Hacker libera chave que descriptografa arquivos sequestrados pelo Petya

O ransomware Petya teve a chave que libera a encriptação de arquivos divulgada por Janus, hacker que desenvolveu o ransomware original. Segundo Janus, ele não teve relação com os últimos ataques — o malware foi “pirateado” por um autor desconhecido, de acordo com o hacker.

Petya e o NotPetya afetaram hospitais, empresas e instituições governamentais com Windows 7

Para refrescar a sua memória: o ransomware Petya e o NotPetya possuem uma diferença primordial. Ambos os malwares criptografam máquinas e pedem bitcoins para a liberação de arquivos. Contudo, o NotPetya apaga os arquivos após o pagamento. Por isso não se recomenda qualquer pagamento relacionado aos ransomwares.

Ainda, o Petya e o NotPetya afetaram hospitais, empresas e instituições governamentais com Windows 7. Mesmo assim, ele foi bem menor que o ransomware WannaCry, que afetou mais de 300 mil computadores em mais de 150 países, mirando versões Windows XP, Server 2003, Windows Vista e Windows 8.

Chave de liberação

O hacker Janus liberou a chave via Twitter. O arquivo para download traz uma encriptação protegida por senha:

Após colocar a senha, a seguinte chave é mostrada (38dd46801ce61883433048d6d8c6ab8be18654a2695b4723).

Não pague ransomware

Não pague ransomware: o mercado do crime virtual gera bilhões de dólares anualmente pelo mundo. Estamos falando de US$ 400 bilhões, segundo a Norton. Apenas no Brasil, em 2016, esse número foi US$ 32 bilhões. Exatamente por isso, podemos afirmar que o cibercrime é um mercado vivo.

Uma das ferramentas que puxa boa parte desse dinheiro é o ransomware, que invade a máquina da vítima, sequestra os arquivos via criptografia e exige uma quantia de dinheiro em bitcoin para liberação dos documentos, vídeos, fotos, senhas e tudo mais que há na máquina.

O que vale é a máxima da prevenção. Manter backups seguros de tudo que possui online, utilizar a nuvem para vários fins e ter, no mínimo, uma boa solução de segurança são alguns dos pontos. Porém, se você mesmo assim teve o seu computador infectado por ransomware, não pague bitcoins aos cibercriminosos e não alimente esse mercado.

Fonte: Tecmundo

Novo ciberataque em curso

Após o ataque de sexta-feira, especialistas descobriram um novo ataque vinculado ao vírus Wannacry, chamado Adylkuzz

Um novo ciberataque em grande escala para roubar moeda virtual afetava centenas de milhares de computadores em todo o mundo nesta quarta-feira, de acordo com especialistas em segurança cibernética.

Após o ataque de sexta-feira, especialistas descobriram um novo ataque vinculado ao vírus Wannacry, chamado Adylkuzz.

“Utiliza com mais discrição e para diferentes propósitos ferramentas de pirataria recentemente reveladas pela NSA e a vulnerabilidade agora corrigida pela Microsoft”, afirmou o pesquisador Nicolas Godier, especialista em segurança cibernética da Proofpoint.

“Ainda desconhecemos o alcance, mas centenas de milhares de computadores podem ter sido infectados”, disse à AFP Robert Holmes, da Proofpoint, o que indica que o ataque é “muito maior” que o WannaCry.

Concretamente, este ‘malware’ se instala em equipamentos acessíveis através da mesma vulnerabilidade do Windows utilizada pelo WannaCry, uma falha já detectada pela NSA (Agência de Segurança Nacional dos Estados Unidos), que vazou na internet em abril.

Este malware cria, de forma invisível, unidades de uma moeda virtual não localizável chamada Monero, comparável ao Bitcoin. Os dados que permitem utilizar este dinheiro são extraídos e enviados a endereços criptografados.

Para os usuários, “os sintomas do ataque incluem sobretudo uma performance mais lenta do aparelho”, afirma a Proofpoint em um blog.

A empresa detectou alguns computadores que pagaram o equivalente a milhares de dólares sem o conhecimento de seus usuários.

De acordo com Robert Holmes, “já aconteceram ataques deste tipo, com programas que criam moeda criptográfica, mas nunca nesta escala”.

O WannaCry afetou mais de 300.000 computadores em 150 países, de acordo com Tom Bossert, conselheiro de Segurança Interna do presidente dos Estados Unidos, Donald Trump.

Fonte: Exame

Opera tem servidores invadidos: 2 milhões de usuários são afetados

OperaCerca de 1,7 milhão de usuários do Opera podem ter tido informações pessoais roubadas, informou a desenvolvedora do browser na última sexta-feira (26). Segundo a empresa, um ataque hacker foi realizado na semana passada, e “alguns dados, incluindo senhas e informações de conta de alguns clientes do Sync, podem ter sido comprometidos”.

