FBI desativa rede de botnet com 500 mil roteadores

Segundo o Departamento de Justiça dos EUA, o FBI apreendeu um domínio que comandava uma botnet composta por mais de 500 mil roteadores pelo mundo. O departamento ainda afirma que a rede de bots (dispositivos infectados por malware) possuía ligação com a Rússia.

As autoridades ainda ventilaram a possibilidade da botnet ser comandada pelo Fancy Bear, grupo hacker russo que, supostamente, também estava por trás do vazamento de dados do Comitê Nacional Democrático durante as eleições norte-americanas de 2016.

Os roteadores infectados estão em 54 países

A rede de dispositivos estava infectada com o malware chamado “VPN Filter”, que explora vulnerabilidades em roteadores de fabricantes como NETGEAR, TP-Link, Linksys, MikroTiko e QNAP. A botnet de computadores tinha a capacidade de, por exemplo, realizar ataques massivos contra infraestruturas.

Segundo Vikram Thakuer, diretor da Symantec, “uma das coisas que eles [FBI] podem fazer é acompanhar quem está atualmente infectado e quem é a vítima, e passar essa informação para os ISPs locais. Alguns dos ISPs têm a capacidade de reiniciar remotamente o roteador. Os outros podem até mesmo enviar cartas para os usuários domésticos pedindo-lhes para reiniciar seus dispositivos “.

Fonte: Tecmundo

Botnet Mirai deixa 1 milhão de alemães sem Internet

mirai_botnetQuase um milhão de usuários da internet ficaram sem conexão na Alemanha durante o último fim de semana graças a um ataque da botnet Mirai. Baseada na internet das coisas, a rede deixou 900 mil pessoas desconectadas e gerou problemas de lentidão e instabilidade para um número ainda maior de pessoas.

Segundo a Deutsche Telekom afirmou à agência de notícias AFP, o ataque foi realizado a partir de roteadores localizados fora de sua rede. Segundo a companhia, modelos específicos de roteadores foram modificados com um software que os impedia de fazer a ligação com a infraestrutura da operadora.

Ataques do tipo estão virando parte da vida cotidiana e as pessoas têm que se acostumar com eles

O objetivo do ataque foi “recrutar” mais gadgets para realizar uma ofensiva ainda maior em um momento futuro. A Mirai funciona principalmente a partir de dispositivos pertencentes à categoria “Internet das Coisas” que, infectados com malwares, podem ser controlados de forma remota por pessoas mal intencionadas.

A chanceler Angela Merkel afirma que a origem do ataque continua desconhecida e que investigadores continuam a analisar o incidente. “Ataques do tipo estão virando parte da vida cotidiana e as pessoas têm que se acostumar com eles”, afirmou ela à Reuters. Para impedir que seus dispositivos sejam usados em ataques do tipo, é recomendado modificar o quanto antes a senha padrão configurada pelas fabricantes durante a etapa de produção e só conectá-los a redes WiFi consideradas seguras.

Fonte: Tecmundo

Malware HummingBad é uma séria ameaça a usuários do Android

hummingbadDetectado pela primeira vez em agosto de 2015, o malware chinês “HummingBad” passou a apresentar um número alarmante de registros no início deste ano, com mais de 10 milhões de aparelhos infectados, segundo a empresa de segurança PSafe.

Só no Brasil, nos últimos seis meses, os apps da PSafe já bloquearam mais de 110 mil tentativas de ataque deste vírus específico.

No banco de dados da companhia, é possível observar que há mais de 100 variantes deste mesmo malware, ou seja, 100 diferentes versões do mesmo vírus, numa tentativa de burlar a atenção do usuário.

E o que esses vírus podem fazer com o seu celular? Segundo a PSafe, o “HummingBad” é capaz de instalar uma espécie de robô (o chamado “bot”) dentro dos celulares, que recebe comando de uma central para executar diversas ações, como instalar e desinstalar apps e clicar em anúncios.

Um conjunto de celulares infectados com funcionalidade de bot é chamado de “botnet”. Além disso, o malware procura por diversas falhas no sistema para permitir que o hacker tenha acesso a todo o celular do usuário, podendo acessar app de banco, roubar senhas, etc. O chamado “obter root” sem autorização.

Para se proteger de todas essas ameaças que surgem diariamente, seguem dicas fundamentais:

1 – Tenha um antivírus certificado instalado no seu smartphone

Nem mesmo tomar todas as precauções existentes pode ser suficiente para proteger o seu aparelho. É por esse motivo que um aplicativo com funções de antivírus torna-se fundamental nessa luta.

