mar 31 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos roubam mais de 600 milhões em criptomoedas.
    Na última terça-feira (29), a blockchain Ronin informou que houve um ataque hacker que desviou criptomoedas de seus sistemas no valor de quase US$ 615 milhões, sendo um dos maiores roubos de ativos digitais já registrados. O sistema é usado como a base para o game ‘Axie Infinity’, que usa tokens não fungíveis (NFTs) e é a maior coleção ao considerar o volume histórico de vendas, segundo a empresa de rastreamento de dados sobre NFT CryptoSlam. Os invasores roubaram cerca de 173.600 tokens de ether e 25,5 milhões de tokens de USD Coin. Ao converter para as taxas de câmbio atuais, os ativos digitais valem US$ 615 milhões e no momento do ataque, valiam cerca de US$ 540 milhões. Em comunicado, a Ronin explicou que foram usadas chaves privadas roubadas, que são as senhas necessárias para acessar recursos em criptomoedas, para o acesso aos ativos. “Estamos trabalhando diretamente com várias agências governamentais para garantir que os criminosos sejam levados à justiça”, esclareceu a empresa sobre o ocorrido.
  • Site e sistemas do Tribunal Regional Federal foram atacados por cibercriminosos.
    O Tribunal Regional da 3.ª Região (TRF-3), sediado em São Paulo e com jurisdição também em Mato Grosso do Sul, foi alvo de um ataque hacker nesta quarta-feira, 30. O portal e os sistemas internos da Corte estão fora do ar e não há previsão para restabelecimento dos serviços. De acordo com as primeiras informações divulgadas pela Corte, os dados armazenados não foram comprometidos na invasão. O tribunal ainda não confirmou, no entanto, se as informações foram acessadas pelos invasores. Também não respondeu se a Polícia Federal foi acionada. A desembargadora Marisa Santos, presidente da Corte, editou uma portaria para suspender o atendimento ao público e os prazos processuais até quinta-feira, 31. Ela também autorizou o trabalho remoto dos servidores designados para comparecer presencialmente ao tribunal. A previsão é que os sistemas sejam restaurados ‘progressivamente’.
  • Log4Shell é usado em um terço das infecções por malware.
    A infame vulnerabilidade Log4Shell foi explorada como um vetor de infecção inicial em 31% dos casos monitorados pelo Lacework nos últimos seis meses. As descobertas confirmam que o bug do Log4j foi usado extensivamente por cibercriminosos, como os especialistas em segurança suspeitavam quando surgiu em dezembro do ano passado. O Lacework Labs disse que, embora inicialmente tenha observado uma enxurrada de solicitações com cargas úteis de exploração logo após a divulgação do Log4Shell, elas foram o resultado principalmente de pesquisadores em busca da vulnerabilidades. No entanto, eles foram substituídos por solicitações malignas ao longo do tempo, pois os agentes de ameaças adotaram explorações de prova de conceito disponíveis publicamente. O Log4j não foi a única dependência de software sendo abusada no final de 2021.
Rubens Zolotujin 0 Comentários
mar 30 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Certificações em baixa: profissionais de cibersegurança e empresas desconsideram certificações.
    Comuns na área de TI e especialmente na cibersegurança, as certificações têm o propósito de validar conhecimentos em determinadas áreas. Entretanto, algumas das certificações famosas como OSCP, CompTIA e CEH estão perdendo o status de diferenciais no mercado. Entre os motivos observados destaca-se a falta de habilidade muitas vezes observada em profissionais com vastas certificações. Isso se dá pela falta de similaridade entre a prática exigida nas certificações e a vivência diária dos profissionais. Outro fator importante é o déficit de profissionais qualificados no mercado, o que tem feito empresas reavaliarem o seu modelo de contratação, preferindo pessoas que tenham notórias habilidades práticas em detrimento de certificações. Essa escolha também permite uma contratação mais facilitada e acessível para as empresas. Plataformas de CTF como o CAPTURE THE FLAG da HackerSec tem se tornado um meio para contratação, uma vez que são ambientes que avaliam as habilidades de cada participante, fornecendo métricas para que empresas encontrem profissionais adequados à suas necessidades.
  • Nova variante JSSLoader usa arquivos XLL para evitar detecção.
    Pesquisadores observaram uma nova versão do JSSLoader RAT se espalhando por meio de arquivos maliciosos do Microsoft Excel. Os invasores usaram e-mails de phishing carregados de anexos XLL/XLM como mecanismo de entrega. Se ativado, os arquivos XLL usam código malicioso dentro de uma função xlAutoOpen para inserir na memória. Posteriormente, ele baixa uma carga útil de um servidor remoto e a executa como um novo processo por meio de uma chamada de API. A variante mais recente vem com algumas novas camadas de ofuscação para se manter escondida dos analistas de segurança. Os invasores estão atualizando regularmente o User-Agent nos arquivos XLL para evitar o Endpoint Detection and Response (EDR), que combina as informações de detecção de toda a rede da organização.
  • Vulnerabilidade crítica de RCE no firewall da Sophos.
    A empresa de segurança cibernética Sophos alertou no início dessa semana que uma vulnerabilidade crítica de segurança recentemente corrigida em seu produto de firewall está sendo ativamente explorada por cibercriminosos. A falha, rastreada como CVE-2022-1040, é avaliada em 9,8 de 10 no sistema de pontuação CVSS e afeta as versões 18.5 MR3 (18.5.3) e anteriores do Sophos Firewall. Ele está relacionado a uma vulnerabilidade de desvio de autenticação no Portal do usuário e na interface Webadmin que, se armada com sucesso, permite que um invasor remoto execute código arbitrário. A falha foi corrigida em um hotfix que é instalado automaticamente para clientes que têm a configuração ” Permitir instalação automática de hotfixes ” habilitada. Como solução alternativa, a Sophos está recomendando que os usuários desativem o acesso WAN ao Portal do Usuário.
Rubens Zolotujin 0 Comentários
mar 29 2022
Conscientização e cultura dados pessoais

