Como mensagens podem ser roubadas no Telegram?

Criptografia dribla justiça americana em 9 casosA força-tarefa da Lava-Jato do Ministério Público Federal (MPF) no Paraná veio a público recentemente informar que as investidas criminosas contra celulares de autoridades de diferentes instituições da República continuam a ocorrer com o claro objetivo de atacar a operação Lava Jato.  
 
A Avast (LSE:AVST), líder em produtos de segurança digital, avalia o cenário e estima diferentes maneiras sobre como o vazamento de dados no Telegram pode ocorrer. De acordo com o Evangelista em Segurança da Avast, Luis Corrons, no caso do atual ministro da justiça, uma das hipóteses é que alguém tenha infectado o telefone de Sergio Moro com um spyware de ferramenta de acesso remoto (RAT). Isto pode acontecer, por exemplo, quando um SMS é enviado para o telefone da vítima, enganando o usuário para clicar em um link que aciona o download do spyware em segundo plano.
 
Outra suposição é que o celular de Moro não tenha sido protegido com um PIN forte e alguém tenha tido acesso ao telefone, fisicamente, para instalar o spyware.
 
O vazamento de chat de grupo privado é ainda mencionado por Corrons. “Vimos um caso na Espanha, onde vazou um chat de um grupo privado do Telegram, pertencente ao partido político de extrema esquerda do país, o Podemos. Nesta situação, aparentemente alguém roubou o telefone de um dos membros e copiou todas as mensagens do grupo”, diz Luis Corrons. “No entanto, parece improvável que isso tenha acontecido com a autoridade no Brasil, já que não havia apenas mensagens de bate-papo, mas também gravações de áudio, vídeos e fotos vazadas”, completou.
 
Além disso, até agora, o site The Intercept Brasil em nenhum momento disse que o material publicado foi adquirido fruto de um ataque cibernético.
 
Como garantir que o vazamento de dados em aplicativos não aconteça?
 
Use senhas fortes: Para proteger o telefone contra espiões, os usuários devem, em primeiro lugar, garantir o uso de uma senha forte no dispositivo. Sem essa primeira camada de segurança em vigor, qualquer pessoa que acessar o telefone do usuário poderá acessar os aplicativos e os dados armazenados nele.
 
Instale um gerenciador de senhas: Se uma pessoa mal-intencionada tiver acesso à senha do usuário, ela poderá tentar utilizar essa senha para acessar outras contas nas quais o usuário está inscrito. Em geral, as pessoas devem usar senhas exclusivas. Os usuários não devem facilitar essas pesquisas, incluindo, potencialmente, referências da pessoa parceira. A melhor prática é usar um gerenciador de senhas para criar senhas exclusivas e difíceis de serem violadas. Um gerenciador de senhas lembra todas as senhas do usuário. Outra opção é usar frases complexas e memoráveis ou “frases sigilosas”, que os usuários sejam capazes de lembrar.
 
Defina um código de acesso, ID de toque ou identificação de rosto: As pessoas devem definir um código de acesso, que apenas elas conheçam e, simplesmente, digitem esse código antes de utilizarem o telefone. “Para os dispositivos que permitem isso, a pessoa pode definir um “ID de toque”, o qual desbloqueia o celular em resposta à sua impressão digital ou, então, definir uma “identificação de rosto” que libera o telefone para uso quando a câmera frontal do aparelho reconhecer o usuário”, destaca o executivo.
 
Nunca clique em links: As pessoas devem evitar clicar em links que recebem via SMS, mensagem de texto ou e-mail, pois podem ser phishing, induzindo a vítima a inserir seus dados pessoais ou baixar um aplicativo malicioso.
 
Instale um aplicativo de segurança: Freqüentemente, o spyware requer o acesso root de um telefone, para acessar dados sigilosos do usuário como fotos, vídeos e gravações telefônicas. As pessoas precisam estar atentas se um aplicativo solicitar permissão para obter esse acesso total. Para uma segurança completa, deve-se usar um aplicativo de segurança que detecte e bloqueie spywares e outros malwares.

Cryptominers na disputa pelo seu processador

Qual o país mais perigoso do mundo em termos de ciberameaças?

Resposta: a Etiópia.

E o menos perigoso? O Quirguistão.

Esses dois estão nos extremos de um ranking de 149 países elaborado pela divisão de Inteligência de Ameaças da Check Point, com dados obtidos durante o mês de março deste ano. E você quer saber onde nós ficamos nessa lista? Estamos em 99o lugar. Quer dizer que tem 98 países piores do que nós. E que tem 50 melhores.

Índice global

O Índice Global de Ameaças da Check Point revela também que embora os serviços de mineração de criptomoeda, como o Coinhive, tenham fechado, os criptomineradores ainda são os malwares mais predominantes nas organizações em todo o mundo. Conforme anunciado no mês passado, tanto Coinhive quanto Authedmine pararam seus serviços de mineração no dia 8 de março. Por causa disso, pela primeira vez – desde dezembro de 2017 – o Coinhive caiu da primeira posição. Mas, apesar de ter operado apenas oito dias em março, ainda era o sexto malware mais comum afetando as organizações. No seu auge, o Coinhive impactou 23% das organizações em todo o mundo.

Atualmente, muitos sites ainda possuem o JavaScript Coinhive e, mesmo sem atividade de mineração, os pesquisadores da Check Point avisam que o Coinhive pode ser reativado se o valor do Monero (criptomoeda de código aberto) aumentar. Como opção, outros serviços de mineração podem aumentar sua atividade para aproveitar a ausência do Coinhive.

Durante o mês de março, três dos cinco principais malwares predominantes foram criptomineradores: Cryptoloot, XMRig e JSEcoin. O Cryptoloot liderou o Índice de Ameaças pela primeira vez, seguido de perto pelo Emotet, o trojan modular. Ambos tiveram um impacto global de 6%. O XMRig é o terceiro malware mais popular que afeta 5% das organizações em todo o mundo.

Mais cryptominers a caminho

De acordo com Maya Horowitz, diretora de Inteligência de Ameaças e Pesquisa da Check Point, “com os valores de criptomoedas caindo em geral desde 2018, veremos mais criptomineradores para navegadores seguindo os passos do Coinhive e cessando a operação”. “No entanto, suspeito que os criminosos virtuais encontrarão formas de ganhar com atividades de criptomineiração mais robustas, utilizando ambientes em nuvem para mineração, em que o recurso interno de dimensionamento automático permite a criação de um criptograma maior de criptografia. Vimos organizações pagando centenas de milhares de dólares a seus provedores de serviços em nuvem pelos recursos de computação usados ​​ilicitamente pelos criptomineradores. Esta é uma chamada de ação para as organizações protegerem seus ambientes de nuvem”, reforça Maya.

Os três principais malwares de março de 2019:

*As setas estão relacionadas à mudança na classificação em comparação com o mês anterior.

↑Cryptoloot – Criptominerador que usa o poder de CPU ou GPU da vítima e os recursos existentes para a criptomineiração, adicionando transações ao blockchain e liberando nova moeda. É um concorrente do Coinhive, oferecendo uma porcentagem menor de receita de sites.
↑ Emotet – Trojan avançado, autopropagado e modular. Emotet costumava a ser empregado como um Trojan bancário, e recentemente está sendo usado como um distribuidor para outras campanhas maliciosas ou malware. Ele usa vários métodos para manter as técnicas de persistência e evasão para evitar a detecção. Além disso, pode ser espalhado através de e-mails de phishing contendo anexos ou links maliciosos.
↑ XMRig – Software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda do Monero e visto pela primeira vez, em tempo real, em maio de 2017.

Neste índice mensal, o Hiddad foi o malware mais predominante em dispositivos móveis, substituindo o Lotoor em primeiro lugar na lista dos principais softwares móveis. O Triada permanece em terceiro lugar.

Os três principais malwares para dispositivos móveis de março:

1.   Hiddad – Malware Android que reempacota aplicativos legítimos e os lança em uma loja de terceiros. Sua principal função é exibir anúncios, mas também é capaz de obter acesso aos principais detalhes de segurança incorporados ao sistema operacional, permitindo que um atacante obtenha dados confidenciais do usuário.
2. Lotoor- Ferramenta hack que explora vulnerabilidades no sistema operacional Android, a fim de obter privilégios de root em dispositivos móveis comprometidos.
3. Triada – Backdoor modular para Android que concede privilégios de superusuário ao malware baixado, ajudando a incorporar-se aos processos do sistema. Triada também foi visto falsificando URLs carregados no navegador.

