Roteador DIR-615 da D-Link é uma porta aberta a ataques maliciosos

O roteador DIR-615, da D-Link, estava com uma porta de entrada aberta para cibercriminosos há cerca de um ano. De acordo com uma denúncia recebida pelo TecMundo, um backdoor no firmware do roteador permitia o acesso via Telnet, um protocolo de rede utilizado para proporcionar melhorar a comunicação.

Usuários brasileiros do roteador precisam atualizar o dispositivo de maneira urgente — consumidores do Brasil e Taiwan foram afetados.

Se você possui o roteador D-Link DIR-615, atualize-o com urgência

“Trata-se de uma forma de acesso indevido com privilégios administrativos aos roteadores com os firmware afetados, sem o conhecimento do proprietário do dispositivo”, segundo o pesquisador Oliveira Lima, da StoneLABS. Lima nota que a D-Link recebeu o aviso sobre o problema há cerca de um ano, mas apenas agora o problema foi corrigido: “A D-link levou 1 ano para corrigir o problema em questão e acredito que o backdoor estava presente desde do lançamento do firmware”.

Apesar da correção, a questão ainda é grave: as pessoas não atualizam os próprios roteadores. A parcela de usuários que realmente faz o download de patches e atualiza o dispositivo é pequena, por isso, boa parte das pessoas que usam o roteador DIR-615 estão expostas aos cibercriminosos.

– Confira agora o modelo do seu roteador e atualize-o urgentemente. Para saber como atualizar, acesse aqui.

Como a invasão acontece

O roteador é o dispositivo-chave de toda a sua navegação na internet. Seja WiFi ou cabeado, independentemente da maneira em que você esteja conectado ao roteador, acaba passando pelo dispositivo tudo o que você faz online.

Com um backdoor presente, uma porta de entrada (vulnerabilidade no sistema) aberta para cibercriminosos, um invasor poderá não só acompanhar e monitorar a sua atividade online, como também roubar diversos dados sensíveis como senhas de redes sociais e senhas de banco.

Sobre o roteador DIR-615 da D-Link, “basta que o atacante esteja conectado à rede, ele poderia acessar o roteador via Telnet e utilizar uma conta de ‘backdoor’ admin para ter acesso total a administração do roteador”, conta Lima. “Isso porque a senha de acesso é gerada dinamicamente utilizando os últimos quatro números do endereço MAC do roteador — informação esta que seria facilmente obtida através de uma simples requisição ARP ou realizando um ataque de força-bruta”.

A desativação do Telnet também não ajuda nesta situação, sendo necessária a atualização do roteador, como você pode checar no alerta acima. O pesquisador Oliveira Lima disse o seguinte: “Na versão de firmware 20.11, o recurso Telnet está ativo independentemente da opção escolhida pelo usuário na interface web. Ou seja, mesmo que o usuário desabilite o Telnet, não irá fazer a menor diferença; algo confirmado pela fabricante”.

O backdoor presente no firmware do roteador se encontrava em aparelhos comercializados no Brasil e em Taiwan, segundo o pesquisador. Todos os roteadores vendidos nos Estados Unidos, por exemplo, não possuíam este problema.

O DIR-615 é um dos dispositivos mais vendidos no Brasil, com um preço médio de R$ 70. Vale relembrar que a D-Link já liberou um patch de correção para o backdoor, mas é necessário atualizar o roteador para fechar esta porta.

Fonte: Tecmundo

Microsoft adota política de desativar antivírus de terceiros no W10

Sabe aquele antivírus que você instalou em seu computador para aproveitar o Windows 10 sem ser incomodado por nenhuma ameaça externa? Pois ele pode simplesmente não estar funcionando — e a culpa disso é da própria Microsoft. Por mais surreal que seja tudo isso, a companhia admitiu que realmente desligou antivírus concorrentes de maneira proposital em seu sistema operacional, o que gerou uma polêmica enorme em torno do caso.

Tudo começou no início deste mês, quando a Kaspersky acusou a empresa de deletar seu programa de computadores sem a permissão dos usuários. A questão foi levada à Comissão Europeia, responsável pela regulamentação de normas de competição no Velho Mundo, que acusou a Microsoft de se aproveitar de sua posição no mercado, praticamente dominando o setor de sistemas operacionais, para tirar seus concorrentes do caminho.

