MS nega vazamento mas manda PF investigar

Em nota oficial enviada ao Ciso Advisor, o Ministério da Saúde informou que concluiu a análise dos dados supostamente vazados do SUS e divulgados pelo hacker Tr3v0r. Segundo a nota, “não há indícios que as informações disponibilizadas são de origem da base de dados da pasta”.

O Ciso Advisor enviou à assessoria de imprensa do Ministério apenas duas perguntas.

1) Sendo a denúncia classificada como falsa pelo MS, por que precisou ser “encaminhada para a Polícia Federal para investigação criminal”?

Resposta: “O Ministério da Saúde é uma entidade que zela pelos direitos do cidadão, mesmo que os dados não tenham sido extraídos de uma base da pasta, o ato ainda constitui crime quando afeta a terceiros que não deveriam ser expostos. Assim, esta pasta preza por encaminhar as denúncias de quaisquer tipos de crime à Polícia Federal, para que as mesmas possam ser investigadas”.

2) Como a classificação de “falso o suposto vazamento” se baseou em “análise preliminar realizada pela pasta”, há outras análises em andamento?

Resposta: “A análise foi concluída e não há indícios que as informações disponibilizadas são de origem da base de dados da pasta”.

Ataque mira clientes de Uber e de 6 bancos

Clientes do Bradesco, Santander, Banco do Brasil, Caixa Econômica, Sicredi e Banco Inter – além de Paypal, PagSeguro, Netflix, Uber e Gmail – são os alvos de uma campanha lançada por hackers contra roteadores especialmente no Brasil. O ataque, detalhado pelo pesquisador Mihai Vasilescu, principal engenheiro de segurança da Ixia (empresa que fornece serviços de visibilidade de tráfego), tem o objetivo de invadir os roteadores e substituir o DNS original por um DNS dos atacantes. Feito isso, o usuário poderá digitar corretamente o endereço do banco que quer visitar, por exemplo, mas cairá numa página especialmente preparada pelos bandidos. Uma página idêntica, mas que irá capturar os dados de acesso ao banco.

Vasilescu conta que desde 29 de março de 2019 o centro de aplicativos e inteligência de ameaças da Ixia monitora os ataques contra os roteadores, mas essa campanha vem sendo desenvolvida desde 29 de dezembro. “Hoje, 5 de abril, capturamos uma nova onda de ataques que usam um servidor DNS diferente”, disse em seu blog. Os principais roteadores sob ataque, segundo ele, são os seguintes:

  • D-Link DSL
  • DSLink 260E
  • ARG-W4 ADSL
  • Secutech
  • TOTOLINK

Os endereços de DNS maliciosos inseridos nos roteadores são

  • 195.128.124.150 – primário
  • 195.128.124.181 – secundário
  • 195.128.124.131 – primário
  • 195.128.126.165 – secundário

O pesquisador da Ixia informa que aparentemente a campanha ainda está no início, porque algumas páginas não ficaram prontas e vários sites não estão utilizando ainda https. “Estamos em 2019 e a Internet ainda é um lugar perigoso. No entanto, precauções simples podem reduzir muitos riscos on-line. É bom conferir se nossos roteadores estão atualizados e sem  expor a interface do administrador on-line. Além disso, tenha cuidado extra ao acessar sites importantes, principalmente bancários. Certifique-se de que as conexões sejam HTTPS, verifique o certificado. Tudo isso é importante para garantir que, ao inserir suas credenciais, elas não cheguem para outra pessoa”.

Bayer confirma invasão da sua rede

O grupo Bayer foi espionado por hackers de um grupo chamado “Winnti”, segundo reportagem do portal alemão BR. Software malicioso desses hackers esteve presente na rede do grupo até o final de março. Segundo a publicação, o grupo “Winnti” deve agir em nome do estado chinês. Tanto especialistas em segurança de TI quanto autoridades de segurança alemãs assumem isso. Supõe-se que o mesmo grupo também tenha se infiltrado no grupo Thyssenkrupp em 2016.

A Bayer confirmou que os hackers conseguiram penetrar na rede do grupo: “Nosso Centro de Defesa Cibernética detectou no início de 2018 sinais de infecções do Winnti e lançou uma extensa análise”, indformou a empresa ao portal. Não foi possível descobrir desde quando os hackers estavam ativos na rede da Bayer. “Se uma empresa descobre que possui o malware Winnti em uma ou mais máquinas, fica claro que é um ataque direcionado”, afirmou Andreas Rohr, diretor de tecnologia da Organização Alemã de Segurança Cibernética (DCSO). O órgão foi fundado em 2015 por várias empresas, incluindo a Bayer, e esteve envolvida na investigação da ação. Rohr disse que as empresas têm de se perguntar “qual é o tamanho do comprometimento, ou seja, da infestação em toda a rede”.

Segundo a Bayer, os hackers do grupo “Winnti” infectaram “sistemas na interface da intranet para a Internet e sistemas de autorização”. A Bayer afirma que não há “evidências de perda de dados”. Um sistema infectado com o malware “Winnti foi encontrado por jornalistas do portal BR com a ajuda de uma varredura de rede. Eles em seguida, avisaram o grupo. No final de março, os sistemas foram limpos, diz a Bayer: “Até este ponto, de acordo com nossas descobertas, os atacantes não tomaram medidas para desviar informações.”

De acordo com informações do portal, pelo menos três empresas alemãs foram contaminadas com o malware do Winnti desde o começo do ano. O Departamento Federal de Segurança da Informação (BSI), responsável pela segurança de TI na Alemanha, avisou que as ameaças no ciberespaço estão em nível elevado para a economia alemã.

 

Hackers anunciam invasão do site Hospital das Clínicas

Aviso no site do HC até as 13h de hoje

Dois hackers publicaram há 36 horas informações alegando que invadiram cinco servidores http relacionados à Faculdade de Medicina da Universidade de São Paulo. As informações, se confirmadas,  indicam que os cinco servidores têm vulnerabilidades graves. Um deles, o do Hospital das Clínicas da USP, esteve inoperante pelo menos até as 13h30 de hoje para o público externo, com uma tela avisando “site em manutenção”; o servidor que atende, entre outros departamentos, o de Psiquiatria, em http://hcnet.usp.br, estava desconectado da Internet.

O Cisoadvisor entrou em contato por telefone e por e-Mail com a assessoria de imprensa do Hospital das Clínicas, solicitando esclarecimentos para a manutenção do site do HC e para o downtime do hcnet. O retorno foi dado por e-Mail às 21h06, com a seguinte nota: “O HCFMUSP informa que houve uma tentativa de invasão a seu site, mas a própria estrutura de segurança do HC impediu o acesso a dados sensíveis da instituição, como informações sobre pacientes. O próprio HCFMUSP retirou momentaneamente sua página do ar para garantir a segurança e avaliar detalhadamente a tentativa de ataque”. A home page do hospital continua exibindo, neste momento, a tela “site em manutenção” com apenas um link em funcionamento, conduzindo à página de resultados de exames.

Em posts nos sites Zone-H e Pastebin, dois hackers publicaram informações indicando que comprometeram os seguintes servidores:

  • http://www.hc.fm.usp.br
  • http://hcnet.usp.br
  • http://autoatendimento.hc.fm.usp.br
  • http://resultados.hc.fm.usp.br
  • http://cirurgiaconvenio.hc.fm.usp.br

Nos posts foram publicados detalhes supostamente desses servidores, entre os quais os nomes de 111 tabelas, os nomes de quatro colunas de uma dessas tabelas, com indicação do tipo de dado contido, além de uma lista de 22 usuários do sistema, com seu número de matricula, nome do usuário e senha, tudo em texto aberto. Os três últimos servidores estavam em operação quando fizemos a consulta ao endereço. Em todos, contudo, hove desfiguração, publicada no Zone-H.

