperar os seus ficheiros gratuitamente.

15/10/2022
Ransomware Magniber distribui-se sobre ficheiros javascript para Windows

O ransomware ainda continua a ser um dos ataques mais lucrativos para quem realiza este género de atividades, e que muitas vezes pode levar à perda de dados para as vítimas. E agora, uma nova campanha foi descoberta que faz uso de um novo ransomware, que pode ser distribuído sobre javascript.

De acordo com um relatório da HP, o ransomware é conhecido como “Magniber”, e distribui-se sobretudo via javascript, embora o foco seja para sistemas Windows. As vítimas eram atraídas para falsos websites que prometiam atualizações de segurança para o Windows 10, onde era descarregado um ficheiro ZIP contendo o ficheiro JS no interior.

Se as vítimas executarem o mesmo, estão diretamente a iniciar o ataque, permitindo que o ransomware seja descarregado para o sistema através do código. No caso de utilizadores domésticos, os investigadores afirmam que o ransomware exigia o pagamento de 2500 dólares para a desencriptação dos ficheiros dos sistemas afetados.

Ao longo dos meses, o malware tem vindo também a evoluir, distribuindo-se também sobre extensões maliciosas para o navegador e até websites pela Internet. Para tentar evitar a deteção por software de segurança, os ficheiros encontram-se fortemente encriptados.

Apesar de o Magniber estar focado para encriptar um conjunto especifico de ficheiros, os investigadores revelam que o código do mesmo encontra-se com falhas, que podem permitir que mais conteúdo que o esperado seja realmente encriptado – e isso pode trazer ainda mais problemas para as vítimas, com ficheiros do sistema a poderem ser igualmente afetados.

Obviamente, a prevenção continua a ser um dos melhores mecanismos de segurança, sendo recomendado usar um software de segurança atualizado e manter backups dos dados importantes fora do sistema usado regularmente.

13/10/2022
Avast causa problemas no navegador Firefox em recente atualização

Os utilizadores do Firefox sobre o Windows podem, nas recentes atualizações, terem verificado alguns problemas com o navegador, nomeadamente na altura de o iniciar. Segundo os relatos, os utilizadores verificavam que o navegador não estava a iniciar corretamente depois da última atualização.

Após a investigação da Mozilla, agora conhecem-se mais detalhes sobre os motivos. Ao que parece, a mais recente atualização fornecida para o Firefox estaria a causar alguns problemas em sistemas onde o antivírus da Avast estaria também instalado.

Nestes sistemas, ao tentar iniciar-se o navegador da raposa, este apenas falhava. Em causa encontrava-se uma aparente incompatibilidade entre a versão recente do Firefox e o Avast, que estaria a levar à falha.

Segundo um dos programadores da Mozilla, a solução da Avast encontrava-se a marcar alguns dos componentes do Firefox como sendo literalmente ransomware, tratando-se claramente de um falso positivo. No entanto, este seria o suficiente para causar os problemas, e em muitos casos o próprio Avast nem alertava do facto de se tratar de ransomware.

De notar que as falhas também eram verificadas em sistemas que tinham o antivírus da AVG, empresa que foi adquirida pela Avast em 2016 e usa o mesmo motor de base, com funcionamento similar ao existente no programa principal. Como tal, este também poderia levar às falhas sobre o navegador.

Face aos problemas, e ao facto que o Avast é uma solução de segurança bastante utilizada no mercado, a Mozilla já disponibilizou a nova versão do Firefox 105.0.3, sendo que esta apenas conta com uma correção – focada exatamente neste problema.

Os utilizadores afetados podem descarregar a versão mais recente a partir do site da entidade, ou deixar o sistema atualizar automaticamente o navegador. É também recomendado que se verifique se o software da Avast ou da AVG se encontram nas versões mais recentes, para evitar também problemas.

08/10/2022
Avast lança ferramenta de desbloqueio do ransomware Hades
A empresa de segurança Avast revelou ter lançado um novo desencriptador para as variantes do ransomware Hades, conhecidas como ‘MafiaWare666’, ‘Jcrypt’, ‘RIP Lmao’ e ‘BrutusptCrypt’.

Esta nova ferramenta pode permitir que as vítimas deste ransomware consigam recuperar os ficheiros encriptados, sem terem de pagar o resgate de tal. Segundo a empresa de segurança, a ferramenta de desencriptação terá sido possível de ser criada devido a uma falha descoberta na encriptação do ransomware, que permite ao mesmo ser desbloqueado.

No entanto, é importante sublinhar que esta ferramenta pode não funcionar com variantes mais recentes ou que ainda estejam desconhecidas, onde a falha explorada para o desbloqueio pode já ter sido corrigida. Em todo o caso, será certamente uma ajuda para as vítimas deste ransomware.

A ferramenta suporta ficheiros que tenham sido encriptados sobre as extensões:
- .MafiaWare666
- .jcrypt
- .brutusptCrypt
- .bmcrypt
- .cyberone
- .l33ch
O download da ferramenta pode ser feito a partir deste site, sendo que os utilizadores podem selecionar o disco onde estão os conteúdos encriptados para realizar o desbloqueio. É também necessário conter um exemplo de um dos ficheiros originalmente encriptados e a sua versão antes do processo.

De notar que o processo de desbloqueio dos ficheiros pode demorar várias horas a ser concluído, sendo bastante lento. Mas no final, as vítimas devem ter os ficheiros recuperados nas localizações originais.
05/10/2022
Ferrari nega ataque com possível roubo de dados

De forma recente, o grupo de ransomware conhecido como RansomEXX confirmou ter realizado um ataque à Ferrari, da qual teriam sido roubados documentos internos da empresa.

A partir do seu site na rede Tor, o grupo afirma ter realizado o ataque aos sistemas da fabricante de automóveis, de onde foram roubados cerca de 7GB de dados, ligados diretamente com a empresa e possíveis clientes.

Entre os dados estaria diversa informação sensível da empresa, como materiais de reparação e outros documentos internos, que podem ser valiosos para algumas fontes. O grupo alega que terá em sua posse os documentos, mas não indica se terá pedido algum resgate para a entidade.

No entanto, de acordo com a Ferrari, esta nega ter sido alvo de qualquer ataque. Em comunicado, a empresa afirma que, depois de uma longa investigação, não foram identificadas falhas ou acessos indevidos aos seus sistemas que tenham resultado no roubo de dados. Também não foram verificados casos de ransomware sobre os mesmos, mas a empresa afirma ter aplicado novas medidas de segurança para evitar tais situações.

Curiosamente, este ataque teria ocorrido na mesma altura em que a Ferrari teria também deixado de ter a Kaspersky como empresa fornecedora de soluções de segurança, e de ter anunciado que essa tarefa iria agora passar para a Bitdefender.

05/10/2022
Afiliado do ransomware Netwalker condenado a 20 anos de prisão

Um antigo afiliado do ransomware Netwalker foi recentemente detido pelas autoridades dos EUA, e sentenciado a uma pena de prisão de 20 anos, por ataques realizados usando o ransomware.

Sebastien Vachon-Desjardins, de 35 anos, terá ainda sido forçado a realizar o pagamento de 21.500.000 dólares, associados com valores das vítimas que foram o alvo dos seus ataques, usando o ransomware conhecido como Netwalker. Isto inclui tanto empresas como utilizadores individuais que acabaram por realizar os pagamentos do ransomware.

Com os primeiros ataques realizados em 2019, o ransomware Netwalker ganhou popularidade depois de ter sido o responsável por ter realizado ataques a várias entidades de saúde durante o pico da pandemia, tentando aproveitar a situação para se obter ganhos ilícitos.

De acordo com as autoridades, o detido terá usado vários métodos para infetar os sistemas das entidades, com o objetivo de obter receitas ilícitas usando o ransomware Netwalker, e chantageando as entidades para pagarem ou terem os seus dados destruídos.

O mesmo foi detido pelas autoridades do Canadá a 27 de Janeiro de 2022, tendo sido poucos meses depois extraditado para os EUA, onde irá cumprir a sua pena de prisão.

05/10/2022
Construtor do ransomware LockBit surge em leak por programador “descontente”

Durante os últimos meses, o grupo LockBit tem vindo a manter uma atividade constante de ataques de ransomware a vários alvos. No entanto, parece que o grupo sofreu recentemente um leak interno de um programador descontente com o mesmo.

Em meados de junho, o grupo lançou uma nova versão da sua ferramenta de encriptação, conhecido como LockBit Black (a v3.0). Esta nova versão chegou com várias melhorias face à anterior, sobretudo para evitar a deteção e a analise do mesmo, bem como dificultar a tarefa de recuperar dados encriptados.

No entanto, parece que um programador descontente com o grupo terá revelado agora algumas das ferramentas usadas pelo mesmo para criar esta versão do ransomware.

A partir do Twitter, uma nova conta de utilizador sobre o nome de “Ali Qushji” terá recentemente publicado os ficheiros associados com o construtor do ransomware, o mesmo que é usado para criar as versões personalizadas do mesmo para as vítimas. Os conteúdos em questão dizem respeito ao LockBit 3.0.

