Comentários Gerais

Me chamo Victor Hugo e sou um verdadeiro apaixonado por informática e especialmente por tudo o que diz respeito à segurança da informação. O objetivo deste blog e dos vídeos postados no You Tube é conscientizar a todos da importância de se ter um computador devidamente protegido utilizando as ferramentas mais adequadas para isto. Todos os dias estou buscando novas informações e novidades e aqueles que acessarem este espaço poderão saber de tudo em primeira mão.

Essa página do seu micro seguro tem por objetivo também de promover a troca de ideias entre os seus usuários, experiências e dicas. Além disso também deseja ser um canal para esclarecimento de dúvidas a todos aqueles que acessam nosso site.

45.574 Responses to Comentários Gerais

  1. Igor says:

    Chrome 77 disponibilizado hoje!

    hXXps://chromereleases.googleblog.com/

  2. Matheus says:

    O APT3, vinculado à China, conseguiu modificar armas cibernéticas roubadas da NSA

    hXXps://securityaffairs.co/wordpress/90985/apt/apt3-change-nsa-cyber-weapons.html

    O APT3, vinculado à China, roubou armas cibernéticas da NSA e usou engenharia reversa para criar seu próprio arsenal.

    Em 2010, a empresa de segurança FireEye identificou o Tropi Pirpi Remote Access (RAT), que explorava uma vulnerabilidade de 0 dias nas versões 6, 7 e 8. do Internet Explorer. A FireEye nomeou o grupo de ameaças APT3, também descrito como TG-0100, Buckeye , Gothic Panda e UPS e os descreveram como “um dos grupos de ameaças mais sofisticados” sendo rastreados na época.

    Desde então, o APT3 tem penetrado ativamente empresas e governos nos EUA, Reino Unido e, mais recentemente, em Hong Kong – e todo mundo tenta descobrir quem são eles. O APT3 funciona de maneira muito diferente do 3LA, a antiga organização militar chinesa de hackers, levando à suposição de que o APT3 não faz parte do complexo militar. Pelo menos não oficialmente.

    Em maio de 2017, pesquisadores da Recorded Future, empresa de inteligência contra ameaças, descobriram uma ligação clara entre o grupo de ameaças cibernéticas APT3 e o Ministério da Segurança do Estado da China.

    O APT3 desenvolveu uma coleção de explorações e ferramentas apelidadas de ‘UPSynergy’, muitas das quais parecem basear-se em códigos maliciosos pertencentes ao APT do Grupo de Equações da NSA.

    Em maio, especialistas da Symantec publicaram um relatório que revelou que o APT3 estava usando uma ferramenta atribuída ao Equation Group vinculado à NSA mais de um ano antes do vazamento do Shadow Brokers,

    De acordo com os especialistas, o APT3 conseguiu adquirir uma variante do EternalRomance desenvolvido pela NSA antes do vazamento das explorações da NSA pelo Shadow Brokers em 2017.

    Como o APT3 obteve essas ferramentas e explorações?

    Pesquisadores da Check Point, com a intenção de expandir a pesquisa da Symantec, conduziram uma análise profunda da ferramenta de exploração Bemstour usada pelo APT do Equation Group. Os pesquisadores acreditam que o APT3 desenvolveu sua própria versão de uma exploração do grupo Equation usando o tráfego de rede capturado.

    “O grupo de ameaças conhecido como APT3 recriou sua própria versão de uma exploração do grupo Equation usando o tráfego de rede capturado”, lê a análise, publicada pela Check Point. “Acreditamos que esse artefato foi coletado durante um ataque conduzido pelo Equation Group contra uma rede monitorada pelo APT3, permitindo aprimorar seu arsenal de exploração com uma fração dos recursos necessários para construir a ferramenta original … Um possível modus operandi – o chinês colete ferramentas de ataque usadas contra eles, faça engenharia reversa e reconstrua-as para criar armas digitais igualmente fortes ”.

    Os especialistas descobriram que os desenvolvedores do APT3 conseguiram fazer uma engenharia reversa da ferramenta e a aprimoraram adicionando uma exploração adicional de dia zero.

    A versão original do EternalRomance visava principalmente os sistemas Windows 7, mas um patch introduzido no Windows 8 dificultava a exploração em versões superiores do Windows.

    O Equation Group resolveu esse problema vinculando a exploração EternalRomance a outra exploração chamada EternalChampion. A cadeia de exploração foi incluída no código de exploração EternalSynergy.

    O APT3 resolveu o mesmo problema usando uma nova exploração de vazamento de informações de dia zero, integrada ao EternalRomance.

    O APT3 aproveitado na falha de dia zero rastreada como CVE-2019-0703, é uma vulnerabilidade de divulgação de informações que existe na maneira como o Windows SMB Server lida com determinadas solicitações.

    “O grupo tentou desenvolver a exploração de uma maneira que permitisse atingir mais versões do Windows, semelhante ao que foi feito em uma exploração paralela do grupo Equation chamada EternalSynergy. Isso exigiu a procura de um dia adicional de 0 dias que lhes fornecesse um vazamento de informações do kernel. Toda essa atividade sugere que o grupo não foi exposto a uma ferramenta real de exploração da NSA, pois não precisaria criar outra exploração de 0 dias. ”Continua a análise. “Decidimos nomear o pacote de explorações do APT3 como UPSynergy, já que, assim como no grupo Equation, ele combina duas explorações diferentes para expandir o suporte a sistemas operacionais mais recentes”.

    A exploração EternalRomance foi usada pela NSA e pelo grupo APT3 para implantar a ferramenta DoublePulsar.

    Os pesquisadores da Check Point notaram que o DoublePulsar foi envolvido por ambos os grupos de maneiras diferentes.