Os hackers publicaram ainda detalhes de sistema operacional e gerenciador de banco de dados, incluindo a sua versão.

Pesquisa mostra negligência total em senhas


O pesquisador de segurança brasileiro Renato Borbolla colecionou 211 mil pares de logins e senhas vazados na Internet e começou a examinar a natureza do conteúdo, principalmente das senhas. As descobertas que ele fez indicam não só descaso mas, principalmente, negligência dos usuários em relação ao assunto. Um dos indicadores está na lista das dez senhas mais utilizadas. Assista a entrevista e entenda a pesquisa.

Senha Repetição %
123456 825 0,39%
password 454 0,21%
barosan 348 0,16%
ilshofen0926 236 0,11%
123456789 223 0,11%
withoutu 223 0,11%
qaz123 207 0,10%
12345678 191 0,09%
qwerty 171 0,08%
football 149 0,07%

Kaspersky explica o LockerGoga

O ransomware LockerGoga já está sendo detectado pela maioria dos produtos de segurança de endpoint –  segundo o site Virustotal. Mas no dia 8 de Março esse malware passou por 67 deles sem qualquer detecção. Essa informação foi prestada pelo especialista em segurança inglês Kevin Beaumont. Ele avisou no Twitter que “apesar de [ter ocorrido] um ataque usando o LockerGoga na Altran (34.000 funcionários) em janeiro, a grande maioria dos produtos anti-malware de segurança de endpoint não estava conseguindo detectá-lo. Ao enviar uma amostra para o VirusTotal, ele não foi detectado por nenhum dos 67 produtos disponíveis”. Para o especialista, essa teria sido uma das causas pelas quais o malware não foi detectado na Norsk Hydro (e agora na Hexion).

O Cisoadvisor consultou a Kaspersky sobre o assunto e a empresa enviou a seguinte explicação: “A detecção por assinatura dessa ameaça foi lançada em 9 de Março, porém nossos produtos já bloqueavam esta ameaça por meio da tecnologia System Watcher. O papel desta tecnologia é executar o bloqueio proativo contra ataques de ransomware. Aproveitando a oportunidade do Norsk Hydro, uma solução dedicada de segurança para infraestrutura crítica industrial é altamente recomendada. Com relação à alegação de que a maioria das soluções de segurança não detectava o ransomware LockerGoga, gostaríamos de esclarecer dois pontos:

  1. Uso do serviço VirusTotal: essa análise não representam 100% da detecção de uma ameaça. Os resultados do VirusTotal são uma referência e não uma conclusão ou avaliação comparativa de performance da detecção de um produto. Vários fatores estão relacionados a isso, porém o mais importante é que os produtos usados dentro do VirusTotal são versões simplificadas para a plataforma, que está preparada para rodar em linha de comando. O VirusTotal não conta com a versão mais recente das soluções, que contam ainda com outras tecnologias de proteção. Para mais detalhes sobre este ponto, recomendamos que consulte o link a seguir: https://support.virustotal.com/hc/en-us/articles/115002094589-Why-do-not-you-include-statistics-comparing-antivirus-performance-
  2. Assinatura Digital: o ransomware LockerGoga conta com uma assinatura digital, que faz com que alguns produtos de segurança não detectem a ameaça, justamente porque software assinado digitalmente costuma ter uma reputação de software limpo. Podemos afirmar que este certificado não impacta a detecção dos nossos produtos, pois já se tornou corriqueiro realizar varreduras em arquivos assinados digitalmente, visto que essa técnica tem sido amplamente abusada e usada por cibercriminosos no mundo todo, inclusive sendo usada em malware brasileiro (exemplo de um encontrado por nós em 2012).