Os pesquisadores da Check Point também analisaram as vulnerabilidades cibernéticas mais exploradas. O CVE-2017-7269 ainda está liderando as vulnerabilidades mais exploradas, com um impacto global de 44%. A divulgação de informações do repositório Git do servidor Web está em segundo lugar, com o OpenSSL TLS DTLS Heartbeat Information Disclosure em terceiro, o que afeta 40% das organizações em todo o mundo.

As três vulnerabilidades mais exploradas de março:

↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Enviando uma solicitação criada em uma rede para o Microsoft Windows Server 2003 R2 por meio do Microsoft Internet Information Services 6.0, um atacante remoto pode executar código arbitrário ou causar uma negação de condições de serviço no servidor de destino. Isso se deve principalmente a uma vulnerabilidade de estouro de buffer resultante da validação inadequada de um cabeçalho longo na solicitação HTTP.
↑ Web Server Exposed Git Repository Information Disclosure- Uma vulnerabilidade de divulgação de informações foi relatada no repositório do Git. A exploração bem-sucedida desta vulnerabilidade pode permitir uma divulgação não intencional de informações da conta.
↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Existe uma vulnerabilidade de divulgação de informações no OpenSSL. A vulnerabilidade é devida a um erro ao manipular pacotes de heartbeat do TLS/DTLS. Um atacante pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.

 

São Paulo: honeypot na AWS sofre 13 ataques/minuto

Instale um honeypot em um AWS de São Paulo e outros em mais nove cidades de outros países, também em AWS. Agora adivinhe qual o honeypot atacado primeiro. Se você respondeu São Paulo, acertou. A experiência foi feita pela Sophos, que apresentou ontem os resultados no relatório Cloud Honeypot. O relatório mostra que depois de apenas 52 segundos os cibercriminosos atacaram o honeypot de São Paulo. Foram 13 ataques por minuto nesse servidor.

Os honeypots foram instalados em dez centros de dados da Amazon Web Services (AWS) em vários locais, incluindo: Califórnia, Frankfurt, Irlanda, Londres, Mumbai, Ohio, Paris, São Paulo, Cingapura e Sydney.

[box]Um honeypot é um sistema ou componente de hardware ou software usado como “armadilha” ou “isca” para fins de proteção contra ataques cibernéticos. É frequentemente usado para monitorar o comportamento dos hackers.[/box]

Os honeypots foram monitorados por 30 dias e a análise da Sophos descobriu que mais de 5 milhões de ataques foram feitos sobre a rede honeypot global, demonstrando como os criminosos virtuais verificam automaticamente as plataformas de nuvem mais fracas. Se conseguirem ter acesso, as empresas que usam essas plataformas podem ser vítimas do roubo de dados confidenciais. Os cibercriminosos também usam servidores em nuvem violados como base para acessar outros servidores ou redes.

O relatório da Sophos identifica as ameaças enfrentadas pelas empresas que migram para plataformas híbridas e em nuvem. A velocidade e o tamanho dos ataques aos honeypots mostram como os cibercriminosos são insistentes em suas atividades e confirmam que os botnets costumam a ser usados para atingir as plataformas de nuvem da empresa. As empresas precisam de uma estratégia de segurança para proteger o que estão confiando à nuvem”, disse Matthew Boddy, especialista em segurança da Sophos. “A questão da visibilidade e segurança nas plataformas de nuvem é um grande desafio comercial e, à medida que a migração na nuvem aumenta, continuará sendo predominante.”

 

Agora o alvo é a nuvem

Saiu o 14o relatório anual da Netscout sobre Segurança de Infraestrutura em nível mundial. O subtítulo do documento é “Cloud in the Crosshairs”, ou seja, a nuvem agora é o alvo. Nesta entrevista, Geraldo Guazzelli, diretor geral da Netscout no Brasil, explica os destaques do documento, principalmente os detalhes que indicam grandes riscos para empresas no Brasil.

Clique no link para baixar o “NETSCOUT’s 14 th Annual Worldwide Infrastructure Security Report”.  

O país, segundo ele, é um “heavy user” de Internet, por causa, principalmente, do tamanho da população. Mas nas sua opinião os destaques da falta de segurança apontados no relatório são decorrentes da necessidade de desenvolver aplicações com tempo limitado, resultando numa segurança fraca ou inexistente.

