jan 31 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Prejuízos causados pelos ataques cibernéticos se tornaram a maior preocupação das empresas em 2022.
    2021 foi um ano com milhares de ataques cibernéticos e inúmeras violações de dados, com um aumento de 330% só no Brasil. Destaca-se os ataques com ransonwares, afetando Empresas e órgãos governamentais, gerando prejuízos milionários. Tornou-se urgente que empresas e governos intensifiquem as medidas de segurança cibernética. A maior barreira para isso é a falta de profissionais capacitados, fazendo surgir uma nova tendência de investir na qualificação dos times internos de TI e correlatos em cibersegurança.
  • Cliente da Microsoft é atingido pelo maior ataques de DDoS de todos os tempos.
    A Microsoft diz que mitigou um ataque DDoS que durou aproximadamente 15 minutos contra um de seus clientes do Azure na Ásia. Um cliente Microsoft Azure na Ásia foi vítima de um ataque DDoS de 3,47 Tbps (ataque distribuído de negação de serviço) em novembro de 2021, revelou a gigante de software e tecnologia Microsoft em 25 de janeiro de 2022. O ataque DDoS durou aproximadamente 15 minutos e incluiu uma botnet de mais de 10.000 dispositivos IoT comprometidos de países de todo o mundo. Entre eles, Irã, Índia, China, Rússia, Taiwan, Vietnã, Tailândia, Indonésia, Coreia do Sul e Estados Unidos. Embora não esteja claro quem estava por trás do ataque, ele foi mitigado, mas o invasor empregou métodos diferentes para impulsionar o ataque DDoS. O relatório da Microsoft divulgou ainda que houve um aumento nos ataques DDoS com os Estados Unidos e a Índia sendo os principais alvos. A empresa observou que Hong Kong também se tornou um ponto de acesso popular para invasores, no entanto, houve uma diminuição na atividade de DDoS na Europa.
  • Hackers norte-coreanos retornam com variante furtiva do malware KONNI RAT.
    Um grupo de ciberespionagem da Coreia do Norte ressurgiu com uma variante mais furtiva de seu trojan de acesso remoto chamado Konni para atacar instituições políticas localizadas na Rússia e na Coreia do Sul. O objetivo dos autores é quebrar o fluxo típico registrado por sandboxes e dificultar a detecção, especialmente por meio de assinaturas regulares, pois partes críticas do executável agora são criptografadas. As invasões mais recentes encenadas pelo grupo, envolveram o Ministério das Relações Exteriores (MID) da Federação Russa com iscas para comprometer os sistemas Windows através do malware. As infecções, assim como outros ataques desse tipo, começam com um documento malicioso do Microsoft Office que, quando aberto, inicia um processo de vários estágios que envolve várias partes móveis que ajudam os invasores a elevar privilégios, evitar a detecção e, finalmente, implantar o Konni RAT carga útil em sistemas comprometidos.
Rubens Zolotujin 0 Comentários
jan 27 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos estão usando o telegram como alternativa viável para a Deep Web.
    O amplamente popular Telegram tornou-se uma alternativa viável para fóruns secretos na dark web. Os atores de ameaças estão abusando cada vez mais da plataforma para configurar canais clandestinos para vender detalhes financeiros roubados aos usuários. Além de vender cartões de crédito comprometidos, a plataforma de mensagens também é um canal de distribuição de malware. Na primeira semana de janeiro, pesquisadores identificaram um instalador malicioso do Telegram para Desktop que foi usado para propagar o malware Purple Fox. Além disso, os agentes de ameaças foram encontrados operando malware por meio de um serviço do Telegram usado para roubar um monte de credenciais de navegadores, VPN, FTP, cookies, carteira de criptomoedas e muito mais. O cibercrime continua prosperando no Telegram à medida que mais e mais agentes de ameaças escolhem o aplicativo de mensagens criptografadas para atingir seus objetivos maliciosos.
  • Novo grupo de ameaças explora falhas do Zoho em organizações dos EUA.
    Os cibercriminosos estão explorando uma vulnerabilidade crítica recentemente corrigida no ManageEngine ADSelfService Plus da Zoho, que pode permitir a execução remota de código. Anteriormente, a CISA havia alertado sobre os atores de ameaças persistentes avançadas (APT) que exploravam a falha. Os invasores estavam usando ferramentas maliciosas para coletar credenciais e roubar informações confidenciais por meio de um backdoor. A falha explorada, rastreada como CVE-2021-40539 , permite que os criminosos se movam lateralmente pela rede para atividades pós-exploração. Notavelmente, acredita-se que os invasores tenham como alvo 370 servidores Zoho ManageEngine apenas nos EUA. Embora os pesquisadores não tenham conseguido vincular esta campanha a nenhum grupo de ameaças específico com total segurança, foram observadas correlações nas táticas e ferramentas com o Emissary Panda. A Microsoft rastreou separadamente a mesma campanha e a vinculou a uma ameaça emergente chamada DEV-0322 . O DEV-0322 opera na China e explorou anteriormente uma falha de dia zero no SolarWinds Serv-U.