Ainda pensando em conscientização e cultura. Você ja se perguntou se você cuida de seus dados pessoais?

Estes últimos dias venho discutindo bastante sobre conscientização e evangelização de security e sempre falo que, com seus dados de cartão de crédito o criminoso faz uma ou duas compras e, o banco deve bloquear o cartão devido ao seu motor de fraude funcional. Mas com seus dados pessoais o criminoso abre uma conta, pede um cartão de crédito, faz empréstimo, compras e o que mais ele quiser, até ser descoberto.. Nunca parou para pensar nisso não !?!?

Ah, o cara está dizendo que é fácil abrir uma conta no meu nome?!! Fácil não.. Possível sim. E vale lembrar que vira a mexe lemos e vemos notícias de fraude de identidade. Aqui no Brasil então, uma fraude bem comum.

A questão é, você coloca seus dados em qualquer site? Costuma trocar a senha dos sites que você tem dados pessoais cadastrados? Nos seus sites de e-commerce vc deixa seus dados pessoais como endereço, CPF e tudo mais??

A segurança faz parte do nosso dia a dia e cabe a você cuidar de seus dados pessoais.. Security is a Lifestyle !!

Por Felipe Prado Mestre em Segurança

Rubens Zolotujin 0 Comentários
mar 29 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Chrome e Edge são atingidos com vulnerabilidade no mecanismo JavaScript.
    O Google está pedindo aos usuários do Windows, macOS e Linux que atualizem as versões do Chrome para a versão 99.0.4844.84, após a descoberta de uma vulnerabilidade que possui uma exploração ativa. O V8 é o mecanismo JavaScript do Chrome, e também é usado no lado do servidor no Node.js. O Google acrescentou que os detalhes do bug seriam restritos até que a maioria dos usuários atualizassem o navegador. Um dia depois, a Microsoft emitiu seu próprio aviso e disse que o problema foi corrigido na versão Edge 99.0.1150.55 lançada no mesmo dia.
  • CISA adiciona 66 novas falhas ao Catálogo de Vulnerabilidades Exploradas.
    A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou 66 novas falhas ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas. De acordo com a Diretiva Operacional Vinculante (BOD) 22-01: Reduzindo o Risco Significativo de Vulnerabilidades Exploradas Conhecidas , as agências do FCEB devem abordar as vulnerabilidades identificadas até a data de vencimento para proteger suas redes contra ataques que exploram as falhas no catálogo. Os especialistas recomendam também que organizações privadas revisem o Catálogo e resolvam as vulnerabilidades em sua infraestrutura. As novas vulnerabilidades adicionadas ao catálogo devem ser abordadas pelas agências federais até 15 de abril de 2022. Uma das 66 falhas adicionadas ao catálogo é a vulnerabilidade recém-descoberta do Windows CVE-2022-21999, que é um bug do Windows Print Spooler Elevation of Privilege. A Microsoft corrigiu esse bug com o lançamento das atualizações do Patch Tuesday de fevereiro de 2022.
  • 86% das organizações acreditam que já enfrentaram um ataque cibernético.
    Quase nove em cada 10 organizações acreditam que já foram alvo de uma ameaça de estado-nação, de acordo com um novo estudo da Trellix e do Centro de Estudos Estratégicos e Internacionais (CSIS). A pesquisa, que entrevistou 800 tomadores de decisão de TI na Austrália, França, Alemanha, Índia, Japão, Reino Unido e EUA, descobriu que os entrevistados enfrentaram, ou suspeitam que enfrentaram, um ataque cibernético apoiado por um estado-nação. As descobertas ocorreram em meio à invasão da Ucrânia pela Rússia, que deve alterar permanentemente o cenário de ameaças cibernéticas para todas as organizações. Grande parte dos entrevistados disseram que estão dispostos a compartilhar informações sobre ataques patrocinados por Estados, mas nem sempre com detalhes completos sobre o incidente ou seus efeitos. Os pesquisadores destacaram as principais distinções entre os ataques de estado-nação e os grupos de crimes cibernéticos para ajudar as organizações a diferenciar melhor os dois.
Rubens Zolotujin 0 Comentários
mar 28 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Microsoft revela modus operandi do LAPSUS$.
    A Microsoft foi recentemente afetada pelas atividades do grupo hacker conhecido como LAPSUS$ ao ter cerca de 37GB de dados vazados. Segundo o MSTIC (Microsoft Threat Intelligence Center), o grupo não faz uso de ações ofensivas com uso de ransomwares ou outros métodos como comumente é usado por outros grupos. O LAPSUS$ tem como principal porta de ação o uso de engenharia social e recrutamento. Através de e-mails de spam e até mesmo telefonemas nas sedes dos alvos para confirmação de credenciais, o grupo estuda a rotina e níveis de acessos de profissionais internos do alvo. Após esse estudo o grupo age por duas frentes, sendo uma o recrutamento de funcionários oferendo valores para que acessos sejam cedidos, ou roubo de credenciais de alvos que já tenham sido mapeados. Além disso, o grupo utiliza de métodos de pesquisa para buscar por repositórios públicos e que possam conter informações de credenciais. Dias antes do ataque, o LAPSUS$ anunciou em seu grupo oficial no Telegram que buscava funcionários internos de algumas empresas, entre elas, Microsoft.
