Ransomware ataca e criptografa instalações Samba

Um vírus que opera como ransomware chamado NamPoHyu (ou MegaLocker) está atacando instalações desprotegidas do Samba pelo mundo inteiro. As pessoas que fazem os ataques desta vez estão buscando serviços Samba desprotegidos e remotamente criptografam o conteúdo desses servidores. Uma busca peita pelo Cisoadvisor no Shodan revela que só no Brasil existem 46.947 instalações desprotegidas. No mundo inteiro existem neste momento 523.487 instalações desprotegidas, muitas já atacadas. Os países com mais instalações Samba desprotegidas, pela ordem são Rússia, Brasil, Itália, EUA e Emirados Árabes.

[box type=”info” style=”rounded” border=”full”]O Samba é um pacote de software de código aberto que roda em plataformas baseadas em Unix / Linux, mas é capaz de se comunicar com clientes Windows como um aplicativo nativo do Windows. O Samba faz esse serviço empregando o CIFS (Common Internet File System). Na essência do CIFS está o protocolo SMB (Server Message Block). [/box]

Esse malware foi detectado pela primeira vez em Março deste ano, depois de usuários reclamarem que seus armazenamentos NAS foram repentinamente criptografados. Depois de concluir o processo de criptografia, o malware renomeia os arquivos com a extensão .crypted e cria uma nota de resgate num arquivo chamado DECRYPT_INSTRUCTION.TXT. O texto contém instruções para contato com alexshkipper @ mail [.] Ru. A nota pede à vítima em potencial que envie uma foto de aniversário, feriado, passatempos ou algum outro evento pessoal. Se a vítima for um usuário pessoa física, o valor do resgate será de US$ 250; para empresas o valor é de US$ 1000.

 

 

Ativy anuncia aquisição da Imunisys e da Superabiz

Tiago Garbim e André Vieira, da Ativy (centro e esquerda, respectivamente), com Bruno Giordano, CEO da Imunisys (direita)

A Ativy, empresa provedora de serviços em cloud computing que se notabilizou pela velocidade do seu armazenamento em SSD e pela conexão ultra-rápida, anunciou duas aquisições. A primeira é da empresa de segurança Imunisys. A segunda, da Superabiz, cujo diferencial é ser uma fábrica de software. Tiago Garbim, CEO da Ativy, contou ao Cybersecurity que a aquisição da Imunisys é estratégica para a operação. “Sentimos que houve uma demanda grande por serviços de segurança. Depois que vimos a implantação do GDPR na Europa, concluímos que o Brasil também iria desenvolver sua legislação. Fomos ver então o que precisaríamos para estarmos aderentes à lei e de que forma poderíamos ajudar o cliente. Foi quando decidimos a adquirir a Imunisys. Trazê-la para dentro de Ativy seria uma união muito importante”, explicou.

Em várias ocasiões, disse Garbim, o cliente da Ativy contratava serviços de nuvem com a empresa mas fazia a parte de segurança com um terceiro: “Agora, mesmo o cliente estando em outra nuvem, como da Amazon por exemplo, nós podemos também prestar a ele o serviuço de segurança”. Com a integração da Imunisys, a Ativy agora pode oferecer aos clientes serviços como pentest das aplicações e servidores, na busca por vulnerabilidades. Como o mercado está numa fase de adaptação à legislação brasileira de proteção de dados (LGPD), Garbim estima que o faturamento com esse tipo de serviço poderá representar 30% do total faturado na Ativy: “Nossa expctativa é de que em 2022 estejamos faturando perto de R$ 40 milhões anuais com serviços de segurança”, calcula.

“Nosso principal objetivo com a aquisição é fortalecer nossos serviços para o mercado com a expertise da Imunisys. Iremos ofertar soluções integradas ao nosso portfólio tais como DevSecOps e gestão e análise de vulnerabilidade em cloud”, comenta o CEO da Ativy. sediada em Campinas (SP), a empresa se originou do braço de serviços da Ascenty, provedora de serviços de datacenter, depois que deixou de prover serviços de nuvem.

Com a aquisição da Superabiz, fábrica de software especializada em integração para o mercado de ERP (como SAP e Thomson Reuters), a Ativy lançará um “SAP Blindado”, para cobrir todas as demandas de segurança de clientes. Que, segundo Garbim, às vezes nem sabem que estão precisando de segurança. “Já entregaremos o ERP em nuvem blindada, inclusive com disaster recovery, atendimento 24×7 e todas as outras ferramentas necessárias”.