  • Atores de ameaças estão utilizando códigos QR maliciosos para roubar credenciais.
    O FBI informou que cibercriminosos estão utilizando códigos QR maliciosos para roubar informações financeiras e outras credenciais dos alvos. Eles estão usando códigos QR para redirecionar usuários para sites maliciosos que roubam suas informações, desviam seus pagamentos para contas controladas por invasores e instalam malware em seus dispositivos. Este aviso é um entre as longas séries de avisos divulgados por agências e pesquisadores de segurança cibernética sobre a ameaça representada pelos códigos QR.
Rubens Zolotujin 0 Comentários
jan 25 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Malware Bancário BRATA foi atualizado com novos recursos.
    O Malware Android foi atualizado com novos recursos que lhe concedem a capacidade de rastrear a localização dos dispositivos e até mesmo realizar uma redefinição de fábrica em uma aparente tentativa de encobrir transferências eletrônicas fraudulentas. As variantes mais recentes, detectadas no final do ano passado, são distribuídas por meio de um downloader para evitar serem detectadas por software de segurança. Os alvos incluem bancos e instituições financeiras no Reino Unido, Polônia, Itália e América Latina. O BRATA inicialmente visava usuários no Brasil e depois evoluiu rapidamente para um trojan bancário repleto de recursos. Desde então, o malware recebeu inúmeras atualizações e alterações, além de se apresentar como aplicativos de varredura de segurança para evitar a detecção. As últimas amostras detectadas, visam diferentes países e constituem um aplicativo de segurança apelidado de “iSecurity “, que permanece indetectado por praticamente todos os mecanismos de verificação de malware e é usado para baixar e executar o software malicioso real.
  • Cibercriminosos estão criando tokens de criptomoedas fraudulentos para aplicar golpes.
    As configurações incorretas em contratos inteligentes estão sendo exploradas por golpistas para criar tokens de criptomoeda maliciosos com o objetivo de roubar fundos de usuários desavisados. Contratos inteligentes são programas armazenados no blockchain que são executados automaticamente quando condições predeterminadas são atendidas de acordo com os termos de um contrato ou acordo. Eles permitem que transações e acordos confiáveis sejam realizados entre partes anônimas sem a necessidade de uma autoridade central. Ao examinar o código-fonte do Solidity usado para implementar contratos inteligentes, foi encontrado instâncias de taxas ocultas e codificadas que não podem ser alteradas, permitindo que atores mal-intencionados exerçam controle sobre “quem tem permissão para vender”.
  • CISA adiciona 17 vulnerabilidades à lista de bugs explorados em ataques.
    Esta semana, a Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou dezessete vulnerabilidades exploradas ativamente ao catálogo de vulnerabilidades exploradas conhecidas. O catálogo é uma lista de vulnerabilidades que foram vistas como abusadas por agentes de ameaças em ataques e que precisam ser corrigidas por orgãos do poder executivo federal. A Diretiva Operacional exige que as agências do FCEB corrijam as vulnerabilidades identificadas até a data de vencimento para proteger os sistemas contra ameaças ativas. As vulnerabilidades listadas no catálogo permitem que os agentes de ameaças executem uma variedade de ataques, incluindo roubo de credenciais, acesso a redes, execução remota de comandos, download e execução de malware ou roubo de informações de dispositivos.
Rubens Zolotujin 0 Comentários
jan 24 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos devolvem R$ 4.3 milhões em criptomoedas roubadas.
    Na última semana uma plataforma para swap de criptomoedas, foi hackeada e milhões foram roubados, agora o caso, que já estava chamando bastante atenção, ganhou um novo capítulo interessante, com o hacker devolvendo 80% do valor que foi roubado. O hacker postou uma mensagem na blockchain Ethereum pedindo para que as vítimas enviassem para ele detalhes de suas carteiras para fazer a devolução. O hacker, seja um indivíduo ou um grupo, também mandou uma mensagem peculiar “Eu vou devolver 80%. O resto é gorjeta por eu ter salvo o dinheiro de vocês.” A história do roubo das criptomoedas na Multichain é bem curiosa: A plataforma identificou diferentes contratos que estavam vulneráveis a ataques, mas ela tornou essa informação pública. Em seu blog oficial a Multichain anunciou que os usuários deveriam remover aprovação de contratos de seis tokens que estavam vulneráveis a hackers. Mas o anúncio apenas serviu para dar uma grande dica para os hackers dessa vulnerabilidade, basicamente entregando a chave de seus “cofres” para os ladrões.