 

Dump expõe 263 credenciais do PagSeguro

Tem um dump de credenciais do PagSeguro aberto na Internet: são 263 credenciais contendo logins, senhas, saldo e outros dados. É possível verificar que em algumas contas as senhas já foram trocadas, mas em muitas elas continuam válidas, funcionando. No entanto, não é possível verificar de onde elas foram obtidas. O dump foi feito no Pastebin dia 15, ou seja, uma semana atrás, por um usuário não identificado. No mesmo dia houve um dump de código de uma API do PagSeguro, mas essa página foi removida. Apesar disso, o código continuava aberto esta noite no cache do Google, permitindo que fosse explorado.

Hacker fazem dump (despejo ou descarte) de material por algumas poucas razões; uma é vingança, quando por exemplo alguém deixa de pagar o que eles cobraram pelos dados capturados. Outra razão é fazer propaganda, utilizando o dump como uma espécie de amostra do que eles têm disponível para vender. É uma forma de marketing do cibercrime.

Tem um dump curioso ainda neste mês – na verdade um doxing: alguém baixou um XML com dados do senhor Olavo de Carvalho, mencionado pela mídia como “guru” do atual governo.

O conselho para todos os que têm credencial do Pagseguro é o mesmo de sempre: troque a senha. E troque de novo daqui a uma semana.

 

 

Como um ransomware pegou a Norsk Hydro pelo AD

Alerta sobre o problema na entrada da empresa

Hoje é sexta-feira, são 5 da tarde no Brasil e 9 da noite em Oslo, capital da Noruega. Na sede da Norsk Hydro, empresa com mais de 100 anos e 35 mil funcionários, tem um monte de gente trabalhando (embora isso não seja um hábito nos países nórdicos). Essas pessoas estão tentando desatar o nó causado pelo ransomware que atacou a empresa na terça-feira passada. 

Já são quatro dias de batalha e a empresa admite que ainda não é possível determinar quando as operações retornarão à normalidade. Como também é cedo para avaliar os exatos impactos financeiro e operacional. A Hydro é um dos maiores produtores de alumínio do mundo e um impacto em sua produção se reflete na estratégia industrial de muitos países. Inclusive do Brasil. Aqui, a Hydro tem uma operação em Barcarena (PA) chamada Alunorte, onde processa bauxita e produz alumina. Segundo a empresa, a produção da Alunorte não foi prejudicada e ela opera dentro da normalidade.

Ataque direcionado

Gente do mundo inteiro está trabalhando para resolver o problema já que a Hydro decidiu não gastar nenhum centavo de Euro para pagar os criminosos, até porque ela é uma empresa que tem ações na bolsa e não pode se curvar desse jeito ao crime. As primeiras suspeitas indicam que esse ataque foi cuidadosamente planejado para a Norsk Hydro e por isso há policiais noruegueses e da Europol investigando o assunto.

Na minha modesta opinião, o problema não é só da Norsk Hydro. A dimensão dele tem alcance global e deve causar enorme preocupação em todas as corporações, independente do tamanho que tenham.

Nenhum antivírus pegou

O fato de ter sido contaminada pelo ransomware Lockeroga não implica qualquer descuido ou negligência da empresa. Esse mesmo ransomware atacou uma companhia francesa em Janeiro, e ainda não se sabe como ele entrou na Hydro. Mas já é possível afirmar que ele não estava sendo detectado por nenhum antivírus ou qualquer outra solução de proteção de endpoint.

Essa revelação foi feita pelo especialista inglês Kevin Beaumont no dia 8 de Março. Ele capturou uma amostra desse ransomware e enviou ao Virustotal para verificar que solução podia detectá-lo. Descobriu nesse momento que NENHUMA das 67 soluções detectava aquele código. Ele conta que comentou isso no Twitter, que discutiu o assunto com outras pessoas e tentou entrar em contato, sem sucesso, com fabricantes de antivírus para fazer um alerta. Mas não conseguiu, conforme revelou no seu Twitter.

