Usinas nucleares viram alvo de crackers

Os ciberataques feitos aos EUA estão tomando uma guinada um tanto perigosa. Ao menos é isso o que indicam novas informações trazidas pelo The New York Times: segundo eles, hackers têm tentado invadir redes de companhias que operam usinas nucleares.

Entre os alvos dos ataques, temos companhias como a Wolf Creek Nuclear Operating Corporation, dona de uma usina nuclear em Burlington, Kansas. Em um relatório que teria sido emitido em conjunto com o Departamento de Segurança Nacional e o FBI, a empresa não detalha se a ação foi uma tentativa de espionagem ou de destruição por parte dos hackers.

Vale notar que, apesar do informe, não há indicações com relação a se os invasores conseguiram seguir do computador de suas vítimas para os sistemas de controle das usinas, nem de quantas fábricas podem ter sido hackeadas. Eles avisam, porém, que quaisquer impactos em potencial parecem ter se limitado às áreas administrativas.

Poucos riscos, por enquanto

A boa notícia é que, mesmo se os ataques tiverem sucesso, não devemos temer um novo desastre nuclear acontecendo. Segundo os oficiais da Wolf Creek, os sistemas de operação da usina são mantidos separados da rede de computadores da instalação – o que quer dizer que um hacker não poderia controlar diretamente o funcionamento dela.
No entanto, os ataques em si não deixam de ser extremamente preocupantes. Afinal, esse pode ser o começo de uma série de ações para mapear os sistemas dessas usinas e conseguir informações potencialmente perigosas. Resta agora aguardar para ver qual lado sairá vencedor dessa briga.

Fontes: Tecmundo e NYT

Ferramentas gratuitas como solução aos ataques por Ransomware

Ferramentas gratuitas podem ser a melhor maneira para recuperar arquivos bloqueados por vírus ransomware sem precisar pagar nada para hackers. Oferecidas na web por fabricantes de antivírus, funcionam online e offline para liberar o computador sem necessidade de pagar o resgate em bitcoins cobrado pelos criminosos. Esse tipo de ameaça veio à tona novamente depois do ataque WannaCry, que afetou milhares de PCs com Windows 10 usando uma falha do próprio Windows.

A solução para voltar a acessar os dados após um ataque de ransomware é uma chave secreta que só o hacker tem. Com isso, o usuário fica refém do criminoso se quiser recuperar suas informações.
A melhor forma de fazer isso é usar um software de descriptografia. Para infectador computadores, normalmente, hackers usam iscas como Netflix de graça ou golpes de phishing que fazem o usuário instalar na sua máquina o próprio vírus.

Confira a seguir uma lista para ajudá-lo a encontrar chaves seguras.

Avast

A Avast oferece uma lista grande de opções (avast.com/ransomware-decryption-tools). São programas que combatem ransomwares como AES_NI, Alcatraz Locker, Apocalypse, BadBlock e Crypt888 Fix — ameaças que apareceram a partir de 2015 e que na sua maioria usa criptografia AES-256 em conjunto com outros tipos de codificação.

AVG

A AVG oferece chaves contra vários ransomwares. Há uma ferramenta para o Tesladecrypt (avg.com/br-pt/ransomware-decryption), código malicioso que não muda a extensão dos itens gravados no HD e acaba tornando a identificação mais demorada por parte do usuário. Há ainda programas para enfrentar SZFLocker, Bart e outros.

No more Ransom

O No More Ranson reúne todas as entidades de segurança que trabalham contra o avanço do ransomware no mundo. Aqui há outra lista de programas de desbloqueiam arquivos no PC. Um destaques vai para o CoinVault Decryptor (nomoreransom.org), uma ferramenta criada pelo governo e pela polícia da Holanda, capaz de desbloquear arquivos atingidos pelos ransomwares CoinVault e Bitcryptor, de 2015.

ESET

A fabricante de antivírus Eset oferece gratuitamente para download o ESET Crysis Decryptor (eset.com/au/download-utilities/), uma arma contra o ransomware Crysis, conhecido também como JohnyCryptor, Virus-Encode, Aura ou Dharma. Esse ransomware usa uma das maiores variedades de extensões na criptografia dos arquivos, mas o software da ESET promete liberar tudo rapidamente sem dor de cabeça.