  • Vazamento de dados ultrapassaram 40 bilhões em 2021.
    De acordo com uma pesquisa da Tenable, pelo menos 40 bilhões de registros foram expostos em todo o mundo em 2021, calculados pela análise de 1.825 incidentes de violação de dados divulgados publicamente entre novembro de 2020 e outubro de 2021. Esse é um aumento considerável em relação ao mesmo período de 2020, que registrou 730 eventos divulgados publicamente com pouco mais de 22 bilhões de registros expostos. Ao entender o comportamento dos agentes de ameaças, as organizações podem priorizar efetivamente os esforços de segurança para interromper os caminhos de ataque e proteger sistemas e ativos críticos. A análise dos eventos deste relatório descobriu que muitos são prontamente mitigados por meio da correção de vulnerabilidades e do tratamento de configurações incorretas para ajudar a limitar os caminhos e rotas de ataque.
  • Cibercriminosos estão visando corretoras de criptomoedas e projetos DeFi.
    Somente em 2021, houveram mais de 20 ataques nos quais os cibercriminosos tiraram mais de 10 milhões de dólares em protocolos blockchain. Desses, seis roubaram quantias superiores a US$ 100 milhões. A vulnerabilidade desses aplicativos é grande. Isso porque eles têm o código aberto e exposto nas blockchains, podem ser criados e disponibilizados por quaisquer desenvolvedores e startups e fazem parte de uma categoria tecnológica nova, que ainda está amadurecendo e sendo testada. O valor total perdido em 2021, foi em torno de US$ 11 bilhões.
Rubens Zolotujin 0 Comentários
jan 21 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Google paga mais de US$ 100.000 por vulnerabilidades corrigidas com atualização do Chrome 97.
    O Google anunciou esta semana o lançamento de 26 patches de segurança como parte de sua última atualização do Chrome, incluindo um para um bug de gravidade crítica. Um total de 22 vulnerabilidades abordadas com a atualização mais recente do Chrome foram relatadas por pesquisadores externos, incluindo um de gravidade crítica, 16 de alta gravidade e cinco de gravidade média. As vulnerabilidades de alta gravidade restantes incluem bugs de uso após liberação, problemas de implementação inadequada, e estouro de buffer no heap. O Google diz que pagou US$ 108.000 em recompensas de bugs aos pesquisadores até o momento, mas a gigante da Internet ainda precisa determinar os valores das recompensas para nove das vulnerabilidades corrigidas. A versão mais recente do Chrome está sendo lançada para usuários de desktop (Windows, macOS e Linux) como versão 97.0.4692.99.
  • Microsoft vê ataques ao Log4j explorando o bug do SolarWinds Serv-U.
    A SolarWinds corrigiu um bug do Serv-U que os agentes de ameaças estavam explorando para desencadear ataques Log4j nos dispositivos internos de redes. A vulnerabilidade, rastreada como CVE-2021-35247 , é uma falha de validação de entrada que pode permitir que invasores criem uma consulta, e enviem essa consulta pela rede sem saneamento, disse o Centro de Inteligência de Ameaças da Microsoft (MSTIC). O bug, descoberto por Jonathan Bar Or da Microsoft, afeta as versões 15.2.5 e anteriores do Serv-U. A tela de login do Serv-U para autenticação LDAP estava permitindo caracteres que não foram suficientemente filtrados, disse a SolarWinds em seu comunicado, acrescentando que atualizou o mecanismo de entrada para realizar validação e filtros adicionais.
  • Bug generalizado do Apple Safari expõe dados de navegação na Web e IDs do Google.
    O problema de divulgação de informações, que afeta Macs, iPhones e iPads, permite que um site de espionagem descubra informações sobre outras guias que um usuário possa ter aberto. Uma vulnerabilidade de segurança nos navegadores da Apple para macOS, iOS e iPadOS pode levar à divulgação de informações. A Apple acabou de marcar o problema como “resolvido”, mas levará algum tempo para que as correções sejam lançadas. De acordo com pesquisadores da FingerprintJS, o bug é uma violação da política de mesma origem. Normalmente, um navegador da Web permite que scripts em uma página da Web acessem dados em uma segunda página da Web somente se ambas as páginas tiverem o mesmo servidor de origem/back-end. Sem essa política de segurança, um criminoso poderia conseguir injetar um script malicioso em um site e ter acesso a quaisquer dados contidos em outras guias que a vítima possa ter aberto no navegador, incluindo acesso a sessões bancárias online, e-mails, dados do portal de saúde e outras informações confidenciais.
Rubens Zolotujin 0 Comentários
jan 19 2022
EVENTO vs. INCIDENTE – DESMISTIFICANDO OS CONCEITOS, AFINAL, SÃO COISAS DIFERENTES.