E a própria Microsoft respondeu à questão admitindo que realmente adotou essa prática, justificando o porquê disso. Embora não cite exatamente a Kaspersky no processo, a empresa afirma que desativa os antivírus instalados no Windows 10 exatamente para proteger os usuários do sistema operacional. Parece algo sem sentido, mas a alegação é que, ao fazer isso, ela permite que os usuários tenham acesso a funções adicionadas a cada atualização. Em tese, ela considera que os antivírus não são capazes de acompanhar cada update do sistema e, por isso, os desativa até que eles passem a suportar a versão mais recente.

Assim, quando o Windows 10 percebe que o antivírus não é capaz de oferecer proteção suficiente para o sistema, ele automaticamente ativa do Windows Defender para dar conta do recado, desativando o programa que deveria cumprir esse papel originalmente.

Para contornar esse tipo de situação um tanto quanto delicada, a empresa de Redmond diz estar trabalhando em conjunto exatamente para desenvolver soluções de segurança mais eficientes, fazendo com que essas proteções se adaptem às evoluções do Windows 10 para proteger de verdade o usuário.

É claro que isso não responde a todas as questões da briga com a Kaspersky e tampouco põe um ponto final nessa história. É uma explicação plausível, é verdade, mas que ainda apresenta várias brechas que a Microsoft precisa justificar no futuro.

Agradecemos ao Igor, colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Ferramentas gratuitas como solução aos ataques por Ransomware

Ferramentas gratuitas podem ser a melhor maneira para recuperar arquivos bloqueados por vírus ransomware sem precisar pagar nada para hackers. Oferecidas na web por fabricantes de antivírus, funcionam online e offline para liberar o computador sem necessidade de pagar o resgate em bitcoins cobrado pelos criminosos. Esse tipo de ameaça veio à tona novamente depois do ataque WannaCry, que afetou milhares de PCs com Windows 10 usando uma falha do próprio Windows.

A solução para voltar a acessar os dados após um ataque de ransomware é uma chave secreta que só o hacker tem. Com isso, o usuário fica refém do criminoso se quiser recuperar suas informações.
A melhor forma de fazer isso é usar um software de descriptografia. Para infectador computadores, normalmente, hackers usam iscas como Netflix de graça ou golpes de phishing que fazem o usuário instalar na sua máquina o próprio vírus.

Confira a seguir uma lista para ajudá-lo a encontrar chaves seguras.

Avast

A Avast oferece uma lista grande de opções (avast.com/ransomware-decryption-tools). São programas que combatem ransomwares como AES_NI, Alcatraz Locker, Apocalypse, BadBlock e Crypt888 Fix — ameaças que apareceram a partir de 2015 e que na sua maioria usa criptografia AES-256 em conjunto com outros tipos de codificação.

AVG

A AVG oferece chaves contra vários ransomwares. Há uma ferramenta para o Tesladecrypt (avg.com/br-pt/ransomware-decryption), código malicioso que não muda a extensão dos itens gravados no HD e acaba tornando a identificação mais demorada por parte do usuário. Há ainda programas para enfrentar SZFLocker, Bart e outros.

No more Ransom

O No More Ranson reúne todas as entidades de segurança que trabalham contra o avanço do ransomware no mundo. Aqui há outra lista de programas de desbloqueiam arquivos no PC. Um destaques vai para o CoinVault Decryptor (nomoreransom.org), uma ferramenta criada pelo governo e pela polícia da Holanda, capaz de desbloquear arquivos atingidos pelos ransomwares CoinVault e Bitcryptor, de 2015.

ESET

A fabricante de antivírus Eset oferece gratuitamente para download o ESET Crysis Decryptor (eset.com/au/download-utilities/), uma arma contra o ransomware Crysis, conhecido também como JohnyCryptor, Virus-Encode, Aura ou Dharma. Esse ransomware usa uma das maiores variedades de extensões na criptografia dos arquivos, mas o software da ESET promete liberar tudo rapidamente sem dor de cabeça.