De acordo com o investigador de segurança 3xp0rt, que revelou o leak, os ficheiros possuem as informações necessárias para usar o ransomware e criar versões adaptadas do mesmo. Todos os ficheiros foram partilhados sobre o GitHub.

O investigador VX-Underground também afirma ter sido contactado no passado por um utilizador, que se diz antigo programador do grupo, e que teria informado sobre os conteúdos em questão.

A divulgação destes ficheiros, no entanto, pode permitir que qualquer pessoa crie o seu próprio ransomware, o que abre portas para novos ataques ainda mais graves. Além disso, abre também possíveis problemas para o próprio grupo, que pode agora ter a mais recente versão do seu programa analisada em mais detalhe por investigadores de segurança – e que pode causar danos para as operações do grupo no futuro.

21/09/2022
Sistemas do parlamento na Bósnia encerrados devido a ataque informático

Faz quase duas semanas que o site do parlamento da Bósnia se encontra inacessível. E agora podem ter surgido mais informações do motivo para tal.

Ao que parece, as autoridades locais encontram-se a investigar um suposto ciberataque nas infraestruturas do parlamento, que terão afetado várias funcionalidades e serviços no pais. Segundo fontes locais, os sistemas do parlamento da Bósnia foram alvo de um ataque informático, deixando inacessíveis os sites e emails do mesmo.

De acordo com portal The Record, o caso terá ocorrido faz alguns dias, e tem vindo a impedir o acesso a emails e documentos de oficiais do governo. De momento ainda se encontra a realizar uma investigação ao incidente, motivo pelo qual não foram deixados muitos detalhes sobre o ataque.

No entanto, várias fontes locais apontam que este ataque tem vindo a tornar impossível realizar qualquer género de trabalho. Estas mesmas fontes indicam que os problemas começaram a ser verificados no dia 8 de Setembro, mas apenas agora surgem as confirmações oficiais do ataque.

Vários sistemas associados com o governo foram desligados, incluindo servidores associados ao site principal do parlamento, e onde também se encontram várias contas de email oficiais, que são usadas para os mais variados fins. Esta tarefa terá sido realizada para evitar a propagação do ataque e possível roubo de dados.

Para já ainda se desconhece o género de ataque que foi realizado, mas tendo em conta as medidas tomadas, acredita-se que possa ter sido um ataque de ransomware sobre os sistemas internos.

19/09/2022
Se foi vítima do ransomware LockerGoga agora possui uma salvação

Para quem tenha sido vítima do ransomware LockerGoga, agora existe uma possibilidade de recuperar os dados, com o novo desencriptador criado pela Bitdefender.

A ferramenta é totalmente gratuita, e permite que as vítimas que tenham ficheiros encriptados pelo LockerGoga possam recuperar acesso aos mesmos. Este programa terá sido criado com a ajuda de várias autoridades, juntamente com o projeto NoMoreRansom.

Normalmente, para que se proceda com o desbloqueio de ficheiros encriptados por ransomware, é necessário ter acesso à chave original ou encontrar uma falha no processo. Neste caso, os operadores do ransomware foram detidos pelas autoridades em Outubro de 2021, o que pode ter ajudado a criar a ferramenta.

Os ficheiros encriptados por este ransomware possuem a extensão “.locked”, sendo que o programa permite que o desbloqueio seja feito aos conteúdos apenas numa pasta ou poderá ser usado o mesmo para desencriptar todos os conteúdos existentes no disco. As instruções de uso do programa pode ser encontradas neste link.

De notar que, para o programa funcionar corretamente, é necessária uma ligação ativa à internet, e os ficheiros devem encontrar-se nos seus locais de onde foram originalmente encriptados. Apesar de não existirem garantias que todos os ficheiros possam ser desbloqueados por este método, certamente que será uma preciosa ajuda para quem tenha sido vítima do ransomware.

Estima-se que o LockerGoga tenha afetado mais de 1800 empresas a nível mundial, o que não engloba ainda potenciais individuais que possam ter sido apanhados igualmente no meio. Os operadores deste ransomware foram detidos pelas autoridades em Outubro de 2021.

16/09/2022
“Aviso de dívida importante”: tenha cuidado com este novo phishing

Os esquemas de phishing têm vindo a aumentar nos últimos tempos, e existe uma onda crescente de mensagens que dizem ter sido enviadas por várias entidades importantes, seja de bancos ou, como é o exemplo neste caso, da própria Autoridade Tributária e Aduaneira.

Uma nova onda de phishing parece estar a tentar enganar os utilizadores com um email aparentemente de alerta, e enviado pela entidade. A mensagem começa com o simples assunto de “Aviso de dívida importante”, de forma a tentar cativar os utilizadores para a importância do caso.

Se as potenciais vítimas acederem ao email, o conteúdo do mesmo alerta para uma suposta dívida fiscal que existe em nome do mesmo, e que é necessário proceder à sua regularização. As vítimas são reencaminhadas para um ficheiro HTML em anexo ao email, que caso seja aberto, apresenta uma mensagem a informar que é necessário descarregar o Adobe Reader para ler o conteúdo, e fornecendo um link que vai permitir tal ação – o qual é, na verdade, o malware.

Se este malware for instalado, procede com o roubo de dados das vítimas e com a encriptação de conteúdos a partir dos mais variados géneros de ransomware.

O mais grave deste caso encontra-se no facto que, caso as vítimas abram realmente o anexo, este surge como uma página web na maioria dos leitores de email web. O anexo trata-se de um simples ficheiro HTML, pelo que, na maioria dos casos, vai abrir diretamente no navegador dos utilizadores. No caso do Gmail, mesmo que a mensagem seja classificada como email, e apesar de indicar que o download de anexos encontra-se desativado, a abertura de ficheiros HTML ainda é possível de ser feita – dando espaço para que o ataque se concretize mesmo sem que seja necessário descarregar o ficheiro localmente.

Isto pode ser o suficiente para enganar as vítimas e levar as mesmas a descarregar o conteúdo malicioso, ainda mais tendo em conta a mensagem de aparente urgência sobre as supostas dívidas fiscais.

Como sempre, será recomendado que os utilizadores tenham extremo cuidado sobre os conteúdos que recebem nas suas caixas de entrada, validando sempre a informação que é apresentada – ainda mais com temas que podem ser sensíveis ou onde existam suspeitas de fraude.

16/09/2022
Cisco confirma ataque de ransomware com roubo de dados

A Cisco confirmou que os dados divulgados recentemente pelo grupo de ransomware Yanluowang foram efetivamente roubados da empresa, num ataque realizado em Maio deste ano.

De acordo com o comunicado da empresa, no dia 11 de Setembro, um grupo de hackers revelou ter roubado diversa informação associada a sistemas internos da Cisco, tendo divulgado essa informação em vários sites sobre a rede Tor. O conteúdo destes ficheiros corresponde a dados que terão sido roubados da empresa num ataque realizado em Maio deste ano.

De relembrar que, em Agosto, a Cisco tinha confirmado ter sido vitima de um ataque feito pelo grupo Yanluowang, o qual terá usado as credenciais de um funcionário para aceder à rede VPN interna da empresa, tendo acesso limitado aos dados.

De acordo com a empresa, o atacante terá obtido acesso apenas a documentos não confidenciais da empresa, e esta identificou a intrusão antes que os sistemas fossem efetivamente encriptados.

No entanto, os atacantes apontam uma história ligeiramente diferente, afirmando que mantiveram acesso aos sistemas da empresa durante bastante tempo, e que terão mesmo roubado 55GB de dados internos, incluindo documentos classificados da empresa e diversas informações relativa a código fonte dos sistemas e programas da entidade.

No entanto, o grupo não forneceu detalhes sobre os dados roubados, com a Cisco a indicar que não existe qualquer indicio que dados sensíveis tenham sido roubados da empresa durante o ataque realizado.

12/09/2022
IHG Hotels & Resorts alvo de ataque informático

A empresa IHG Hotels & Resorts confirmou ter sido alvo de um ataque recentemente, onde utilizadores não autorizados obtiveram acesso a sistemas internos da empresa, com possível acesso a dados do mesmo.

Esta entidade é responsável por gerir 6028 hotéis em mais de 100 países diferentes, incluindo vários hotéis de luxo em cidades portuguesas. Durante um comunicado enviado para as autoridades do Reino Unido, a empresa confirma ter sido alvo de um ataque informático, onde terceiros terão obtido acesso aos sistemas internos da empresa, nomeadamente ao sistema de reservas para com os clientes.

Esta afirma estar a trabalhar para recuperar os sistemas afetados, bem como investigador o que ocorreu, trabalhando com as autoridades para tal. O comunicado não informa, no entanto, qual o género de ataque que foi realizado e se dados dos clientes poderão ter sido comprometidos.