Kaspersky

No site da Kaspersky há outras várias opções úteis de ferramenta de desbloqueio de arquivos. Uma delas é a Rakhni Decryptor (noransom.kaspersky.com/), uma das mais poderosas disponíveis no mercado. Descriptografa arquivos bloqueados pelos ransomwares: Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman (TeslaCrypt) versões 3 e 4, Chimera, Crysis (2 e 3) e Dharma.

Trend Micro

O Trend Micro Ransomware File Decryptor (success.trendmicro.com/) é uma ferramenta capaz de eliminar a ação uma variedade grande de ransomwares, incluindo CryptXXX, TeslaCrypt, Badlock, Stampado, Chimera, Jigsaw, Crysis e o famoso WannaCry. O programa é oferecido gratuitamente no site da fabricante de software de segurança.

McAfee

O programa contra ransomware mais importante disponibilizado pela McAfee é o WildFire Decryptor (mcafee.com/br/downloads). A ferramenta libera aplicativos, bases de dados e outros arquivos infectados com o ransomware WildFire, um trojans traiçoeiro que pede US$ 300 de resgate e triplica a quantia se o depósito não for feito em oito dias.

Fonte: Techtudo

 

 

Sabe qual é o foco da maioria dos ataques de hackers?

Pouco preparadas para lidar com situação, criminosos cibernéticos miram dados dos clientes de pequenas empresas; País registrou seis golpes por segundo em 12 meses

“Quase todo mundo que vem à delegacia prestar queixa diz ‘nunca pensei que isso podia acontecer comigo”, afirma o delegado José Mariano de Araújo. Ele é o responsável pelo departamento de crimes eletrônicos da Polícia Civil de São Paulo. Acostumado a se deparar com diversos tipos de crimes virtuais, Araújo explica que essa sensação de surpresa por parte das vítimas não tem base na realidade. E os pequenas e médias empresas, ele diz, são alguns dos mais atraentes para cibercriminosos.

Dados da produtora de softwares de segurança Kaspersky Lab apontam que o Brasil é hoje o nono país que mais sofre ataques de hacker em todo o mundo. Foram 199 milhões de emails maliciosos entre agosto de 2015 e agosto de 2016, cerca de seis golpes por segundo. Estudo da Fiesp de 2015 indicou que 65,2% dos ciberataques com foco apenas financeiro envolviam pequenas empresas.

“Isso acontece porque não necessariamente o alvo primário é a empresa. Os clientes dela, estes sim, podem representar um alto valor financeiro”, diz o delegado. Ou seja, o empreendimento pode até movimentar pequenos valores, mas talvez ele seja um boa “ponte” para chegar aos clientes e prejudicá-los. “Hoje, quem invade um computador quer basicamente roubar informações. É por meio delas que os criminosos têm acesso a contas-corrente, dados de cartões de crédito, etc”, explica Araújo. “A primeira coisa que um criminoso tem em mente é: preciso obter as informações desta vítima.”

O que eles querem com sua empresa. De acordo com Renato Ribeiro, especialista em segurança digital e “hacker do bem” nas horas vagas, no passado os hackers eram motivados pelo desafio que representava acessar informações sigilosas. Com o passar do tempo, esses grupos perceberam que existia a possibilidade de retorno financeiro e, hoje, a maior parte deles é motivada pelo dinheiro.

Durante um tempo, os ataques virtuais eram caracterizados por fraudes e rápidas transferências de dinheiro para contas laranjas, que eram sacadas na pressa antes de serem bloqueadas. “Só que isso era pouco eficiente”, diz Rodrigo Fragola, presidente da Aker Security, empresa especializada em segurança digital. “Hoje, os ataques se sofisticaram e os hackers estão mais pacientes. Em média, no mundo todo, eles ficam escondidos na máquina da vítima por 240 dias, apenas coletando informações. O interesse é retirar o máximo de dados da empresa para verificar com o que se pode lucrar”, diz.

