Fim dos ransomwares? Projeto “solidário” oferece chaves de descriptografia para mais de 150 variantes

Ramon de Souza
, 28/07/2021 | Source: The Hack

Fim dos ransomwares? Projeto “solidário” oferece chaves de descriptografia para mais de 150 variantes

Talvez você nem saiba, mas, em 2016, antes mesmo do WannaCry colocar os ransomwares sob os holofotes, uma coalizão de órgãos públicos e empresas privadas resultou na iniciativa No More Ransom. Cinco anos depois, o programa acaba de divulgar estatísticas animadoras: eles já contam com ferramentas de descriptografia capazes de eliminar 151 famílias de ransomwares. Essas chaves já foram baixadas por mais de 6 milhões de vítimas e impediram o pagamento de US$ 900 milhões em resgate.

Atualmente o projeto é mantido pelo Serviço Europeu de Polícia (Europol) e pela Polícia Nacional Neerlandesa (Politie), com apoio das fornecedoras de soluções de segurança cibernética McAfee, Kaspersky e Barracuda, além de infraestrutura cedida gratuitamente pela Amazon Web Services (AWS). Além de conselhos de prevenção, um formulário para reportar atividades criminosas e a biblioteca de ferramentas de decifragem, o No More Ransom conta com um recurso bem legal: o Crypto Sheriff.

Funciona assim: caso você não saiba exatamente qual cepa de ransomware lhe infectou, é possível enviar uma amostra de arquivo cifrado e submeter o texto de resgate para que o sistema realize a análise. Com base no documento e nas características da nota (incluindo a carteira de criptomoedas para a qual os criminosos solicitam a transferência, o sistema lhe retorna com o nome exato do malware em questão e já lhe transfere para a biblioteca contendo a chave de decifragem correta.

Fim dos ransomwares? Projeto “solidário” oferece chaves de descriptografia para mais de 150 variantes
(Divulgação/Europol)

O No More Ransom está disponível em 37 idiomas distintos — incluindo português do Brasil. A ideia é alimentar o arquivo com um número cada vez maior de chaves, inibindo o pagamento de resgates — que, infelizmente, ainda é a atitude tomada pela maioria das empresas e usuários finais. “O conselho geral é não pagar o resgate. Ao enviar seu dinheiro para os cibercriminosos você só estará confirmando que ransomwares funcionam, mas não há nenhuma garantia de que você conseguirá a chave de decifragem em troca”, explicam os responsáveis pelo projeto.


Fonte: No More Ransom, Threatpost

Chefe de segurança do eBay é preso por perseguição e ameaças cibernéticas

Guilherme Petry
, 28/07/2021 | Source: The Hack

Chefe de segurança do eBay é preso por perseguição e ameaças cibernéticas

O ex policial, chefe de segurança do eBay, Philip Cooke, 55 anos, foi condenado a pagar uma multa de U$ 15 mil (R$ 77 mil), além de cumprir 18 meses de pena em regime fechado, por assediar um casal que publicou uma newsletter criticando a empresa. Cooke foi acusado em julho do ano passado e condenado nessa terça-feira (27).

De acordo com o Departamento de Justiça dos Estados Unidos e o The Register, junto com mais seis funcionários do eBay, Cooke ameaçou Ina e David Steiner, um casal de jornalistas blogueiros que mantém o blog e a newsletter EcommerceBytes, diversas vezes.

As ameaças começaram em setembro de 2019, quando esse grupo de funcionários do eBay ameaçou enviar insetos vivos, uma cabeça de um porco recém-nascido, uma coroa fúnebre, uma máscara de cabeça de porco e um livro sobre como lidar com a perda de um cônjuge ao casal.

Conforme indicam os documentos do processo judicial, Cooke e seus comparsas tinha ainda planos de seguir o casal em uma van preta, invadir a garagem e instalar um GPS rastreador no carro deles, além de anunciar na internet, festas e orgias no endereço deles.

Cooke confessou ter feito parte do esquema no dia 27 de outubro de 2020. Os co-autores do crime, Stephanie Popp, Veronica Zea, Brian Gilbert e Stephanie Stockwell também confessaram após o depoimento de Cooke. A justiça dos EUA continua trabalhando no processo dos outros dois envolvidos, os executivos David Harville e James Baught.

"Foi uma fase incrivelmente difícil para mim e minha esposa [...] Nunca imaginamos que fazer nosso trabalho de jornalistas levaria a isso. Queremos proteger os direitos dos repórteres e sua liberdade de imprensa. Já suportamos uma enorme crueldade e abusos e tememos por nossas vidas. Se esse comportamento pode acontecer conosco. Isso pode acontecer com qualquer um", escreveu o casal em uma newsletter.


