Crackers de Brasil e Rússia “trabalham” juntos

O cibercrime na América Latina – e principalmente no Brasil – está em crescimento. Quem garante é Dmitry Bestuzhev, chefe de pesquisa e análise da Kaspersky Lab para a região. Ponderando mais os riscos, os criminosos locais que praticam golpes financeiros também fizeram dois movimentos nos últimos anos: tiraram o foco do correntista para atacar diretamente os bancos e passaram a contar com a ajuda de estrangeiros para invadir os sistemas.

“Os criminosos brasileiros estão trabalhando mano a mano [de mãos dadas, em potuguês] com criminosos de outros países. Não somente latino-americanos, estamos falando de bandidos da Europa Oriental, de países como Rússia, Ucrânia e outros”, afirma. Durante o evento, foram mostrados casos envolvendo equipes anônimas que atacaram em várias regiões simultaneamente ou com código semelhante, dando indícios de que há colaboração.

Mas nem tudo é tão elaborado. O importante desta conexão é compartilhar os códigos e trabalhar de forma associada para dividir os ganhos. “Para isso estão utilizando tradutor on-line como Google Tradutor e [o concorrente russo] Yandex Translator”, explica.

Bestuzhev sinaliza que muitos hackers russos não falam inglês. E também são poucos os golpistas brasileiros que falam russo. “Para não perder oportunidades, usam tradutores para se comunicar. Temos encontrado várias evidências disso”, acrescenta.

Ainda de acordo com as análises, os grupos estão mais fortificados e, neste momento acreditam que atacar os bancos — e não os clientes dos bancos — é mais efetivo. Os criminosos querem correr cada vez menos riscos para ganhar cada vez mais dinheiro. Logo, não vale a pena atacar o usuário comum que vai pagar pouco ou ter valores menores em suas contas bancárias. Já os cofres dos bancos estão sempre cheios.

Golpe de roteador “é coisa nossa”

Temos muitos aparelhos eletrônicos em casa como Smart TV, celular, outro celular, e todos se conectam no mesmo dispositivo: o roteador. Se o criminoso obtém o controle do roteador, obtém o controle sobre todos os aparelhos conectados. “O Brasil é um dos países em que os criminosos vêm obtendo muito êxito explorando vulnerabilidades em roteadores e causando muitos danos”, alerta Bestuzhev. O golpe já tem ‘a cara do país’.

“Nesta escala não vemos em outros países além do Brasil. Falamos de centenas de milhares de roteadores comprometidos”, pontuou. Usuários que não trocam senhas, não fazem manutenção e aparelhos vendidos por fabricantes irresponsáveis causam o caos.

A responsabilidade por proteger o roteador, segundo Bestuzhev, é uma bola dividida. Há fabricantes que não se preocupam em oferecer correções de software para o consumidor, enquanto outros preferem disponibilizar patches com correções. Ainda é preciso envolver o usuário no processo de atualização, o que na maioria das vezes não é tão simples.

Fonte: Techtudo

Brasil: o sexto país no mundo em vulnerabilidade a Ransomware

Cerca de 250 empresas brasileiras foram afetadas pelo ataque global de hackers do último dia 12, que disseminou o vírus WannaCry para sequestrar informações de computadores de empresas e instituições em mais de uma centena de países. O número consta de levantamento da MalwareTech, que mostra o setor de telecomunicações como o mais afetado no país. O Brasil é considerado pela empresa de segurança Kaspersky o sexto país mais vulnerável a vírus do tipo ramsonware — que bloqueia os arquivos de um computador até o pagamento de um resgate — atrás de Rússia, Ucrânia, China, Índia e México.

No ano passado, o país teria sofrido 64,2 mil tentativas de invasão por dia, segundo dados da Symantec, patamar quase três vezes maior em relação ao ano anterior. A previsão é que o número aumente ainda mais neste ano. Do total de ataques, 80% foram tipos de vírus que surgiram no ano passado, destacou André Carraretto, estrategista em cibersegurança da Symantec. Com mais vírus por aqui, o Brasil também tem se tornado o ponto de origem de ataques à rede, como o que ocorreu semana passada. Se em 2015, o país representava 2% da origem dos ataques em todo o mundo, no ano passado, esse número subiu para 14%.