No entanto, quando um hacker tem acesso a arquivos sigilosos, dificilmente ele utiliza as informações para efetuar fraudes. Segundo Ribeiro, os criminosos preferem vender a base inteira no mercado negro da internet, em negociações feitas com bitcoins, que são impossíveis de rastrear. “É muito difícil encontrar um hacker que utilize dados de outras pessoas, porque ele sabe a exposição que isso gera. Quem faz compras online com número de cartão de crédito, por exemplo, precisa informar um endereço, esperar o produto chegar, e o hacker não se arrisca a esse ponto”, diz.

Como eles atacam

Atualmente, os criminosos têm optado por invasões mais elaboradas, com dois ou três passos de execução. Isso significa que existe um primeiro alvo, a partir do qual o hacker consegue acesso a outras vítimas, que são o objetivo final do ataque.

As invasões podem ocorrer na infraestrutura da empresa ou nos softwares que ela utiliza. Um bom exemplo do primeiro caso acontece em redes wi-fi de estabelecimentos comerciais, como restaurantes e cafés. “Nesses lugares, é comum encontrar roteadores protegidos com senhas fracas, ou até mesmo com a senha padrão de fábrica. Isso permite que um hacker acesse sem dificuldades as configurações do roteador e altere o funcionamento do aparelho para enviar informações falsas a todos que estiverem conectados”, explica Renato.

Nesse exemplo, um cliente que tentar acessar o site do seu banco através de uma rede wi-fi hackeada pode ser levado a uma página falsa, com visual semelhante ao site original da instituição financeira. A partir daí, o hacker é capaz de coletar as informações bancárias sem dificuldades.

Também são comuns ataques diretos ao servidor da empresa. Existem muitas maneiras dessas ataques acontecerem, mas uma delas, que é relativamente simples e antiga, ainda tem resultados em pequenas empresas. Conhecida como SQL Injection, esse tipo de ameaça utiliza falhas básicas dos sistemas que armazenam as bases de dados da empresa.

O ataque, basicamente, ocorre da seguinte maneira: sempre que alguém faz login em um sistema, as informações de acesso são enviadas aos servidores, que verificam se os dados da conta e da senha estão corretos. Nesse caminho percorrido pelas informações, um hacker pode enviar linhas de código com comandos para receber dados confidenciais. Caso o servidor não esteja preparado para ignorar esses códigos, existe o risco de ele obedecer a ordem do hacker e enviar dados que deveriam ser protegidos.

Ataque da moda

Advogada e sócia da Opice Blum, escritório que há vinte anos atua com direito digital, Juliana Abrusio alerta para o “crime do momento” no mundo cibernético. “Apesar de ainda representar uma parcela pequena dos casos atendidos, notamos uma grande aumento no número de ataques do tipo ransomware”, diz Juliana.

Ransomware é um ataque virtual no qual o criminoso, em vez de roubar dados para vendê-los ou causar fraudes, aplica criptografia sobre as informações, tornando-as inacessíveis aos usuários. Para liberá-los, geralmente é preciso pagar um resgate ao criminoso. Daí ser chamado de “sequestro” de dados. O pagamento normalmente é feito em bitcoins.

“Esse ataque geralmente acontece com médias e pequenas empresas”, explica a advogada. “E, em muitos casos, o empresário não tem o back up dos dados e acaba pagando o valor exigido”, diz Juliana. A especialista revela que, inclusive, existe um “ticket médio” para o valor do resgate: o equivalente a cerca de R$ 10 mil. Talvez o valor não pareça tão alto, mas, de acordo com a advogada, isso é estratégico.

“Os criminosos estipulam um valor para desestimular a busca por ajuda. A pessoa prefere pagar para resolver o problema, e o hacker ganha no volume de vítimas”, diz Juliana. O que não significa que, eventualmente, valores bem mais altos sejam exigidos. “Peguei há pouco tempo um caso em que pediram R$ 400 mil pelo resgate”.