 

SUS tranca servidor. Hacker diz que há mais dois abertos

O Ministério da Saúde classificou como falsa a notícia de que houve um vazamento de dados com origem na base do CADSUS. Ao mesmo tempo, colocou em ‘manutenção’ os servidores que atendem no endereço indicado como vulnerável pelo hacker ‘Tr3v0r’, que anunciou a invasão. O portal do MS que agora está em manutenção é o do Departamento de Atenção Básica – DAB, cujo endereço é dabsistemas.saude.gov.br.  No entanto, Tr3v0r informou em sua conta de Twitter que existem mais dois endereços com APIs abertas para qualquer pessoa consultar os dados de usuários do SUS.

Segundo o portal Tecnoblog, o sistema que teria servido como fonte do vazamento ficou exposto desde pelo menos 2014, e desde o dia 11 está “em manutenção”. O hacker que anunciou o vazamento explicou ao Tecnoblog que obteve dados de 205 milhões de pessoas, sem registros duplicados, e anunciou que ainda irá publicá-los.

Na entrevista ao Tecnoblog, Tr3v0r disse que os dados estavam expostos por meio de uma API, num dos domínios do Ministério da Saúde. A API podia ser acessada por uma URL na qual se inseria um CPF, no padrão “consulta.php?cpf=xxx.xxx.xxx.xx”. Tr3v0r disse que publicou essea informação no GitHub em 2015.

Hacker anuncia: 205M de registros do SUS vazados

Um hacker chamado Tr3v0r anunciou que o sistema de informações do SUS está expondo por meio de uma API todos os dados médicos da população brasileira. O vazamento é da ordem de 205 milhões de registros. Ontem à tarde, o hacker expôs para download uma amostra com cerca de 2,4 milhões de registros num endereço da Internet.  Os registros têm muitos detalhes: nome completo, nome da mãe, endereços, números de CPF e datas de nascimento. Segundo informado pelo hacker ao UOL, o SUS foi avisado do problema em 29 de março, mas nada foi feito. Segundo o UOL essa informação não foi confirmada pelo Ministério da Saúde.

Segundo o portal DefCOn Lab, Tr3v0r na verdade já havia anunciado em fevereiro que esses dados estavam expostos. A publicação questiona como seria a atuação da Autoridade Nacional de Proteção de Dados (ANPD) nesse caso.

O vazamento foi indicado ao Cisoadvisor pelos especialistas Mateus Veras e Lipe Hifram.

São Paulo: honeypot na AWS sofre 13 ataques/minuto

Instale um honeypot em um AWS de São Paulo e outros em mais nove cidades de outros países, também em AWS. Agora adivinhe qual o honeypot atacado primeiro. Se você respondeu São Paulo, acertou. A experiência foi feita pela Sophos, que apresentou ontem os resultados no relatório Cloud Honeypot. O relatório mostra que depois de apenas 52 segundos os cibercriminosos atacaram o honeypot de São Paulo. Foram 13 ataques por minuto nesse servidor.

Os honeypots foram instalados em dez centros de dados da Amazon Web Services (AWS) em vários locais, incluindo: Califórnia, Frankfurt, Irlanda, Londres, Mumbai, Ohio, Paris, São Paulo, Cingapura e Sydney.

[box]Um honeypot é um sistema ou componente de hardware ou software usado como “armadilha” ou “isca” para fins de proteção contra ataques cibernéticos. É frequentemente usado para monitorar o comportamento dos hackers.[/box]

Os honeypots foram monitorados por 30 dias e a análise da Sophos descobriu que mais de 5 milhões de ataques foram feitos sobre a rede honeypot global, demonstrando como os criminosos virtuais verificam automaticamente as plataformas de nuvem mais fracas. Se conseguirem ter acesso, as empresas que usam essas plataformas podem ser vítimas do roubo de dados confidenciais. Os cibercriminosos também usam servidores em nuvem violados como base para acessar outros servidores ou redes.

O relatório da Sophos identifica as ameaças enfrentadas pelas empresas que migram para plataformas híbridas e em nuvem. A velocidade e o tamanho dos ataques aos honeypots mostram como os cibercriminosos são insistentes em suas atividades e confirmam que os botnets costumam a ser usados para atingir as plataformas de nuvem da empresa. As empresas precisam de uma estratégia de segurança para proteger o que estão confiando à nuvem”, disse Matthew Boddy, especialista em segurança da Sophos. “A questão da visibilidade e segurança nas plataformas de nuvem é um grande desafio comercial e, à medida que a migração na nuvem aumenta, continuará sendo predominante.”