Kaspersky

No site da Kaspersky há outras várias opções úteis de ferramenta de desbloqueio de arquivos. Uma delas é a Rakhni Decryptor (noransom.kaspersky.com/), uma das mais poderosas disponíveis no mercado. Descriptografa arquivos bloqueados pelos ransomwares: Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman (TeslaCrypt) versões 3 e 4, Chimera, Crysis (2 e 3) e Dharma.

Trend Micro

O Trend Micro Ransomware File Decryptor (success.trendmicro.com/) é uma ferramenta capaz de eliminar a ação uma variedade grande de ransomwares, incluindo CryptXXX, TeslaCrypt, Badlock, Stampado, Chimera, Jigsaw, Crysis e o famoso WannaCry. O programa é oferecido gratuitamente no site da fabricante de software de segurança.

McAfee

O programa contra ransomware mais importante disponibilizado pela McAfee é o WildFire Decryptor (mcafee.com/br/downloads). A ferramenta libera aplicativos, bases de dados e outros arquivos infectados com o ransomware WildFire, um trojans traiçoeiro que pede US$ 300 de resgate e triplica a quantia se o depósito não for feito em oito dias.

Fonte: Techtudo

 

 

Sabe qual é o foco da maioria dos ataques de hackers?

Pouco preparadas para lidar com situação, criminosos cibernéticos miram dados dos clientes de pequenas empresas; País registrou seis golpes por segundo em 12 meses

“Quase todo mundo que vem à delegacia prestar queixa diz ‘nunca pensei que isso podia acontecer comigo”, afirma o delegado José Mariano de Araújo. Ele é o responsável pelo departamento de crimes eletrônicos da Polícia Civil de São Paulo. Acostumado a se deparar com diversos tipos de crimes virtuais, Araújo explica que essa sensação de surpresa por parte das vítimas não tem base na realidade. E os pequenas e médias empresas, ele diz, são alguns dos mais atraentes para cibercriminosos.

Dados da produtora de softwares de segurança Kaspersky Lab apontam que o Brasil é hoje o nono país que mais sofre ataques de hacker em todo o mundo. Foram 199 milhões de emails maliciosos entre agosto de 2015 e agosto de 2016, cerca de seis golpes por segundo. Estudo da Fiesp de 2015 indicou que 65,2% dos ciberataques com foco apenas financeiro envolviam pequenas empresas.

“Isso acontece porque não necessariamente o alvo primário é a empresa. Os clientes dela, estes sim, podem representar um alto valor financeiro”, diz o delegado. Ou seja, o empreendimento pode até movimentar pequenos valores, mas talvez ele seja um boa “ponte” para chegar aos clientes e prejudicá-los. “Hoje, quem invade um computador quer basicamente roubar informações. É por meio delas que os criminosos têm acesso a contas-corrente, dados de cartões de crédito, etc”, explica Araújo. “A primeira coisa que um criminoso tem em mente é: preciso obter as informações desta vítima.”

O que eles querem com sua empresa. De acordo com Renato Ribeiro, especialista em segurança digital e “hacker do bem” nas horas vagas, no passado os hackers eram motivados pelo desafio que representava acessar informações sigilosas. Com o passar do tempo, esses grupos perceberam que existia a possibilidade de retorno financeiro e, hoje, a maior parte deles é motivada pelo dinheiro.

Durante um tempo, os ataques virtuais eram caracterizados por fraudes e rápidas transferências de dinheiro para contas laranjas, que eram sacadas na pressa antes de serem bloqueadas. “Só que isso era pouco eficiente”, diz Rodrigo Fragola, presidente da Aker Security, empresa especializada em segurança digital. “Hoje, os ataques se sofisticaram e os hackers estão mais pacientes. Em média, no mundo todo, eles ficam escondidos na máquina da vítima por 240 dias, apenas coletando informações. O interesse é retirar o máximo de dados da empresa para verificar com o que se pode lucrar”, diz.