A empresa apenas refere que se encontra a recuperar os sistemas afetados, o que pode indicar que, conforme tem vindo a ser a tendência no mercado, será associado com um ataque de ransomware, embora tal não tenha sido confirmado.

Espera-se que mais detalhes venham a ser revelados conforme a investigação venha a ser realizada na origem do mesmo. A entidade terá ainda contratado uma empresa externa para avaliar os danos causados pelo ataque, bem como implementar medidas para proteger os sistemas no futuro.

As atividades dos hotéis da empresa não terão sido afetadas no processo.

06/09/2022
TAP Air Portugal alvo de ataque de ransomware

A TAP Air Portugal aparenta ter sido a mais recente vítima de um ataque de ransomware, com dados potencialmente acedidos. O ataque foi confirmado pelo grupo conhecido como Ragnar Locker, que a partir do seu site na rede TOR deu a conhecer o ataque.

De relembrar que, no final da semana passada, a TAP tinha confirmado que teria sido alvo de um ataque, mas que conseguiu bloquear o mesmo com sucesso sem perda de dados. No entanto, tendo em conta as informações agora reveladas, o grupo associado ao ataque aparenta ter realizado o roubo de informações internas da empresa.

No seu blog na rede TOR, o grupo Ragnar Locker afirma que a empresa não terá dado prioridade à segurança dos seus dados, tendo fornecido uma comunicação errada sobre o roubo de dados que teria sofrido. O grupo alega ter roubado vários gigabytes de dados da empresa, que ultrapassa mesmo o roubo de outras entidades similares – como a Easy Jet.

Neste exemplo, o grupo alega que os cerca de 400.000 clientes da Easy Jet afetados pelo roubo de informações da empresa são pequenos em comparação com os dados que estes possuem sobre a TAP Portugal – os quais os mesmos alegam ser um dos maiores da história das empresas de aviação. Com esta indicação, acredita-se que o grupo possa ter obtido acesso a dados de clientes da empresa, funcionários e outras informações sensíveis.

Numa imagem partilhada pelo grupo no seu blog, este demonstra várias informações potencialmente sensíveis que terão sido recolhidas do ataque, contendo nomes, endereços de email, datas de nascimento e outras informações pessoais. Estes dados aparentam dizer respeito a clientes da empresa.

Até ao momento a TAP Portugal não deixou qualquer comunicado sobre o incidente.

31/08/2022
Hackers exploram falha no sistema anti-cheat de Genshin Impact

Se costuma jogar o título Genshin Impact, talvez seja melhor ter atenção aos conteúdos que acede pela internet. Isto porque foi descoberto que existe diverso malware e ransomware que se encontra ativamente a usar uma falha no sistema de anticheat deste jogo para desativar os softwares de segurança do sistema.

A falha encontra-se sobre o módulo “mhypro2.sys”, que se encontra integrada no sistema de proteção do jogo, mas ao mesmo tempo pode também ser explorada de forma independente – até mesmo em sistemas que não tenham o título instalado.

Explorando falhas sobre este ficheiro, e a forma como o mesmo é executado no Windows, os atacantes podem conseguir realizar a desativação de software de segurança no sistema, o que abre as portas para a instalação do mais variado malware no sistema.

A driver possui um elevado acesso ao kernel do sistema, e basicamente permite que qualquer processo no mesmo seja terminado. As falhas no mesmo existem desde 2020, e apesar de terem sido reportadas ao longo dos anos, nunca foram corrigidas.

A gravidade é agora maior, tendo em conta que começaram a ser descobertas as primeiras campanhas de malware que estão a tirar proveito da mesma para infetar os sistemas.

De acordo com os investigadores da empresa de segurança Trend Micro, existem malware que está a tirar proveito destas falhas desde Julho de 2022, usando as mesmas para desativar as soluções de segurança do sistema das vítimas, e procedendo depois com a instalação do malware.

Infelizmente, existe pouco que os utilizadores possam fazer para evitar este caso, uma vez que a correção do problema necessita de ser feita pelos criadores do módulo. Apenas estes possuem a capacidade de revogar o certificado do DLL, que permite a instalação no Windows, evitando assim que o sistema considere as drivers como “seguras”.

26/08/2022
Altice International alegadamente alvo de ataque ransomware

O grupo de ransomware conhecido como Hive encontra-se a atribuir a autoria de um recente ataque de ransomware para a empresa Altice International.

De acordo com o comunicado do grupo, publicado no seu site sobre a rede Tor, o mesmo alega ter atacado a empresa no passado dia 9 de Agosto de 2022. Até ao momento ainda se desconhecem exatamente quais os dados da entidade que foram afetados, sendo que a empresa não deixou qualquer comunicado sobre a situação.

O grupo Hive tem vindo a realizar ataques de larga escala em diversas entidades, com a sua atividade a propagar-se cada vez mais para grandes setores e entidades. O grupo tenta negociar com as empresas afetadas um valor para evitar a divulgação dos dados, mas não chegando a um acordo, os mesmos são publicamente disponibilizados.

De notar que, da Altice Internacional, faz parte a Altice Portugal, que é responsável por fornecer vários serviços triple-play em Portugal. Desconhece-se, para já, se o ataque terá afetado outras entidades associadas com a Altice International.

25/08/2022
Avast disponibiliza Ransomware Shield para soluções de empresa

Focado sobretudo para os utilizadores empresariais, a Avast confirmou que vai começar a integrar o seu sistema de proteção contra ataques ransomware sobre os clientes que tenham a aplicação Avast Essential, Premium, e Ultimate para empresas.

O Ransomware Shield, uma solução da Avast focada em proteger contra ataques de ransomware, vai ser integrada gratuitamente em todas as soluções de segurança da empresa focadas para empresas. Segundo a empresa, o número de ataques de ransomware tem vindo a registar um aumento considerável, com foco sobretudo para pequenas e médias empresas.

Como tal, adicionar o Ransomware Shield nestas soluções poderá ajudar a proteger ficheiros e documentos importantes de ataques considerados maliciosos. Os administradores do sistema terão total controlo sobre quais as aplicações que podem aceder aos documentos e em que formato.

De notar que esta novidade aplicar-se para os utilizadores que teriam uma subscrição de empresa para as soluções de segurança da Avast. Os utilizadores do Avast Free ou das soluções dedicadas para fins pessoais já teriam acesso ao Ransomware Shield por padrão.

24/08/2022
Microsoft corrige falha no Windows 10 que causava erros no encerramento

A Microsoft confirmou ter resolvido um bug sobre o Windows 10, que poderia causar alguns problemas no momento de encerrar o sistema.

De acordo com a empresa, um bug no sistema estaria a causar o erro 0x1E durante o encerramento do Windows 10. Os utilizadores que eram afetados pela mesma poderiam verificar a mensagem de erro no momento de encerrarem o sistema operativo, por vezes impedindo que o processo fosse realizado corretamente.

Para corrigir esta situação, a empresa lançou a atualização KB5016690, que se encontra atualmente disponível para os utilizadores do Windows 10 2019 LTSC e Server 2019 ou mais recente – a atualização não vai ser fornecida para o Windows 10 1809 de Maio de 2021, uma vez que este deixou de ser oficialmente suportado.

Esta atualização conta ainda com algumas correções e melhorias importantes para o sistema, com destaque para as melhorias na capacidade do Microsoft Defender identificar e bloquear ataques de ransomware – algo que já tinha sido fornecido nas últimas semanas para os utilizadores do Windows 11.

A atualização, como sempre, vai estar disponível a partir do Windows Update, sendo que os utilizadores podem instalar manualmente a mesma realizando a pesquisa por atualizações nas Definições do Windows.

24/08/2022
Microsoft Defender volta a surpreender nos testes de proteção contra ransomware

A Microsoft tem vindo a desenvolver cada vez mais o Microsoft Defender, como forma de garantir a segurança dos utilizadores do Windows a partir do primeiro minuto. A ferramenta recebeu grandes atualizações nos últimos tempos, e isso comprova-se nos mais recentes testes feitos sobre a mesma.

De acordo com os testes da AV-Test, entidade independente que regularmente realiza a avaliação das diferentes ofertas de segurança no mercado, o Microsoft Defender volta a destacar-se a nível da proteção que oferece – sobretudo no que respeita a ransomware.

Segundo a empresa, o programa de segurança da Microsoft foi capaz de identificar e bloquear as tentativas de ataques de ransomware numa fase bastante inicial do mesmo, o que será boas notícias tendo em conta a crescente onda de ataques a explorarem esta vertente.

Os testes foram feitos tanto em nível de ambientes empresariais como domésticos, não apenas o Microsoft Defender, mas a vários outros produtos de segurança no mercado. Em ambos os casos, no entanto, a solução da Microsoft demonstrou-se eficaz em proteger o sistema dos mais avançados ataques.

Mesmo que ainda tenha as suas falhas, não existe como negar que o Microsoft Defender tem vindo a receber atualizações consideráveis para se tornar uma solução de segurança à altura de satisfazer as necessidades dos utilizadores que pretendam algo simples e que “apenas funcione”.