 

Agora o alvo é a nuvem

Saiu o 14o relatório anual da Netscout sobre Segurança de Infraestrutura em nível mundial. O subtítulo do documento é “Cloud in the Crosshairs”, ou seja, a nuvem agora é o alvo. Nesta entrevista, Geraldo Guazzelli, diretor geral da Netscout no Brasil, explica os destaques do documento, principalmente os detalhes que indicam grandes riscos para empresas no Brasil.

Clique no link para baixar o “NETSCOUT’s 14 th Annual Worldwide Infrastructure Security Report”.  

O país, segundo ele, é um “heavy user” de Internet, por causa, principalmente, do tamanho da população. Mas nas sua opinião os destaques da falta de segurança apontados no relatório são decorrentes da necessidade de desenvolver aplicações com tempo limitado, resultando numa segurança fraca ou inexistente.

“Podemos fazer uma analogia: em nosso país temos uma preocupação exagerada com a segurança física, mas em segurança da informação muito pouco conhecimento adequado e falta de planejamento, levando a uma total ausência de políticas de segurança. Associado a isso temos investimentos reduzidos. Considero até que a falta de conhecimento é o pior aspescto. Porque se a pessoa não conhece o risco por que vai se precaver?”, pergunta Guazelli

Uma das ameaças que mais vem crescendo e prejudicando empresas, detalha Guazelli, é o DDoS. Isso tem levado empresas a sofrer com ‘downtime’. E como mostra o relatório, o Brasil tem alguns dos custos mais elevados do mundo para esse tipo de incidente. “Isso é causado pela falta de politicas de proteção. Vemos os segmentos financeiro e e-commerce serem afetados, mas há muitos outros”, comenta.

Um dos setores em grande risco, lembra o diretor da Netscout, é o de medicina. “Já existe uma grande discussao sobre o atendimendo médico remoto e sobre o controle dos equipamentos médicos nos hospitais. Eles estão sujeitos a ameaças e podem até ser desligados remotamente”, afirma.

“Isso é um fato constante”, detalha Guazelli. “Porque os firewalls e IPs guardam conexões ativas, atuando para dar uma certa segurança. Mas onde guardam essas conexões? Em tabelas de estado. Então, agora as tabelas são o alvo. Uma tabela tem limites. Quando se satura a tabela, o dispositivo que a controla fica paralisado e quando acontece isso e a infra da empresa se torna indisponível. Hoje, a única alternativa de DDoS que te permite estar protegido são as soluções que não dependem do controle de conexao”, completa.

No panorama brasileiro, a situação é prejudicada, ainda, pela escassez de mão-de-obra, acrescenta Guazelli. “E o tamanho da demanda está aumentando”.

Xiaomi vendeu celulares com vulnerabilidade

A equipe de pesquisas da Check Point descobriu uma vulnerabilidade em um dos aplicativos pré-instalados da Xiaomi, um dos maiores fornecedores de smartphones do mundo. A empresa teve quase 8% de participação de mercado em 2018, ocupando o terceiro lugar em  telefonia móvel, com 118,7 milhões de unidades vendas no ano passado. A vulnerabilidade está no aplicativo de segurança “Guard Provider”, que deveria proteger o telefone contra malware, e foi descoberta pelo pesquisador Slava Makkaveev.

Ele conta em seu artigo sobre o tema que “devido à natureza insegura do tráfego de rede do Guard Provider e ao uso de vários SDKs (software development kits) no mesmo aplicativo, um atacante poderia se conectar à mesma rede Wi-Fi da vítima e fazer um ataque do tipo Man-in-the-Middle (MiTM) – quando os dados trocados entre duaspartes são de alguma forma interceptados”.

Em razão de falhas na comunicação entre os vários SDKs, o atacante poderia, então, injetar qualquer código nocivo, para roubo de senha, ransomware, rastreamento ou qualquer outro tipo de malware, disse o pesquisador. 

“É fundamental que os usuários atentem para a segurança dos dispositivos móveis da mesma forma que o fazem com seus computadores pessoais. Há muitas informações delicadas que podem ser expostas pelo simples fato de utilizarmos uma rede de wi-fi pública como em um café ou em um aeroporto, por exemplo”, alerta também Vinicius Bortoloni, Security Engineering Manager da Check Point Brasil.

