Ransomware ataca e criptografa instalações Samba

Um vírus que opera como ransomware chamado NamPoHyu (ou MegaLocker) está atacando instalações desprotegidas do Samba pelo mundo inteiro. As pessoas que fazem os ataques desta vez estão buscando serviços Samba desprotegidos e remotamente criptografam o conteúdo desses servidores. Uma busca peita pelo Cisoadvisor no Shodan revela que só no Brasil existem 46.947 instalações desprotegidas. No mundo inteiro existem neste momento 523.487 instalações desprotegidas, muitas já atacadas. Os países com mais instalações Samba desprotegidas, pela ordem são Rússia, Brasil, Itália, EUA e Emirados Árabes.

[box type=”info” style=”rounded” border=”full”]O Samba é um pacote de software de código aberto que roda em plataformas baseadas em Unix / Linux, mas é capaz de se comunicar com clientes Windows como um aplicativo nativo do Windows. O Samba faz esse serviço empregando o CIFS (Common Internet File System). Na essência do CIFS está o protocolo SMB (Server Message Block). [/box]

Esse malware foi detectado pela primeira vez em Março deste ano, depois de usuários reclamarem que seus armazenamentos NAS foram repentinamente criptografados. Depois de concluir o processo de criptografia, o malware renomeia os arquivos com a extensão .crypted e cria uma nota de resgate num arquivo chamado DECRYPT_INSTRUCTION.TXT. O texto contém instruções para contato com alexshkipper @ mail [.] Ru. A nota pede à vítima em potencial que envie uma foto de aniversário, feriado, passatempos ou algum outro evento pessoal. Se a vítima for um usuário pessoa física, o valor do resgate será de US$ 250; para empresas o valor é de US$ 1000.

 

 

MS nega vazamento mas manda PF investigar

Em nota oficial enviada ao Ciso Advisor, o Ministério da Saúde informou que concluiu a análise dos dados supostamente vazados do SUS e divulgados pelo hacker Tr3v0r. Segundo a nota, “não há indícios que as informações disponibilizadas são de origem da base de dados da pasta”.

O Ciso Advisor enviou à assessoria de imprensa do Ministério apenas duas perguntas.

1) Sendo a denúncia classificada como falsa pelo MS, por que precisou ser “encaminhada para a Polícia Federal para investigação criminal”?

Resposta: “O Ministério da Saúde é uma entidade que zela pelos direitos do cidadão, mesmo que os dados não tenham sido extraídos de uma base da pasta, o ato ainda constitui crime quando afeta a terceiros que não deveriam ser expostos. Assim, esta pasta preza por encaminhar as denúncias de quaisquer tipos de crime à Polícia Federal, para que as mesmas possam ser investigadas”.

2) Como a classificação de “falso o suposto vazamento” se baseou em “análise preliminar realizada pela pasta”, há outras análises em andamento?

Resposta: “A análise foi concluída e não há indícios que as informações disponibilizadas são de origem da base de dados da pasta”.

Hacker anuncia: 205M de registros do SUS vazados

Um hacker chamado Tr3v0r anunciou que o sistema de informações do SUS está expondo por meio de uma API todos os dados médicos da população brasileira. O vazamento é da ordem de 205 milhões de registros. Ontem à tarde, o hacker expôs para download uma amostra com cerca de 2,4 milhões de registros num endereço da Internet.  Os registros têm muitos detalhes: nome completo, nome da mãe, endereços, números de CPF e datas de nascimento. Segundo informado pelo hacker ao UOL, o SUS foi avisado do problema em 29 de março, mas nada foi feito. Segundo o UOL essa informação não foi confirmada pelo Ministério da Saúde.

Segundo o portal DefCOn Lab, Tr3v0r na verdade já havia anunciado em fevereiro que esses dados estavam expostos. A publicação questiona como seria a atuação da Autoridade Nacional de Proteção de Dados (ANPD) nesse caso.

O vazamento foi indicado ao Cisoadvisor pelos especialistas Mateus Veras e Lipe Hifram.

Cryptominers na disputa pelo seu processador

Qual o país mais perigoso do mundo em termos de ciberameaças?

Resposta: a Etiópia.

E o menos perigoso? O Quirguistão.

Esses dois estão nos extremos de um ranking de 149 países elaborado pela divisão de Inteligência de Ameaças da Check Point, com dados obtidos durante o mês de março deste ano. E você quer saber onde nós ficamos nessa lista? Estamos em 99o lugar. Quer dizer que tem 98 países piores do que nós. E que tem 50 melhores.

Índice global

O Índice Global de Ameaças da Check Point revela também que embora os serviços de mineração de criptomoeda, como o Coinhive, tenham fechado, os criptomineradores ainda são os malwares mais predominantes nas organizações em todo o mundo. Conforme anunciado no mês passado, tanto Coinhive quanto Authedmine pararam seus serviços de mineração no dia 8 de março. Por causa disso, pela primeira vez – desde dezembro de 2017 – o Coinhive caiu da primeira posição. Mas, apesar de ter operado apenas oito dias em março, ainda era o sexto malware mais comum afetando as organizações. No seu auge, o Coinhive impactou 23% das organizações em todo o mundo.

Atualmente, muitos sites ainda possuem o JavaScript Coinhive e, mesmo sem atividade de mineração, os pesquisadores da Check Point avisam que o Coinhive pode ser reativado se o valor do Monero (criptomoeda de código aberto) aumentar. Como opção, outros serviços de mineração podem aumentar sua atividade para aproveitar a ausência do Coinhive.

Durante o mês de março, três dos cinco principais malwares predominantes foram criptomineradores: Cryptoloot, XMRig e JSEcoin. O Cryptoloot liderou o Índice de Ameaças pela primeira vez, seguido de perto pelo Emotet, o trojan modular. Ambos tiveram um impacto global de 6%. O XMRig é o terceiro malware mais popular que afeta 5% das organizações em todo o mundo.

Mais cryptominers a caminho

De acordo com Maya Horowitz, diretora de Inteligência de Ameaças e Pesquisa da Check Point, “com os valores de criptomoedas caindo em geral desde 2018, veremos mais criptomineradores para navegadores seguindo os passos do Coinhive e cessando a operação”. “No entanto, suspeito que os criminosos virtuais encontrarão formas de ganhar com atividades de criptomineiração mais robustas, utilizando ambientes em nuvem para mineração, em que o recurso interno de dimensionamento automático permite a criação de um criptograma maior de criptografia. Vimos organizações pagando centenas de milhares de dólares a seus provedores de serviços em nuvem pelos recursos de computação usados ​​ilicitamente pelos criptomineradores. Esta é uma chamada de ação para as organizações protegerem seus ambientes de nuvem”, reforça Maya.

Os três principais malwares de março de 2019:

*As setas estão relacionadas à mudança na classificação em comparação com o mês anterior.

↑Cryptoloot – Criptominerador que usa o poder de CPU ou GPU da vítima e os recursos existentes para a criptomineiração, adicionando transações ao blockchain e liberando nova moeda. É um concorrente do Coinhive, oferecendo uma porcentagem menor de receita de sites.
↑ Emotet – Trojan avançado, autopropagado e modular. Emotet costumava a ser empregado como um Trojan bancário, e recentemente está sendo usado como um distribuidor para outras campanhas maliciosas ou malware. Ele usa vários métodos para manter as técnicas de persistência e evasão para evitar a detecção. Além disso, pode ser espalhado através de e-mails de phishing contendo anexos ou links maliciosos.
↑ XMRig – Software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda do Monero e visto pela primeira vez, em tempo real, em maio de 2017.

Neste índice mensal, o Hiddad foi o malware mais predominante em dispositivos móveis, substituindo o Lotoor em primeiro lugar na lista dos principais softwares móveis. O Triada permanece em terceiro lugar.

Os três principais malwares para dispositivos móveis de março:

1.   Hiddad – Malware Android que reempacota aplicativos legítimos e os lança em uma loja de terceiros. Sua principal função é exibir anúncios, mas também é capaz de obter acesso aos principais detalhes de segurança incorporados ao sistema operacional, permitindo que um atacante obtenha dados confidenciais do usuário.
2. Lotoor- Ferramenta hack que explora vulnerabilidades no sistema operacional Android, a fim de obter privilégios de root em dispositivos móveis comprometidos.
3. Triada – Backdoor modular para Android que concede privilégios de superusuário ao malware baixado, ajudando a incorporar-se aos processos do sistema. Triada também foi visto falsificando URLs carregados no navegador.

Os pesquisadores da Check Point também analisaram as vulnerabilidades cibernéticas mais exploradas. O CVE-2017-7269 ainda está liderando as vulnerabilidades mais exploradas, com um impacto global de 44%. A divulgação de informações do repositório Git do servidor Web está em segundo lugar, com o OpenSSL TLS DTLS Heartbeat Information Disclosure em terceiro, o que afeta 40% das organizações em todo o mundo.

As três vulnerabilidades mais exploradas de março:

↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Enviando uma solicitação criada em uma rede para o Microsoft Windows Server 2003 R2 por meio do Microsoft Internet Information Services 6.0, um atacante remoto pode executar código arbitrário ou causar uma negação de condições de serviço no servidor de destino. Isso se deve principalmente a uma vulnerabilidade de estouro de buffer resultante da validação inadequada de um cabeçalho longo na solicitação HTTP.
↑ Web Server Exposed Git Repository Information Disclosure- Uma vulnerabilidade de divulgação de informações foi relatada no repositório do Git. A exploração bem-sucedida desta vulnerabilidade pode permitir uma divulgação não intencional de informações da conta.
↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Existe uma vulnerabilidade de divulgação de informações no OpenSSL. A vulnerabilidade é devida a um erro ao manipular pacotes de heartbeat do TLS/DTLS. Um atacante pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.

 

Bayer confirma invasão da sua rede

O grupo Bayer foi espionado por hackers de um grupo chamado “Winnti”, segundo reportagem do portal alemão BR. Software malicioso desses hackers esteve presente na rede do grupo até o final de março. Segundo a publicação, o grupo “Winnti” deve agir em nome do estado chinês. Tanto especialistas em segurança de TI quanto autoridades de segurança alemãs assumem isso. Supõe-se que o mesmo grupo também tenha se infiltrado no grupo Thyssenkrupp em 2016.

A Bayer confirmou que os hackers conseguiram penetrar na rede do grupo: “Nosso Centro de Defesa Cibernética detectou no início de 2018 sinais de infecções do Winnti e lançou uma extensa análise”, indformou a empresa ao portal. Não foi possível descobrir desde quando os hackers estavam ativos na rede da Bayer. “Se uma empresa descobre que possui o malware Winnti em uma ou mais máquinas, fica claro que é um ataque direcionado”, afirmou Andreas Rohr, diretor de tecnologia da Organização Alemã de Segurança Cibernética (DCSO). O órgão foi fundado em 2015 por várias empresas, incluindo a Bayer, e esteve envolvida na investigação da ação. Rohr disse que as empresas têm de se perguntar “qual é o tamanho do comprometimento, ou seja, da infestação em toda a rede”.

Segundo a Bayer, os hackers do grupo “Winnti” infectaram “sistemas na interface da intranet para a Internet e sistemas de autorização”. A Bayer afirma que não há “evidências de perda de dados”. Um sistema infectado com o malware “Winnti foi encontrado por jornalistas do portal BR com a ajuda de uma varredura de rede. Eles em seguida, avisaram o grupo. No final de março, os sistemas foram limpos, diz a Bayer: “Até este ponto, de acordo com nossas descobertas, os atacantes não tomaram medidas para desviar informações.”

De acordo com informações do portal, pelo menos três empresas alemãs foram contaminadas com o malware do Winnti desde o começo do ano. O Departamento Federal de Segurança da Informação (BSI), responsável pela segurança de TI na Alemanha, avisou que as ameaças no ciberespaço estão em nível elevado para a economia alemã.

 

Toyota comunica invasão da rede em Tóquio

A Toyota está na mira dos hackers: depois de uma invasão da sua operação na Austrália em fevereiro, agora é a vez do Japão. A empresa publicou sexta-feira um comunicado informando que os dados de 3,1 milhões de clientes podem ter vazado. O que aconteceu na verdade é que houve acesso não autorizado na rede das subsidiárias em Tóquio, as quais dão acesso a um servidor que armazena dados de clientes.

A empresa afirma que não foram expostos dados de cartões de crédito mas há outras informações sensíveis que podem ter vazado. Por enquanto, a Toyota admite somente que houve acesso não-autorizado na rede, sem confirmar o vazamento dos dados.

Em fevereiro, o ataque paralisou o site da empresa em Melbourne e outros todos os outros meios de comunicação, inclusive sua rede telefônica e seu servidor de e-Mails.

O comunicado da Toyota diz o seguinte:

Aviso da possibilidade de vazamento de informações do cliente em nossos revendedores da área de Tóquio

Em 21 de março de 2019, nossas subsidiárias de vendas Toyota Tokyo Holdings, Tokyo Motor, Toyopet, Toyota Corolla, Redes Toyota Tokyo, além das empresas Lexus Koishikawa Sales, Jamil Shoji (Lexus Nerima) e Toyota Oeste Tóquio Corolla registraram acesso não-autorizado à rede e a um servidor conectado à rede. Descobriu-se que até 3,1 milhões de itens de informações de clientes podem ter vazado para fora da empresa. As informações que podem ter vazado desta vez não incluem informações sobre cartões de crédito.

Não confirmamos neste momento o fato de que informações do cliente vazaram, mas continuaremos a conduzir pesquisas detalhadas, priorizando a segurança e a segurança do cliente.

Pedimos desculpas a todos que estiveram usando veículos Toyota e Lexus pela grande preocupação.

Levamos essa situação a sério e implementaremos medidas de segurança da informação nas concessionárias e em todo o Grupo Toyota.

Pesquisadores alertam: brecha nas motherboards

Uma ferramenta de testes não-documentada, disponível nos chipsets da Intel, pode ser abusada a ponto de exibir todo o conteúdo de um computador. A ferramenta se chama Intel VISA, fica dentro do Platform Controller Hub da motherboard e foi descoberta por pesquisadores da Positive Technologies, que tem sede em Boston. Eles fizeram um relato sobre o assunto no evento BlackHat Asia. A ferramenta, segundo eles, pode ser abusada pelo uso de vulnerabilidades existentes previamente. Os pesquisadores alegam que isso pode ser utilizado por malfeitores, dando a eles acesso completo a todos os dados de um dispositivo afetado.

Essa tecnologia é chamada de Visualização da Arquitetura de Sinais Internos (VISA). Ela é utilizada na fase de testes, durante a fabricação, e por isso não é documentada. Maxim Goryachy e Mark Ermolo, os pesquisadores de segurança da Positive, disseram em sua palestra quinta-feira passada que o VISA pode ser acessado e abusado para captura de dados da CPU, por meio de uma série de vulnerabilidades descobertas previamente na tecnologia da Intel.

“Nós pesquisamos esta tecnologia inicialmente não como modo de ataque, mas como uma ferramenta poderosa e útil para investigar o funcionamento interno dos chips”, disseram os pesquisadores. “Tínhamos acesso físico à plataforma e trabalhando com o VISA fizemos nossas experiências. Não estávamos pensando nele do ponto de vista do atacante e não temos como dar mais vetores [de ataque], apesar desse acesso físico”.

Segundo os pesquisadores, o Intel VISA é desabilitado por default nos sistemas comerciais. Mas eles encontraram várias maneiras de ativar essa tecnologia. Isso permitiu que parcialmente tivessem acesso à arquitetura interna do platform Controller Hub e, de dentro desse chip, tivessem acesso a dados críticos.

A Intel informou que já mitigou as vulnerabilidades mencionadas e que poderiam ser abusadas pelo VISA. Segundo a empresa, esse problema, como discutido no Blackhat, se baseia em acesso físico a uma vulnerabilidade mitigada e abordada no INTEL-SA-00086, de 20 de novembro de 2017. Numa declaração sobre o assunto, a Intel informou que clientes que aplicaram esta mitigação estão protegidos dos vetores conhecidos. Os pesquisadores informaram a Intel sobre o VISA em novembro de 2018. Eles disseram que as correções informadas pela empresa são insuficientes para proteger o Chipset das vulnerabilidades em relação ao VISA.

 

Hackers anunciam invasão do site Hospital das Clínicas

Aviso no site do HC até as 13h de hoje

Dois hackers publicaram há 36 horas informações alegando que invadiram cinco servidores http relacionados à Faculdade de Medicina da Universidade de São Paulo. As informações, se confirmadas,  indicam que os cinco servidores têm vulnerabilidades graves. Um deles, o do Hospital das Clínicas da USP, esteve inoperante pelo menos até as 13h30 de hoje para o público externo, com uma tela avisando “site em manutenção”; o servidor que atende, entre outros departamentos, o de Psiquiatria, em http://hcnet.usp.br, estava desconectado da Internet.

O Cisoadvisor entrou em contato por telefone e por e-Mail com a assessoria de imprensa do Hospital das Clínicas, solicitando esclarecimentos para a manutenção do site do HC e para o downtime do hcnet. O retorno foi dado por e-Mail às 21h06, com a seguinte nota: “O HCFMUSP informa que houve uma tentativa de invasão a seu site, mas a própria estrutura de segurança do HC impediu o acesso a dados sensíveis da instituição, como informações sobre pacientes. O próprio HCFMUSP retirou momentaneamente sua página do ar para garantir a segurança e avaliar detalhadamente a tentativa de ataque”. A home page do hospital continua exibindo, neste momento, a tela “site em manutenção” com apenas um link em funcionamento, conduzindo à página de resultados de exames.

Em posts nos sites Zone-H e Pastebin, dois hackers publicaram informações indicando que comprometeram os seguintes servidores:

  • http://www.hc.fm.usp.br
  • http://hcnet.usp.br
  • http://autoatendimento.hc.fm.usp.br
  • http://resultados.hc.fm.usp.br
  • http://cirurgiaconvenio.hc.fm.usp.br

Nos posts foram publicados detalhes supostamente desses servidores, entre os quais os nomes de 111 tabelas, os nomes de quatro colunas de uma dessas tabelas, com indicação do tipo de dado contido, além de uma lista de 22 usuários do sistema, com seu número de matricula, nome do usuário e senha, tudo em texto aberto. Os três últimos servidores estavam em operação quando fizemos a consulta ao endereço. Em todos, contudo, hove desfiguração, publicada no Zone-H.

Os hackers publicaram ainda detalhes de sistema operacional e gerenciador de banco de dados, incluindo a sua versão.

1 milhão de ASUS podem estar com backdoor

Talvez sejam só 57 mil (só????) Mas pode chegar a um milhão o número de notebooks da ASUS contaminados com um backdoor. A descoberta foi feita por pesquisadores da Kaspersky e publicada ontem. Segundo eles, “um agente de ameaças modificou o ASUS Live Update Utility, que fornece BIOS, UEFI e atualizações de software para laptops e desktops ASUS, adicionou uma backdoor no utilitário e o distribuiu aos usuários por meio de canais oficiais”.

O utilitário contaminado, segundo relatório da Kaspersky, foi assinado com um certificado legítimo e hospedado no servidor oficial de atualizações da ASUS. Isso permitiu que ele permanecesse sem ser detectado por um longo tempo. Os criminosos conseguiram inclusive fazer com que o tamanho do utilitário malicioso fosse idêntico ao original.