“Podemos fazer uma analogia: em nosso país temos uma preocupação exagerada com a segurança física, mas em segurança da informação muito pouco conhecimento adequado e falta de planejamento, levando a uma total ausência de políticas de segurança. Associado a isso temos investimentos reduzidos. Considero até que a falta de conhecimento é o pior aspescto. Porque se a pessoa não conhece o risco por que vai se precaver?”, pergunta Guazelli

Uma das ameaças que mais vem crescendo e prejudicando empresas, detalha Guazelli, é o DDoS. Isso tem levado empresas a sofrer com ‘downtime’. E como mostra o relatório, o Brasil tem alguns dos custos mais elevados do mundo para esse tipo de incidente. “Isso é causado pela falta de politicas de proteção. Vemos os segmentos financeiro e e-commerce serem afetados, mas há muitos outros”, comenta.

Um dos setores em grande risco, lembra o diretor da Netscout, é o de medicina. “Já existe uma grande discussao sobre o atendimendo médico remoto e sobre o controle dos equipamentos médicos nos hospitais. Eles estão sujeitos a ameaças e podem até ser desligados remotamente”, afirma.

“Isso é um fato constante”, detalha Guazelli. “Porque os firewalls e IPs guardam conexões ativas, atuando para dar uma certa segurança. Mas onde guardam essas conexões? Em tabelas de estado. Então, agora as tabelas são o alvo. Uma tabela tem limites. Quando se satura a tabela, o dispositivo que a controla fica paralisado e quando acontece isso e a infra da empresa se torna indisponível. Hoje, a única alternativa de DDoS que te permite estar protegido são as soluções que não dependem do controle de conexao”, completa.

No panorama brasileiro, a situação é prejudicada, ainda, pela escassez de mão-de-obra, acrescenta Guazelli. “E o tamanho da demanda está aumentando”.

Ataque mira clientes de Uber e de 6 bancos

Clientes do Bradesco, Santander, Banco do Brasil, Caixa Econômica, Sicredi e Banco Inter – além de Paypal, PagSeguro, Netflix, Uber e Gmail – são os alvos de uma campanha lançada por hackers contra roteadores especialmente no Brasil. O ataque, detalhado pelo pesquisador Mihai Vasilescu, principal engenheiro de segurança da Ixia (empresa que fornece serviços de visibilidade de tráfego), tem o objetivo de invadir os roteadores e substituir o DNS original por um DNS dos atacantes. Feito isso, o usuário poderá digitar corretamente o endereço do banco que quer visitar, por exemplo, mas cairá numa página especialmente preparada pelos bandidos. Uma página idêntica, mas que irá capturar os dados de acesso ao banco.

Vasilescu conta que desde 29 de março de 2019 o centro de aplicativos e inteligência de ameaças da Ixia monitora os ataques contra os roteadores, mas essa campanha vem sendo desenvolvida desde 29 de dezembro. “Hoje, 5 de abril, capturamos uma nova onda de ataques que usam um servidor DNS diferente”, disse em seu blog. Os principais roteadores sob ataque, segundo ele, são os seguintes:

  • D-Link DSL
  • DSLink 260E
  • ARG-W4 ADSL
  • Secutech
  • TOTOLINK

Os endereços de DNS maliciosos inseridos nos roteadores são

  • 195.128.124.150 – primário
  • 195.128.124.181 – secundário
  • 195.128.124.131 – primário
  • 195.128.126.165 – secundário

O pesquisador da Ixia informa que aparentemente a campanha ainda está no início, porque algumas páginas não ficaram prontas e vários sites não estão utilizando ainda https. “Estamos em 2019 e a Internet ainda é um lugar perigoso. No entanto, precauções simples podem reduzir muitos riscos on-line. É bom conferir se nossos roteadores estão atualizados e sem  expor a interface do administrador on-line. Além disso, tenha cuidado extra ao acessar sites importantes, principalmente bancários. Certifique-se de que as conexões sejam HTTPS, verifique o certificado. Tudo isso é importante para garantir que, ao inserir suas credenciais, elas não cheguem para outra pessoa”.

Bayer confirma invasão da sua rede

O grupo Bayer foi espionado por hackers de um grupo chamado “Winnti”, segundo reportagem do portal alemão BR. Software malicioso desses hackers esteve presente na rede do grupo até o final de março. Segundo a publicação, o grupo “Winnti” deve agir em nome do estado chinês. Tanto especialistas em segurança de TI quanto autoridades de segurança alemãs assumem isso. Supõe-se que o mesmo grupo também tenha se infiltrado no grupo Thyssenkrupp em 2016.