2 – Baixe somente aplicativos certificados

O maior perigo relacionado ao Android não é o sistema operacional em si, mas os aplicativos que o usuário instala. Por isso, nunca baixe um app a partir de plataformas de terceiros ou sites: eles podem estar infectados. Uma das formas de reduzir esses riscos é confirmando se ele está realmente disponível lojas oficiais de aplicativos.

3 – Cuidado com as permissões de aplicativos

Também é preciso verificar as permissões dos aplicativos cada vez que você instala algum, para ver o que exatamente um determinado app está pedindo para ter acesso. Se um aplicativo de papel de parede ou jogo quer permissão para acessar suas contas, SMS, localização ou desfrutar de internet ilimitada, fique com o pé atrás. Após a instalação, a lista de permissões é mostrada na tela, e também há o link “Verificar Permissões” na parte inferior da página do app. Com um antivírus, ele irá te alertar se você estiver tentando baixar algum app malicioso. Se um aplicativo suspeito já tiver sido instalado, vá em “Configurações”, “Aplicativos Habilitados” e desabilite os que você não deseja executar e que considera suspeitos.

4 – Use senhas fortes

Para desbloquear o seu telefone, utilize senhas elaboradas, não um simples código PIN ou desenho. A melhor solução é uma senha que contenha, pelo menos, dez caracteres, incluindo minúsculos e maiúsculos, números e símbolos. Claro que não é fácil digitar uma senha deste tipo a cada vez que você for desbloquear o telefone. Por isso, teste várias senhas para encontrar o caminho ideal e menos incômodo.

A senha deve ser alterada de forma regular. Além disso, defina o tempo de inatividade mínimo para o telefone bloquear, e desative a opção de mostrar senhas quando digitá-las. Vá em “Configurações”, “Segurança” e desmarque a opção “Tornar as senhas visíveis”.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Serviço popular de VPN coloca seus usuários numa botnet

Hola-Vpn-botnetMuita gente usa extensões de VPN para acessar conteúdo bloqueado no país (Netflix), mas uma das mais populares opções no Google Chrome e no Firefox faz mais do que os usuários gostariam: o Hola vende seu tráfego de internet e coloca seu PC em uma botnet.

O Hola é gratuito, mas precisa se manter de pé de alguma forma. Alguns desses serviços cobram uma pequena taxa dos usuários. O Hola também faz isso: eles oferecem uma assinatura de US$ 5 por mês, mas também têm um plano gratuito para quem não quiser pagar nada. O problema está nessa opção gratuita.

No geral, o Hola gratuito funciona mais ou menos com o Tor. É um serviço VPN peer-to-peer: usuários no Brasil, por exemplo, que quiserem parecer estar nos EUA para acessar o catálogo do Netflix de lá, são roteados para uma conexão de lá. E o Hola, através de um serviço próprio chamado Luminati, vende essa conexão roteada para quem quiser usá-la da forma como desejar.

Aí está o problema. Um usuário se aproveitou dessa oferta do Hola e usou essas conexões para atacar o fórum de mensagens anônimas 8chan – milhares de requisições foram feitas ao site em questão de segundos, tirando ele do ar. Isso também poderia ser feito de diversas outras formas ainda mais prejudiciais ao seu computador – como vincular sue IP a pornografia infantil ou outros atos criminosos.

Em seu FAQ, o Hola explica muito bem essa natureza peer-to-peer do serviço, mas até pouco tempo não citava em nenhum momento o Luminati, nem a venda das conexões recentemente. Como os usuários gratuitos não conseguiam desativar a opção de fazer parte dessa rede, eles não só não podiam fazer nada como provavelmente nem sabiam do que o serviço era capaz.

O Hola precisa de meios para se manter no ar, mas colocar seu computador em uma botnet não é a melhor ideia.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo

Seu PC faz parte de uma botnet? Descubra agora…

simda_checkMuitas pessoas ainda pensam que o malware é um software que interrompe completamente o funcionamento normal de PCs. Se o seu computador está trabalhando perfeitamente, significa que ele não está infectado, correto? Errado. O principal objetivo dos cibercriminosos não é apenas fazer um ataque por diversão, mas sim ganhar dinheiro com isso. Em muitos casos, o objetivo é completamente contrário ao comportamento do malware: o melhor é ser totalmente visível para os usuários.