NO BRASIL, EMPRESAS TÊM ATITUDE REATIVA

Para Carraretto, esse avanço é reflexo da falta de investimento. Segundo ele, à exceção dos bancos, o assunto não costuma ser discutido no âmbito do Conselho de Administração das companhias.

— No Brasil há uma postura reativa. As empresas precisam ter uma estratégia em segurança. Hoje, os setores mais expostos a vírus no país são varejo, agricultura e indústrias. As pequenas e médias são os principais alvos dos hackers — destacou.

As estimativas de investimento de empresas brasileiras em segurança digital variam de US$ 200 milhões a US$ 1 bilhão por ano, mas analistas são unânimes em afirmar que as empresas deveriam destinar mais recursos para evitar dor de cabeça. A estimativa da Kaspersky é que as companhias invistam de 0,5% a 0,6% do orçamento da companhia em segurança da informação. Nos EUA e na Europa, o indicador chega a 3% ou 4% por ano.

— O investimento é pequeno. As empresas se comportam como usuários caseiros e veem segurança como commodity. Há empresas que usam softwares gratuitos para quase todos os funcionários e colocam um sistema de segurança maior em alguns equipamentos. Isso cria uma falsa sensação de segurança. O WannaCry chegou ao Brasil em uma hora e meia — afirma Roberto Rebouças, gerente-geral da Kaspersky.

Os pagamentos em bitcoins em todo o mundo no ataque do último dia 12 somaram US$ 95 mil, segundo a Kaspersky. O valor é baixo, analisa a Stefanini Rafael, joint-venture entre a brasileira Stefanini e a estatal israelense de defesa cibernética Rafael, se comparado ao potencial de prejuízo que esse tipo de ação causa à imagem das empresas. E mais ainda quando se considera a hipótese de paralisação das atividades para evitar o alastramento da contaminação.

HOSPITAIS ESTÃO ENTRE OS MAIS VISADOS

Uma indústria paulista que foi alvo dos hackers no dia 12 e teve seu IP bloqueado pela Secretaria da Fazenda de São Paulo, por exemplo, ficou impedida de emitir notas fiscais e deixou de faturar R$ 3 milhões naquele dia.

— Estimativas indicam que uma empresa deve aplicar de 5% a 15% do que investem em tecnologia da informação (TI) na segurança digital. No Brasil, não é assim. São investidos em média de 2% a 3% — diz Carlos Alberto Costa, diretor geral da Stefanini Rafael.

Especialistas apontam que o ataque do WannaCry colocou muitas empresas em estado de alerta. A procura por consultoria e novas soluções de segurança deve aumentar em 30% o volume de negócios das empresas que fornecem soluções como antivírus. Para Marco Ribeiro, da consultoria global Protiviti, o baixo investimento no setor está associado à recessão.

— Não investimos o suficiente. Em média, uma pessoa leva 200 dias para identificar que foi atacada. Com o ataque global, pode haver uma mudança de percepção. Esperamos aumento de 30% na busca por consultorias e novos serviços — acrescentou.

Segundo o professor do curso de Cibersegurança do Centro Universitário Salesiano de São Paulo (Unisal), em Campinas, Paulo Brito, o novo vírus fez as empresas brasileiras atentarem para o fato de que o risco de perda de dados é grande. Ele destacou os problemas ocorridos no sistema do INSS, no Tribunal de São Paulo, além de grandes companhias terem desligado seus sistemas. Segundo ele, isso ocorre porque o Brasil não tem uma lei que obrigue a divulgação de informações sobre o vazamento de dados, como ocorre nos Estados Unidos.

— Como as empresas no Brasil não são obrigadas a divulgar essas informações, tendemos a achar que está tudo bem. Os ataques vão aumentar — avalia.