    “Se o tráfego de rede foi realmente usado pelo grupo como referência, provavelmente o tráfego foi coletado de uma máquina controlada pelo APT3”, afirmam os pesquisadores da Check Point. “Isso significa uma máquina chinesa que foi alvo da NSA e monitorada pelo grupo, ou uma máquina comprometida anteriormente pelo grupo em que a atividade estrangeira foi notada. Acreditamos que o primeiro é mais provável e, nesse caso, poderia ser possível capturando movimentos laterais dentro de uma rede de vítimas alvo do Grupo de Equação. ”

    Especialistas apontaram que os EUA e a China estão aparentemente envolvidos em uma corrida de armas cibernéticas para desenvolver uma nova geração de armas cibernéticas.

    As evidências coletadas pelo CheckPoint indicam que os dois estados têm experiência semelhante.

    “Nem sempre é claro como os atores de ameaças alcançam suas ferramentas de exploração, e geralmente é assumido que os atores podem conduzir suas próprias pesquisas e desenvolvimento ou obtê-los de terceiros”, conclui Check Point. “Nesse caso, temos evidências para mostrar que um terceiro cenário (mas menos comum) ocorreu – um em que artefatos de ataque de um rival (ou seja, Grupo de Equações) foram usados como base e inspiração para o estabelecimento de capacidades ofensivas internas pelo APT3. ”

    Detalhes técnicos adicionais, incluindo IoCs, são relatados na análise publicada pela Check Point.

  3. Matheus says:

    Milhares de servidores infectados com o Lilocked Ransomware

    hXXps://securityaffairs.co/wordpress/90903/malware/lilocked-ransomware-linux-server.html

    Um novo ransomware rastreado como Lilocked (ou Lilu) pelos pesquisadores está ativamente atacando servidores e criptografando os dados armazenados neles.

    O ransomware Lilocked já infectou milhares de servidores Web baseados em Linux desde meados de Julho.

    O ransomware Lilocked foi relatado pela primeira vez no final de Julho pelo popular pesquisador de malware Michael Gillespie depois que uma amostra foi carregada em seu serviço de ID Ransomware.

    De acordo com o usuário do Tweet Jay Gairson, que descobriu que seu servidor da Web estava comprometido por esse ransomware, o malware utiliza uma exploração do Exim para atingir os servidores.

    Atingiu o servidor pela ordem do último usuário conectado e pelos diretórios desse usuário. Usou uma exploração Exim.

    O sistema afetado foi colocado offline e substituído, mas uma cópia dele é preservada. Feliz em ver se o ransomware foi realmente armazenado na unidade e não apenas na memória.
    – Jay Gairson (@maztec) 5 de agosto de 2019

    Esta tese também é suportada em um tópico de um fórum de língua russa que especula que os hackers têm como alvo sistemas com software Exim desatualizado.

    No momento da redação, os especialistas em segurança estão procurando uma amostra do Lilocked para analisar, a fim de esclarecer o processo de infecção.

    O ransomware criptografa arquivos e anexa a extensão .lilocked ao nome do arquivo; em seguida, solta uma nota de resgate chamada # README.lilocked.

    A nota de resgate instrui as vítimas sobre como efetuar pagamentos de resgate através de um portal de pagamento Tor, também inclui uma chave para efetuar login no site de pagamento.

    O portal de pagamento inclui instruções detalhadas para pagar o resgate, incluindo o endereço de bitcoin e o valor do resgate, que equivale a aproximadamente US $ 100 em Bitcoin.

    “No momento, não há uma maneira conhecida de descriptografar arquivos criptografados pelo Lilu, mas se for descoberta uma amostra isso pode mudar.”, Lê a publicação publicada pela BleepingComputer.

    “O BleepingComputer também entrou em contato com o e-mail de contato listado no site do Tor com perguntas, mas ainda não tinha recebido resposta no momento desta publicação.

  4. Matheus says:

    A prova de que os aplicativos Anti-Ransomware não servem para NADA.

    Nos vídeos abaixo a Cruelsister1 demonstra a razão para os Anti-Ransomware não serem de fato uma solução para o problema dos Ransomwares, sendo na prática como placebo. Ela também compara o Comodo Firewall contra vários Ransomwares e os resultados falam por si mesmos.

    Comodo Firewall e RansomFree VS RanSim (Simulador de comportamento Ransomware)

    Kaspersky Anti-Ransomware for Business (Falhou)

    RansomFree Anti-Ransomware (Falhou)

    Comodo Firewall VS WannaCry

    Comodo Firewall VS Serpent

    Comodo Firewall VS Cerber

    Além do Comodo Firewall, o que mais serve como solução viável contra os Ransomwares? O VoodooShield, o Toolwiz Time Freeze (gratuito), o Sandboxie (pago), o Shadow Defender (pago), o AppGuard (pago), o Kaspersky Internet Security (através de seu HIPS, apesar que já houveram casos onde o KIS falhou perante Ransomware como o Henrique – RJ já trouxe aqui antes), o ESET Internet Security (através do HIPS).

    Ou seja, qualquer aplicativo de segurança Anti-Executável, ou HIPS, ou de Sandbox/Virtualização, ou que contenha um ou mais desses recursos.

    Fontes? Só olhar os outros vídeos do canal da Cruelsister que ela prova por A+B as soluções que de fato vencem os Ransomwares, e as soluções que são derrotadas por Ransomware apesar de prometerem proteção contra esses.

    Indicar Anti-Ransomware para os outros não resolve o problema.

    • Observador says:

      Bom dia, Matheus,

      Pois é. Cruelsister1 sabe do que fala. É bom a gente saber que Anti-Ransonware, qq. um, não resolve nada, não evita infecção. Mas tem quem ache sem saber do que fala.

      Abs.

Deixa aqui o seu comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: