Keypass: um ransomware muito perigoso

KEYPASS-ransomwareO KeyPass é um ransomware bem confuso. Atinge computadores ao redor do mundo, sem preferências, é extremamente democrático. Ele já apareceu em mais de 20 países. Brasil e o Vietnã têm sido os países mais atingidos, mas foram feitas vítimas na Europa e na África também, e o malware continua a conquistar o globo.

Não faça prisioneiros, não deixe arquivos descriptografados

O KeyPass também não apresenta discernimento na hora de escolher seus arquivos-reféns. Muitas espécies de ransomware caçam documentos com extensões específicas, mas esse ignora apenas algumas pastas. Todo o resto do conteúdo do computador é transformado em qualquer coisa com a extensão .keypass. Na verdade, os arquivos não são criptografados na íntegra, apenas os primeiros 5MB de cada, mas isso não serve de consolo.

Nos diretórios “processados”, o malware deixa um bilhete em formato TXT no qual seus criadores exigem (em inglês bastante ruim) que as vítimas comprem um programa e uma chave individual para recuperação de arquivos. Para convencê-las de que não é apenas um desperdício de dinheiro, são convidadas a enviar de 1 a 3 arquivos para os criminosos quebrarem a criptografia gratuitamente.

Os cibercriminosos exigem U$300 para devolver os arquivos, com o aviso de que esse preço é válido apenas pelas primeiras 72 horas após a infecção. Para instruções detalhadas sobre como recuperar os documentos, deve-se entrar em contato por meio de um dos dois endereços de e-mail e enviar sua identificação conforme especificado no bilhete. Contudo, recomendamos que não pague o resgate.
Uma característica peculiar do KeyPass é que, por alguma razão, o computador não está conectado à Internet quando o malware começa a trabalhar, então o vírus não pode recuperar a chave de criptografia pessoal do servidor C&C. Nesse caso, usa uma chave de codificação rígida, o que significa que os arquivos podem ser descriptografados sem qualquer problema; a chave já está à mão. Infelizmente, em outros casos, você não vai se safar tão fácil: apesar da implementação bastante simples, os cibercriminosos não cometeram erros na criptografia.

Nos casos que conhecemos, o malware agiu automaticamente, mas seus criadores também forneceram uma opção de controle manual. Eles contam com que o KeyPass seja distribuído manualmente – ou seja, planejam usá-lo para ataques direcionados. Se os cibercriminosos conseguirem se conectar ao computador da vítima remotamente e colocar o ransomware lá, pressionar uma chave específica vai mostrar um formulário no qual podem modificar as configurações de encriptação, incluindo a lista de pastas que o KeyPass ignora, mais o texto do bilhete de resgate e a chave privada.

Como proteger seu computador do ransomware KeyPass

Uma ferramenta para descriptografar arquivos atingidos pelo KeyPass ainda precisa ser desenvolvida, então a única maneira de proteger seus dados é evitar proativamente a infecção. Bem, é sempre melhor prevenir do que remediar; lidar com as consequências de ser negligente demanda muito mais tempo e esforço do que evitá-las no início. Dessa forma, recomendamos algumas medidas simples, que são igualmente eficazes para o KeyPass, para se proteger contra todos os ransomwares:

  • Nunca baixe programas desconhecidos de sites duvidosos ou clique em links se tiver qualquer mínima suspeita. Isso vai ajudá-lo a evitar a maioria dos malwares que estão vagando na web.
  • Faça backup de todos os arquivos importantes. Confira esse post para saber tudo sobre o assunto.
  • Utilize uma solução de segurança confiável que identifica e bloqueia programas suspeitos antes que possam prejudicar seu computador.
Fonte: Kaspersky

Criptomineradores estão tomando o lugar de ramsomwares

A Kaspersky fez uma previsão no final de 2017 que se concretizou neste ano: os criptomineradores roubaram o primeiro lugar dos ransomwares na lista de ameaças mais temidas entre consumidores e empresas.

“Podemos afirmar que os ransomware estão em declínio”, comentou a empresa. “Apesar de continuarem com seus impactos dramáticos e grande potencial de assustar as vítimas, que vão desde usuários domésticos manipulados por ameaças de arquivos ilícitos e constrangedores em seus computadores até empresas pressionadas a pagarem grandes valores para recuperar acesso a arquivos críticos”.

Alguém que usa secretamente seus recursos eletrônicos pode esconder suas intenções, mas não é possível agir em total sigilo

Segundo dados da Kaspersky, o número de usuários atacados por criptomalwares caiu quase pela metade, de 1,1 milhão em 2016/2017 para 751 mil em 2017/2018. Dessa maneira, os criptomineradores assumiram o lugar: o número de detecções subiu de 1,9 para 2,7 milhões, assim como a proporção de ameaças detectadas, de 3% para 4%.

“Enquanto o ransomware aparece e aterroriza suas vítimas, os criptomineradores fazem de tudo para ficarem escondidos — quanto mais tempo trabalharem, maiores os lucros dos criminosos — e, como resultado, as vítimas podem não notá-los por um tempo”, afirma a Kaspersky. “Se você quiser testar a mineração de criptomoedas, deve levar em conta o impacto. Alguém que usa secretamente seus recursos eletrônicos pode esconder suas intenções, mas não é possível agir em total sigilo. Um computador ou dispositivo móvel que esteja executando esse tipo de atividade pode refletir algumas mudanças sutis ou mais óbvias”.

Se você quiser saber quais são as mudanças que um criptominerador pode causar no seu PC ou smartphone, veja abaixo:

  • A capacidade de resposta do sistema vai ficar mais lenta — já que a memória, o processador e o adaptador gráfico do dispositivo estão atolados para completar as tarefas de mineração
  • As baterias vão acabar muito mais rápido do que antes e os dispositivos podem superaquecer
  • Se o dispositivo tem um plano de dados, os usuários vão ver esse uso disparar

Já para se proteger, melhores práticas:

  • Atualize regularmente o seu sistema operacional e todos os programas. Sugerimos que comece agora
  • Desconfie sempre dos anexos de e-mail. Antes de clicar para abrir um anexo ou seguir um link, reflita: é de alguém que você conhece e confia? É esperado? Está limpo? Passe o mouse sobre os links e anexos para ver como estão nomeados ou para onde realmente direcionam
  • Não instale programas de fontes desconhecidas. Podem conter, e frequentemente contêm, criptomineradores maliciosos
  • Utilize uma boa solução de segurança.
Fonte: Tecmundo

Falha expõe 100 milhões de usuários do Android e iOS

A Google oferece os servidores do Firebase para desenvolvedores que precisam de soluções de nuvem para armazenar recursos e informações dos usuários de seus aplicativos. Ele é uma ótima saída para quem não pode bancar toda essa infraestrutura por conta e deseja algo funcional e seguro.

Contudo, o descuido de alguns desenvolvedores na hora de configurar a sua própria base de dados no Firebase tem gerado um grande problema. Com isso, tanto aplicativos de iOS quanto de Android que usam o serviço de nuvem da Google deixaram expostos dados pessoais de mais de 100 milhões de pessoas.

Segundo o site iMore, são mais de 2,2 mil bancos de dados vulneráveis. Uma pesquisa feita pelo Appthority indica que 113 GB de dados de 3.046 aplicativos que utilizam o Firebase estavam vulneráveis. Desses apps, 600 são de iOS e outros 2.446 são de Android.

De acordo com os especialistas, as informações vazadas contêm 26 milhões de nomes de usuário e senhas em textos simples, mais de 4 milhões de registros de informações de saúde protegidas, 25 milhões de registros de GPS, dados de 50 mil transações financeiras (inclusive com bitcoins) e ainda 4,5 milhões de dados corporativos de usuários do Facebook e do LinkedIn.

Diante da polêmica gerada pela revelação, a Google se posicionou e informou que mantém um aviso na página de configuração de cada base de dados quando ela está configurada de uma maneira insegura, além de enviar um email notificando o desenvolvedor. A empresa garante que a sua ferramenta é segura e não sofreu qualquer tipo violação, portanto, é o descuido de alguns desenvolvedores que deixa as informações expostas.

Fonte: Tecmundo

Cuidado com extensões maliciosas

Um trojan bancário é um malware que rouba as credenciais dos usuários – como logins, senhas e números de identificação – e, claro, dinheiro. Apesar de serem comuns entre os cibercriminosos, usar uma extensão maliciosa em um navegador não é a primeira escolha – principalmente por razões técnicas, é mais fácil que hackers criem as próprias extensões de adware (propaganda).

No final de abril, produtos da Kaspersky detectaram uma extensão para o Google Chrome chamada Unblock Content (“Desbloquear conteúdo”) que se comunicava com uma zona de domínio suspeita, normalmente usada por cibercriminosos. Essa extensão maliciosa, segundo nossos especialistas, atacou quase 100 clientes brasileiros de vários bancos.

Extensões maliciosas tendem a utilizar diferentes técnicas para impedir detecções por soluções de segurança. Devido ao protocolo WebSocket, os autores do golpe conseguem estabelecer comunicação em tempo real com o servidor de comando e controle (C&C). O ataque redireciona o tráfego de usuários para o C&C, que age como um servidor proxy para quando a vítima visitar sites de bancos brasileiros.

O código malicioso copiou o botão “Fazer login” para que, quando o usuário insere suas credenciais, elas são passadas não apenas para os sistemas bancários, mas também para o servidor dos cibercriminosos. Dessa forma, foi executado um discreto ataque Man-in-the-Middle.

“Extensões de navegador destinadas a roubar logins e senhas são menos comuns em comparação às extensões de adware. Mas, dado o possível dano, vale a pena levá-las a sério. Recomendamos escolher extensões conhecidas, que tenham um considerável número de instalações e avaliações na Chrome Web Store ou em outros serviços oficiais. Afinal, apesar das medidas de proteção tomadas pelos proprietários de tais serviços, extensões maliciosas ainda podem infiltrá-las”, diz Vyacheslav Bogdanov, autor da pesquisa.

Extensão maliciosa na Chrome Store

“Desenvolver uma extensão maliciosa para roubar credenciais bancárias é bem mais trabalhoso do que criar um trojan bancário. Essa tática tem sido escolhida por cibercriminosos brasileiros pois assim podem controlar totalmente a navegação da vítima com o menor ruído possível, passando desapercebidos por algumas soluções de segurança. Encontramos em média de 2 a 3 extensões maliciosas publicadas por criminosos todo mês na Chrome Web Store”, afirma Fabio Assolini, analista sênior de segurança da Kaspersky Lab.

Fonte: Kaspersky

Apps populares podem vazar seus dados pessoais

Este artigo não fala de Trojans, mas sobre aplicativos genuínos que, ainda assim, podem vazar seus dados online. Nossos especialistas analisaram um total de 13 milhões de APKs (arquivos de pacote para Android) e descobriram que aproximadamente um quarto deles transmite dados sem criptografia na internet. Alguns desses aplicativos têm centenas de milhões de downloads, às vezes mais de meio bilhão! Não dá para chamar algo assim de “probleminha”.

Por vezes, informações são expostas online em função de algum erro do desenvolvedor – todavia não é isso que acontece na grande parte dos casos. Quando solicitados para o envio de dados de usuários para um servidor, a maioria dos apps vai usar um protocolo HTTPS seguro, que impede a interceptação. O problema está nos serviços de terceiros que os desenvolvedores incorporam sem verificação de antecedentes. Por exemplo, alguns analíticos ou de publicidade conduzem informações pela internet por meio do protocolo HTTP padrão, que não é seguro.

Que informações podem ser afetadas?

A maior parte dos vazamentos de dados que detectamos tinha a ver com o modelo do dispositivo, suas especificações técnicas, dados relacionados à rede ou aos provedores de internet, e o nome do APK (pelo qual o sistema reconhece o pacote); muitos serviços também revelaram as coordenadas do smartphone ou tablet.

Em alguns casos, informações sobre o uso dos aplicativos foram transmitidas pelo HTTP por um serviço terceirizado integrado. Dentre esses dados estavam curtidas, publicações, páginas visitadas, além de detalhes sobre o dono do aparelho – nome, telefone, data de nascimento. Descobriu-se que as chaves únicas criadas para cada pedido de autorização também eram transferidas de forma insegura. Felizmente, a maioria dos serviços não repassa logins e senhas sem criptografia, apesar de alguns o terem feito.

O que há de perigoso nisso?

Informações transmitidas por HTTP são enviadas como um texto simples, e podem ser lidas por qualquer pessoa – inclusive seu provedor de internet, por exemplo. Além disso, o caminho entre o aplicativo e o servidor da outra parte provavelmente tem vários “pontos de trânsito”, na forma de dispositivos que recebem e armazenam informação por um determinado período de tempo.

Qualquer equipamento de rede, o que inclui seu roteador doméstico, pode ser vulnerável. Se hackeado, vai permitir que criminosos tenham acesso as suas informações – o provedor de internet, por outro lado, não precisa hackear nada para isso. E a obtenção de qualquer informação sobre o dispositivo (especificamente códigos IMEI e IMSI) é o suficiente para monitorar suas ações futuras. Quanto mais completa a informação, mais você se torna um livro aberto para os outros – de anunciantes até amigos falsos que oferecem arquivos maliciosos para download.

Entretanto, os vazamentos de dispositivos e dados são apenas parte do problema; informações sem criptografia também podem ser substituídas. Por exemplo, em resposta a um pedido de HTTP de um aplicativo, o servidor pode enviar um anúncio em vídeo, que os cibercriminosos podem interceptar e substituir por uma versão menos inofensiva. Ou então podem simplesmente mudar o link dentro de um anúncio – e ao invés de baixar um jogo bonitinho ou um aplicativo para fins corporativos, os usuários correm o risco de fazer o download de algo muito mais nefasto.

O que pode ser feito

Essas questões devem realmente ser solucionadas pelos desenvolvedores de aplicativos. Mas não se pode confiar completamente que irão resolver, assim, temos algumas dicas simples que podem protegê-lo melhor.

Verifique as permissões solicitadas por um aplicativo – pode demorar, mas nunca é uma perda de tempo, mesmo quando o app tem milhões de downloads. Se, digamos, um aplicativo de mensagem instantânea quer saber sua localização, não se sinta obrigado a revelar. Saiba mais detalhes sobre as permissões do Android aqui.
Compre versões pagas dos aplicativos, se possível. Elas não mostram anúncios, o que significa menor risco de vazamento de dados. No entanto, pode ser que ainda utilizem módulos analíticos terceirizados que muitas vezes se comportam do mesmo jeito.
Utilize uma VPN – essa conexão segura vai proteger seus dados mesmo que os desenvolvedores não consigam.

Fonte: Kaspersky

HTTPS (cadeado verde) não é garantia de segurança

Sejamos honestos, quando a maioria das pessoas veem um cadeado verde com a palavra seguro à esquerda de uma URL, pensam que realmente estão em um ambiente protegido. O mesmo vale para “esse site usa uma conexão segura” ou URLs que começam com as letras “https”. Cada vez mais sites passam para HTTPSL. A maioria não tem escolha. Mas afinal, qual o problema? Quanto mais medidas de segurança melhor, não é mesmo?

Estamos prestes a revelar um pequeno segredo: aqueles símbolos de “segurança” não garantem que um endereço está seguro. Um site de phishing, por exemplo, pode de forma legítima exibir esse cadeado verde reconfortante ao lado do endereço https. Então o que está acontecendo? Vamos descobrir.

Conexão segura não significa um site idem

O cadeado verde significa que o site recebeu um certificado e que um par de senhas criptografadas foram geradas. Esses sites criptografam a informação transmitida entre você e a página. Nesse caso, a URL começa com HTTPS, com o último “S” significando “Seguro”.

Claro, dados transmitidos criptografados são ótimas premissas. Significam que a informação trocada entre seu navegador e o site não está ao alcance de terceiros – provedores, administradores de rede, cibercriminosos, entre outros. Isso permite a inserção de senhas e detalhes de cartão de crédito sem olhos curiosos.