Fonte: Estadão

Empresas brasileiras “escondem” invasões e ataques cibernéticos

O Relatório Global de Fraude & Risco, publicado anualmente pela Kroll, consultoria especializada em gestão de riscos e investigações corporativas, constata que  aproximadamente uma a cada quatro empresas (23%) sofreu nos últimos 12 meses pelo menos uma violação de sistema resultando em perda de dados de clientes ou funcionários. O problema é o segundo maior fator de vulnerabilidade – atrás apenas da infestação por vírus/worms – e o quarto mais recorrente no mundo empresarial.

O estudo entrevistou cerca de 550 executivos dos mais diferentes setores em todo o mundo que são responsáveis ou que influenciam diretamente as decisões quanto a programas e estratégias de segurança e combate a fraudes. A segurança cibernética, aliás, é a mais ameaçada. Ataques, roubos ou perda de informações sigilosas foram reportados por 85% dos respondentes, a maior taxa de incidência no mesmo período. Chama também a atenção o fato de que a maioria desses eventos se dá por vulnerabilidade de software, meio citado por 26% dos participantes.

“As ameaças atingiram um alto grau de sofisticação e seguirão evoluindo. Às empresas, cabe buscar estar sempre um passo à frente ou pelo menos ao lado na gestão de seus riscos”, afirma Fernando Carbone, diretor sênior da Kroll no Brasil e especialista em segurança da informação.Na prática, porém, não é isso o que tem ocorrido. Apesar da ostensiva pressão de criminosos, o contingente de negócios desprotegidos é ainda significativo.  De acordo com o relatório, 30% das organizações não tinham um plano de resposta a incidentes cibernéticos atualizado nos últimos 12 meses antes da consulta.

Isso mesmo considerando o impacto potencial que um evento cibernético pode causar aos cofres e à reputação empresarial. Devido ao prejuízo econômico gerado pelos ataques cibernéticos, a imprensa noticiou que o Yahoo! vendeu seus ativos à operadora de telecomunicações Verizon por US$ 350 milhões a menos do que a pedida original. Pelo acordo, a companhia de mídia ainda mantém corresponsabilidade legal e regulatória por possíveis ações judiciais decorrentes da violação.

Para Carbone, o quadro no país é ainda mais crítico porque diferentemente de nações como Estados Unidos e Inglaterra, as empresas brasileiras não têm a obrigatoriedade legal de reportar a autoridades invasões e ataques a bancos de dados e matrizes tecnológicas. “Acaba sendo um atenuante que afrouxa o rigor com a detecção de incidentes e, em última instância, tem reflexos na percepção da ameaça. ”

Por aqui, a incidência de problemas cibernéticos foi de 76%, ou nove pontos percentuais menor que a média global. Já a violação de sistemas resultando em perda de dados de clientes ou funcionários é apenas o penúltimo fator de vulnerabilidade, citada por 38% dos gestores locais, contra 52% no resto do mundo. “No atual cenário, a postura preventiva e conscienciosa é a mais vantajosa. Do contrário, perdem todos na cadeia de negócios”,completa Carbone.

Fonte: Convergência Digital

Contaminações por malware em dispositivos móveis batem recorde

O último relatório de inteligência de ameaça publicado pela Nokia aponta um novo recorde em infecções de malware a dispositivos móveis, com um aumento acentuado em smartphones e dispositivos de Internet das coisas (IoT). Emitido duas vezes por ano, o relatório examina as tendências gerais e estatísticas de infecções em dispositivos conectados através de redes fixas e móveis ao redor do mundo.

O relatório constatou um aumento constante de infecções em dispositivo móvel ao longo de 2016, com malware atingindo 1,35% de todos os dispositivos em outubro — o mais alto nível desde que o relatório começou a ser publicado em 2012.

O estudo mostra um aumento de quase 400% em ataques de malware em smartphones no ano passado, os quais foram os maiores alvos na segunda metade do ano, respondendo por 85% de todas as infecções em dispositivos móveis.

O sistema operacional Android em smartphones e tablets foi o alvo principal de ataques no segundo semestre do ano passado, seguido pelo iOS, da Apple, de acordo com análise do Spyphone, software de vigilância que controla as chamadas dos usuários, mensagens de texto, aplicativos de mídia social, pesquisas na web, localização por GPS e outras atividades.

O relatório de inteligência de ameaça também revela as principais vulnerabilidades de muitos dispositivos e ressalta a necessidade da indústria a reavaliar suas estratégias de maneira a garantir que os dispositivos sejam firmemente configurados, gerenciados e monitorados.

As principais conclusões do relatório de inteligência de ameaça são:

• A taxa de infecção de dispositivo móvel continua a subir: A taxa global de infecção aumentou 63% no segundo semestre de 2016, na comparação com o primeiro semestre do ano.

• Maior alta de todos os tempos: A taxa de infecção de dispositivo móvel aumentou constantemente ao longo de 2016, atingindo 1,35% em outubro (ante 1,06% em abril) — o maior nível registrado desde o estudo iniciado em 2012.

• Smartphones são os maiores alvos: Smartphones foram os maiores alvos de malware de longe, representando 85% de todas as infecções de dispositivo móvel no segundo semestre de 2016. As infecções aumentaram 83% durante o período, na comparação com o primeiro semestre (0,90% versus 0,49%) e aumentaram quase 400% em 2016.

• Vulnerabilidades de dispositivos: Em 2016, o botnet Mirai comprometeu um exército de dispositivos móveis ao lançar três dos maiores ataques de negação de serviço (DDoS) da história, incluindo um ataque que derrubou muitos serviços web. Estes ataques mostram a necessidade urgente de implantação de sistemas de segurança mais robustos para proteger dispositivos de exploração e ataques futuros.

• Malware a procura de sistemas operacionais: Dispositivos baseados em Android continuam a ser o alvo principal para ataques de malware (81%). No entanto, iOS e outros dispositivos móveis também foram alvejados no segundo semestre do ano (4%).

• Redução nas infecções ao Windows: Sistemas com Windows representaram 15% das infecções de malware no segundo semestre de 2016, ante 22% no primeiro semestre do ano.

• Infecções a rede continuam em queda: A taxa mensal de infecção a redes de banda larga fixas residenciais foi de 10,7%, em média, no segundo semestre de 2016, abaixo dos 12% no primeiro semestre dos 11% em 2015. As ameaças de adware diminuíram no segundo semestre do ano passado, enquanto as ameaças chamadas de alto nível (por exemplo, bots, rootkits, keyloggers e Trojans) permaneceram estáveis, em aproximadamente 6%.

Fonte: IDGNow!

Bancos viram alvos de ataques de novas ameaças

Internet_ataquesOs ciberataques tentaram infectar mais de 100 organizações em 31 diferentes países, diz relatório da Symantec

A fonte do ataque parece ter sido o site do regulador financeiro polonês. Os atacantes comprometeram o site para redirecionar os visitantes para um kit de exploração, que tentou instalar malware em alvos selecionados.

A Symantec bloqueou tentativas de infecção de clientes na Polônia, no México e no Uruguai pelo mesmo kit de exploração que infectou os bancos poloneses. Desde outubro, foram bloqueados 14 ataques contra computadores no México, 11 contra computadores no Uruguai e dois contra computadores na Polônia.

Os hackers parecem estar usando sites comprometidos para redirecionar os visitantes para um kit de exploração personalizado, que é pré-configurado para infectar apenas visitantes de aproximadamente 150 endereços de IP. Esses IPs pertencem a 104 diferentes organizações, localizadas em 31 países, cuja grande maioria é composta por bancos. Um pequeno número de empresas de telecomunicações e internet também estão na lista.

Países em que três ou mais organizações foram alvo de ataques

Links com Lazarus?

O malware utilizado nos ataques (Downloader.Ratankba) anteriormente não era identificado, embora tenha sido detectado pela Symantec sob assinaturas de detecção genérica, que foram criadas para bloquear quaisquer arquivos envolvidos em atividades maliciosas.

A análise do malware ainda está em andamento, mas algumas sequências de código nesse malware compartilham pontos comuns com o usado pelo grupo de ameaças conhecido como Lazarus.