Os serviços de sincronização em nuvem contam com um sistema de criptografia, o que garante uma camada a mais de segurança aos dados dos internautas. Ainda assim, e apesar de ter bloqueado a ação criminosa rapidamente, a companhia optou por redefinir as senhas dos usuários que foram vítimas dos cibercriminosos.

Todos os clientes da Opera que possuem cadastro nos serviços Sync receberam um email para a redefinição das credenciais de acesso às contas, segundo publicou também a desenvolvedora. Se você é um dos 350 milhões de usuários ativos do Opera, possui serviços vinculados ao navegador e não recebeu mensagem eletrônica alguma, não se preocupe; significa que sua conta não foi afetada e que você não terá de criar uma nova password.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Ataque hacker que pode alterar a memória de servidores virtuais

hacker_attackOs hackers buscam sempre brechas de segurança em sistemas e programas de todo tipo, a maioria das vezes para buscar uma solução.

Agora conseguiram identificar um novo tipo de ataque que é capaz de alterar alguma variável tão relevante como a própria memória do servidor da vítima.

Isso é o que uma equipe de experts em segurança, conseguiu, em Amsterdam, ou seja, alterar a memória de algumas máquinas virtuais na nuvem sem nenhum erro de software, utilizando para isso uma nova técnica de ataque.

Conseguiram decifrar as chaves de máquinas virtuais seguras e instalar malware sem que se note. Trata-se de uma evolução de um ataque que aproveita falhas de hardware, de forma que o atacante possa pedir ao servidor que instale software malicioso e permita o acesso de pessoas não autorizadas.

A técnica já tem nome: Flip Feng Shui (FSS). Um atacante aluga uma máquina virtual no mesmo host que a vítima e começa a trabalhar para que ambos sites compartilhem os mesmos locais de memória, modificando posteriormente a informação na memória geral da equipe para alterar a disponível pelo servidor.

Em techxplore.com é possível consultar mais detalhes com um passo a passo, embora tenha o documento completo neste PDF da Universidade responsável polo estudo.

Enfim, agora é ficar atento, se sentir que a memória de seu servidor diminuiu de repente, é possível que esteja sendo vítima de um ataque FSS.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Whatsnew

Falha presente no Windows há 20 anos possibilita ataque via impressora

falha_20_anosUma falha presente em várias versões do Windows nos últimos 20 anos permite que invasores instalem os malwares que desejarem nos computadores afetados utilizando o sistema de conexão com impressoras por meio de uma rede local. Embora a Microsoft tenha liberado uma medida preventiva contra a brecha em uma atualização recente, muitos dos computadores afetados podem continuar em risco.

A vulnerabilidade propriamente dita é causada pelo chamado “Spooler de Impressão” do Windows, software responsável pelo gerenciamento do processo de conexão com impressoras e documentos disponíveis. Por meio de um protocolo conhecido como Point-and-Print, os aparelhos que estão se conectando pela primeira vez a uma impressora ligada a uma rede fazem automaticamente o download do driver necessário antes de usar a máquina.

Em teoria, a função simplesmente eliminaria a necessidade de termos que baixar e instalar manualmente o driver de cada nova impressora que tentamos usar. Na prática, porém, a empresa de segurança Vectra Networks descobriu que o Spooler de Impressão do Windows não autentica os drivers como deveria ao instalá-los a partir de locais remotos, abrindo espaço para que invasores usem várias técnicas diferentes para colocar malwares no seu computador.

Dessa forma, a brecha efetivamente consegue fazer com que impressoras, servidores de impressão e até mesmo qualquer dispositivo na rede que se passe por uma impressora se transformem em um vetor de infecção para qualquer PC que se conectar. “Essas unidades não somente conseguiriam infectar várias máquinas em uma rede, mas também seriam capazes de reinfectá-las várias e várias vezes”, ressalta Nick Beauchesne, pesquisador da Vectra.

Quem está em risco?

Como a impressora ou aparelho infeccioso só funcionam se estiverem ligados fisicamente a um computador ou a uma rede, as maiores fontes de risco estão em locais de acesso público. Caso os invasores se passem por funcionários de empresas de manutenção, companhias inteiras também podem se tornar alvo – e como a origem do problema é de difícil detecção, a situação pode se tornar bastante grave e se arrastar por longos períodos.

Nesse último caso, porém, vale ressaltar que ataques de execução de códigos não funcionam em configurações empresariais que façam uso do Diretório Ativo da Microsoft – a menos que os administradores tenham alterado as definições-padrão.

Dessa forma, é provável que somente redes domésticas e de pequenos e médios negócios estejam vulneráveis, especialmente se permitirem que outras pessoas conectem seus próprios aparelhos a elas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Hacker dá dicas de como criar senhas fortes

SenhasAnalistas de segurança sempre lembram que as senhas são parte importante nos cuidados que deve se ter na internet. Mas, ainda assim, muitas pessoas colocam senhas fracas e fácies de serem descobertas por cibercriminosos.