O problema é que cadeados verdes e os certificados não dizem nada sobre o site em si. Uma página de phishing pode simplesmente obter esse certificado e criptografar todo o fluxo com você.

De forma simples, o cadeado simplesmente garante que ninguém mais pode espionar os dados inseridos. No entanto, sua senha ainda pode ser roubada pelo site, caso seja falso.

Phishers usam e abusam disso: de acordo com a Phishlabs, um quarto dos ataques desse tipo são executados por sites HTTPS (há dois anos, eram menos de 1%). Além disso, mais de 80% dos usuários acreditam que a mera presença do símbolo significa que o site é seguro, o que os leva a não pensar duas vezes antes de inserir seus dados.

Mas e se o cadeado verde não estiver onde deveria?

Se a barra de endereço não tiver cadeado, significa que o site não usa criptografia, ou seja, troca informação com seu navegador por meio de HTTP comum. O Google Chrome começou a rotular tais páginas como inseguras. Embora possam ser legítimas, não criptografam tráfego entre você e o servidor. A maioria dos proprietários não querem que o Google classifique seus sites como inseguros, de forma que a migração para HTTPS é questão de tempo. De qualquer forma, digitar dados sensíveis em qualquer ambiente sem o “s”é má ideia – qualquer pessoa mal-intencionada pode estar de olho.

A segunda variante se trata de uma fechadura cruzada com linhas vermelhas acompanhada pelas letras HTTPS na mesma cor. Isso significa que o site possui o certificado, mas está vencido. Ou seja, a conexão entre você e o servidor é criptografada, mas não há garantia que o domínio de fato pertence a empresa indicada no site. Esse é o caso mais suspeito -normalmente tais certificados são usados apenas para testes.

De maneira alternativa, se o certificado expirou e o proprietário não foi atrás de renová-lo, navegadores trataram a página como insegura, o que visualmente, reflete em um aviso com uma fechadura vermelha. Nesse caso, considere esse alerta como indicação para evitá-los -a preocupação deve ser duplicada se pensar em digitar dados pessoais.

Como não cair em uma armadilha?

Para resumir, a presença do certificado e do cadeado verde significam apenas que a transmissão entre você e o site está criptografada, e o certificado foi emitido por uma autoridade confiável. Entretanto, isso não previne que sites HTTPS sejam maliciosos, fato que pode ser facilmente manipulado por cibercriminosos.

Portanto, fique ligado, não importa se a primeira impressão sobre o site parece segura.

  • Nunca digite informações de login, senhas, credenciais bancárias, ou outra informação pessoal em sites sobre os quais você não tem certeza acerca da autenticidade. Para isso, verifique o nome do domínio – e com bastante cautela. Os nomes de sites falsos podem diferir do original, até mesmo por apenas simples letra. Certifique-se que links são confiáveis antes de clicar.
  • Sempre leve em conta o que um site em particular oferece, caso pareça suspeito e se você realmente precisa se registrar.
  • Faça uma verificação do link em um site como o Virus Total.
Fonte: Kaspersky

Crimes cibernéticos podem causar prejuízo de até US$ 8 tri para empresas

Os crimes cibernéticos podem causar prejuízos de até US$ 8 trilhões para empresas no mundo todo nos próximos cinco anos. Os cálculos constam do estudo Global Risks Report 2018, produzido pelo World Economic Forum (WEF), com o apoio da seguradora suíça Zurich. O montante equivale ao Produto Interno Bruto (PIB) do Reino Unido, França e Alemanha juntos.

Prevenir, prevenir

A saída para conter a escala dos custos é a adoção de medidas que incorporem o risco cibernético no dia a dia das organizações, segundo a corretora de seguros Aon. Para 2018, a consultoria prevê uma exposição ainda maior do mundo corporativo graças à convergência de três tendências: dependência crescente da tecnologia nas empresas; foco intensificado das agências reguladoras em proteger dados dos consumidores e o valor crescente de ativos intangíveis.

Fonte: Estadão