Hoje pela manhã, a ASUS emitiu um comunicado que começa classificando o incidente como um problema internacional: “Ataques de Ameaça Persistente Avançada (Advanced Persistent Threat – APT) são ataques em nível nacional geralmente iniciados por alguns países específicos, visando certas organizações ou entidades internacionais em vez de consumidores”. A empresa minimizou o problema, dizendo que “num pequeno número de dispositivos foi implantado código malicioso através de um ataque sofisticado em nossos servidores Live Update, em uma tentativa de atingir um grupo de usuários muito pequeno e específico. O atendimento ao cliente da ASUS entrou em contato com os usuários afetados e proporcionou assistência para garantir que os riscos de segurança sejam removidos”.

Mais de 57.000 usuários da Kaspersky instalaram o utilitário, mas a empresa estima que ele foi distribuído para cerca de 1 milhão de pessoas. O ataque começou na primeira metade do ano passado e foi descoberto pela Kaspersky em janeiro. O comunicado da ASUS diz que o problema foi corrigido na última versão do Live Update, que agora há criptografia de ponta a ponta na comunicação dos dispositivos com o servidor e uma ferramentas de verificação de segurança foi disponibilizada para os clientes determinarem se o seu PC foi afetado.

 

Venezuela pode estar sob ataque cyber?

Um especialista familiarizado com os dispositivos de infraestrutura crítica ligados à Internet não descarta: é possível que a rede de distribuição de energia elétrica da Venezuela esteja sendo atingida por ataques cibernéticos. Desde o início da tarde de hoje falta energia elétrica na capital e nas principais regiões do país. O fato acontece exatamente duas semanas depois da queda de energia que já paralisou a Venezuela por uma semana. O presidente Nicolás Maduro afirma, desde esse último blackout, que se trata de um ataque cibernético.

João Teles, o “c4pt4in”, um conhecedor das plataformas de IoT Shodan e Zoomeye, acha que é cedo para dizer se é ou não um ataque, mas não descarta essa possibilidade. Em entrevista para o Ciso Advisor, ele afirmou que com essas plataformas é possível observar dispositivos de controle da infraestrutura. Ele acha que o problema na Venezuela pode estar sendo causado inclusive por um novo vírus, “no estilo do que atacou a Ucrânia em dezembro de 2015. No caso da Ucrânia, o sistema de gerenciamento remoto foi atacado e os técnicos tiveram de ir no local e operar de lá. Já nesse caso da Venezuela, por que não conseguem operar no local? Ou se ja foram, esse vírus é de fato muito poderoso”, comenta o especialista.

Segundo ele, há muitos dispositivos de controle conectados à internet, parte deles sem nenhum tipo de segurança, permitindo a entrada inclusive com login e senha padrão. O especialista conta que é possível localizar dispositivos vulneráveis inclusive em empresas do setor elétrico do Brasil. Quando perguntado se acha que essas vulnerabilidades podem ser exploradas a ponto de perturbar o fornecimento de energia elétrica para uma cidade ou para um bairro, ele respondeu que sim. “Com toda certeza. Pode acontecer um ataque e alterar-se tudo na distribuição. Um atacante pode restringir o acesso para si, fazendo com que a equipe de manutenção tenha que reiniciar todo o sistema”.

Em termos de sistemas de controle industrial e de internet das coisas, ele acha que o Brasil ainda é “muito novo, e tudo é muito novo. Não conheço mais que três empresas que fazem teste de penetração em infraestrutura críticas. E constantemente vejo algum dispositivo sem proteção alguma ou desatualizado”, comenta.

O Shodan mostra vulnerabilidades em dispositivos de todo tipo, diz o especialista. “Já vi de tudo nesse Shodan, desde roteadores residenciais até tanques de combustiveis. Mas também tem sistemas de link de satélites e sistemas de Rapidlogger” (controles para a indústria de óleo e gás). Já vi desprotegidos também casas automatizadas, sistemas de energia eólica, sistemas de distribuição de energia, de lava jato e pasme: carregador elétrico de carros da Tesla”.