Por exemplo, esse tipo de comportamento de “descrição” muitas vezes é típico das botnets. Normalmente, elas consistem em milhares de PCs, e se estamos falando sobre as grandes botnets, são centenas de milhares de PCs. Os proprietários desses computadores não têm nenhuma pista de que eles estão infectados. Tudo que eles podem ver é que o PC trabalha um pouco mais lento, o que não é incomum nos PCs em geral.

As botnets são projetadas para coletar dados pessoais, incluindo senhas, números de previdência social, detalhes do cartão de crédito, endereços e números de telefone. Estes dados geralmente são usados em crimes como roubo de identidade, vários tipos de fraude, spam e distribuição de outros tipos de malware. As botnets também podem ser usadas para lançar ataques em sites e redes.

Isto sempre leva a um esforço de muitas partes que colaboram para interromper uma grande botnet. Um exemplo recente é a botnet Simda, que acreditamos ter infectado mais de 770 mil computadores em mais de 190 países. Os países mais afetados são os Estados Unidos, Reino Unidos, Turquia, Canadá e Rússia.

A Simda é, como eu posso dizer, uma “botnet de vendas” usada para distribuir softwares ilícitos e diferentes tipos de malware, incluindo aqueles que são capazes de roubar credenciais financeiras. Os criadores desses programas maliciosos específicos são clientes dos proprietários da Simda e simplesmente pagam uma taxa por cada instalação. Em outras palavras, esta botnet tem o tipo da enorme cadeia de comércio de malware “manufaturados”.

A botnet está ativada há anos. Para tornar o malware mais efetivo, os proprietários da Simda estavam trabalhando bastante em novas versões, gerando e distribuindo-as frequentemente em poucas horas. Até o momento, a Kaspersky Lab coletou mais de 260 mil arquivos executáveis que pertencem a diferentes versões de malware da Simda.

Simultaneamente, a Kasperky derrubou os 14 servidores de comando e controle da botnet da Simda localizados na Holanda, Estados Unidos, Luxemburgo, Rússia e Polônia. Toda a ação ocorreu na última quinta-feira (09 de abril).

A lista das organizações envolvidas na operação ilustra perfeitamente a complexidade do problema: Interpol, Microsoft, Kaspersky Lab, Trend Micro, Cyber Defense Institute, FBI, Dutch National High-Tech Crime Unit (NHTCU), Police Grand-Ducale Section Nouvelles Technologies in Luxembourg e o Departamente Interior do ministério russo trabalharam juntos para neutralizar os cibercriminosos.

“As botnets são rede geograficamente distruídas e, geralmente, é uma tarefa desafiadora interromper coisas como essas. Por isso o esforço colaborativo de ambos os setores privado e público foi crucial aqui – todas as partes deram suas próprias e importantes contribuições na articulação do projeto”, disse Vitaly Kamluk, principal pequisador de segurança da Kaspersky Lab, e atualmente membro da Interpol. “Neste caso, o papel da Kaspersky Lab forneceu uma análise técnica do ataque, coletou telemétricas da botnet para a rede de segurança da Kaspersky e aconselhou estratégias para a interrupção”.

Como a investigação ainda continua, é muito cedo dizer quem está por trás da botnet Simda. O que é importante para nós, usários, é que, como resultado da operação de interrumpção, os servidores de comando e controle utilizados pelos cibercriminosos para se comunicar com as máquinas infectadas foram encerrados. Apesar da operação da botnet Simda ter sido suspensa, muitas pessoas cujo PCs foram infectados devem livrar-se deste malware o mais rápido possível.

Usando informações recuperadas a partir da botnet Simda e dos servidores de comando e controle da Kaspersky Lab, criamos uma página especial onde você pode checar se o endereço de IP do seu computador está na lista dos infectados.

Clique aqui para checar o seu PC!

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky blog

Brasil é o quarto no ranking global dos botnets

botnetUm relatório da Trend Micro sobre segurança revelou um dado assustador: o Brasil é o quarto país do mundo com mais servidores de botnets ilegais. Estes sistemas são usados para controlar computadores remotamente em todo o mundo sem a autorização do usuário e normalmente são usados para atividades ilícitas como envio de spam ou ataques DDoS.