Caso pretenda, poderá analisar o relatório completo do teste no site da entidade.

23/08/2022
Grupo de ransomware LockBit alvo de ataque DDoS após divulgar dados da Entrust

O grupo de ransomware LockBit confirmou ter sido o responsável por um roubo de dados da empresa Entrust, tendo ameaçado publicar os dados roubados depois de as negociações com a entidade não terem chegado a nenhum resultado.

No entanto, pouco depois de ter sido confirmado que os dados iriam ser revelados, o site do grupo que é usado para anunciar os ataques foi alvo de um forte ataque DDoS, o qual aparenta ter sido originado da própria Entrust ou de entidades diretamente relacionadas com a mesma.

A Entrust é uma empresa que se apelida líder na proteção de dados, identidades e pagamentos, fornecendo serviços para milhares de empresas no mercado. Em Julho, a entidade tinha confirmado que os seus sistemas tinham sido acedidos por uma entidade não autorizada, mas não deixou detalhes sobre o que teria sido concretamente acedido.

De notar que, da lista de clientes da Entrust, encontram-se várias entidades e agências governamentais dos EUA, pelo que o acesso a dados dos clientes da mesma poderia revelar-se uma verdadeira dor de cabeça.

No final da semana passada, o grupo LockBit confirmou ter sido a origem do ataque, tendo ainda confirmado que tentou entrar em contacto com a Entrust para negociar a não publicação dos dados roubados – o que terminou sem sucesso.

Face a isto, o grupo terá começado a divulgar alguns dos ficheiros roubados da empresa. No entanto, pouco depois de os primeiros dados terem sido revelados, o site do grupo foi alvo de um forte ataque DDoS, tendo ficado inacessível.

Vários investigadores de segurança que possuem ligações com os responsáveis do grupo confirmam o ataque. Azim Shukuhi, um investigador que terá estado em contacto com um dos responsáveis do grupo, conhecido apenas como “LockBitSupp”, indica que os servidores do grupo terão sido alvos de um ataque com mais de 400 pedidos por segundo de 1000 servidores diferentes.

O ataque acredita-se ter ligação com a Entrust de alguma forma não oficial, uma vez que os atacantes, sobre os pedidos feitos para os servidores do grupo de ransomware, alteraram o nome do useragent para indicar a eliminação dos dados associados com a Entrust.

O site do grupo ainda se encontra atualmente inacessível sobre a rede Tor, o que indica que pode ainda estar a verificar um largo ataque DDoS. No entanto, durante alguns períodos de tempo, o mesmo voltou a ficar ativo com uma mensagem dos responsáveis do grupo, a indicar que os dados da empresa iriam ser enviados para uma plataforma P2P, o que tecnicamente torna consideravelmente mais difícil remover os dados ou deixar os mesmos inacessíveis.

Até ao momento a Entrust não deixou qualquer comentário sobre o caso ou a possível relação entre os ataques DDoS e a o grupo.

No entanto, é importante notar que, sobre as leis norte-americanas, é ilegal realizar ataques reversos como “vingança”. Isto inclui a realização de ataques aos grupos que inicialmente realizaram um ataque sobre uma entidade, o que tem vindo a ser também alvo de algumas críticas – uma vez que poderia ser visto como uma forma de defesa das pequenas entidades.

No entanto, as autoridades consideram que esta medida apenas leva a mais atos de violência e ataques digitais invés de se tentar resolver a situação.

22/08/2022
Grupo de ransomware LockBit confirma ataque à Entrust

O grupo de ransomware conhecido como Lockbit afirma ter realizado uma nova vítima, desta vez a entidade conhecida como Entrust.

O caso começou a ser reportado no passado mês de Junho, quando a Entrust começou a notificar alguns clientes de que teria sido alvo de um ciberataque. No entanto, na altura, não foram revelados muitos detalhes sobre o caso, embora tenha sido confirmado que alguns dados internos da empresa poderiam ter sido afetados.

Na altura, a empresa também confirmou que iria continuar as investigações, e caso fosse identificado que os dados roubados eram respeitantes a algum cliente da mesma, estes iriam ser diretamente contactados.

Agora, o grupo conhecido como Lockbit veio oficialmente confirmar ter sido a origem do ataque. A partir do seu website na rede Tor, citado pelo investigador de segurança Dominic Alvieri, o grupo confirmou ter realizado o ataque, e que se encontra a preparar para divulgar os dados roubados em menos de 24 horas.

Normalmente o grupo tende a anunciar o ataque a uma empresa e a divulgação dos dados com alguns dias de espaçamento, de forma a permitir alguma negociação. Neste caso, tendo em conta o relativo curto espaço de tempo fornecido, acredita-se que as negociações não tenham resultado em nenhum pagamento, dai que os dados serão agora divulgados.

De notar que este grupo é atualmente um dos mais ativos na esfera dos ataques de ransomware, sendo que o número de vítimas do mesmo tem vindo a aumentar consideravelmente nos últimos meses.

19/08/2022
Windows 10 KB5016688 disponível para o programa Insider

A Microsoft encontra-se a disponibilizar uma nova atualização para os utilizadores do Windows 10, que se encontrem dentro do programa Insider. A nova Build 19044.1947 (KB5016688) para Insiders encontra-se agora disponível, trazendo consigo algumas novidades interessantes.

Esta atualização ainda é considerada a 21H2, sendo que por agora ainda se desconhece quando a Microsoft vai fornecer a 22H2 para o Windows 10. Por entre as novidades desta build encontra-se a capacidade dos administradores de redes locais terem a capacidade de, remotamente, adicionarem novos idiomas para o sistema.

O Microsoft Defender for Endpoint foi também melhorado para ajudar a identificar ataques mais avançados de malware e ransomware, o que deve fornecer mais proteção para o sistema.

Foram ainda corrigidos alguns problemas com o Edge, que poderiam levar ao bloqueio do mesmo com a ativação do modo IE, juntamente com alguns erros que poderiam ser gerados sobre o encerramento do sistema.

A atualização encontra-se disponível desde já para todos os utilizadores do Windows 10 no programa Insider, a partir do Windows Update.

16/08/2022
Malware bancário para Android agora age como ransomware

De tempos a tempos surgem novas variantes de malware, focadas em roubar dados financeiros dos utilizadores para os mais variados fins. Um dos mais conhecidos até agora era o “Sova”, uma variante de malware que começou a aparecer no mercado em Setembro do ano passado.

No entanto, desde então, parece que este malware também tem vindo a evoluir, passando de um simples malware de roubo de dados, para literalmente ransomware.

De acordo com os investigadores de segurança da empresa Cleafy, o Sova tem vindo a ser atualizado de forma consistente, não apenas para suportar ainda mais aplicações bancárias de onde roubar dados, mas também para agir como ransomware no sistema.

As mais recentes variantes do Sova, para além de roubarem os dados bancários das vítimas, depois da tarefa procedem também ao bloqueio dos ficheiros no sistema operativo. A funcionalidade ainda parece estar a ser implementada pelos criadores do malware, mas encontra-se já ativa sobre as mais recentes versões do malware.

Ou seja, para além de roubar os dados bancários, e potencialmente outros dados financeiros guardados no sistema, o malware agora encripta os conteúdos pessoais como fotos, vídeos e ficheiros no smartphone, requerendo ao utilizador um pagamento para aceder aos mesmos.

A inclusão da vertente de ransomware neste género de malware não é vulgar, mas demonstra que o mesmo está a evoluir consideravelmente e que os autores do mesmo ainda estão em constante atualização do mesmo.

De relembrar que o Sova distribui-se sobretudo por aplicações maliciosas que podem ser encontradas, na maioria das vezes, sobre sites que fornecem apps gratuitamente – fora dos canais oficiais.

15/08/2022
Valverde Hotel em Lisboa alvo de ataque ransomware

O Valverde Hotel, localizado em Lisboa, terá sido a mais recente entidade nacional a ser alvo de um ataque de ransomware.

O grupo conhecido como “LV” alega ter realizado o roubo de aproximadamente 10 GB de dados da empresa, o que inclui diversa informação pessoal tanto de funcionários como de clientes. Este grupo é conhecido por realizar ataques no formato de ransomware, explorando falhas sobre os sistemas das entidades.

Até ao momento ainda se desconhecem detalhes sobre a origem do ataque, sendo que não foi deixada nenhuma confirmação oficial da entidade. No entanto, o grupo alega ter em sua posse diversos documentos e informações associadas com a empresa, de onde se inclui cartões de cidadão, faturas, recibos de vencimento de funcionários e outros documentos internos e financeiros da entidade.

De notar que, até ao momento, ainda se desconhece se dados de clientes do Hotel terão sido afetados sobre este ataque. Apesar de o grupo alegar ter em sua posse vários dados internos, não é possível confirmar se os mesmos dizem apenas respeito a funcionários ou também a clientes do mesmo.