Fonte: The Register.

Mais um site falso que coleta dados de servidores públicos é denunciado

Guilherme Petry
, 28/07/2021 | Source: The Hack

Mais um site falso que coleta dados de servidores públicos é denunciado

O Ministério da Economia pediu a suspensão de mais um site falso, registrado no exterior, que está furtando dados de servidores públicos do Governo Federal. Essa é a segunda vez em que o órgão pede suspensão de um site falso com essas finalidades.

O primeiro pedido foi feito no dia 23 de julho, referente ao domínio falso "sigacgestor.com" e o segundo, no dia 26 de julho, referente ao domínio "servidor.sougovbr.online", também falso.

De acordo com a Agência Brasil, ambos os sites denunciados coletam credenciais de acesso aos sistemas de gestão do funcionalismo público federal.

O primeiro site, denunciado no dia 23 de julho, pede que os usuários loguem com as credenciais do Sistema de Gestão de Acesso do Governo Federal (Sigac). Já o segundo, denunciado no dia 26 de julho, pede que os usuários loguem com as credenciais do SouGov.br.

O endereço correto dos sites é:

  • Sigac: https://sso.gestaodeacesso.planejamento.gov.br
  • SouGov.br: https://www.gov.br/servidor/pt-br/assuntos/sou-gov (Sim, o nome do serviço é SouGov.br mas o endereço SouGov.br não existe).

"Caso alguém tenha inserido os dados no site falso, o órgão pede a troca imediata da senha do Portal Gov.br e dos sistemas Sigac/Sigepe", orienta o Ministério da Economia.


Fontes: Agência Brasil; Agência Brasil.

Apagão no CNPq alerta para necessidade de empresas investirem em segurança

Um incidente relacionado aos sistemas do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq) deixou indisponível o acesso ao currículo Lattes e diversos sistemas de informática da instituição. O problema já ocorre há mais de três dias, levando à repercussão, nas redes sociais, de cientistas e professores que estão se manifestando sobre o quanto o "apagão" pode prejudicar seus trabalhos. A Plataforma Lattes CNPq integra as bases de dados de currículos e de instituições da área de ciência e tecnologia em um único sistema de informações. Sua importância e relevância atual se estende não somente às atividades operacionais de fomento do CNPq, como também às ações de outras agências federais e estaduais na área da Ciência e da Tecnologia. O CNPq nomeou o sistema em homenagem a César Lattes, físico brasileiro e um dos principais responsáveis pela criação da instituição. Em comunicado, o CNPq afirma que "o problema que causou a indisponibilidade dos sistemas já foi diagnosticado em parceria com empresas contratadas e os procedimentos para sua reparação foram iniciados". A instituição destaca que existem backups cujos conteúdos estão apoiando o restabelecimento dos sistemas, reforçando que não houve perda de dados da Plataforma Lattes. O incidente repercutiu negativamente entre pessoas que atuam nas áreas de Ciência e Tecnologia, já que o site reúne toda a trajetória acadêmica dos pesquisadores brasileiros, enquanto professores e estudantes cadastram as informações sobre sua produção acadêmica, as pesquisas em andamento ou finalizadas, os artigos publicados, as bolsas conquistadas, entre outros. Apesar do CNPq afirmar que há backup, a demora para o restabelecimento do sistema incomodou os especialistas da área. A Cientista da Computação recentemente entrevistada pelo Mente Binária, Nina da Hora, manifestou em suas redes sociais a insatisfação com as explicações dadas no comunicado do CNPq sobre o ocorrido: O professor e político Comte Bittencourt está entre os que se manifestaram sobre a problemática relacionada à indisponibilidade do sistema: Nós do Mente Binária notamos que parece haver uma negligência em relação aos processos de backup de dados, já que muitas empresas e instituições sofrem com esse tipo de apagão ou falta de acesso, especialmente por conta de ataques e ameaças de segurança, como ransomware, o que tem sido crescente. Isso denota a baixa maturidade das empresas em relação à segurança, disponibilidade e integridade dos dados, que é o caso do incidente ocorrido no CNPq, mesmo que este não esteja relacionado a um ataque.

YouTuber compra SSD de fornecedora de hospedagem francesa em site de usados

Guilherme Petry
, 27/07/2021 | Source: The Hack

YouTuber compra SSD de fornecedora de hospedagem francesa em site de usados

Um SSD da Scaleway, uma empresa francesa de computação em nuvem e hospedagem web, foi roubado (ou caiu) de um caminhão, que estava indo de um data center para outro da mesma empresa. O SSD acabou anunciado em um popular site de classificados, chamado Leboncoin e foi comprado por um YouTuber que o devolveu à Scaleway. Pelo menos foi isso que Yann Lechelle, o CEO da Scaleway, disse no sábado (24).

"Há mais de um ano, um SSD foi roubado durante um transporte seguro entre dois de nossos data centers [...] Um YouTuber comprou esta unidade SSD em um site de classificados [...] Trabalhamos rapidamente com este YouTuber para recuperar o SSD e ele nos garantiu por escritor que não havia feito uma cópia", escreveu Lechelle no blog oficial da empresa.

Um SSD, ou Solid State Drive, é uma unidade de armazenamento. Um sucessor tecnológico do tradicional Disco Rígido (HD). O SSD em questão (Samsung) era utilizado pela empresa para armazenar as informações de seus clientes. Não foi explicado porque esse SSD estava em transito, nem como caiu (rs) do caminhão.

Lechelle justifica que não pode falar mais sobre o assunto por conta de "um atual inquérito policial, que nos impede de comunicar mais sobre o assunto". No entanto, garante que o incidente permitiu um avanço significativo na segurança dos processos de transporte de mídia da Scaleway.

"O controle reforçado desse transporte foi implementado. Agora é garantido em caixas reforçadas e equipadas com rastreadores GPS [...] Felizmente esse incidente não prejudicou a atividade comercial de nossos clientes", escreve Lechelle.

No entanto, Micode, o YouTuber que comprou o SSD contou sua versão da novela em vídeo dividido em três partes. Infelizmente o vídeo foi gravado em francês e não há legendas traduzidas.

Caiu do caminhão ou foi roubado

Essa história nos lembra do caso do CEO do Signal, Moxie Marlinspike, que encontrou vulnerabilidades críticas em um dispositivo de investigação forense e espionagem, desenvolvido pela iraniana Cellebrite, em maio deste ano.

As soluções do Cellebrite, teoricamente, não podem ser comercializadas livremente. São soluções vendidas apenas para polícias, exércitos e governos autoritários. No entanto, é possível comprar dispositivos Cellebrite no eBay facilmente por menos de U$ 100. Marlinspike disse no blog do Signal que encontrou um dispositivo Cellebrite novinho no chão. Quem sabe caiu do caminhão.


Fontes: Scaleway; Micode.

Links infectados com malwares no Discord cresceram 140 vezes nos últimos dois meses

Guilherme Petry
, 27/07/2021 | Source: The Hack

Links infectados com malwares no Discord cresceram 140 vezes nos últimos dois meses

Cibercriminosos continuam abusando ferramentas como Discord para hospedar, compartilhar e organizar campanhas de malwares. Pesquisadores da Sophos concluíram que o número de URLs maliciosas (malwares hospedados em domínios) cresceu quase 140 vezes nos últimos dois meses, em comparação com o mesmo período de 2020. O Discord hospeda 4% de todos os downloads de malware protegidos por Transport Layer Security (TLS), detectados pelas soluções de monitoramento de segurança da Sophos.

Uma investigação da Sophos sobre o uso e compartilhamento de malwares via TLS identificou que mais da metade do tráfego de rede gerado por malwares utiliza criptografia TLS e 20% dessa metade adotou ferramentas como Discord como um dos principais canais para infectar novas vítimas.

“O Discord fornece uma rede de distribuição global persistente e altamente disponível para operadores de malware, bem como um sistema de mensagens que esses operadores podem adaptar em canais de comando e controle para seu malware — da mesma forma que os invasores usaram o Internet Relay Chat e Telegram. A vasta base de usuários do Discord também oferece um ambiente ideal para roubar informações pessoais e credenciais por meio da engenharia social”, explica Sean Gallagher, um dos pesquisadores da Sophos, responsáveis pelo estudo.

As campanhas cibercriminosos disfarçam sua comunicação como se fossem comunidades de games, geralmente os mais populares como Minecraft, Fortnite, Roblox e Grand Theft Auto (GTA), oferecendo downloads, mods e pacotes de expansão infectados com malware. Um exemplo é um instalador pirata de Minecraft que inclui um mod chamado "Saint". Saint, no entanto, é um spyware keylogger, que coleta todas as teclas pressionadas, além de enviar capturas de tela da vítima de tempos em tempos para os atacantes.