Num artigo que escreveu para o portal Doublepulsar, publicado na manhã de hoje,  ele conta que todos os sistemas atingidos pelo LockerGoga tinham quatro características-chaves: 1) todos rodavam Microsoft Windows; 2) todos os arquivos, incluindo alguns de sistemas, foram criptografados; 3) todas as interfaces de rede nos sistemas foram desabilitadas; e 4) foram alteradas as senhas em todas as contas de usuários locais.

Office 365 salvou

Apesar de os sistemas estarem comprometidos, a empresa continuou se comunicando por e-mail porque utiliza o Office 365 e portanto essa parte não foi afetada. Para comunicação com o público externo foi utilizada a página da empresa no Facebook, já que o seu site ficou fora do ar. A seguir foi levantado um site temporário na nuvem Azure, da Microsoft. Depois, o DNS foi movido para o Cloudflare, para ficar protegido de DDoS.

O certificado digital utilizado para assinar o ransomware, segundo Kevin, havia sido usado para assinar também outros códigos maliciosos. Nesse caso, ele foi emitido para uma empresa que tinha um capital de apenas uma libra. Depois de ser informada desse fato a autoridade certificadora revogou o certificado é claro.

Cópia foi feita pelo AD

Pela análise do especialista inglês, o LockerGoga não tem código apropriado para se reproduzir ou se propagar. Quer dizer que não pode se auto-replicar numa rede como outros ransomwares como o WannaCry ou o Notpetya.

A hipótese de Belmont é que para isso os atacantes buscaram obter credenciais do AD, o Active Directory dos servidores Windows. É possível, segundo ele, que tenham sido usados tarefas ou serviços agendados. Uma vez dentro da rede, ele supõe, seria necessário ter privilégios de administrador de domínio para fazer o ataque. Normalmente, nas empresas e isso é extremamente fácil segundo o especialista, simplesmente pescando logins fora da memória utilizando o software Mimikatz. Ou pegando senhas do Active Directory Group Policy Preferences, que ele supõe estarem nos arquivos XML, “na verdade a ‘carne-de-vaca’ dos Red Teams”.

Como quer que tenha ocorrido, afirma Kevin, os criminosos tinham  a administração do domínio. Estando nessa condição, segundo ele, é possível colocar o executável num local onde todos os sistemas da organização possam alcançá-lo, e com a vantagem de os firewalls das organizações normalmente aceitarem todo o tráfego interno.

Proteção de endpoind

Feito isso, supõe Kevin, o ataque estava resolvido, mas poderia ser bloqueado por qualquer solução de proteção de endpoint. Só que elas não tinham a informação para deter o LockerGoga.

Segundo Kevin Beaumont, uma das possibilidades é também colocar o arquivo num Domain Controller, dentro da pasta de share do NETLOGON, debaixo do SYSVOL, que é replicado dentro de todos os sites de um controlador de domínio. Depois, pode-se usar uma política de grupo (como a criação de tarefas agendadas) para automaticamente iniciar o executável do LockerGoga.

A seguir, qualquer laptop, desktop e servidor conectado ao Active Directory executa o software malicioso, afirma  o especialista.

 

Reality show usava spy cams em motéis

A polícia da Coreia prendeu os membros de uma gangue que resolveu capturar imagens íntimas de casais em motéis e com elas fazer um reality show, cobrando de quem quisesse ver as cenas. O crime durou quatro meses, iniciados em novembro do ano passado. Os criminosos transmitiram as imagens utilizando 42 câmeras instaladas em 30 motéis de duas cidades no sul do país. A polícia estima que foram filmados 1.600 casais.

As câmeras foram instaladas dentro de tomadas elétricas e também de receptores de TV a cabo. As câmeras demoraram ser descobertas porque as lentes têm apenas um milímetro de diâmetro. O streaming era transmitido por meio de servidores instalados fora do país. O site aberto pela gangue para proporcionar acesso aos “assinantes” tinha cerca de 4 mil usuários registrados e vendeu 809 vídeos, faturando o equivalente a US$ 6.200.