A Bayer confirmou que os hackers conseguiram penetrar na rede do grupo: “Nosso Centro de Defesa Cibernética detectou no início de 2018 sinais de infecções do Winnti e lançou uma extensa análise”, indformou a empresa ao portal. Não foi possível descobrir desde quando os hackers estavam ativos na rede da Bayer. “Se uma empresa descobre que possui o malware Winnti em uma ou mais máquinas, fica claro que é um ataque direcionado”, afirmou Andreas Rohr, diretor de tecnologia da Organização Alemã de Segurança Cibernética (DCSO). O órgão foi fundado em 2015 por várias empresas, incluindo a Bayer, e esteve envolvida na investigação da ação. Rohr disse que as empresas têm de se perguntar “qual é o tamanho do comprometimento, ou seja, da infestação em toda a rede”.

Segundo a Bayer, os hackers do grupo “Winnti” infectaram “sistemas na interface da intranet para a Internet e sistemas de autorização”. A Bayer afirma que não há “evidências de perda de dados”. Um sistema infectado com o malware “Winnti foi encontrado por jornalistas do portal BR com a ajuda de uma varredura de rede. Eles em seguida, avisaram o grupo. No final de março, os sistemas foram limpos, diz a Bayer: “Até este ponto, de acordo com nossas descobertas, os atacantes não tomaram medidas para desviar informações.”

De acordo com informações do portal, pelo menos três empresas alemãs foram contaminadas com o malware do Winnti desde o começo do ano. O Departamento Federal de Segurança da Informação (BSI), responsável pela segurança de TI na Alemanha, avisou que as ameaças no ciberespaço estão em nível elevado para a economia alemã.

 

Microsoft pagou US$ 2M em bug bounty

A Microsoft pagou mais de US$ 2 milhões em prêmios para recompensar pesquisadores de segurança em seus programas de bug bounty. Ontem, a empresa anunciou uma série de melhorias nos programas, segundo ela “para melhor atender à comunidade de pesquisa de segurança”. As mudanças anunciadas são as seguintes:

Revisão mais rápida das inscrições

A partir de janeiro de 2019, os programas Cloud, Windows e Azure DevOps concedem as recompensas logo após serem concluídas a reprodução e a avaliação de cada envio. Não será preciso esperar até que a correção final seja publicada. “Encurtar o tempo desde a apresentação até a determinação do prêmio é apenas uma maneira de obter recompensas para os pesquisadores mais rapidamente”, diz o comunicado.

Pagamentos de recompensa mais rápidos, com mais opções de pagamento

Uma vez que o envio de vulnerabilidades tenha sido qualificado para o pagamento de recompensa, “queremos garantir que ele ocorra rapidamente. A Microsoft está em parceria com a HackerOne para o processamento de pagamentos de recompensas e suporte para oferecer prêmios de recompensas de forma eficiente e com mais opções, como PayPal, moeda criptográfica ou transferência bancária direta em mais de 30 moedas. O HackerOne também oferece suporte a doações de prêmios e de caridade. Além disso, os prêmios de recompensas da Microsoft processados ​​por meio do HackerOne contribuirão para a pontuação geral de reputação do pesquisador na plataforma HackerOne. Para saber mais sobre nossa nova parceria com a HackerOne, confira nossa página de perguntas frequentes“.

Os relatórios de vulnerabilidade ainda devem ser enviados diretamente para o Centro de Respostas de Segurança da Microsoft  em secure@microsoft.com. Não envie relatórios de vulnerabilidades em produtos e serviços da Microsoft para o HackerOne. À medida que aceleramos nossas avaliações de recompensas, pedimos que os pesquisadores continuem a trabalhar conosco para proteger os clientes e seguir as diretrizes de Divulgação Coordenada de Vulnerabilidades.

Aumento de prêmios e escopo

A Microsoft está recompensando mais pelos relatórios de vulnerabilidade em vários programas de recompensa; em janeiro de 2019, “aumentamos os principais níveis de prêmios de US$ 15.000 para US$ 50.000 na recompensa do Windows Insider Preview e de US$ 15.000 para US$ 20.000 no programa Microsoft Cloud Bounty, que inclui Azure, O365 e outros serviços on-line. Também expandimos o escopo da recompensa da nuvem e continuaremos a expandir o escopo e as recompensas em nossos programas ao longo do ano. Volte regularmente para novas áreas de pesquisa e siga-nos no Twitter para anúncios de programas de recompensas”.

Nova política para duplicatas

Historicamente, relatórios externos de vulnerabilidades conhecidas internamente foram recompensados ​​com 10% do prêmio de recompensa oficial, pois o relatório não nos informou sobre um problema novo e anteriormente desconhecido. Mas entender o que pesquisadores externos são capazes de descobrir é um insight valioso e queremos recompensar os pesquisadores por suas contribuições sempre que pudermos. Portanto, atualizamos nossa política de envios duplicados. O primeiro pesquisador a reportar uma vulnerabilidade elegível para recompensa receberá o prêmio de recompensa total elegível, mesmo que seja conhecido internamente. Não há alterações em nossa política em relação a relatórios externos duplicados da mesma vulnerabilidade.

A Microsoft está comprometida em melhorar seus Programas de Recompensa e fortalecer nossa parceria com a comunidade de pesquisa de segurança, e estou ansioso para compartilhar mais atualizações e melhorias nos próximos meses. Como sempre, se você tiver alguma dúvida ou preocupação sobre o processo, entre em contato pelo e-mail msrclistens@microsoft.com.”

Pesquisadores alertam: brecha nas motherboards

Uma ferramenta de testes não-documentada, disponível nos chipsets da Intel, pode ser abusada a ponto de exibir todo o conteúdo de um computador. A ferramenta se chama Intel VISA, fica dentro do Platform Controller Hub da motherboard e foi descoberta por pesquisadores da Positive Technologies, que tem sede em Boston. Eles fizeram um relato sobre o assunto no evento BlackHat Asia. A ferramenta, segundo eles, pode ser abusada pelo uso de vulnerabilidades existentes previamente. Os pesquisadores alegam que isso pode ser utilizado por malfeitores, dando a eles acesso completo a todos os dados de um dispositivo afetado.

Essa tecnologia é chamada de Visualização da Arquitetura de Sinais Internos (VISA). Ela é utilizada na fase de testes, durante a fabricação, e por isso não é documentada. Maxim Goryachy e Mark Ermolo, os pesquisadores de segurança da Positive, disseram em sua palestra quinta-feira passada que o VISA pode ser acessado e abusado para captura de dados da CPU, por meio de uma série de vulnerabilidades descobertas previamente na tecnologia da Intel.

“Nós pesquisamos esta tecnologia inicialmente não como modo de ataque, mas como uma ferramenta poderosa e útil para investigar o funcionamento interno dos chips”, disseram os pesquisadores. “Tínhamos acesso físico à plataforma e trabalhando com o VISA fizemos nossas experiências. Não estávamos pensando nele do ponto de vista do atacante e não temos como dar mais vetores [de ataque], apesar desse acesso físico”.

Segundo os pesquisadores, o Intel VISA é desabilitado por default nos sistemas comerciais. Mas eles encontraram várias maneiras de ativar essa tecnologia. Isso permitiu que parcialmente tivessem acesso à arquitetura interna do platform Controller Hub e, de dentro desse chip, tivessem acesso a dados críticos.

A Intel informou que já mitigou as vulnerabilidades mencionadas e que poderiam ser abusadas pelo VISA. Segundo a empresa, esse problema, como discutido no Blackhat, se baseia em acesso físico a uma vulnerabilidade mitigada e abordada no INTEL-SA-00086, de 20 de novembro de 2017. Numa declaração sobre o assunto, a Intel informou que clientes que aplicaram esta mitigação estão protegidos dos vetores conhecidos. Os pesquisadores informaram a Intel sobre o VISA em novembro de 2018. Eles disseram que as correções informadas pela empresa são insuficientes para proteger o Chipset das vulnerabilidades em relação ao VISA.

 

Hackers anunciam invasão do site Hospital das Clínicas

Aviso no site do HC até as 13h de hoje

Dois hackers publicaram há 36 horas informações alegando que invadiram cinco servidores http relacionados à Faculdade de Medicina da Universidade de São Paulo. As informações, se confirmadas,  indicam que os cinco servidores têm vulnerabilidades graves. Um deles, o do Hospital das Clínicas da USP, esteve inoperante pelo menos até as 13h30 de hoje para o público externo, com uma tela avisando “site em manutenção”; o servidor que atende, entre outros departamentos, o de Psiquiatria, em http://hcnet.usp.br, estava desconectado da Internet.