  • Nestlé nega ataque hacker do grupo Anonymous.
    A empresa suíça de chocolates divulgou por meio de notas que não sofreu um ataque cibernético promovido pelo grupo Anonymous como tem sido divulgado na mídia internacional. O suposto ataque seria em retaliação ao fato de a empresa ainda manter negócios e fornecimento de produtos para a Rússia. Dias atrás o presidente ucraniano torno pública a informação de que a empresa mantém suas operações em funcionamento durante o conflito. Após isso, em uma publicação atribuída ao grupo hacker, diversas empresas (entre elas a Nestlé) foram ameaçadas caso continuassem operando na Rússia e “pagando impostos ao governo do regime criminoso”. Segundo a empresa, os mais de 10GB de dados alegadamente roubados e vazados pelos hackers, na verdade faz parte de um vazamento que ocorreu um mês atrás por erro da própria empresa. Ainda assim, a Nestlé comunicou que irá deixar de fornecer produtos ao território russo e todo o lucro que tiver sido obtido nesse período será doado para institutos de apoio aos refugiados.
  • Kaspersky entra para a lista americana de “ameaça à segurança nacional”.
    A empresa russa de segurança cibernética Kaspersky entrou para a lista de empresas de tecnologias que representam ameaça à segurança nacional americana, se juntando a outras empresas chinesas como Huawei, ZTE, Hytera e a China Telecom. A inclusão não é uma surpresa, já que em decisão de 2017 do então presidente norte-americano Donald Trump, proibiu o uso de soluções desenvolvidas ou mantidas pela empresa nos departamentos governamentais dos EUA. Em resposta, a empresa publicou um comunicado dizendo que “A Kaspersky está desapontada com a decisão da Federal Communications Commission (FCC)”. Esta decisão não se baseia em nenhuma avaliação técnica dos produtos Kaspersky mas está sendo tomada por motivos políticos.
Rubens Zolotujin 0 Comentários
mar 25 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Adolescente suposto líder do LAPSUS$ é preso.
    A polícia de Londres informou que realizou nessa última quarta-feira (24) a prisão de 7 adolescentes supostamente ligados ao grupo hacker conhecido como LAPSUS$. Entre os adolescentes, um jovem de 16 anos de Oxford é apontado como um dos líderes do grupo que acumulou mais de US$14mi em bitcoins através de extorsão e resgastes por ataques cibernéticos. Segundo as investigações, o jovem líder atendia pelos pseudônimos de “White” e “breachbase” e não foi acusado formalmente por não ser possível ligá-lo aos ataques do LAPSUS$ de maneira conclusiva. As denúncias que resultaram na prisão vieram de hackers de grupos rivais e pesquisadores de cibersegurança. Apesar disso, as prisões ocorrem no mesmo dia em que o grupo anunciou em seu canal oficial no Telegram que “alguns membros estarão de férias até o dia 30/3/2022” motivo pelo qual ficarão “quietos” as vezes e anunciaram um novo membro moderador do canal.
  • Hacker russo de 23 anos é procurado pelo FBI.
    Um jovem russo chamado Igor Dekhtyarchuk foi indiciado nos EUA por cibercrimes e teve seu nome adicionado à lista dos mais procurados do FBI. Segundo a justiça americana, Igor Dekhtyarchuk é um hacker russo responsável por comandar um fórum que vendia logins e credenciais de acesso roubadas de diversas empresas. O nome do fórum é Marketplace A, e tinha entre seus “produtos” dados pessoais de diversas pessoas, credenciais de acesso, dados de cartões de crédito de diversos locais entre outros. De acordo com o FBI, parte da investigação envolveu o uso de “agentes digitais secretos” que compravam informações como forma de coletar evidências. Estima-se que mais de 48mil e-mails tenham sido comprometidos e mais de 39mil contas negociadas desde a criação do fórum.
  • Sistema ferroviário italiano sofre ataque de ransomware.
    A principal rede ferroviária italiana Trenitalia/Ferrovie sofreu uma paralização em seus sistemas de venda de bilhetes na última quarta-feira (23) após uma infecção por ransomware inutilizar seus sistemas. Apesar do ataque não ter afetado o funcionamento das locomotivas a ação causou atrasos em viagens e tumulto para a cobrança dos passageiros. Segundo relatos, o ataque tem sido atribuído ao grupo hacker conhecido como HIVE Ransonware, mas de forma oficial a empresa alegou que “atualmente, não há elementos que permitam rastrear a origem e a nacionalidade do ataque cibernético”. Ataques com ransomware se tornaram os mais comuns e sofisticados, sendo responsável por bilhões de dólares em prejuízos anualmente. Essa ameaça tem sido o motivo pelo qual empresas passaram a adotar uma postura mais séria em relação à cibersegurança, buscando especialmente a qualificação do seu time de TI a fim de suprir a baixa oferta de profissionais de cibersegurança.
Rubens Zolotujin 0 Comentários
mar 25 2022
Conscientização de Segurança da Informação