Os setores mais bem preparados em segurança digital no país, segundo Costa, da Stefanini, são o financeiro, o de telecomunicações e o de comércio eletrônico. Mesmo assim, uma das empresas mais afetadas pela ofensiva do WannaCry no Brasil e no mundo foi a Telefónica. Com a invasão de computadores de sua sede na Espanha, a unidade brasileira foi orientada a não ligar os computadores para evitar o alastramento do vírus.

A possibilidade de os hacker desencadearem a contaminação de computadores sem que o usuário tenha que acionar um link (sem interação humana) foi outra novidade descoberta na semana passada sobre a ofensiva do WannaCry, segundo Fábio Assolini, analista da Kaspersky. Segundo ele, até a quinta-feira da semana passada, não se conhecia versão do ransomware capaz de iniciar a contaminação sem que o usuário da máquina desse um clique no arquivo ou link malicioso.

— Todos os ransomware conhecidos até então dependiam de enganar uma vítima. O WannaCry, para se disseminar numa rede, agora, não requer interação humana alguma, basta encontrar uma porta para se espalhar. Por isso, a abrangência foi tão grande — explicou.

Entre os setores que menos investem em segurança digital destaca-se o de saúde, observou o diretor da Stefanini Rafael. O prestigiado hospital Sírio Libanês, em São Paulo, foi atacado e, segundo um funcionário que pediu para não se identificar, todo o sistema no qual os exames e protocolos de pacientes são armazenados ficou fora do ar até domingo. Os atendimentos eram feitos por fichas preenchidas manualmente. Durante todo o fim de semana, os pacientes não conseguiram agendar exames. Em nota, o hospital informou que “alguns de seus sistemas foram afetados” pelo ciberataque, acrescentando que não houve interrupção de processos assistenciais ou perda de informações relativas a pacientes.

— Os hospitais gastam milhões em equipamentos complexos, que são conectados à rede e que também podem ser invadidos, como os tomógrafos por exemplo, mas não aplicam milhares de reais na segurança digital — afirmou Costa, da Stefanini.

FALTA DE LEGISLAÇÃO DIFICULTA CONTROLE

Wolmer Godoi, diretor de cibersegurança da Cipher, classifica o brasileiro como um “anestesiado digital”. Segundo ele, o fato de não existir uma legislação no Brasil para a divulgação de vazamento de informação e perda de dados faz com que não se tenha registros sobre esses problemas.

— É preciso uma legislação para mudar isso. Por isso, não se fica sabendo dos problemas que ocorrem com os hackers no Brasil em empresas privadas. O investimento está aquém do necessário. Ainda temos o problema cultural, de achar que o problema não vai chegar aqui — afirmou Godoi, destacando que também vem registrando maior procura de empresas após o ataque global.

Fonte: O Globo

Criadores do WannaCry agora buscam vender exploits para o Windows 10

O ransomware WannaCry, que assolou o mundo na sexta-feira passada (12), nasceu em ferramentas de espionagem desenvolvidas pela agência de segurança nacional norte-americana NSA. Acontece que, no começo desse ano, essas ferramentas foram vazadas na internet — e isso se tornou o ponto inicial dos problemas que enfrentamos até agora no que toca o ransomware. O principal grupo por trás desse vazamento é conhecido como Shadow Brokers, e agora eles estão ameaçando vender exploits para Windows 10.

Os códigos serão vendidos para qualquer pessoa interessada em pagar por eles

Caso você não saiba, o ransomware WannaCrypt afetou apenas computadores com sistema operacional Windows XP e Server 2003 — exatamente por isso o âmbito corporativo e governamental foi o mais afetado. Porém, se o Shadow Brokers realmente tiver esses exploits para Windows 10, a situação para usuários domésticos fica mais delicada.

De acordo com uma postagem em blog próprio, o Shadow Brokers disse que venderá os códigos para qualquer pessoa interessada em pagar por eles. Além disso, que eles estão preparando vazamentos mensais de ferramentas hackers que podem desde invadir navegadores até smartphones e sistemas operacionais.

O grupo hacker comentou que vai liberar todos os detalhes sobre a venda e os vazamentos em junho deste ano.

Fonte: Tecmundo

Crime físico e virtual andam de mãos dadas

A empresa de segurança Trend Micro descobriu no último que o crime físico e o crime virtual já estão andando de mãos dadas.