Replay

Entre os usuários, havia 97 que pagavam US$ 45 mensais para ter acesso a recursos extras como, por exemplo, fazer o replay de trechos do streaming.

As autoridades coreanas confirmaram que casos desse tipo já aconteceram antes. Recentemente, a mídia coreana informou que o cantor de K-pop Jung Joon-young  estava utilizando também spy cams para gravar cenas íntimas com suas namoradas e distribuindo os vídeos a seus amigos. Esse fato elevou as vendas de detectores de câmeras espiãs em todo o país.

Em setembro do ano passado, o governo coreano fez uma campanha de varredura em todos os banheiros públicos do país para descobrir se havia câmeras espiãs instaladas. Atualmente a justiça coreana está dobrando a pena aplicada aos envolvidos nesses crimes.

Ransomware fisga fabricante global de alumínio

A empresa Norsk Hydro, décimo maior produtor de alumínio do mundo e segunda maior empresa em número de funcionários na Noruega, ainda não se recuperou do ataque do ransomware LockerGoga, anunciado terça-feira. No seu comunicado de hoje sobre o assunto, a empresa diz que “com uma abordagem sistemática, nossos especialistas estão, passo a passo, restaurando funções críticas de TI para garantir produção estável, atender nossos clientes e limitar o impacto financeiro. A raiz dos problemas foi detectada, uma cura foi identificada e, juntamente com parceiros externos, incluindo autoridades de segurança nacional, os especialistas da Hydro estão trabalhando para reverter os sistemas infectados por vírus para um estado pré-infectado”. 

Gravidade

Não está escrito mas todo mundo consegue ler o seguinte: a encrenca foi MUITO feia e o conserto ainda pode demorar, mesmo a empresa tendo um plano de recuperação de desastres, conforme é reconhecido por especialistas. Foi um azar da nova CEO Hilde Merete Aasheim, que tomou posse dia 15. 

Os problemas se tornaram públicos às 8:30 da manhã de terça-feira, quando a empresa fez a comunicação do fato à bolsa de valores de Oslo, admitindo que “os sistemas de TI na maioria das áreas de negócios estão afetados e a Hydro está mudando as operações para o modo manual, tanto quanto possível”. Na terça-feira ainda houve mais três comunidados de atualização para os investidores descrevendo a situação e uma entrevista coletiva conjunta do CFO da empresa, Eivind Kallevik, e da CSO da Hydro. Eles admitiram que a situação era bastante grave e que por isso os sistemas da Noruega haviam sido isolados para não contaminarem os das outras operações. Entre elas as operações da brasileira Alunorte, em Barcarena, Pará. Daquele momento em diante, grande parte da operação da Hydro passou a ser feita manualmente, porque o religamento de sistemas ampliava o risco de contaminação.

Foi pelo AD

Segundo o especialista Kevin Beaumont, o LockerGoga atacou em janeiro a empresa de enegenharia francesa Altran e provavelmente se espalhou com a ajuda do Active Directory. “Pensando como um invasor, se você tiver em mãos o administrador de domínio, coloca o ‘.exe’ na pasta ‘Netlogon’ e ele se propaga automaticamente para cada Controlador de Domínio. Em seguida, cria uma política de grupo (GPO) para ser executada em cada PC e servidor no nível superior”.

Apesar da gravidade da situação, a diretoria e o conselho da Rádio decidiram não pagar o resgate pedido pelo ransomware.

No seu relatório anual de 2018, publicado seis dias antes (quarta-feira da semana passada), a Hydro coloca os cyber ataques em oitavo lugar na lista dos maiores riscos reconhecidos para a operação da companhia. No mesmo documento, a empresa informa que em 2018 foi intensificado o treinamento dos funcionários para ficarem alertas aos ciberataques.