As empresas precisam empregar esforços significativos para proteger e impedir que ataques cibernéticos causem danos ou interrupções em seus processos. Sabemos que não há nada “100% seguro”, o risco sempre vai existir. Por isso, é fundamental que as organizações estejam bem preparadas e sejam capazes de detectar, reagir e gerenciar possíveis problemas de segurança cibernética.

Uma das confusões que ainda vemos no mercado é o uso incorreto dos termos “evento” e “incidente”, ora usados como sinônimos, ora usados erroneamente mesmo, apesar de possuírem significados distintos.

Um “evento” é qualquer alteração, erro ou interrupção em uma infraestrutura de TI, como por exemplo, uma falha no sistema, um erro em disco ou um usuário que esqueceu a senha de acesso. Para corroborar, o NIST define um evento como “qualquer ocorrência observável em um sistema ou rede”.

Se você seguir pesquisando outras definições sobre o que é um evento, notará uma sinergia nos conceitos. Porém, quando olhamos para o termo “incidente”, a coisa muda de figura um pouco com as definições.

Ao falar de um “incidente”, o NIST o define como “uma violação ou ameaça iminente de violação de políticas de segurança de computadores, políticas de uso aceitável ou práticas de segurança padrão”. Outra definição comum utilizada é essa: “A tentativa ou sucesso de acesso não autorizado, uso, divulgação, modificação ou perda de informações ou interferência nas operações do sistema ou da rede”. Não distante, é possível observar também que um “incidente” pode ser definido como a atividade de um agente de ameaça humano. Detalhe, essas definições não são exaustivas e, portanto, existem outras inúmeras igualmente válidas.