09/08/2022
Builds do Windows 11 no canal Beta melhoram proteção do Microsoft Defender

Como já foi revelado aqui no TugaTech, a Microsoft encontra-se a disponibilizar uma nova build para o Windows 11, sobre o programa Insider, para todos os utilizadores que estejam sobre o canal Beta.

Se esta nova build chega com várias melhorias para o sistema e a correção de alguns bugs, um ponto importante será para quem use o Microsoft Defender. Isto porque as novas builds contam com várias melhorias focadas sobre o sistema de proteção contra ransomware do Microsoft Defender.

Segundo a empresa, o motor de análise da suíte de segurança do Microsoft Defender foi consideravelmente melhorado de forma a identificar novos ataques de ransomware, garantindo também mais segurança para os dados dos utilizadores.

A empresa encontra-se algo reticente em deixar detalhes sobre quais as melhorias que foram exatamente realizadas, possivelmente para evitar dar todas as cartas no que respeita a tais proteções para os atacantes explorarem.

Para quem tenha o Microsoft Defender como programa de proteção principal do sistema, e caso se encontre no canal Beta do programa Insider, instalar as mais recentes builds será certamente recomendado, não apenas por todas as correções aplicadas, mas por esta melhoria de segurança que é bem vinda.

De relembrar que a atualização encontra-se disponível para os utilizadores via o Windows Update, sendo que basta aceder ao mesmo para proceder com a instalação.

02/08/2022
Windows 11 recebe nova atualização para corrigir uso elevado do CPU

A Microsoft encontra-se a disponibilizar uma nova atualização para os utilizadores que se encontrem no programa Insider do Windows 11, sobre o canal Beta, que vai corrigir uma série de problemas reportados nos últimos dias sobre o sistema.

As novas builds 22621.450 e 22622.450 estão a partir de hoje disponíveis para os utilizadores dentro do canal Beta. Estas builds são fornecidas como parte do desdobramento em duas builds que foi feito sobre o canal Beta, como parte de um teste da empresa.

Em ambos os casos, estas vão receber as novas atualizações, portanto os utilizadores vão beneficiar das correções independentemente na que se encontrem.

As novas builds contam com várias correções, entre as quais se encontram melhorias sobre o Windows Defender for Endpoints, que vão garantir uma melhor identificação de ataques de ransomware sobre o sistema.

Foi ainda corrigido um bug que, sobre certas situações, poderia levar ao bloqueio da aplicação de Fotos do sistema, bem como ao uso elevado de recursos do processador. A empresa garante ainda estar a verificar um bug que pode causar perda de áudio sobre certos sistemas – estas novas builds não contam com a correção para o mesmo, mas fornecem mais detalhes para a empresa poder corrigir o mesmo.

Os utilizadores podem instalar a atualização mais recente de forma direta, pelo Windows Update, caso esteja dentro do canal Beta.

02/08/2022
Microsoft Defender pode ser usado para instalar ransomware no sistema

Os responsáveis pelo ransomware LockBit 3.0 estão a explorar uma falha existente sobre o Windows Defender para infetarem sistemas Windows, mais concretamente para levarem à instalação de programas que poderão permitir a encriptação de conteúdos com o ransomware, contornando também as principais medidas de segurança e softwares de segurança.

Para este fim, os atacantes encontram-se a usar o Cobalt Strike, uma suíte de programas genuína e usada para testes de segurança a sistemas. No entanto, apesar de o programa ser genuíno, a forma como os atacantes se encontram a usar o mesmo certamente que não será para esse fim.

De acordo com os investigadores da empresa de segurança Sentinel Labs, os atacantes encontram-se a explorar a linha de comandos do Microsoft Defender para levarem à infeção dos sistema, através da injeção de ficheiros DLL modificados para atividades maliciosas.

Estas tarefas são feitas através do programa MpCmdRun.exe, que será o usado pelo Microsoft Defender para a linha de comandos, sendo possível realizar várias ações pelo mesmo tal como se fossem feitas pela interface gráfica.

Através do uso da aplicação, e aproveitando o uso de DLLs que a mesma faz do sistema, os atacantes podem explorar a falha para instalar malware no sistema ou executar código malicioso no mesmo, que abre as portas para tal.

Tendo em contra que o Microsoft Defender é a suíte de proteção existente em vários sistemas Windows mais recentes, esta falha pode levar a que os utilizadores sejam infetados mesmo que tenham o programa a funcionar corretamente.

Uma vez que o malware pode executar praticamente qualquer comando no sistema, também pode desativar as proteções ou adicionar ficheiros específicos na lista para serem ignorados pelo Microsoft Defender.

29/07/2022
Ataques de Ransomware aumentam mas com menos vítimas a pagarem

O ransomware ainda é um género de ataque que tem vindo a prevalecer, em parte pelos lucros que pode gerar para as entidades que acabam por roubar os dados. Muitas empresas optam por pagar para recuperar os ficheiros ou apenas para evitar que os mesmos sejam publicamente revelados.

No entanto, se o mercado mundial tem vindo a passar por uma forte crise, parece que os operadores dos principais ransomwares no mercado também enfrentam algumas dificuldades.

De acordo com os dados da empresa de análise do mercado Coveware, os pagamentos a grupos de ransomware devido aos seus ataques caiu drasticamente durante o passado trimestre, em parte porque existem cada vez menos vítimas a pagar pelo resgate.

Os dados demonstram que, durante o segundo trimestre do ano, o pagamento médio dos resgates encontrou-se nos 228.125 dólares, o que representa um aumento de quase 8% em relação ao primeiro trimestre do ano.

No entanto, o pagamento médio de resgate por parte das vítimas encontra-se agora em cerca de 36.360 dólares, o que corresponde a uma queda de 51% face ao trimestre anterior. Ou seja, apesar de existirem mais pagamentos recebidos pelos atacantes, as vítimas encontram-se a pagar menos.

O relatório indica que esta queda pode ser justificada com as mudanças de estratégia de muitos grupos de ransomware, que começaram a focar-se em entidades no mercado intermédio. Por sua vez, também existe cada vez mais empresas que se recusam a realizar os pagamentos, sobretudo quando são realizados pedidos de resgate com valores inconsideradamente elevados.

A nível dos grupos de ransomware mais ativos durante este trimestre, o BlackCat regista o primeiro lugar da tabela, tendo realizado 16.9% dos atacantes. O Lockbit 2.0 encontra-se em segunda posição com 13.1% acompanhado de perto pelo Hive com 6.3%.

Também se verificou um crescimento nos Ransomware-as-a-service, onde novas técnicas de ransomware são fornecidas para afiliados – com a procura por este género de serviços a aumentar consideravelmente.

28/07/2022
Neopets alvo de roubo de dados em 69 milhões de utilizadores

Se era utilizador do portal da Neopets, possivelmente os seus dados pessoais fazem agora parte da lista de 69 milhões de contas que foram afetadas num recente leak da plataforma.

A Neopets trata-se de uma plataforma onde os utilizadores podem criar e manter os seus animais virtuais, jogando com os mesmos diferentes títulos e interagindo com a comunidade. Recentemente a plataforma revelou que iria integrar-se no mercado das NFTs, para no futuro também se integrar no metaverso.

No entanto, de acordo com o portal BleepingComputer, um hacker conhecido como “TarTarX” revelou, num portal da dark web, que se encontra a vender todo o código fonte e base de dados do portal. A venda encontra-se a ser feita por cerca de 94.000 dólares, sendo que a base de dados inclui todas as informações pessoais dos utilizadores no serviço – incluindo nomes, emails e outras informações sensíveis.

O vendedor afirma que a base de dados contem mais de 69 milhões de utilizadores, sendo que muita da informação presente na mesma diz respeito aos dados que os utilizadores partilharam nos seus perfis da plataforma.

O hacker não revelou detalhes sobre como o roubo de dados teria ocorrido, mas indicou que não terá sido sobre o formato de ransomware – ou seja, não terão sido propriamente encriptados dados da empresa nem dada a possibilidade desta pagar para reaver os mesmos e evitar a publicação.

Enquanto isso, a empresa ainda não deixou qualquer comunicado sobre a situação, mas a partir do Discord, alguns dos moderadores de um servidor não oficial do jogo, e que possuem relação direta com a empresa gestora do mesmo, afirmam que o roubo de dados encontra-se a ser investigado.

Os utilizadores são aconselhados a alterarem as suas senhas, bem como terem atenção a qualquer mensagem de email ou SMS que possam receber.

21/07/2022
Luna é um novo ransomware que infeta Windows, Linux e ESXi

Existe um novo ransomware que é capaz de encriptar praticamente todos os sistemas operativos que existem para desktop: Windows, Linux e ESXi.

O ransomware foi inicialmente descoberto pelos investigadores da empresa de segurança Kaspersky, estando a ser divulgado em vários fóruns da Dark Web para venda em interessados, embora as mensagens deixadas pelos vendedores indiquem que estes estão interessados em trabalhar apenas com fontes na Rússia.