Pouco mais de 10% dos malwares analisados no Discord pertencem à família Bladabindi, backdoors com foco em furto de dados. Mas malwares desenvolvidos para furto de senhas, tokens de segurança e dados relacionados a credenciais também são facilmente encontrados. Os pesquisadores encontraram inclusive malwares focados em furto de credenciais do próprio Discord. Também foram encontrados malwares para Android e vários tipos de ransomware.

Links infectados com malwares no Discord cresceram 140 vezes nos últimos dois meses
Reprodução da tela inicial do Discord. Foto: The Hack.

Problema antigo

O uso de ferramentas consideradas seguras (como Slack e Discord) por cibercriminosos está em constante crescimento desde o começo da pandemia do novo coronavírus (SARS-CoV2).

Gallagher acredita que esses abusos tenham aumentado pelo fato de que cada vez mais empresas estão utilizando o Discord para comunicação sigilosa de assuntos relacionados ao trabalho, compartilhando arquivos com dados internos, que podem ser bastante interessantes para os cibercriminosos.

O pesquisador recomenda que qualquer usuário tenha atenção e só se envolva em comunidades confiáveis. Embora a plataforma remova alguns links maliciosos automaticamente, "os adversários podem estar escondidos em qualquer lugar".


Fonte: Sophos.

Ransomware Babuk sofre ataque de ransomware, não paga e tem fórum inundado com GIFs de orgias gays

Guilherme Petry
, 27/07/2021 | Source: The Hack

Ransomware Babuk sofre ataque de ransomware, não paga e tem fórum inundado com GIFs de orgias gays

O fórum do grupo cibercriminoso Babuk, responsável pelo ransomware de mesmo nome que infectou a Polícia de Washington em abril deste ano, além de muitas outras empresas, foi inundado com GIFs de orgias gays no final de semana.

De acordo com o The Record, o Babuk, que teria sido infectado com um ransomware desconhecido, se negou a pagar pelo resgate de U$ 5 mil (R$ 25 mil), apagou as publicações homossexuais e baniu alguns usuários.

Mesmo após o grupo limpar o fórum algumas vezes e banir alguns usuários, os invasores foram capazes de spammar mais GIFs pornográficos. O The Record teve acesso ao fórum no domingo (25).

No Twitter, o perfil do vx-underground, um arquivo digital sobre malwares, hacking e cibercrime, que coleciona códigos de malwares, se referiu ao caso como "Novela de grupos de ransomware".

Ransomware Babuk sofre ataque de ransomware, não paga e tem fórum inundado com GIFs de orgias gays
RAMP, o fórum criado pelo grupo do ransomware Babuk vivenciou uma onda de spam. Um usuário não identificado disse que o grupo tem 24 horas para o pagamento do resgate, que é U$ 5 mil. Foto: vx-underground.

O fórum RAMP, lançado pelo grupo Babuk, foi ao ar após alguns fóruns cibercriminosos populares (como o RAID Forums, por exemplo), começarem a banir anúncios de ransomware em seus sites.

A proibição de se falar sobre ransomware nesses fóruns começou a ser considerada pelos administradores dos fóruns cibercriminosos depois que o ataque à Colonial Pipeline e JBS tomou proporções assustadoras, passando a envolver o FBI e as autoridades em ações mais direcionadas.


Fontes: The Record; vx-underground.

A Amazon quer ter acesso ao interior de todos os prédios para 'facilitar a entrega'

Guilherme Petry
, 26/07/2021 | Source: The Hack

A Amazon quer ter acesso ao interior de todos os prédios para 'facilitar a entrega'

Um sistema que permite que entregadores da Amazon entrem em prédios, sem a necessidade de chave da porta de entrada, está sendo instalado em diversos edifícios ao redor dos Estados Unidos. O Key for Business, como foi chamado, pretende facilitar que os entregadores deixem as entregas na porta da residência de seus clientes, ou na portaria, evitando as contantes chamadas de interfone, que atrasam entregas e causam confusão em portarias.

De acordo com a Associated Press, o programa foi anunciado pela primeira vez em 2018 e desde então, a empresa tem trabalhando para ampliar o alcance do serviço, oferecendo até cartões de presente com U$ 100 (R$ 517) para instalar o Key for Business em edifícios. O sistema funciona através de um aplicativo conectado à internet, instalado nos prédios e só os entregadores da Amazon tem acesso.