Sob o prisma do COBIT 5 for Risk, um “evento” é apresentado como “algo que acontece em um lugar e/ou tempo específicos”. No caso do “incidente”, é definido como “um evento relacionado à TI que causa um impacto operacional de desenvolvimento e/ou estratégico no negócio”.

Viu como ficou mais claro?

Anyway, de toda forma, seja qual for a definição exata que a organização está utilizando, é importante distinguir com facilidade (e naturalidade) os eventos que são tratados no percurso normal e padrão dos negócios, assim como os incidentes que exigem segurança e atuação investigativa e cuidadosa para serem gerenciados.

Não se pretende com essas poucas palavras esgotar o assunto, mas apenas dar uma pincelada para reforçar a importância de discernir essas expressões que fazem parte do cotidiano de todos os colaboradores e organizações. Fique à vontade para colaborações e comentários.

incidente #evento #nist #cobit #cobitForRisk #cobitRisk #risks #risk #seguranca #nist #negocios #it #itrisks #itrisk #ti

Rubens Zolotujin 0 Comentários
jan 19 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Europol encerra VPNLab, serviço de VPN favorito dos cibercriminosos.
    O VPNLab, um provedor de VPN usado por agentes mal-intencionados para implantar ransomware e facilitar outros crimes cibernéticos, foi colocado offline após uma operação coordenada de aplicação da lei. A Europol disse que tomou medidas contra o uso indevido do serviço VPN, encerrando 15 de seus servidores e tornando-os inoperantes como parte de uma ação disruptiva que ocorreu na Alemanha, Holanda, Canadá, República Tcheca, França, Hungria, Letônia, Ucrânia, EUA e Reino Unido. Um segundo resultado da apreensão é que pelo menos 100 empresas identificadas em risco de ataques cibernéticos estão sendo notificadas. A Europol não divulgou os nomes das empresas. O VPNLab chamou a atenção das autoridades policiais quando sua infraestrutura começou a ser amplamente usada para disseminar malware, com os investigadores descobrindo evidências do serviço ilícito sendo anunciado na dark web.
  • Vulnerabilidade do Log4j pressiona o mundo da segurança.
    A Log4j é uma biblioteca de registro que é amplamente utilizada por milhões de computadores. A diretora da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) diz que esta é a vulnerabilidade mais séria que ela já viu em sua carreira de décadas, e muitos especialistas em segurança concordam. Os ciberataques já estão explorando a vulnerabilidade centenas de vezes a cada minuto. O fato é que o Log4Shell é relativamente fácil de explorar, então mesmo pouco qualificados podem tirar vantagem. Pesquisadores do Google descobriram que mais de 8% de todos os pacotes no Maven Central, um grande repositório de pacotes Java, têm pelo menos uma versão afetada por essa vulnerabilidade – uma quantidade enorme para todos os padrões de impacto no ecossistema. A CISA divulgou uma lista de “ações imediatas” que as organizações devem realizar para remediar os riscos apresentados pelo Log4Shell.
  • Falha crítica no servidor ManageEngine deixa organizações vulneráveis.
    A plataforma abrangente de gerenciamento de endpoints da Zoho sofre com um bug de desvio de autenticação (CVE-2021-44757) que pode levar à execução remota de código. O bug pode permitir que um usuário remoto execute ações não autorizadas no servidor, de acordo com o comunicado de segurança da empresa esta semana. Se explorada, esta vulnerabilidade pode permitir que um invasor leia dados não autorizados ou grave um arquivo .ZIP arbitrário no servidor. O ManageEngine Desktop Central da Zoho é uma solução de gerenciamento unificado de endpoint (UEM) que permite que os administradores de TI gerenciem servidores, laptops, desktops, smartphones e tablets a partir de um local central. Os usuários podem automatizar rotinas como instalação de patches, implantação de software, geração de imagens e implantação de SO, de acordo com a documentação da empresa. Ele também pode ser usado para gerenciar ativos e licenças de software.
Rubens Zolotujin 0 Comentários