Tendo estes detalhes em conta, apesar de a origem do ransomware ainda não estar inteiramente provada, acredita-se que seja da Rússia. Isto pode também ser notado em alguns erros gramaticais sobre o texto da mensagem do ransomware.

Relativamente ao ransomware, este ainda é consideravelmente simples, mas destrutivo o suficiente para se adaptar ao sistema onde se encontre a ser carregado. O mesmo pode afetar dispositivos com Windows, Linux e sistemas ESXi.

Uma vez instalado no sistema, este começa a analisar os principais ficheiros do mesmo, encriptando os conteúdos e deixando uma mensagem para os utilizadores realizarem o pagamento. Ainda se desconhece se, para quem for afetado e realizar o pagamento, existe alguma forma de recuperar os ficheiros de forma segura.

Mesmo com todos os avisos, o ransomware ainda continua a ser uma ameaça bastante presente no dia a dia de individuais e empresas. É importante ter em consideração não apenas a segurança, mas também a implementação de regras e medidas de contingência para o caso de ser infetado.

20/07/2022
Hackers divulgam 4GB de dados internos de funcionários da Roblox

Roblox é possivelmente um dos videojogos mais conhecidos dos últimos anos, tendo uma larga comunidade de jogadores a nível mundial. Como tal, é certamente preocupante quando surge notícias de um possível roubo de dados associado com a empresa.

Recentemente um grupo de hackers afirma ter atacado os sistemas internos da Roblox Corporation, roubando diversa informação interna associada com a empresa e funcionários.

De acordo com o portal Cybernews, por entre os documentos roubados encontram-se identificações, listas associadas com os criadores do jogo, endereços de email e outras informações sensíveis.

Tendo em conta que existem documentos associados com criadores e jogadores de Roblox, existe a possibilidade que alguma informação pessoal dos mesmos também se encontre por entre os documentos roubados. No total estima-se que tenham sido roubados cerca de 4GB de documentos internos.

Em comunicado, a Roblox confirma o roubo de dados, indicando que os mesmos foram obtidos através de uma extorsão feita a empresa – possivelmente de um ataque ransomware – no qual a mesma não terá realizado o pagamento. A empresa afirma ainda que agiu rapidamente, tendo tomado as medidas necessárias para avaliar a situação com experts.

Os documentos, tendo em conta que a empresa não realizou o pagamento, foram divulgados publicamente num fórum da dark web. É importante relembrar que esta não é a primeira vez que a Roblox é alvo de roubo de dados, mas no passado afetou sobretudo os jogadores, e não a empresa em si.

19/07/2022
Já ocorreram mais de 3000 ataques de ransomware em Portugal

As operações de ransomware têm várias fases. Primeiro, o cibercriminoso estuda a rede da vítima; depois ataca e examina os ativos internos. A seguir, move-se lateralmente através da rede e extrai informação. Finalmente, executa o ransomware para encriptar os dados, impedindo a sua utilização e parando as operações do alvo.

A nova tendência neste processo é que muitos dos atacantes apoiam-se em diferentes estruturas e ferramentas conhecidas como “network teaming”, que são utilizadas por pentesters – especialistas que realizam testes de penetração numa rede – e Red Teams – grupos de profissionais que testam as capacidades de segurança operacional de uma empresa através de sofisticadas simulações de ataque. Isto significa que os cibercriminosos estão a utilizar ferramentas destinadas a avaliar a eficácia da rede corporativa contra as próprias empresas.

No final de 2021, a Kaspersky registou um aumento significativo de ataques utilizando estas ferramentas. Até agora, este ano, as estatísticas da empresa indicam que, todos os dias, milhares de utilizadores portugueses são vítimas de tentativas de ataque com ferramentas como o CobaltStrike ou Metasploit, entre outras.

Analisando a imagem global das investigações de ransomware, independentemente da plataforma – desde telefones Android a servidores e estações de trabalho de Windows ou Linux – os dados são muito reveladores. Em média, até agora, este ano, as tecnologias Kaspersky registaram mais de 332 ataques de ransomware por dia, o que equivale a cerca de 11.000 ataques por mês. A Península Ibérica está entre as regiões mais afetadas por ransomware na Europa, com o número de utilizadores atacados entre Janeiro e Maio de 2022 a atingir possivelmente os 5600, de acordo com dados da Kaspersky. No caso específico de Portugal, estima-se que o número de utilizadores visados possa chegar aos 3000.

Considerando os efeitos que um único ataque de ransomware pode gerar, os números são preocupantes. Se um destes ataques passar despercebido, estar-se-á perante uma grave perda de informação que poderá ser irrecuperável, para além de ter consequências negativas para as empresas.

“Os filiados que trabalham com os vários grupos de criminosos de ransomware utilizam, dentro do seu arsenal, as mesmas ferramentas que seriam utilizadas por uma equipa envolvida em atividades de trabalho de gestão de rede para atacar as organizações. Estes agentes são especialistas em técnicas de exploração e pós-exploração, visando qualquer sistema operativo para alcançar o paciente 0, o que lhes dará primeiro acesso à organização e depois um movimento lateral para encriptar toda a organização com ransomware”, adverte Marc Rivero, analista sénior de segurança da Kaspersky.

19/07/2022
Grupos de ransomware começam a criar sistemas de pesquisa para dados roubados

Os ataques de ransomware ainda continua a ser dos mais destrutivos que podem ocorrer sobre uma empresa, derivado dos dados que podem ser perdidos ou roubados, além dos que podem ficar disponíveis publicamente para quem não realize os pagamentos.

Este género de ataques há muito que deixou de ser apenas para bloquear o acesso aos ficheiros caso as entidades não pagassem, para se focar também no roubo das mesmas. Imagine os dados sensíveis de uma empresa, e muitas vezes dados pessoais de funcionários, a ficarem nas mãos de qualquer um.

Até agora, a maioria dos grupos de ransomware forneciam os conteúdos roubados de forma completa, onde quem pretendesse aceder aos mesmos, ou verificar alguma informação, teria de descarregar todos os dados.

Mas os investigadores de segurança encontram-se a ficar preocupados com uma nova tendência: motores de pesquisa de grupos de ransomware. Uma nova técnica que se encontra a propagar em força passa por estes grupos criarem sistemas de pesquisa, que permite a qualquer um realizar a pesquisa por entre os conteúdos roubados de informação especifica.

Ou seja, deixa de ser necessário descarregar todos os conteúdos, já que existe uma espécie de “Google” para os dados que qualquer um pode usar, procurando aquilo que pretende.

Isto é grave porque facilita consideravelmente a tarefa de se encontrar dados por entre os conteúdos roubados, muito mais do que seria atualmente possível.

Existem alguns grupos, como o ALPHV e LockBit, que já se encontram a aplicar este género de funcionalidade sobre os dados roubados. Espera-se que mais grupos o venham a realizar no futuro.

Conforme mais dados vão sendo roubados, estes sistemas de pesquisa podem passar a ser consideravelmente prejudiciais, já que facilitam consideravelmente a tarefa de roubar a informação que se pretende apenas.

14/07/2022
Bandai Namco confirma ter sido vitima de ransomware

Depois de alguns rumores sobre um possível ataque de ransomware sobre a empresa Bandai Namco, agora chega a confirmação oficial que alguns dados podem ter sido acedidos e roubados por terceiros.

A empresa, responsável por algumas das maiores franquias no mercado dos videojogos, confirmou em comunicado ao portal Eurogamer que encontra-se a investigar o ataque, mas que alguns dados de clientes podem ter sido acedidos e roubados, juntamente com informação interna da mesma.

Os dados acedidos dirão respeito à divisão de brinquedos da empresa e nas regiões da Ásia, excluindo o Japão. Ainda se desconhecem detalhes sobre quais os dados que foram efetivamente acedidos, mas a empresa afirma que foram tomadas medidas assim que se verificou a intrusão. Além disso, foram também aplicadas medidas de contenção para evitar que o ransomware se propaga-se a mais sistemas.

A empresa encontra-se atualmente a avaliar os danos causados e quais os dados que foram efetivamente roubados, sendo que irá revelar mais detalhes durante os próximos dias.

13/07/2022
Esquemas de chantagem chegam agora como críticas no Google Maps

Existe uma nova forma de realizar chantagem online, que não passa propriamente por ransomware como conhecemos, mas sim por parte de avaliações.

Uma nova prática de “ransomware” começou recentemente a propagar-se na internet, sobretudo nos EUA, tendo como foco sobretudo negócios como restaurantes e hotéis, onde os mesmos são chantageados para realizarem um pagamento ou poderem ver as suas classificações em várias plataformas online a descer drasticamente.

Plataformas com o Google Maps apresentam muitas vezes informações sobre um determinado negócio ou empresa, a qual pode ser acompanhada pelas críticas deixadas por utilizadores que visitaram o lugar. Uma nova tendência que tem vindo a surgir passa por usar essas mesmas críticas como meio de chantagem para as empresas.