O levantamento realizado pela empresa aponta que um tutorial para roubo de Apple ID pode ser encontrado no submundo do crime brasileiro por R$135, enquanto quadrilhas se profissionalizam cada vez mais.

Uma investigação conduzida pela Trend Micro comprovou que uma vítima foi abordada por bandidos nas ruas brasileiras e teve seu iPhone roubado. Crime bastante comum salvo por um detalhe: os ladrões “reais” engatilharam um modus operandi que mistura o real e o virtual.

Por meio de uma página de phishing e um SMS projetado socialmente fingindo ser a Apple os criminosos eletrônicos tentam conseguir as credenciais do Apple ID da vítima. “Enquanto o aparelho está em funcionamento, é possível descobrir o número do aparelho e tentar mudar a senha dos aplicativos de redes sociais (e possivelmente do e-mail) instalados – provavelmente para extorquir a vítima no futuro.

Os cibercriminosos tentam agir o mais rápido possível antes do alvo desligar o aparelho”, alertam os especialistas de segurança. Um dia após o furto, a vítima recebe uma mensagem de SMS em seu novo telefone, contendo um phishing solicitando as credenciais do Apple ID. “A indefinição do limite entre o roubo físico/tradicional e o cibercrime – e, em particular, o trabalho aparentemente em equipe entre os ladrões e os cibercriminosos pode resultar em possíveis ataques ainda maiores e mais complicados” avisa a Trend Micro.

Uma página de phishing da Apple foi encontrada na web sendo negociada sob o valor de R$ 135. O endereço era oferecido para aluguel com um vídeo tutorial explicando como o serviço funciona. De acordo com a empresa, “os crimes físicos e virtuais podem, de fato, trabalhar lado a lado com a finalidade de criarem esquemas maliciosos e ataques de maiores proporções.

Por isso, a segurança física aliada à cibersegurança é ainda mais válida. Não só os usuários finais devem redobrar a proteção, mas as empresas se conscientizarem que os riscos de ataques online/virtuais podem ser igualmente prejudiciais.

Com ajuda da PhishLabs, a Trend Micro conseguiu derrubar as páginas de phishing que ainda estavam online. Também foram comunicadas à Apple as descobertas relacionadas à ameaça.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Código Fonte UOL

Microsoft Edge apresenta falha grave de segurança

Os navegadores estão constantemente em contato direto com a Internet, permitindo que os atacantes procurem explorar as suas vulnerabilidades e as suas falhas.

No Edge, o mais recente navegador da Microsoft, foi descoberta uma nova vulnerabilidade, que permite que sejam roubadas as senhas do usuário e os cookies previamente armazenados.

Esta nova falha do Edge foi descoberta pelo pesquisador de segurança Manuel Caballero, que mostrou que é simples e muito rápido para qualquer atacante obter as senhas de qualquer usuário deste browser. Além disso é igualmente possível obter os cookies que os sites guardam nesse navegador.

Uma vez em posse destes dados, é possível ao atacante acessar todos os sites que o usuário tenha visitado, mesmo os que requerem autenticação, deixando-o assim exposto e vulnerável.

Para obter estes dados é necessário apenas explorar uma falha na implementação da “Same Origin Policy” que foi feita pela Microsoft. Esta medida pretende impedir que os sites explorem os dados que foram gerados por outros, mas, até onde se sabe até agora, esta medida não foi implementadda de forma correta.

Para piorar a situação, e segundo Manuel Caballero, esta falha não é nova e já existem duas formas diferentes de a explorar. Ambas são bem conhecidas pela Microsoft e estão ainda por serem resolvidas.

Mas a nova forma, descoberta por este pesquisador de segurança, mostra-se tão eficiente como as demais, com a particularidade de ser mais simples e mais rápida de implementar, sendo por isso mais perigosa.

