FBI alerta para perigoso malware russo

O FBI emitiu um alerta nos últimos dias contra nova ameaça que teria vindo da Rússia e afetado nada menos do que 500 mil roteadores em todo o mundo. O chamado VPNFilter tem como alvo os aparelhos de marcas populares, a exemplo do Linksys, MicroTik, Netgear e TP-Link. Os dispositivos de armazenamento conectados em rede QNA também estariam na lista.

“O VPNFilter é capaz de tornar inoperantes os pequenos roteadores de escritórios e grupos domésticos. O malware também pode coletar informações que passam pelo aparelho. A detecção e análise da atividade de rede do malware é complicada pelo uso de criptografia e redes atribuídas incorretamente”, diz o alerta. O malware pode roubar suas credenciais e “brickar” os produtos, tornando-os inoperantes.

O VPNFilter vem atuando desde 2016, contudo, os ataques se intensificaram de forma massiva nas duas últimas semanas, com origem na Ucrânia. “O ataque basicamente configura uma rede oculta para permitir a ofensiva em todo o mundo, a partir de uma postura que dificulta sua identificação”, afirmam os especialistas em segurança da Cisco.

A sofisticação leva o Departamento de Justiça dos Estados Unidos a crer que os autores sejam hackers russos e mais, que estariam ligados ao “APT28”, o codinome do setor de segurança para um grupo de hackers patrocinados pelo Estado, também conhecido como “Fancy Bear” e “Sofacy Group” — os mesmos acusados de conduzir ataques eleitorais eleitorais durante a corrida presidencial norte-americana em 2016.

Veja a lista e como resolver o problema

O pessoal da Cisco diz que, na maioria dos casos, apenas resetar o roteador pode afastar o malware. Mas isso pode não ser o suficiente porque o VPNFilter tem uma estrutura que é persistente e assim ele tem grandes chances de retornar. Além disso, é difícil saber se você está infectado. Para aumentar muito as chances de eliminá-lo, é preciso reiniciar o produto para as configurações iniciais de fábrica.

Feito isso, você precisará realizar todo o processo de entrada com nova senha criptografada, via navegador, e atualização de firmware. O uso de antivírus confiáveis para varredura no produto também pode ajudar. Segundo o FBI, não dá para saber ao certo a extensão do estrago e abaixo você pode conferir a lista dos dispositivos que foram identificados com infecção até agora:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS for Cloud Core Routers 1016
  • Mikrotik RouterOS for Cloud Core Routers 1036
  • Mikrotik RouterOS for Cloud Core Routers 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Outros dispositivos QNAP NAS rodando software QTS
  • TP-Link R600VPN
Fonte: Tecmundo

FBI desativa rede de botnet com 500 mil roteadores

Segundo o Departamento de Justiça dos EUA, o FBI apreendeu um domínio que comandava uma botnet composta por mais de 500 mil roteadores pelo mundo. O departamento ainda afirma que a rede de bots (dispositivos infectados por malware) possuía ligação com a Rússia.

As autoridades ainda ventilaram a possibilidade da botnet ser comandada pelo Fancy Bear, grupo hacker russo que, supostamente, também estava por trás do vazamento de dados do Comitê Nacional Democrático durante as eleições norte-americanas de 2016.

Os roteadores infectados estão em 54 países

A rede de dispositivos estava infectada com o malware chamado “VPN Filter”, que explora vulnerabilidades em roteadores de fabricantes como NETGEAR, TP-Link, Linksys, MikroTiko e QNAP. A botnet de computadores tinha a capacidade de, por exemplo, realizar ataques massivos contra infraestruturas.

Segundo Vikram Thakuer, diretor da Symantec, “uma das coisas que eles [FBI] podem fazer é acompanhar quem está atualmente infectado e quem é a vítima, e passar essa informação para os ISPs locais. Alguns dos ISPs têm a capacidade de reiniciar remotamente o roteador. Os outros podem até mesmo enviar cartas para os usuários domésticos pedindo-lhes para reiniciar seus dispositivos “.

Fonte: Tecmundo

FBI: em campanha contra os produtos da Kaspersky

De acordo com a publicação CyberScoop, o FBI estaria marcando reuniões com representantes de grandes companhias norte-americanas para coagi-las a abandonar produtos da empresa russa de segurança digital Kaspersky. A companhia é conhecida por seus produtos antivírus e tem uma das melhores reputações atualmente no meio digital. Contudo, o FBI aparentemente acredita que a Kaspersky é uma ameaça à segurança nacional dos EUA.

Por isso, a agência estaria convencendo empresas, especialmente do setor de energia e de tecnologia, a cortar relações com a Kaspersky pelo simples fato de esta ser uma desenvolvedora baseada em Moscou.

Acusam superficialmente a Kaspersky de estar fornecendo dados de usuários ao governo russo

Outros argumentos acusam superficialmente a empresa de estar fornecendo dados de usuários ao governo russo e ajudando o país adversário a espionar nomes da política norte-americana. Essas informações foram obtidas pelo CyberScoop através de briefings internos vazados do FBI.