O ataque começa quando os donos dos negócios recebem uma ameaça, onde necessitam de realizar o pagamento de uma determinada quantia de dinheiro, ou terão uma vasta lista de avaliações negativas em plataformas como o Google Maps e Facebook.

Este foi um caso que aconteceu a Kim Alter, dono do restaurante Nightbird na cidade de São Francisco, o qual terá recebido uma mensagem no seu email depois de o negócio ter começado a receber dezenas de críticas negativas no Google Maps.

Segundo a mensagem, esta avisava o dono do restaurante que as avaliações negativas iriam continuar a menos que este realizasse o pagamento de uma determinada quantia de dinheiro em cartão da Google Play Store.

A mensagem indicava ainda que os autores do esquema seriam indianos, e que lamentavam a situação mas seria a única forma de sobreviverem. Junto da mensagem iria ainda a indicação que, quando o pagamento fosse realizado, as reviews negativas deixadas seriam também removidas.

Em comunicado ao portal New York Times, um porta-voz da Google afirma que a empresa se encontra ciente desta nova prática, e que se encontra a aplicar medidas para remover as avaliações de pessoas que não estiveram efetivamente nos locais. Desde Fevereiro deste ano que a empresa tem vindo a usar mais IA para ajudar nesta tarefa.

Este esquema pode afetar sobretudo pequenos negócios, que podem ter menos visibilidade e acabam por não ter os meios necessários para conseguirem resolver o mesmo.

12/07/2022
Bandai Namco pode ter sido vitima de ataque ransomware

A Bandai Namco pode ter sido a mais recente vítima de um ataque de ransomware. O grupo conhecido como ALPHV terá indicado no seu website da dark web que terá atacado a entidade.

De relembrar que a Namco é a editora de títulos como Elden Ring e Tekken. Até ao momento não foram revelados detalhes sobre o ataque, sendo que o site do grupo apenas indica que mais informações devem ser reveladas em breve.

No entanto, tendo em conta a atuação passada do grupo, acredita-se que os sistemas da empresa podem ter sido alvo de ransomware, e que informação nos mesmos pode ter sido comprometida antes de ser encriptada.

O grupo é conhecido por também ameaçar publicar os dados roubados publicamente caso as empresas não paguem o resgate. A Bandai Namco ainda não deixou qualquer detalhe relativamente ao ataque, no entanto, o número de ataques de ransomware contra estúdios de videojogos tem vindo a aumentar consideravelmente nos últimos anos.

Ainda o ano passado, a CD Projekt Red foi alvo de um ataque ransomware pouco depois do lançamento de Cyberpunk 2077. Os dados da empresa roubados foram posteriormente partilhados com a internet, onde se inclui o código fonte de alguns dos seus títulos.

12/07/2022
Desencriptador gratuito do AstraLocker já está disponível

A empresa de segurança Emsisoft revelou ter lançado um novo desencriptador para o ransomware AstraLocker. Este foi criado depois de o grupo responsável pelo mesmo ter encerrado as atividades e fornecido as chaves de bloqueio para os utilizadores.

O grupo responsável pelo AstraLocker iniciou as suas atividades em meados de 2021, embora o ransomware usado fosse um fork direto do Babuk. Em Março de 2022 surgiu uma segunda versão que contava com algumas melhorias face à geração inicial do ransomware.

Na maioria dos casos, as vítimas eram infetadas por abrirem documentos do Office maliciosamente modificados para executarem conteúdos no sistema, que acabavam por instalar o ransomware nos mesmos.

A 4 de Julho de 2022, o operador por detrás do ransomware decidiu encerrar as suas atividades, tendo fornecido as chaves para o desbloqueio dos arquivos bloqueados pelo mesmo. Isto permitiu à Emsisoft desenvolver uma ferramenta de desbloqueio que deve tornar o processo consideravelmente mais simples.

Os interessados podem descarregar a ferramenta no site da entidade.

11/07/2022
Quedas no mercado das criptomoedas também afeta grupos de ransomware

O mercado das criptomoedas tem vindo a ser fortemente fustigado com quedas constantes faz alguns meses. O valor das principais criptomoedas caiu drasticamente ao longo das passadas semanas, passando dos recordes de 68.000 dólares por unidade de Bitcoin para os atuais 20.000 dólares.

O impacto nas empresas associadas ao mercado das criptomoedas certamente que foi sentido, com várias a terem de aplicar medidas para prevenir perdas ou prejudicar os investimentos dos seus clientes. No entanto, também no mercado do ransomware se sentiram as quebras.

Tendo em conta o anonimato que fornece, muitos grupos responsáveis por criarem ransomware no mercado usam as criptomoedas como forma de pagamento para resgate de conteúdos. No entanto, tendo em conta as alterações no mercado das criptomoedas, estes grupos encontram-se agora a pedir mais criptomoedas para poderem ter os mesmos valores de ganhos.

De acordo com o portal CNET, a maioria dos grupos associados com ransomware encontram-se a aumentar os seus preços para a desencriptação de ficheiros, pedindo mais criptomoedas para atingirem os valores que eram anteriormente obtidos.

Esta medida pode fazer com que alguns ataques peçam valores consideravelmente elevados de criptomoedas, quando na realidade o valor real dos ganhos para os atacantes pouco se altera.

Não apenas isso, mas muitos grupos focados para ataques de ransomware encontram-se agora a voltar para outros ataques onde os possíveis rendimentos sejam superiores, como é o caso de roubos de dados bancários e cartões de crédito. Tendo em conta as quedas no mercado das criptomoedas, muitos consideram ser mais simples apenas voltar para roubos “tradicionais”.

No entanto, é importante notar que os ataques de ransomware ainda se encontram bem presentes no dia a dia de muitas entidades, mesmo que não recebam tanta atenção a menos que seja contra entidades de renome no mercado.

06/07/2022
Jovens estão a formar grupos de “hacking” a partir do Discord

Ransomware não é algo que deva ser tratado como uma brincadeira, mas tendo em conta que é relativamente simples de se encontrar amostras do mesmo, agora existem jovens que se encontram a trocar o mesmo como sendo uma “conversa de Discord”.

De acordo com uma investigação da empresa de segurança Avast, existem cada vez mais jovens que estão a passar ransomware para amigos “como brincadeira”. A empresa de segurança afirma ter descoberto um grupo no Discord focado em criar, partilhar e propagar ransomware como se fosse uma brincadeira de crianças – e com foco exatamente nas mesmas.

Este grupo usa software simples de construção de ransomware para criar as suas próprias adaptações. O mais curioso é que a maioria do público destes grupos são jovens, que propagam o malware como uma brincadeira para amigos ou conhecidos, ou em casos mais graves, como forma de ver se alguma entidade paga o resgate.

A maioria dos jovens entram nestes grupos por considerarem que os mesmos são “engraçados” e por se poderem apelidar de “hackers” no processo. Os construtores de ransomware dão a porta de entrada para essa tarefa, já que não exigem conhecimentos de programação e podem ser usados por praticamente qualquer pessoa de forma bastante simples.

A criação dos grupos no Discord também faz com que os jovens tenham uma espécie de “grupo” de conhecidos para as mesmas atividades.

Mesmo que o ransomware seja um género de malware consideravelmente perigoso, estes jovens não parecem importados com as consequências legais que podem sofrer dos ataques que realizam.

05/07/2022
80% das empresas que pagam do ransomware acabam a ser afetadas novamente

Ser alvo de um ataque de ransomware pode ser destrutivo, e ainda existem muitas empresas que aplicam fracas práticas de segurança, que muitas vezes obrigam as mesmas a realizar os pagamentos para poderem ter os seus conteúdos recuperados.

No entanto, a vasta quantidade das entidades acabam por ser novamente alvo de ataques e num relativo curto espaço de tempo.

De acordo com um recente estudo realizado pela empresa CyberReason, a grande maioria das empresas que são alvo de ataques de ransomware, e pagam para recuperar os dados, acabam por ser alvo novamente de futuros ataques em menos de 30 dias.

Os dados apontam que 73% das empresas que participaram no estudo apontaram terem sido alvo de um ataque de ransomware. Deste conjunto, 49% das empresas pagaram para reaver os seus dados de forma mitigar possíveis perdas financeiras, e 41% para acelerar o processo de recuperação dos dados.

No entanto, apesar do ataque, 80% das empresas que foram alvo dos mesmos acabaram por ser novamente atacadas em menos de 30 dias, e por vezes com valores consideravelmente mais elevados para o resgate dos novos ficheiros.

Além disso, 54% das empresas que pagaram pelo resgate verificaram que os seus dados estariam corrompidos, com 37% a ter de realizar despedimentos para suportar as perdas dos ataques e 33% tiveram de encerrar os seus negócios temporariamente.

O objetivo deste estudo será demonstrar que, mesmo pagando sobre um ataque de ransomware, nem sempre isso será a melhor forma de resolver o problema, já que as falhas que levaram ao ataque original ainda continuam a existir – ainda mais se não forem aplicadas medidas de proteção futuras.