Esse grupo está associado a uma série de ataques agressivos desde 2009, principalmente nos Estados Unidos e na Coréia do Sul. O Lazarus esteve envolvido em ataques financeiros de alto nível e algumas das ferramentas usadas no assalto ao banco de Bangladesh mostraram semelhanças de código com malware usado em ataques históricos ligados ao grupo.

A investigação desses ataques está em andamento, em busca de mais evidências sobre a identidade e os motivos dos atacantes que focam principalmente as instituições financeiras, alvo crescente de ameaças.

Fonte: IDG Now!

Brasil: um dos países mais suscetíveis a ataques Botnet

mirai_botnetMercados emergentes que investiram pesadamente em tecnologias conectadas, como Brasil, Colômbia, Peru e Venezuela, na América Latina, podem estar particularmente em risco, diante da crescente exploração do primeiro vetor baseado em Windows para o malware Mirai. O alerta é da Kaspersky Lab, que está analisando esse vetor como parte de um esforço combinado para fechar essas botnets.

De acordo com profissionais de segurança da empresa, o bot do Windows parece ter sido criado por um desenvolvedor com habilidades mais avançadas do que os ataques que desencadearam ataques de DDoS da botnet Mirai no final de 2016, que tirou do ar grandes provedores de serviços Internet. Um fato que tem implicações preocupantes para o futuro uso e também para os alvos de ataques baseados no Mirai.

O vetor baseado em Windows é mais rico e mais robusto do que o código base original do Mirai, mas a maioria dos componentes, como técnicas e funcionalidades do novo vetor têm vários anos. Sua capacidade de espalhar o malware Mirai é limitada: ela só pode entregar os bots Mirai de um host infectado do Windows para um dispositivo Linux IoT vulnerável se for capaz de forçar com sucesso uma conexão remota telnet. Mas, apesar disso, os dados da Kaspersky Lab mostram cerca de 500 ataques à sistemas únicos em 2017, com as tentativas detectadas e bloqueadas.

Na opinião dos analistas, o código foi desenvolvido de forma mais experiente, provavelmente alguém novo no cenário de ataques. Artefatos com detalhes de linguagem do software, o fato de que o código foi compilado em um sistema chinês, com servidores hospedados em Taiwan e o abuso de certificados digitais de códigos roubados de empresas chinesas sugerem que o desenvolvedor provavelmente fala e entende chinês.

“O aparecimento de um crossover do Mirai, entre a plataforma Linux e Windows é uma preocupação real, como também a chegada à cena de desenvolvedores mais experientes. Os cibercriminosos mais experientes, trazendo habilidades e técnicas cada vez mais sofisticadas, estão começando a aproveitar o código fonte disponível livremente. Uma botnet do Windows espalhando os bots do Mirai permite sua disseminação para dispositivos e redes que até então não estavam disponíveis para os operadores da botnet Mirai. Este é apenas o começo”, comenta Kurt Baumgartner, Principal Security Research, Kaspersky Lab.

A título de comparação, Baumgartner lembra que a publicação do código-fonte do Trojan bancário Zeus em 2011 trouxe anos de problemas para a comunidade on-line – e na sua opinião, o lançamento do código-fonte do Mirai em 2016 fará o mesmo para a Internet.

Com base na geolocalização dos endereços IP envolvidos na segunda fase do ataque, os países mais vulneráveis, além dos citados no início deste texto, estão nações de outros mercados emergentes que também estão investindo pesadamente em tecnologia conectada, como Índia, Vietnã, Arábia Saudita, China, Irã, Marrocos, Turquia, Malawi, Emirados Árabes Unidos, Paquistão, Tunísia, Rússia, Moldávia, Romênia e Bangladesh.

A Kaspersky Lab está trabalhando com CERTs, provedores de hospedagem e operadores de rede para lidar com essa crescente ameaça à infraestrutura da Internet ao derrubar um número significativo de servidores de comando e controle.

A remoção rápida e bem-sucedida desses servidores minimiza o risco e a interrupção que as botnets baseados em IoT de rápido crescimento apresentam.

Fonte: IDGNow!