Ainda segundo a publicação, empresas do setor de energia que receberam agentes do FBI foram convencidas do suposto alto risco que a Kaspersky representa, acreditando em possíveis ligações entre a desenvolvedora e a agência de espionagem russa, KGB. Companhias do setor de tecnologia, por outro lado, estariam sendo bem mais resistentes dadas as “evidências pouco concretas”.
O que a empresa diz?

A Kaspersky negou as acusações e declarou oficialmente ao CyberScoop que tem tentado entrar em contato com o FBI para sanar dúvidas a respeito de sua índole. “O CEO Eugene Kaspersky se ofereceu repetidamente para se encontrar com agentes e também se mostrou disponível para dar um depoimento ao congresso norte-americano, além de ter oferecido o código fonte da empresa para auditoria e respostas para qualquer dúvida que o governo possa ter. Mas, infelizmente, a Kaspersky Lab não recebeu nenhum retorno”, disse um porta-voz ao veículo.

Segundo o site, a desenvolvedora estaria em busca de uma oportunidade para resolver a situação, mas as condições políticas norte-americanas impedem que isso aconteça. Fora isso, um ex-funcionário da NSA (a agência de espionagem dos EUA) inteirado no assunto explicou publicamente que essa perseguição contra Kaspersky por parte do FBI não passa de um movimento político, não tendo qualquer relação real com os produtos da companhia russa.

Fonte: Tecmundo

Mozilla pede judicialmente ao FBI detalhes sobre falha do Tor

mozilla_torA Mozilla entrou com um pedido na justiça (pdf) solicitando que o FBI revele a ela detalhes sobre uma falha de segurança no Tor. O programa permite que usuários naveguem pela internet sem que sua identidade seja revelada, e é baseado no código-fonte do Firefox, o navegador da Mozilla.

O órgão de investigação dos Estados Unidos aproveitou a falha de segurança do Tor para instalar malware nas máquinas de mais de mil visitantes de um site de pornografia infantil. O malware, por sua vez, permitiu que o FBI identificasse e detivesse os visitantes do site.

Embora a falha de segurança tenha sido usada para uma boa causa, a Mozilla teme que ela possa afetar negativamente também as centenas de milhões de usuários do seu navegador Firefox. Por esse motivo, ela solicitou que o FBI lhe revele detalhes sobre a falha de segurança, para que a empresa possa verificar se ela afeta seus usuários e, nesse caso, corrigí-la.

“Se nosso código está envolvido numa vulnerabilidade de segurança, que o governo revele a vulnerabilidade a nós antes de mostrá-la a qualquer outra parte. Nós não estamos tomando posição no caso, mas estamos do lado das centenas de milhões de usuários nossos que poderiam se beneficiar dessa divulgação”, escreveu a diretora jurídica da empresa, Denelle Dixon-Thayer no blog da Mozilla.

A tática utilizada pelo FBI para identificar e deter os visitantes do site de pornografia infantil causou alguma controvérsia legal. Um juiz de Massachusetts chegou a rejeitar as evidências levantadas pelo malware, julgando-as “inadmissíveis no tribunal” por conta do método pelo qual elas foram obtidas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Temido pelo FBI, ransomware “Samas” se alastra pelo Brasil

samasO Samas é um ransomware perigoso: ele bloqueia o acesso ao seu computador ou smartphone e cobra um valor (dinheiro) para você voltar a ter o acesso. Ele faz isso criptografando todos os seus dados, então praticamente não há como burlar esse “resgate”. A alta capacidade de viralização desse ransonware também é uma preocupação, já que ele se espalha rapidamente por redes conectadas ao aparelho infectado.

Se você ainda está dando de ombros para o Samas, saiba que até o escritório de crimes virtuais do Serviço de Inteligência dos Estados Unidos (FBI) já emitiu uma nota demonstrando preocupação sobre esse malware.

Agora, um relatório da Kaspersky Lab trouxe uma notícia não muito agradável para nós, brasileiros: o Brasil ocupa o 1° lugar entre os países latino-americanos mais atacados pelo Samas..

Para você ficar ligado e não acabar sendo infectado pelo ransomware, Rafael Abdo, gerente de segurança da informação da Locaweb, está oferecendo algumas dicas interessantes:

Faça backup regularmente: procure manter um calendário para fazer cópias de segurança de seus dados pelo menos uma vez por mês.

Tenha planos B e C: o ideal é possuir ao menos dois backups, um em nuvem e outro em um dispositivo físico como HD externo e pendrive. Manter mais de uma opção garante que você não terá problemas para recuperar os dados, caso uma das alternativas seja comprometida pelo vírus.