No entanto, quando um hacker tem acesso a arquivos sigilosos, dificilmente ele utiliza as informações para efetuar fraudes. Segundo Ribeiro, os criminosos preferem vender a base inteira no mercado negro da internet, em negociações feitas com bitcoins, que são impossíveis de rastrear. “É muito difícil encontrar um hacker que utilize dados de outras pessoas, porque ele sabe a exposição que isso gera. Quem faz compras online com número de cartão de crédito, por exemplo, precisa informar um endereço, esperar o produto chegar, e o hacker não se arrisca a esse ponto”, diz.

Como eles atacam

Atualmente, os criminosos têm optado por invasões mais elaboradas, com dois ou três passos de execução. Isso significa que existe um primeiro alvo, a partir do qual o hacker consegue acesso a outras vítimas, que são o objetivo final do ataque.

As invasões podem ocorrer na infraestrutura da empresa ou nos softwares que ela utiliza. Um bom exemplo do primeiro caso acontece em redes wi-fi de estabelecimentos comerciais, como restaurantes e cafés. “Nesses lugares, é comum encontrar roteadores protegidos com senhas fracas, ou até mesmo com a senha padrão de fábrica. Isso permite que um hacker acesse sem dificuldades as configurações do roteador e altere o funcionamento do aparelho para enviar informações falsas a todos que estiverem conectados”, explica Renato.

Nesse exemplo, um cliente que tentar acessar o site do seu banco através de uma rede wi-fi hackeada pode ser levado a uma página falsa, com visual semelhante ao site original da instituição financeira. A partir daí, o hacker é capaz de coletar as informações bancárias sem dificuldades.

Também são comuns ataques diretos ao servidor da empresa. Existem muitas maneiras dessas ataques acontecerem, mas uma delas, que é relativamente simples e antiga, ainda tem resultados em pequenas empresas. Conhecida como SQL Injection, esse tipo de ameaça utiliza falhas básicas dos sistemas que armazenam as bases de dados da empresa.

O ataque, basicamente, ocorre da seguinte maneira: sempre que alguém faz login em um sistema, as informações de acesso são enviadas aos servidores, que verificam se os dados da conta e da senha estão corretos. Nesse caminho percorrido pelas informações, um hacker pode enviar linhas de código com comandos para receber dados confidenciais. Caso o servidor não esteja preparado para ignorar esses códigos, existe o risco de ele obedecer a ordem do hacker e enviar dados que deveriam ser protegidos.

Ataque da moda

Advogada e sócia da Opice Blum, escritório que há vinte anos atua com direito digital, Juliana Abrusio alerta para o “crime do momento” no mundo cibernético. “Apesar de ainda representar uma parcela pequena dos casos atendidos, notamos uma grande aumento no número de ataques do tipo ransomware”, diz Juliana.

Ransomware é um ataque virtual no qual o criminoso, em vez de roubar dados para vendê-los ou causar fraudes, aplica criptografia sobre as informações, tornando-as inacessíveis aos usuários. Para liberá-los, geralmente é preciso pagar um resgate ao criminoso. Daí ser chamado de “sequestro” de dados. O pagamento normalmente é feito em bitcoins.

“Esse ataque geralmente acontece com médias e pequenas empresas”, explica a advogada. “E, em muitos casos, o empresário não tem o back up dos dados e acaba pagando o valor exigido”, diz Juliana. A especialista revela que, inclusive, existe um “ticket médio” para o valor do resgate: o equivalente a cerca de R$ 10 mil. Talvez o valor não pareça tão alto, mas, de acordo com a advogada, isso é estratégico.

“Os criminosos estipulam um valor para desestimular a busca por ajuda. A pessoa prefere pagar para resolver o problema, e o hacker ganha no volume de vítimas”, diz Juliana. O que não significa que, eventualmente, valores bem mais altos sejam exigidos. “Peguei há pouco tempo um caso em que pediram R$ 400 mil pelo resgate”.

Fonte: Estadão

Loja virtual que vende malwares

Os crackers do Shadow Brokers voltaram a chamar a atenção nos últimos dias ao lançar uma espécie de loja virtual na qual assinantes pagam mensalidade para receber um malware diferente por mês. O grupo ganhou notoriedade recentemente ao divulgar os exploits (conjunto de programas ou comandos que exploram falhas de segurança) usados pelo ransomware WannaCrypt, que sequestrou computadores de várias partes do mundo.