Segundo o hacker da RedTeam Security, Kurt Muhll, uma das maneiras mais fácies de criar uma senha segura é usando uma frase.

A técnica funciona assim: pense em uma frase simples que você possa lembrar. Por exemplo, “Eu comprei minha casa por R$1”. Depois, componha a senha com a primeira letra de cada palavra; fica “Ecmcp$1”.

“Isso vai dar as letras maiúsculas, minúsculas, um número e caracteres especiais”, explica Muhl. “É algo fácil de lembrar. Tudo que você precisa fazer é lembrar qual é a frase”.

Por quê a senha é forte? Os softwares usados para quebrar senhas fazem combinações de palavras, números e frases conhecidas até encontrar a combinação correta, o que pode levar menos de uma, afirma o hacker. Por isso, senhas como “123456” e “password”, ou qualquer outra que use uma palavra completa ou sequências, são consideradas inseguras.

Para fazer a senha ficar ainda mais forte, é só incluir mais elementos na frase. Dessa forma o número de combinações que os computadores precisam fazer é maior e demora mais para conseguir o acesso, se conseguir acertar.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Se você usa o Waze, um hacker pode segui-lo

wazeO Waze, popular aplicativo de navegação do Google, possui milhões de usuários ativos que utilizam o serviço diariamente para encontrar as melhores rotas para chegarem aos seus destinos. De acordo com um novo estudo, essas pessoas estão correndo o risco de terem suas trajetórias monitoradas por hackers.

Pesquisadores da Universidade da Califórnia em Santa Bárbara concluíram que uma vulnerabilidade permitiu a criação de vários “carros fantasmas”, que podem seu usados para monitorar outros motoristas próximos em tempo real.

Em termos técnicos, a falha funciona da seguinte maneira: os servidores do Waze se comunicam com o telefone do usuário por meio de uma conexão SSL encriptada, uma precaução de segurança para garantir que os servidores do Waze estão realmente em contato com o smartphone do usuário. Ben Zhao, professor de Ciência da Computação na UC-Santa Barbara, e seus alunos de graduação descobriram que podiam interceptar essa comunicação fazendo com que o telefone aceitasse seus computadores entre a conexão com os servidores do app.

Assim que a conexão era feita entre os computadores e o Waze, eles podiam usar engenharia reversa no protocolo utilizado pelo aplicativo, aprendendo sua linguagem e a forma como ele “conversa” com seus servidores.

Com todos esses dados, os pesquisadores conseguiram criar um programa que enviava comandos direto para os servidores do Waze, permitindo a criação dos “carros fantasma” e, consequentemente, de engarrafamentos falsos.

Zhao informou o time de segurança do Google sobre o problema. Uma atualização do app foi liberada em janeiro deste ano para prevenir a transmissão de dados de localização quando o Waze estiver rodando em segundo plano. Vale a pena verificar se o seu smartphone já está rodando a última versão do aplicativo.

Na teoria, os hackers poderiam utilizar essa técnica para invadir o sistema do Waze e fazer o download da atividade de todos os motoristas que utilizam o serviço. Caso esses dados fossem publicados online, qualquer um poderia seguir os movimentos das 50 milhões de pessoas que utilizam o aplicativo.

Por enquanto, para não correr o risco de ser vigiado, a melhor opção é utilizar o app em modo invisível. Vale lembrar que a cada vez que o app for aberto, o modo invisível deve ser reativado.

Waze se posiciona

Julie Mossler, porta-voz do Waze, divulgou um posicionamento oficial sobre a matéria divulgada originalmente no portal Fusion. Confira o texto na íntegra:

“O ecossistema do Waze é baseado na confiança e no profundo respeito a nossos usuários. O tráfego em tempo real simplesmente não funciona sem a participação deles e estamos constantemente revisando e adicionando mais proteção a eles. É importante ressaltar que o nosso sistema tem sido, e continua sendo, seguro para os usuários todos os dias. As contas da repórter ou as de outros usuários não foram comprometidas e não é possível que um estranho procure, encontre e rastreie um usuário Waze no mapa em tempo real. Com o consentimento da repórter para usar seu nome de usuário Waze e os detalhes da sua localização, os pesquisadores foram capazes de deduzir seções de sua rota, após o fato. Nenhuma dessas atividades ocorreram em tempo real e em ambientes do mundo real, sem o conhecimento dos participantes.

Nas últimas 24 horas, novas implementações de segurança foram adicionadas em várias áreas do app, incluindo a prevenção da ameaça hipotética de “Ghost Riders” (motoristas fantasmas) afetarem o comportamento do sistema e realizarem um rastreamento similar.”

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Canaltech e Fusion