05/07/2022
Ransomware AstraLocker encerra atividades e fornece chaves de desencriptação

O grupo que se encontrava por detrás do ransomware AstraLocker revelou ter encerrado as suas operações, sendo que irá fornecer as chaves de desencriptação dos conteúdos que possam ter sido afetados pelo mesmo.

De acordo com o portal BleepingComputer, a pessoa responsável pelo ransomware terá recentemente enviado a ferramenta de desencriptação de ficheiros para o portal do VirusTotal, a qual se confirmou tratar-se da ferramenta legitima.

O ficheiro enviado conta com diferentes ferramentas de desencriptação, possivelmente adaptadas para diferentes versões e campanhas do ransomware ao longo dos meses. Em resposta, o programador responsável pelo ransomware afirmou que estava na altura de terminar o projeto.

A razão pelo qual o mesmo foi encerrado ainda é desconhecida. No entanto, tendo em conta o recente foco das autoridades para ransomware mais ativo no mercado, esse pode ser um dos motivos que levou ao fim das tarefas maliciosas.

A Emsisoft já se encontra a trabalhar para desenvolver uma ferramenta de desencriptação universal para o ransomware, que irá tornar o processo de desencriptação de ficheiros consideravelmente mais simples para as vítimas que ainda tenham conteúdos com o mesmo.

04/07/2022
Hacker afirma ter roubado mil milhões de registos das autoridades na China

Um grupo de hacker revelou ter recentemente roubado milhões de registos associados com as autoridades chinesas, de uma base de dados da polícia de Shanghai.

De acordo com o portal Bloomberg, o grupo alega ter roubado mais de 23 TB de informação dos sistemas da polícia local, através do que aparenta ter sido um ataque de ransomware. O hacker responsável pelo ataque (ou o grupo associado ao mesmo) encontra-se agora a tentar vender a base de dados em vários marketplaces da Dark Web, com um valor final de 10 Bitcoins, o que corresponde a cerca de 198,000 dólares.

Segundo a informação revelada, a base de dados contem nomes, moradas, datas de nascimento, números de cartões de ID e números de telefone, associados com mil milhões de utilizadores chineses. Foram ainda reveladas provas do acesso aos dados, com registos criminais associados a 1995 – o que indica que podem existir ainda mais informações das autoridades por entre os conteúdos roubados.

Alguns investigadores que tiveram acesso a parte dos dados afirmam que os mesmos são verdadeiros, tendo em conta o contacto com algumas das pessoas indicadas na base de dados, que confirmaram a informação.

De momento ainda não é claro como o hacker (ou grupo) terá conseguido realizar o roubo destas informações, apesar de um ataque de ransomware ser uma das causas mais prováveis. Existem ainda relatos que os dados podem ter sido roubados de servidores inseguros da Alibaba, onde se encontra as infraestruturas das autoridades locais da cidade de Shanghai.

A dimensão dos dados roubados é algo sem precedentes, sendo que muitos investigadores encontram-se a apelidar este roubo de dados como um dos maiores de sempre na história da China.

04/07/2022
Microsoft Defender surpreende em proteção contra ransomware
O Microsoft Defender tem vindo a ficar atrás da competição no que respeita ao desempenho e proteção, com várias das principais plataformas de teste de antivírus no mercado a darem notas abaixo da expectativa ao software.

No entanto, nem tudo parece mau para o software de segurança nativo do Windows 10 e Windows 11. Ao que parece, o Defender obteve um resultado positivo no que respeita à proteção contra ransomware do portal AV-TEST.

É importante notar que este género de testes não explora todo o género de malware que existe no mercado, mas é um bom ponto de partida para analisar a proteção que um determinado antivírus fornece sobre o sistema.

E no que respeita a proteção contra ransomware, os testes da AV-TEST demonstram que o Defender tem vindo a melhorar consideravelmente. O Microsoft Defender junta-se na lista de 12 outros programas de segurança que foram considerados bons em nível de proteção contra ransomware, tendo sido capazes de identificar e bloquear o mesmo.

Da lista fazem parte os nomes:
- Avast
- AVG
- Bitdefender
- F-Secure
- G DATA
- K7 Computing
- Kaspersky
- Microsoft
- Microworld
- NortonLifeLock
- PC Matic
- VIPRE Security
No caso específico do Defender, o software de segurança foi capaz de identificar os ataques de ransomware numa fase bastante inicial do ataque, o que permitiu também ao programa bloquear a exploração das falhas e encriptação de ficheiros numa fase bastante inicial.

Apesar de o Defender ainda não ser perfeito a nível da proteção que fornece sobre o sistema, os avanços que a Microsoft tem vindo a realizar no mesmo são certamente de louvar, e capazes de criar uma solução de segurança relativamente aceitável para os utilizadores dos sistemas mais recentes do Windows.
04/07/2022
Raspberry Robin: Microsoft alerta para novo ataque a redes Windows

A Microsoft encontra-se a alertar para um novo malware que se encontra a propagar em força nos últimos tempos, e que afeta sobretudo redes que tenham computadores sobre sistemas Windows.

Apelidado de “Raspberry Robin”, este novo malware explora falhas no sistema e nas redes locais para propagar o seu ataque a vários sistemas diferentes. Este malware propaga-se sobretudo por redes internas, mas o ponto de origem tende a ser por uso de uma USB infetada com ficheiros LNK.

Quando os utilizadores carregam neste ficheiro de atalho, começam também o processos de infeção da rede local com o malware. O malware tenta ligar-se a vários servidores de controlo, de onde são descarregados conteúdos maliciosos para o sistema, tentando ainda ocultar as atividades através do uso de ligações pela rede TOR.

É importante notar que o “Raspberry Robin” não é um malware propriamente novo no mercado. Na verdade, várias empresas de segurança já o tinham reportado em inícios de 2021, e a Microsoft até confirmou que existiam indicações dos ataques terem datado de 2019. No entanto, ultimamente tem vindo a registar-se um aumento considerável no número de redes empresariais infetadas por este malware.

A empresa revela que terá descoberto o malware atualmente ativo sobre centenas de redes empresariais, e que o número continua a aumentar diariamente. O mais interessante deste malware encontra-se no facto que usa a rede TOR para comunicar com os diferentes servidores de controlo, o que oculta não apenas as atividades, mas também permite manter uma linha de comunicação para futuras instalações de mais malware nos sistemas ou até ataques de ransomware.

03/07/2022
Kaspersky revela padrões usados para maioria dos ataques de ransomware

O ransomware continua a ser uma das principais formas de ataque para os dias de hoje, não apenas por ser consideravelmente destrutivo, mas também por ter o potencial para elevados ganhos para os atacantes.

E de acordo com um recente estudo realizado pela Kaspersky, existem alguns padrões que são comuns a todos os grupos de ransomware que se encontram atualmente ativos. Estes padrões podem ser usados para o combate a este género de ataques de forma mais eficiente.

A entidade analisou alguns dos padrões de ataque de grupos como o Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit 2.0, RagnarLocker, BlackByte e BlackCat. Segundo a empresa, estes grupos são atualmente dos mais ativos no mercado, com ataques a grandes nomes de diversas indústrias, mas são também os que possuem padrões mais comuns entre si entre todos os ataques realizados.

Segundo o estudo, a maioria dos ataques são realizados tendo como porta inicial a exploração de falhas em serviços remotos, a partir dos quais são depois obtidos acessos mais elevados para prosseguir com o mesmo. Apenas uma pequena percentagem dos ataques possui de origem mensagens de phishing diretamente – um meio comum que muitos ainda acreditam ser a porta de entrada para os mesmos.

Obviamente, o objetivo final será levar à encriptação e roubo de dados, mas no processo existem padrões que são praticamente comuns a todos os grupos, e que podem agora ajudar os investigadores a terem uma forma de conseguir detetar e travar estes ataques a tempo.

01/07/2022
AMD irá investigar suposto ataque com roubo de dados

Recentemente foi revelado que a AMD poderia ter sido alvo de um roubo de dados, através de um ataque de ransomware. O roubo teria sido confirmado pelo grupo conhecido como “RansomHouse”, o qual alega ter mais de 450GB de dados em sua posse.

Segundo o portal RestorePrivacy, que analisou alguns dos dados divulgados pelos atacantes, o acesso teria sido feito a partir de terminais dos funcionários, em parte devido a estes terem senhas relativamente simples nas suas contas – o que facilitou a tarefa.

O grupo também indica nas notas do ataque que a AMD possui uma fraca segurança a nível das contas das suas redes internas e dos seus funcionários.

É importante sublinhar, no entanto, que ainda não existe uma confirmação oficial de que os dados sejam realmente pertencentes à AMD. Em resposta ao ataque, a AMD afirma que se encontra a investigar o caso, mas ainda não deixa qualquer comentário sobre se os dados são reais ou não.

De referir também que o grupo RansomHouse é relativamente novo no mercado dos ataques de ransomware, e até agora possui uma lista relativamente pequena de alvos atacados – na sua maioria pequenos websites e empresas.

29/06/2022