A fim de levantar dinheiro, os hackers inauguraram o seu próprio “clube do malware”, que vai publicar mensalmente para os assinantes outras ferramentas roubadas da Agência de Segurança Nacional dos Estados Unidos (NSA). Obviamente, a ideia do Shadow Brokers não tem necessariamente um viés ético e eles não pretendem necessariamente negociar os espólios conquistados da NSA para que especialistas evitem novos ataques, e é exatamente isso o que preocupa alguns especialistas.

“Os Shadow Brokers não estão procurando vender os exploits para a Microsoft e outras empresas afetadas, para que elas possam corrigir as vulnerabilidades e proteger seus usuários”, aponta o diretor de Threat Intelligence da Avast Michal Salat. “O grupo poderia ter informado essas vulnerabilidades para os programas de recompensa das empresas (chamados programas de Bug Bounty), mas eles querem mais dinheiro do que o oferecido nesses programas”, prossegue.

Leilão de ameaças digitais

Vale lembrar que, antes de divulgar o conteúdo do WannaCrypt na web, o Shadow Brokers tentou vendê-lo na internet por US$ 500 milhões. O material a ser divulgado pode ser de grande utilidade tanto para criminosos quanto para cientistas, e dois supostos pesquisadores lançaram uma campanha de financiamento coletivo para pagar a assinatura e ter acesso às ferramentas.

“Os dois principais personagens afirmam ser pesquisadores de segurança que desejam comprar os exploits para analisar os dados, verificar os riscos e divulgar informações às empresas”, comenta o executivo. “Eles podem ter boas intenções, mas é importante questionar se alguém deve ou não pagar e recompensar o Shadow Brokers por suas atividades criminosas.”

Salat ressalta ainda que, apesar da grande utilidade de ter estas ferramentas na mão de especialistas em segurança, que poderiam trabalhar em alguma forma de corrigir os problemas, comprar o conjunto de exploits do Shadow Brokers significaria “recompensá-los por suas atividades criminosas e incentivá-los a continuar”. Para ele, isso nada tem a ver com programas de recompensa mantidos por empresas para incentivar que hackers relatem bugs encontrados às companhias em vez de vendê-los na deep web.

“Os dois principais personagens afirmam ser pesquisadores de segurança que desejam comprar os exploits para analisar os dados, verificar os riscos e divulgar informações às empresas”, comenta o executivo. “Eles podem ter boas intenções, mas é importante questionar se alguém deve ou não pagar e recompensar o Shadow Brokers por suas atividades criminosas.”

Programa de recompensa vs venda de exploits

O especialista sugere ainda que os programas de recompensa podem ser uma ferramenta no combate à prática de venda de exploits na web. Sendo assim, elas deveriam se tornar prática comum de qualquer companhia que desenvolva software.

“Os pesquisadores em geral podem ganhar dinheiro com recompensas dos programas de bug bounty, mas, quando isso não acontece, podem tentar vendê-las ao ‘lado negro’ para ganhar dinheiro”, aponta o executivo. “Por isso, esperamos que cada vez mais empresas adotem programas de recompensas, especialmente as mais novas, que lidam com dispositivos da Internet das Coisas, e não esperem para adotar a iniciativa só depois de um grande incidente de segurança.” Saiba mais: A Hekima mostra na prática o que é a Internet das Coisas com estes 4 objetos Patrocinado

Apesar de reconhecer que as empresas poderiam comprar dos hackers as informações sobre vulnerabilidades, o especialista alerta que é preciso analisar esta prática com cuidado para não referendar práticas criminosas. “Num caso desses pode ser uma boa ideia pagar os hackers e resolver o problema”, comenta. “Mas pagar os Shadow Brokers por dados roubados na minha opinião não é uma boa ideia, já que, de certa forma, isso irá validar e recompensar o que eles fizeram”, finaliza Salat.

Fonte: Tecmundo

Descoberto app malicioso na Apple Store

O desenvolvedor Johnny Lin descobriu um golpe que acontece que loja de aplicativos da Apple, a App Store, que rende cerca de US$ 80 mil mensais. Com o caso detalhado no Medium, Lin explica como um golpista está enganando usuários de iPhone e até a própria Apple.