Segundo o estudo, o país possui 3,14% de todos os servidores encontrados, atrás somente de Estados Unidos (21,08%), Reino Unido (9,45%) e Índia (6,11%). Segundo Leonardo Bonomi, diretor de Tecnologia e Suporte da Trend Micro, embora o número de cibercriminosos tenha crescido no Brasil, o país possui, atualmente mais servidores envolvidos nesse crime. Por outro lado, o Brasil não aparece na lista dos países com maior número de máquinas infectadas

O que é?
Uma botnet consiste em um conjunto de computadores agindo em grupo para realizar a mesma tarefa. A técnica pode ser usada para fins legítimos e é comum em servidores de IRC para administrar vários robôs simultaneamente em canais de chat.

Quando o termo é usado, entretanto, geralmente se refere à prática de infectar computadores com malware que os obrigam a se juntar a essas redes. As máquinas infectadas entram em contatos com um servidor chamado C&C (Comando e Controle), que é usado para enviar comandos. Segundo Bonomi, é fácil ter acesso a esses servidores no Brasil.

Um computador infectado é chamado de zumbi e pode ser usado para várias atividades ilegais, como ataques de negação de serviço (DDoS), envio de spam e minerar bitcoins. “Tais redes podem dar suporte à uma infinidade de ataques, de negação de serviço a mineração de bitcoins, passando por roubo de senhas bancárias e portas de entrada para ataques mais avançados a corporações. Atacantes normalmente combinam metodologias para ganhar de todas as formas possíveis”, afirmou o diretor.
Usar zumbis é vantajoso para os criminosos porque qualquer ataque usa a conexão com a Internet de computadores infectados, o que significa que se o ataque for investigado, eles não serão identificados com facilidade.

Outra vantagem é que qualquer ordem executada no computador infectado vai consumir recursos locais, incluindo memória e banda de Internet. Aumentar o processamento de uma máquina leva ao aumento do uso de energia elétrica – especialmente ao minerar bitcoins – e estes custos acabam sendo pagos pela vítima.
Uma boa notícia, por outro lado, é a diminuição de casos de ransomware no país. O número de infecções detectadas em 2014 diminuiu em relação a 2013 em todo o mundo, mas no Brasil a queda foi mais acentuada: o país, que estava na 8ª posição do ranking, agora não aparece entre o Top 10.

O problema é que, embora o número de casos de ransomware tenha diminuído, a ferocidade deles aumentou no último ano. Da mesma forma que as botnets, este tipo de golpe se propaga através de malware em downloads de arquivos suspeitos. Segundo Bonomi, embora o Brasil ainda não esteja preparado para acabar com essa ameaça, estamos progredindo.

“Os recursos oficiais ainda são escassos, mas temos avançado com algum sucesso com ajuda de órgãos de resposta a incidentes e forças policiais”.
Uma vez que o computador é infectado, o programa passa a bloquear o acesso do usuário a determinados arquivos. Para restaurar o acesso, o usuário é obrigado a pagar os criminosos, geralmente através de bitcoins. Normalmente, estes malwares apenas mudam configurações da máquina, mas uma nova modalidade tem encriptado arquivos, tornando mais difícil a recuperação do arquivo.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Techtudo

Europol derruba rede de malware que infectou 3,2 milhões de PCs

ramnit-botnetO Centro de Cibercrime Europeu (EC3) da Europol derrubou a infraestrutura de controle de uma rede zumbi criada por uma praga digital conhecida como “Ramnit”. Anunciada nesta terça-feira (24), a ação contou com a colaboração de agentes policiais da Alemanha, da Itália, da Holanda e do Reino Unido, além de auxílio da Microsoft, da Symantec e da Anubis Networks.

A praga digital surgiu em 2010 e estimativas apontam que 3,2 milhões de computadores foram infectados pelo vírus. A praga era distribuída em golpes por e-mail e sites invadidos ou criados por hackers para essa finalidade. O programa tinha ainda um comportamento de “vírus clássico”, parasitando arquivos executáveis.

De acordo com a Symantec, 3% dos sistemas contaminados estão localizados no Brasil. Índia (27%) e Indonésia (18%) são os países mais atacados pelo código.

A Europol redirecionou 300 endereços de internet para desmantelar a infraestrutura de controle do vírus. Com isso, os hackers não conseguem mais acessar os computadores infectados, nem receber as informações extraviadas.
Em 2011, com o vazamento do código fonte do vírus Zeus, o Ramnit passou a incorporar funcionalidades de espionagem e roubo de dados.

De acordo com a Symantec, o vírus é capaz de analisar o disco rígido em busca de arquivos que seriam enviados aos hackers. A praga monitora o acesso à web para alterar os sites visitados para solicitar informações extras, como o número do cartão de crédito. Uma ferramenta de remoção gratuita pode ser baixada no site da Symantec.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: G1