Tal como todos os outros aplicativos pré-instalados como o Guard Provider, esse tipo de app está presente nos dispositivos móveis prontos para uso e não podem ser excluídos. A Check Point divulgou esta vulnerabilidade inicialmente à Xiaomi, que lançou um patch pouco depois para resolver o problema.

aplicativo de segurança pré-instalado da Xiaomi
O aplicativo de segurança pré-instalado da Xiaomi, conhecido como “GuardProvider”

Os prós e contras dos SDKs

Conforme o artigo de Makkaveev, “um kit de desenvolvimento de software (SDK) é um conjunto de ferramentas de programação para ajudar os desenvolvedores a criar aplicativos para uma plataforma específica. No caso de dispositivos móveis, os SDKs definitivamente ajudaram os desenvolvedores, eliminando a necessidade de perder tempo escrevendo código e desenvolvendo estabilidade de back-end para funcionalidades não relacionadas ao núcleo do aplicativo”.

“De fato, à medida que mais e mais SDKs são desenvolvidos, novos recursos e oportunidades se apresentam aos desenvolvedores de aplicativos e, finalmente, adicionam melhor funcionalidade aos usuários finais”.

“Mas, à medida que também mais e mais códigos de terceiros são adicionados ao aplicativo, o esforço para manter o ambiente de produção estável, protegendo os dados do usuário e controlando o desempenho, fica muito mais complexo”.

“Conhecido como ‘SDK Fatigue’, esse aumento no uso de vários SDKs no mesmo aplicativo torna o aplicativo mais suscetível a problemas como falhas, vírus, malwares, violações de privacidade, esgotamento de bateria, lentidão e muitos outros problemas”.

“As desvantagens ocultas de usar vários SDKs no mesmo aplicativo residem no fato de que todos compartilham o contexto e as permissões do aplicativo. Essas principais desvantagens são:

  1. Um problema em um SDK comprometeria a proteção de todos os demais;
  2. Os dados de armazenamento privado de um SDK não podem ser isolados e, portanto, podem ser acessados por outro SDK”.

“De acordo com um relatório recente, o uso de vários SDKs em um único aplicativo é muito mais comum do que se imagina. Em média, um único aplicativo agora tem mais de 18 SDKs implementados no mesmo aplicativo. Mas, ao fazer isso, os desenvolvedores deixam as organizações e os usuários expostos a possíveis armadilhas que podem ser exploradas pelos agentes de ameaças para interferir na operação regular do dispositivo”.

2+2=4? Nem sempre

“Embora não se espere que o pessoal de segurança de TI de uma organização conheça os detalhes precisos dos SDKs usados para criar os aplicativos que os funcionários podem colocar em seus dispositivos, eles devem estar cientes de que a maneira como os aplicativos são criados pode ter sua própria segurança oculta. Por enquanto, pode-se supor que elementos usados mesmo dentro de um aplicativo de segurança sejam todos seguros, como visto na vulnerabilidade acima nos aplicativos pré-instalados do Xiaomi, isso está longe de ser o caso”.

A única defesa contra esses tipos de ameaças ocultas e obscuras é garantir que a quantidade de dispositivos móveis da sua organização esteja protegida contra potenciais ataques Man-in-the-Middle.

“O Check Point SandBlast Mobile detectaria e evitaria tais ataques, eliminando assim as possíveis ameaças causadas pelo uso de vários SDKs no mesmo aplicativo”, conclui Bortoloni.

Microsoft pagou US$ 2M em bug bounty

A Microsoft pagou mais de US$ 2 milhões em prêmios para recompensar pesquisadores de segurança em seus programas de bug bounty. Ontem, a empresa anunciou uma série de melhorias nos programas, segundo ela “para melhor atender à comunidade de pesquisa de segurança”. As mudanças anunciadas são as seguintes:

Revisão mais rápida das inscrições

A partir de janeiro de 2019, os programas Cloud, Windows e Azure DevOps concedem as recompensas logo após serem concluídas a reprodução e a avaliação de cada envio. Não será preciso esperar até que a correção final seja publicada. “Encurtar o tempo desde a apresentação até a determinação do prêmio é apenas uma maneira de obter recompensas para os pesquisadores mais rapidamente”, diz o comunicado.

Pagamentos de recompensa mais rápidos, com mais opções de pagamento

Uma vez que o envio de vulnerabilidades tenha sido qualificado para o pagamento de recompensa, “queremos garantir que ele ocorra rapidamente. A Microsoft está em parceria com a HackerOne para o processamento de pagamentos de recompensas e suporte para oferecer prêmios de recompensas de forma eficiente e com mais opções, como PayPal, moeda criptográfica ou transferência bancária direta em mais de 30 moedas. O HackerOne também oferece suporte a doações de prêmios e de caridade. Além disso, os prêmios de recompensas da Microsoft processados ​​por meio do HackerOne contribuirão para a pontuação geral de reputação do pesquisador na plataforma HackerOne. Para saber mais sobre nossa nova parceria com a HackerOne, confira nossa página de perguntas frequentes“.