Tudo começou com uma busca na lista dos aplicativos com maior arrecadação dentro da App Store — vale notar que, apenas em 2016, a Apple já pagou US$ 21 bilhões para desenvolvedores. Por lá, além de apps bem conhecidos, como Dropbox e OneDrive, Lin encontrou o estranho “Mobile protection: Clean & Security VPN”.
US$ 80 mil, em conversão direta, são R$ 263 mil

A estranheza não acaba no título: o aplicativo oferecia serviços destoantes, como uma VPN sem segurança e a capacidade de eliminar contatos duplos na agenda telefônica do seu iPhone. Seguindo a investigação, Lin utilizou o medidor Sensor Tower para descobrir que a pessoa por trás desse app ganhava cerca de US$ 80 mil por mês.

Obviamente, não era com publicidade. Então, como esse golpe era realizado? Assim que o usuário faz o download do app, um menu popup aparece e pede uma confirmação de pagamento via Touch ID no valor de US$ 99,99 por uma assinatura de sete dias. Exatamente: um mês de uso vale US$ 400.
Agora, você pode até sacar que isso é um golpe. Porém, quantas pessoas com pouco conhecimento sobre segurança digital já não estão pagando esse valor?

Mais perigoso ainda, não há qualquer empresa por trás desse app, apenas o nome de desenvolvedor: Ngan Vo Thi Thuy. A VPN (Rede Particular Virtual) é um rede de comunicação particular construída sobre a rede de internet pública, dessa maneira, o usuário pode navegar de maneira mais segura. Contudo, se desenvolvida por cibercriminosos, a VPN tem a capacidade de fragilizar a segurança de sua máquina.

De acordo com Lin no Medium, “o que acontece é que esses golpistas estão abusando do relativamente novo e imaturo App Store Search Ads (anúncios na busca da App Store). Eles estão aproveitando o fato de que não há processo de filtragem ou aprovação para anúncios; e esses anúncios parecem quase indistinguíveis de resultados reais — e alguns deles ainda ocupam a primeira página inteira do resultado da pesquisa”.

Um golpe desses não é só uma mancha na reputação da Apple, mas pode ser desmotivador até para os milhões de desenvolvedores iOS sérios que existem por aí e que buscam enviar aplicativos seguindo todas as indicações à risca. Provavelmente, a Apple já está sabendo deste caso e deverá tomar algumas atitudes.

Fonte: Tecmundo

Trojan para Android escondido na Google Play

Já removido pelo Google da sua loja, malware foi baixado mais de 50 mil vezes, segundo a empresa de segurança Kaspersky Lab.

Um novo Cavalo de Troia para aparelhos Android chamou a atenção dos pesquisadores de segurança da Kaspersky Lab na última semana. Distribuído como um jogo pela loja oficial da plataforma, a Google Play Store, o malware consegue obter direito de acesso à raiz do smartphone, segundo a companhia de segurança.

Além disso, a ameaça também pode assumir o controle do aparelho Android ao injetar código malicioso na biblioteca do sistema. Ao conseguir isso, o trojan pode excluir o acesso à raiz, em uma tentativa de evitar a sua detecção.

Segundo a Kaspersky, o Cavalo de Troia em questão já foi baixado mais de 50 mil vezes pela Google Play Store desde o último mês de março. Depois de ficar sabendo da ameaça pela Kaspersky, o Google retirou a ameaça da Play Store.

“Acreditamos ter descoberto esse malware em um estágio bastante precoce. Nossa análise mostra que os módulos maliciosos informam cada movimento aos invasores, e existem técnicas capazes de violar os dispositivos infectados. A rapidez é essencial para evitar um ataque massivo e perigoso”, explica o analista sênior de malware da Kaspersky Lab, Roman Unuchek.

O que fazer

Os usuários que suspeitam ter sido infectados pelo Dvmap devem fazer backup de todos os seus dados e executar uma restauração dos dados de fábrica, conforme a empresa.

Fonte: PCWorld