O Cisoadvisor entrou em contato por telefone e por e-Mail com a assessoria de imprensa do Hospital das Clínicas, solicitando esclarecimentos para a manutenção do site do HC e para o downtime do hcnet. O retorno foi dado por e-Mail às 21h06, com a seguinte nota: “O HCFMUSP informa que houve uma tentativa de invasão a seu site, mas a própria estrutura de segurança do HC impediu o acesso a dados sensíveis da instituição, como informações sobre pacientes. O próprio HCFMUSP retirou momentaneamente sua página do ar para garantir a segurança e avaliar detalhadamente a tentativa de ataque”. A home page do hospital continua exibindo, neste momento, a tela “site em manutenção” com apenas um link em funcionamento, conduzindo à página de resultados de exames.

Em posts nos sites Zone-H e Pastebin, dois hackers publicaram informações indicando que comprometeram os seguintes servidores:

  • http://www.hc.fm.usp.br
  • http://hcnet.usp.br
  • http://autoatendimento.hc.fm.usp.br
  • http://resultados.hc.fm.usp.br
  • http://cirurgiaconvenio.hc.fm.usp.br

Nos posts foram publicados detalhes supostamente desses servidores, entre os quais os nomes de 111 tabelas, os nomes de quatro colunas de uma dessas tabelas, com indicação do tipo de dado contido, além de uma lista de 22 usuários do sistema, com seu número de matricula, nome do usuário e senha, tudo em texto aberto. Os três últimos servidores estavam em operação quando fizemos a consulta ao endereço. Em todos, contudo, hove desfiguração, publicada no Zone-H.

Os hackers publicaram ainda detalhes de sistema operacional e gerenciador de banco de dados, incluindo a sua versão.

Kaspersky explica o LockerGoga

O ransomware LockerGoga já está sendo detectado pela maioria dos produtos de segurança de endpoint –  segundo o site Virustotal. Mas no dia 8 de Março esse malware passou por 67 deles sem qualquer detecção. Essa informação foi prestada pelo especialista em segurança inglês Kevin Beaumont. Ele avisou no Twitter que “apesar de [ter ocorrido] um ataque usando o LockerGoga na Altran (34.000 funcionários) em janeiro, a grande maioria dos produtos anti-malware de segurança de endpoint não estava conseguindo detectá-lo. Ao enviar uma amostra para o VirusTotal, ele não foi detectado por nenhum dos 67 produtos disponíveis”. Para o especialista, essa teria sido uma das causas pelas quais o malware não foi detectado na Norsk Hydro (e agora na Hexion).

O Cisoadvisor consultou a Kaspersky sobre o assunto e a empresa enviou a seguinte explicação: “A detecção por assinatura dessa ameaça foi lançada em 9 de Março, porém nossos produtos já bloqueavam esta ameaça por meio da tecnologia System Watcher. O papel desta tecnologia é executar o bloqueio proativo contra ataques de ransomware. Aproveitando a oportunidade do Norsk Hydro, uma solução dedicada de segurança para infraestrutura crítica industrial é altamente recomendada. Com relação à alegação de que a maioria das soluções de segurança não detectava o ransomware LockerGoga, gostaríamos de esclarecer dois pontos:

  1. Uso do serviço VirusTotal: essa análise não representam 100% da detecção de uma ameaça. Os resultados do VirusTotal são uma referência e não uma conclusão ou avaliação comparativa de performance da detecção de um produto. Vários fatores estão relacionados a isso, porém o mais importante é que os produtos usados dentro do VirusTotal são versões simplificadas para a plataforma, que está preparada para rodar em linha de comando. O VirusTotal não conta com a versão mais recente das soluções, que contam ainda com outras tecnologias de proteção. Para mais detalhes sobre este ponto, recomendamos que consulte o link a seguir: https://support.virustotal.com/hc/en-us/articles/115002094589-Why-do-not-you-include-statistics-comparing-antivirus-performance-
  2. Assinatura Digital: o ransomware LockerGoga conta com uma assinatura digital, que faz com que alguns produtos de segurança não detectem a ameaça, justamente porque software assinado digitalmente costuma ter uma reputação de software limpo. Podemos afirmar que este certificado não impacta a detecção dos nossos produtos, pois já se tornou corriqueiro realizar varreduras em arquivos assinados digitalmente, visto que essa técnica tem sido amplamente abusada e usada por cibercriminosos no mundo todo, inclusive sendo usada em malware brasileiro (exemplo de um encontrado por nós em 2012).