Esta é mais uma falha a ser acrescida à lista daquelas recentemente descobertas em produtos Microsoft. Depois de dias de grande confusão por conta do ciberataque mundial, que explorava uma falha no Windows, surge mais uma, desta vez no navegador que a Microsoft quer que os seus usuários usem como o seu preferencial.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Apps Android trocam dados pessoais sem o seu conhecimento

Aplicativos para smartphones e tablets Android podem conspirar contra você. Uma análise de mais de 100 mil apps populares na Google Play Store mostrou que eles podem trocar suas informações pessoais sem sua permissão.

Segundo pesquisadores da Universidade Virginia Tech, o Google analisa a segurança dos aplicativos de sua loja de maneira individual. Por isso, não pode notar quando uma brecha de segurança pode permitir o acesso indevido de dados liberados para outros apps.

Os aplicativos que fazem essa troca de informações são os que parecem mais inocentes, como aqueles para mudar o papel de parede do smartphone, liberar novos emojis ou mudar o toque do aparelho. No total, 23.495 pares de apps que colaboram maliciosamente foram encontrados.

“A má notícia é que encontramos apps que podem trocar informações indiscriminadamente. A boa notícia é que essa colaboração conspiratória ainda é muito pequena”, afirmou a pesquisadora Daphne Yao, da Virginia Tech.

Segundo os especialistas ouvidos pelo New Scientist, a descoberta é um passo importante no combate ao malware no Android, que agora é a principal plataforma de acesso à internet no mundo — deixando o Windows para trás.

Fonte: Exame

Falha no Chrome possibilita o roubo de senhas

Se explorada com sucesso, a falha no navegador permite que o criminoso instale e execute automaticamente um arquivo malicioso que poderá roubar senhas e nomes de usuário.

O pesquisador de segurança Bosko Stankovic, da DefenseCode, detalhou o processo para o roubo de credenciais, que começa com o usuário sendo enganado para que ele baixe e execute um arquivo no formato . scf (Windows Explorer Shell Command File) disfarçado como um ícone para mostrar a área de trabalho. Esse formato existe desde a época do Windows 98.

O arquivo pode então ser usado para enganar o Windows e fazer com que ele tente se logar em um servidor SMB controlado remotamente pelo criminoso. Este servidor capturará o hash da senha do usuário usada para autenticação.

O hash poderá ser quebrado offline ou usado pelo criminoso para se passar pela vítima em um serviço, como o Microsoft Exchange, que aceita o mesmo tipo de autenticação baseada em NTLM.

O ataque se aproveita da forma como o navegador do Google e o Windows lidam com arquivos no formato .scf. O problema no Google Chrome é que ele não toma os mesmos cuidados com arquivos .scf que toma com os no formato .lnk, que recebem uma extensão .download.

Os arquivos .lnk começaram a receber a extensão depois que foi descoberto que hackers a serviço de agências governamentais estavam utilizando arquivos neste formato para infectar dispositivos com Windows com o malware Stuxnet.

O Google confirmou que está trabalhando em uma correção para a falha no Google Chrome e que ela também afeta outras versões do Windows além do Windows 10.

Um segundo problema com o navegador é que ele depende do comportamento padrão do Windows após o download de arquivos no formato formato .scf. Segundo Stankovic, o Google Chrome baixa automaticamente arquivos considerados como “seguros”.

Isso pode parecer algo positivo caso o usuário precise executar manualmente o arquivo, mas no Windows o arquivo .scf iniciará a requisição de autenticação no servidor SMB do criminoso assim que o diretório de download for aberto no Explorador de Arquivos.

Não é necessário clicar nele ou abrir o arquivo – o Explorador de Arquivos tentará exibir o “ícone” automaticamente.

Stankovic testou o diversos antivírus e nenhum deles foi capaz de barrar os arquivos formato .scf.

Até que uma correção definitiva seja disponibilizada, os usuários do navegador do Google podem se proteger temporariamente desativando os downloads automáticos, o que pode ser feito marcando a opção abaixo, ou restringindo/desativando o tráfego do protocolo SMB:Esta falha depende de dois fatores, que aparentemente podem facilmente ser encontrados. Por um lado, a facilidade nos downloads oferecida pelo Chrome e por outro, a falta de controle sobre os arquivos SCF e suas ações.

Agradecemos ao Domingos, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: R7 e  pplware