Conscientização de Segurança da Informação não é apenas mandar emails de phishing, gerar relatório e apresentar para o Board.. Isso é para preguiçoso..

Conscientização é mostrar para as pessoas que elas são a parte mais importante da Segurança da Informação.. Conscientizar é mostrar para TODOS da Empresa que basta um simples email ou uma simples ligação para que o atacante tenha acesso a sua Empresa ou aos Seus dados… É mostrar para as pessoas como elas fazem a diferença no combate aos criminosos cibernéticos.. Dicas simples para um plano de conscientização:

1) Use exemplos do dia a dia da sua Empresa e de seus colaboradores. Quando for montar uma campanha de phishing, pense no seu negócio e na sua indústria e, tente enviar algo associado a este estudo. Vale a pena enviar phishing de promoções mirabolantes ? Vale sim.. Mas um email falso com dados da sua indústria para a pessoa certa, pode ser bem mais desastroso do que um email com aquelas promoções que só “os espertos ” acreditam.. Os phishings hoje são direcionados e não mais aleatórios
2) Entenda o problema de cada área da sua Empresa e prepare talks, treinamentos ou qualquer outra atividade falando daqueles problemas específicos mostrando que o dia a dia daquela área é muito importante para a Empresa como um todo
3) Fale com os Colaboradores. Faça pesquisas você mesmo, não de sistemas.. Bata papo com o pessoal e aproxime-se.. Muitas vezes conscientização é relacionamento.. É sentar com uma pessoa e explicar um ataque, um phishing.. falar a língua da pessoa e não o nosso tecniques cotidiano…

Esse tema dá um belo de um artigo… Mas bato sempre na tecla que conscientização não é um projeto que um software vai resolver e nem os treinamentos obrigatórios que temos que fazer todo ano. Conscientização é mostrar para a Empresa e Todos os Funcionários o quanto os dados vale nos dias de hoje e como a PESSOA é o pilar mais importante da Segurança da Informação..

Conscientização de Segurança da Informação é um programa, não uma caixa de prateleira…

Quer pensar num programa fera de Conscientização de SI? Chama a Kyndryl !!! Me manda uma mensagem no privado… Olha o Jabá !!!! 🙂

Por Felipe Prado Master Security

Rubens Zolotujin 0 Comentários
mar 24 2022
Piora cenário de mão-de-obra, diz pesquisa da ISACA

Saiu a pesquisa State of Cybersecurity 2022 da ISACA: a organização pesquisou profissionais de segurança da informação em todo o mundo pelo oitavo ano consecutivo e o estudo indica que as organizações estão lutando mais do que nunca para contratar e reter profissionais de segurança cibernética qualificados e gerenciar lacunas de habilidades.

Confirma este artigo em https://www.cisoadvisor.com.br/piora-cenario-de-mao-de-obra-diz-pesquisa-da-isaca/

Rubens Zolotujin 0 Comentários