O fato do sistema ser baseado em um aplicativo conectado a internet pode ser considerado como um problema de segurança. Um pesquisador de privacidade, Ashkan Soltani, procurado pela Associated Press, explicou que qualquer aplicativo conectado à internet pode ser comprometido, permitindo que cibercriminosos assumam o controle do Key for Business. "Você está basicamente introduzindo um dispositivo externo conectado à Internet em uma rede interna", disse o pesquisador.

A Associated Press entrou em contato com a Amazon sobre essa questão envolvendo segurança do aplicativo, além buscar saber em quantos prédios dos EUA o Key for Business já foi instalado. A Amazon não respondeu o pedido da imprensa.

No entanto, a redação do Associated Press foi as ruas e percebeu que pelo menos 5 prédios de Nova York agora exibem um adesivo indicando que esse prédio está equipado com o Amazon Key for Business.

Como estratégia para ampliar o alcance do serviço, além de oferecer a instalação gratuita (ainda incentivada por um vale compras na Amazon), a Amazon está fazendo parcerias com construtoras, administradoras de edifícios e serralheiros, para oferecer um serviço de instalação completo e com acabamento.

O Amazon Key for Business, embora apresente riscos à segurança pessoal, agiliza o processo de entregas, o que é uma vantagem competitiva bastante interessante. Não foi informado se a empresa busca instalar o serviço em outros países além dos EUA.


Fontes: Associated Press.

Vulnerabilidade permite que servidores Windows autentiquem acessos não autorizados

Guilherme Petry
, 26/07/2021 | Source: The Hack

Vulnerabilidade permite que servidores Windows autentiquem acessos não autorizados

Uma vulnerabilidade que permite que um cibercriminoso assuma o controle de servidores Windows remotos (incluindo o Controlador de Domínio), fazendo com que eles autentiquem um destino malicioso (adulterado por um possível atacante).

A vulnerabilidade foi descoberta pelo pesquisador francês de segurança da informação, Gilles Lionel, que a chamou de PetitPotam. Ela foi testada e obteve sucesso nos sistemas Windows 10, Windows Server 2016 e 2019.

Lionel publicou uma Prova de Conceito (PoC) no GitHub, onde ele explica que um atacante pode abusar de um protocolo Encrypting File System Remote (EFSRPC) para realizar operações de manutenção e gerenciamento de dados criptografados, armazenados remotamente.

"[O PetitPotam] força os hosts Windows a se autenticarem em outras máquinas por meio da função MS-EFSRPC EfsRpcOpenFileRaw. Isso também é possível por meio de outros protocolos e funções. As ferramentas usam o pipe nomeado LSARPC com interface c681d488d850-11d0-8c52-00c04fd90f7e porque é mais prevalente. Mas é possível acionar com o pipe nomeado EFSRPC e a interface df1941c5-fe89-4e79-bf10-463657acf44d. Não precisa de credenciais no controlador de domínio", explica.

Microsoft lança atualização de segurança

O The Record, que revelou esse caso ao público, entrou em contato com a Microsoft que não respondeu ao pedido de contato da imprensa. No entanto, um dia após a divulgação da falha. A empresa lançou uma atualização de segurança, corrigindo a vulnerabilidade.

Na página de guia para essa atualização, a Microsoft explica que a vulnerabilidade de Lionel pode resultar em um ataque clássico de NTLM Relay.

"Para evitar ataques de retransmissão NTLM em redes com NTLM habilitado, os administradores de domínio devem garantir que os serviços que permitem a autenticação NTLM usem proteções como Proteção Estendida para Autenticação (EPA) ou recursos de assinatura, como assinatura SMB".

"PetitPotam tira proveito de servidores onde os Serviços de Certificados do Active Directory (AD CS) não estão configurados com proteções para ataques de retransmissão NTLM. As atenuações descritas em KB5005413 instruem os clientes sobre como proteger seus servidores AD CS de tais ataques", diz a Microsoft.


Fontes: The Record; Gilles Lionel; Microsoft.

[Segurança] Eventos de Segurança no segundo semestre de 2021

Anchises
, 26/07/2021 | Source: AnchisesLandia- Brazilian Security Blogger

Aviso importante: devido a pandemia do Coronavírus (COVID-19), os eventos tradicionais de segurança viraram online, foram cancelados ou adiados. Sempre verifique o site do evento que você tem interesse.Ainda estamos sofrendo o impacto da pandemia do novo Coronavírus, e muitos eventos continuam suspensos ou online. Mesmo com alguns eventos (principalmente nos EUA) ensaiando a volta ao presencial,