Os relatórios de vulnerabilidade ainda devem ser enviados diretamente para o Centro de Respostas de Segurança da Microsoft  em secure@microsoft.com. Não envie relatórios de vulnerabilidades em produtos e serviços da Microsoft para o HackerOne. À medida que aceleramos nossas avaliações de recompensas, pedimos que os pesquisadores continuem a trabalhar conosco para proteger os clientes e seguir as diretrizes de Divulgação Coordenada de Vulnerabilidades.

Aumento de prêmios e escopo

A Microsoft está recompensando mais pelos relatórios de vulnerabilidade em vários programas de recompensa; em janeiro de 2019, “aumentamos os principais níveis de prêmios de US$ 15.000 para US$ 50.000 na recompensa do Windows Insider Preview e de US$ 15.000 para US$ 20.000 no programa Microsoft Cloud Bounty, que inclui Azure, O365 e outros serviços on-line. Também expandimos o escopo da recompensa da nuvem e continuaremos a expandir o escopo e as recompensas em nossos programas ao longo do ano. Volte regularmente para novas áreas de pesquisa e siga-nos no Twitter para anúncios de programas de recompensas”.

Nova política para duplicatas

Historicamente, relatórios externos de vulnerabilidades conhecidas internamente foram recompensados ​​com 10% do prêmio de recompensa oficial, pois o relatório não nos informou sobre um problema novo e anteriormente desconhecido. Mas entender o que pesquisadores externos são capazes de descobrir é um insight valioso e queremos recompensar os pesquisadores por suas contribuições sempre que pudermos. Portanto, atualizamos nossa política de envios duplicados. O primeiro pesquisador a reportar uma vulnerabilidade elegível para recompensa receberá o prêmio de recompensa total elegível, mesmo que seja conhecido internamente. Não há alterações em nossa política em relação a relatórios externos duplicados da mesma vulnerabilidade.

A Microsoft está comprometida em melhorar seus Programas de Recompensa e fortalecer nossa parceria com a comunidade de pesquisa de segurança, e estou ansioso para compartilhar mais atualizações e melhorias nos próximos meses. Como sempre, se você tiver alguma dúvida ou preocupação sobre o processo, entre em contato pelo e-mail msrclistens@microsoft.com.”

Hacker brasileiro é condenado e vai para a cadeia nos EUA

Um brasileiro identificado como Billy Ribeiro Anderson, citado também como Anderson Albuquerque em seu processo, foi condenado a ficar três meses na cadeia em Nova York por ter desfigurado sites de interesse do governo dos EUA. Utilizando o apelido de “Alfabeto Virtual”, Anderson foi identificado como o autor de aproximadamente 11 mil desfigurações de sites hospedados em vários países, principalmente EUA e Brasil. Seu advogado chegou a fazer um pedido para que ele não fosse preso mas o juiz resolveu prendê-lo para “enviar uma mensagem” a outros ‘hackers’.

As desfigurações que o mandaram para a cadeia foram duas: nos sites do Centro de Combate ao Terrorismo da Academia Militar do Exército em West Point, e na controladoria de finanças de Nova York. Anderson tem 42 anos e mora em Torrance, Califórnia. Depois dos ataques, ele andou contando seus feitos em um fórum de hackers. Mas quando derrubou o site do controller da cidade de Nova York por quase dois dias em 2015, deixando seu pseudônimo no site, e invadiu outro pertencente à academia militar West Point no ano seguinte, as autoridades decidiram pegá-lo.

Anderson foi condenado a pagar um total de US$ 12.804 para cobrir os custos de correção dos sites do governo. Notando que ele havia expressado remorso por suas ações, a juíza distrital de Manhattan, Laura Swain, deu a ele muito menos tempo na prisão do que os 12 a 18 meses que o promotor havia recomendado.

Anderson pediu desculpas por suas ações e disse que o julgamento lhe deu uma pausa para pensar. O caso foi notável pelo nível de rancor entre os procuradores do governo e os advogados de Anderson. Em um dos autos, seu advogado se queixou de que “um dos aspectos mais intrigantes do pleito do governo é seu tom e seu tom francamente vingativo”. Isso não é surpresa: um dos promotores do governo disse ao tribunal que Anderson se ofereceu para cooperar a fim de reduzir sua sentença prometendo informações sobre outros hackers, incluindo suas identidades reais. Mas nenhuma das informações que ele forneceu levou a novos casos ou prisões, explicou o promotor.

Além dos três meses na prisão, Anderson está condenado a três anos de liberdade supervisionada e a 200 horas de serviço comunitário.