Cuidado com links: não saia clicando em tudo o que chega. Os hackers mascaram os vírus em emails falsos, como promoções de lojas virtuais e comunicados de bancos. Tome cuidado também com mensagens de amigos e familiares que não fazem sentido, pois eles podem ter sido alvos de ataques virtuais.

Atenção ao nome dos arquivos: vírus costumam ter extensões específicas (as três letras finais que vêm após o nome do documento). Fique atento a .EXE, .vbs e .SCR, que são as mais utilizadas pelos cibercriminosos. Para facilitar, habilite a opção de “mostrar a extensão de arquivos” em seu sistema operacional. Por exemplo, no Windows, vá em “Opções de Pastas” no Painel de Controle e desmarque a opção de ocultar a extensão em “Modo de Exibição”.

Software em dia: atualize regularmente seu sistema operacional, navegador e outros programas. Os vírus tendem a explorar vulnerabilidades dos sistemas, e as atualizações têm como um dos objetivos corrigir as brechas e falhas existentes, aumentando a segurança.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

FBI descobre golpe de desvio de bilhões de dólares

crackerhackercibercriminososO golpe foi praticado em ao menos 79 países, e envolveu cerca de 17.642 negócios de todos os patamares, disse o FBI no alerta emitido em seu site.

O FBI descobriu um golpe que estava sendo aplicado desde 2013. Através dele, empresas perderam bilhões de dólares em razão de esquemas em que os criminosos se passavam por executivos das empresas e enviam e-mail solicitando aos funcionários que fizessem transações bancárias, estas, que eram controladas pelos farsantes.

De acordo com as autoridades, o golpe, intitulado como “comprometimento de e-mails empresariais” arrecadou mais de US$ 2,3 bilhões durante o período de outubro de 2013 e fevereiro de 2016.

O golpe foi praticado em ao menos 79 países, e envolveu cerca de 17.642 negócios de todos os patamares, disse o FBI no alerta emitido em seu site.

Desde janeiro de ano passado, houve um aumento de 270% no número de vítimas identificadas. De acordo com os agentes a técnica é uma “fraude financeira crescente mais sofisticada que qualquer esquema similar conhecido pelo FBI, que resultou em perdas de bilhões de dólares em todo o mundo”.

“Eles pesquisam os funcionários que gerenciam o dinheiro e usam linguagem específica para a companhia que está sendo alvo, depois requerem uma transferência eletrônica fraudulenta pedindo quantias em dólares que transparecem legitimidade”, diz o alerta.

Já era de conhecimento dos agentes e também de especialistas de segurança que o comprometimento de e-mails empresariais estava aumentando, porém, nunca havia sido feita uma avaliação real do prejuízo.

“É um crime com baixo risco e alta recompensa. Isso vai continuar a piorar antes de melhorar”, disse o ex-promotor federal Tom Brown, em Manhattan.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Oficina da Net

FBI alerta: cuidado com o crypto-ransomware

cryptowallO FBI publicou esta semana um alerta referente a um crypto-ransomware que tem grande potencial de afetar empresas devido suas rotinas maliciosas. O ransomware SAMAS tem a capacidade de criptografar arquivos, não apenas dos sistemas que ele infecta, mas também os arquivos compartilhados na rede da empresa ou organização afetada.

A Trend Micro, empresa de segurança digital, detecta o SAMAS como um RANSOM_CRYPSAM.B e alerta para os prejuízos que ele pode trazer. Segundo a equipe de Pesquisa de Ameaça Futuras (FTR) da Trend Micro, o SAMAS consegue criptografar arquivos nas redes, o que significa que ele ameaça infectar não só a base de dados existente na empresa, mas também todos os backups que são armazenados na rede. A situação requer atenção devido as recomendações comuns para lidar com ransomwares, que incluem a implementação de uma estratégia de backups regulares.

Os atacantes também estão se aproveitando da habilidade do malware de ordenar uma infiltração persistente para “localizar e apagar manualmente” os backups mencionados, de acordo com o FBI. Isso forçará o usuário afetado a pagar o resgate solicitado ou a arcar com o grande prejuízo que terá com a perda de dados relevantes para a companhia. A Microsoft TechNet conseguiu notar a perfeita semelhança que a rotina do SAMAS tem com um ataque direcionado típico. A ameaça utiliza componentes maliciosos para conseguir realizar testes de penetração contra servidores alvos.

Além disso, ele também realiza uma verificação em busca de vulnerabilidades que darão acesso a códigos maliciosos. Após se instalar na rede ou em um computador local, ele se comporta como um ransomware típico que criptografa arquivos e exige um resgate que deverá ser pago via bitcoin.

A Cisco afirmou que o SAMAS está dirigido principalmente a empresas na área da saúde. Como medida de proteção, a Trend Micro alerta para o uso de políticas de senhas rigorosas para toda a rede da empresa. Também é recomendado a desativação do carregamento automático de macros nos programas Office, juntamente com cronogramas de patching regulares.

Agradecemos ao Davi, colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech