Os 6 maiores ataques de ransomware dos últimos 5 anos

O malware que segura dados para resgate existe há anos. Em meados dos anos 2000, por exemplo, o Archiveus foi o primeiro ransomware a usar criptografia; embora tenha sido derrotado há muito tempo, você pode encontrar sua senha em sua página da Wikipedia. No início dos anos 2010, uma série de pacotes de ransomware “policiais” apareceu, assim chamados porque, supostamente, eram avisos da polícia sobre as atividades ilícitas das vítimas, exigindo o pagamento de “multas”; eles começaram a explorar a nova geração de serviços de pagamento anônimos para melhor coletar pagamentos sem serem pegos.

No final dos anos 2010, uma nova tendência de ransomware surgiu: o uso de criptomoedas como o método de pagamento de resgate escolhido pelos cibercriminosos. O apelo era óbvio, já que as criptomoedas são especificamente projetadas para fornecer um método de pagamento anônimo e não rastreável. A maioria das quadrilhas de ransomware exigiu pagamento em bitcoin, a criptomoeda mais conhecida, embora algumas tenham começado a transferir suas demandas para outras moedas, já que a popularidade do bitcoin tornou seu valor mais volátil.

Ao longo dos anos, o ransomware cresceu de uma curiosidade e um aborrecimento para uma grande crise, profundamente entrelaçada com agências de espionagem ultrassecretas e intrigas internacionais. E os maiores ataques de ransomware da última meia década, juntos, fazem um bom trabalho em contar a história do ransomware à medida que ele evolui.

1. TeslaCrypt

Originalmente, alegando ser uma dessas variantes do CryptoLocker, este ransomware logo ganhou um novo nome – TeslaCrypt – e um inteligente modo de agir: ele alvejava arquivos auxiliares associados a videogames – jogos salvos, mapas, conteúdo para download e coisas do tipo. Esses arquivos são ao mesmo tempo preciosos para os jogadores mais experientes e também mais propensos a serem armazenados localmente, em vez de em nuvem ou em um disco externo. Em 2016, o TeslaCrypt representou 48% dos ataques de ransomware.

Um aspecto particularmente pernicioso do TeslaCrypt foi que ele foi constantemente aperfeiçoado. No início de 2016, era basicamente impossível restaurar arquivos sem a ajuda dos criadores do malware. Mas então, de forma chocante, em maio de 2016, os criadores do TeslaCrypt anunciaram que haviam desistido de suas atividades sinistras, oferecendo a chave principal de descriptografia para o mundo.

2. SimpleLocker

À medida que mais e mais arquivos valiosos migram para dispositivos móveis, o mesmo acontece com os golpistas de ransomware. O Android foi a plataforma preferida para atacar e, no final de 2015 e início de 2016, as infecções por ransomware no Android aumentaram quase quatro vezes. Muitos eram chamados de ataques de “bloqueadores” que dificultavam o acesso a arquivos, impedindo que os usuários acessassem partes da interface do usuário, mas no final de 2015 um ransomware particularmente agressivo chamado SimpleLocker começou a se espalhar, cujo ataque foi o primeiro baseado em Android, para realmente criptografar arquivos e torná-los inacessíveis sem a ajuda dos golpistas.

O SimpleLocker também foi o primeiro ransomware conhecido que forneceu sua carga maliciosa através de um trojan downloader, o que dificultou o alcance das medidas de segurança. Como os golpistas perseguem o dinheiro, ao mesmo tempo em que o SimpleLocker nasceu na Europa Oriental, três quartos de suas vítimas estão nos Estados Unidos.

Agora, a boa notícia: apesar de o SimpleLocker ter registrado um grande aumento nas infecções por malware Android, os números em geral ainda são relativamente baixos – cerca de 150.000 até o final de 2016, o que é uma porcentagem muito pequena de usuários do Android. E a maioria das vítimas é infectada ao tentar baixar aplicativos e conteúdo suspeitos fora da loja oficial Play Store. O Google está trabalhando duro para garantir aos usuários para que seja muito difícil ser infectado por um ransomware. Mas ainda é uma ameaça à espreita.

3. WannaCry

Em meados de 2017, dois grandes e entrelaçados ataques de ransomware se espalharam rapidamente por todo o mundo, paralisando hospitais na Ucrânia e estações de rádio na Califórnia, e foi quando o ransomware tornou-se uma ameaça existencial.

O primeiro dos dois maiores ataques foi chamado de WannaCry, e “foi facilmente o pior ataque de ransomware da história”, diz Penn, da Avast. “No dia 12 de maio, o ransomware começou a se instalar na Europa. Apenas quatro dias depois, a empresa de segurança detectou mais de 250.000 casos em 116 países”. (Isso realmente coloca 150.000 infecções do Android em mais de um ano sob perspectiva).

Mas a real importância do WannaCry vai além dos números: Joe Partlow, CTO da ReliaQuest, aponta que foi “a primeira onda de ataques que utilizou maliciosamente ferramentas de hackers vazadas da NSA” – neste caso, EternalBlue, uma exploração que tira proveito de um defeito da implementação do protocolo SMB da Microsoft. Embora a Microsoft já tenha lançado um patch para o defeito, muitos usuários não o instalaram. O WannaCry “se aproveitou cegamente” dessa brecha, diz Penn, “se espalhando agressivamente pelos dispositivos na rede porque a interação do usuário não é necessária para novas infecções”. E Kyle Wilhoit, pesquisador sênior de ameaças à segurança cibernética da DomainTools, aponta que “muitas organizações tinham a porta SMB, 445, abertamente exposta à Internet, o que ajudou a propagar o vírus”.

4. NotPetya

Embora o WannaCry tivesse anunciado a nova era, o NotPetya a confirmou. Petya era um pacote de ransomware que na verdade datava de 2016, mas apenas algumas semanas após o surto de WannaCry, uma versão atualizada começou a se espalhar, usando também o pacote EternalBlue, como o WannaCry, levando os pesquisadores a apelidá-lo de “NotPetya”, porque tinha avançado até agora além de suas origens. Havia muita especulação de que NotPetya não era um ransomware, mas sim um ciberataque russo disfarçado sobre a Ucrânia.

De qualquer maneira, porém, Varun Badhwar, CEO e co-fundador da RedLock, vê uma lição. “Houve muita discussão sobre quem poderia estar por trás do ataque WannaCry”, diz ele. “Mas saber a informação não impedirá que mais ataques como esse ocorrerá. Malwares e kits de ferramentas estão facilmente disponíveis na Internet para todos, desde scripts infantis até unidades de crime organizado e invasores patrocinados pelo Estado.

O fato de o NotPetya se espalhar tão rapidamente mostrou que organizações em todo o mundo ainda não estavam levando a segurança cibernética tão a sério quanto deveriam. Ser proativo em monitorar o tráfego de rede local e garantir que eles estão monitorando o tráfego dentro de ambientes de infraestrutura em nuvem poderia ter evitado algumas das infecções NotPetya. Aqueles com ampla visibilidade de rede e ferramentas de monitoramento podem detectar automaticamente o tráfego de rede em portas não padrão, que foram usadas para iniciar ataques como o WannaCry”.

5. SamSam

Ataques usando o software conhecido como SamSam começaram a aparecer no final de 2015, mas aumentaram realmente nos anos seguintes, ganhando algumas “cabeças de alto nível”, incluindo o Departamento de Transporte do Colorado, a cidade de Atlanta, e numerosas instalações de saúde. O que torna o SamSam especial é que é mais organizacional do que técnico: não é um software que procura indiscriminadamente alguma vulnerabilidade específica, mas um ransomware-como-um-serviço, cujos controladores examinam cuidadosamente os alvos pré-selecionados quanto a pontos fracos, com as brechas sendo exploradas no IIS para FTP para RDP. Uma vez dentro do sistema, os invasores trabalham obedientemente para escalar privilégios para garantir que, quando eles começarem a criptografar arquivos, o ataque seja particularmente prejudicial.

Embora a crença inicial entre os pesquisadores de segurança era de que o SamSam tinha origem na Europa Oriental, a esmagadora maioria dos ataques visava instituições dentro dos Estados Unidos. No final de 2018, o Departamento de Justiça dos Estados Unidos indiciou dois iranianos que afirmaram estarem por trás dos ataques; a acusação disse que esses ataques resultaram em mais de US$ 30 milhões em perdas. Não está claro quanto desse valor representa o resgate real pago; a certa altura, as autoridades municipais de Atlanta forneceram à mídia local imagens de resgates, que incluíam informações sobre como se comunicar com os invasores, o que os levou a fechar o portal de comunicações, possivelmente evitando que Atlanta pagasse o resgate, mesmo que quisessem.

6-Ryuk Ryuk

Outra variante de ransomware que fez grande sucesso em 2018 e 2019, com suas vítimas sendo escolhidas especificamente, como organizações com pouca tolerância para o tempo de inatividade; eles incluem jornais diários e um utilitário de água da Carolina do Norte lutando com o rescaldo do furacão Florence. O Los Angeles Times escreveu um relato bastante detalhado do que aconteceu quando seus próprios sistemas foram infectados. Uma característica particularmente desonesta do Ryuk é que ele pode desativar a opção Restauração do Sistema do Windows em computadores infectados, tornando ainda mais difícil recuperar dados criptografados sem pagar um resgate. As demandas de resgate eram particularmente altas, correspondendo às vítimas de alto valor que os invasores tinham como alvo; uma onda de ataques de fim de ano mostrou que os invasores não tinham medo de arruinar o Natal para atingir seus objetivos.

Analistas acreditam que o código fonte do Ryuk é em grande parte derivado da Hermes, que é um produto do Grupo Lazarus, da Coréia do Norte. No entanto, isso não significa que os próprios ataques de Ryuk tenham sido executados no país; a McAfee acredita que o Ryuk foi construído com base em código comprado de um fornecedor de língua russa, em parte porque o ransomware não é executado em computadores cuja linguagem está definida como russa, bielorrussa ou ucraniana. Como esta fonte russa adquiriu o código da Coréia do Norte não está claro.

Menção honrosa: CryptoLocker

Caindo fora do nosso período de cinco anos, está o CryptoLocker, que entrou em cena em 2013 e realmente abriu a era do ransomware em grande escala. O CryptoLocker se espalhou por meio de anexos a mensagens de spam, usando a criptografia de chave pública RSA para selar arquivos de usuários, exigindo dinheiro em troca das chaves para descriptografia. Jonathan Penn, diretor de estratégia da Avast, observa que no seu auge, no final de 2013 e início de 2014, mais de 500.000 máquinas foram infectadas pelo CryptoLocker.

O CryptoLocker era um pouco primitivo e acabou sendo derrotado pela Operação Tovar, uma campanha dos white-hat, que derrubou o botnet que controlava o CryptoLocker, no processo de descobrir as chaves privadas usadas pelo CryptoLocker para criptografar arquivos. Mas, como Penn disse, o CryptoLocker tinha “aberto as comportas” para muitas outras variedades de ransomware de criptografia de arquivos, algumas delas derivadas do código do Crypto Locker, e algumas delas receberam o nome CryptoLocker ou uma variante próxima, porém que foram escritas do zero. As variantes em geral cobraram cerca de US$ 3 milhões em taxas de resgate; Um deles foi o CryptoWall, que em 2015 foi responsável por mais da metade de todas as infecções por ransomware.

Tempos de mudança

Apesar dessas ameaças muito reais, o ransomware na verdade diminuiu em 2018 e 2019. A queda foi acentuada: o ransomware afetou cerca de 48% das organizações em 2017, mas apenas 4% em 2018. Há algumas razões para a queda. Uma é que os invasores de ransomware são cada vez mais adaptados para alvos específicos e executados por controladores sofisticados em tempo real, como SamSam e Ryuk. Esse valor de 48% para 2017 pode soar assustadoramente alto, mas muitas das organizações “afetadas” são apenas empresas que receberam e-mails genéricos de phishing com cargas de ransomware simples para a segurança de TI detectar e desviar.

Os ataques direcionados afetam menos organizações, mas têm uma taxa de sucesso muito maior; o declínio nas infecções não correspondeu a um declínio na receita para os invasores.
Depois, há o fato de que o ransomware é um tipo de ataque que requer que suas vítimas realizem ativamente várias etapas para alcançar um pagamento. As vítimas precisam descobrir como funciona o bitcoin (algo que você não pode garantir que eles saberão), então avalie se eles estão ou não dispostos a pagar um resgate ao invés de tentar algum outro tipo de remediação – e mesmo se é mais caro restaurar sistemas sem pagar, muitos o farão para evitar dar dinheiro aos criminosos.

E acontece que, se o objetivo de um invasor é adquirir bitcoin ao se infiltrar nos sistemas de computadores de outra pessoa, há maneiras muito mais fáceis de fazer isso: o cryptojacking. Os criptojackers seguem o script que os spammers e os invasores de DDoS têm usado há anos: ganhando, furtivamente, o controle de computadores sem que seus proprietários saibam. No caso do cryptojacking, as máquinas comprometidas tornam-se plataformas de mineração de bitcoin, gerando silenciosamente criptomoedas em segundo plano e consumindo ciclos de computação ociosos, enquanto a vítima não sabe de nada. Como os ataques de ransomware declinaram ao longo de 2018, os ataques de cryptojacking aumentaram 450%, e os pesquisadores acreditam que essas duas estatísticas estão relacionadas.

Mantenha-se protegido! Conte com a Future!!! Somos parceiros dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário e entre em contato conosco.

Fonte: CIO.

Read More

4 passos para criar uma governança de dados eficiente

Para a maioria das organizações, o volume de dados cresceu e continua em expansão. Em 2020, a previsão é de termos 44 trilhões de gigabytes de informações disponíveis no universo digital. Com o aumento desenfreado de dados, as empresas estão pedindo que a área de TI os proteja com mais eficiência, e as abordagens tradicionais de proteção e backup de dados não estão sendo mais suficientes, criando a necessidade de novas metodologias, soluções ou táticas.

Para dar conta da quantidade de dados que as empresas estão produzindo e não diminuir a produtividade, uma Governança de Dados eficiente é a solução, pois é capaz de superar os desafios de escalabilidade e crescimento. Além disso, ela possibilita organizar a maior complexidade de informações, visibilidade, melhorar a agilidade e maior facilidade de lidar com os workloads, ou seja, suportar maiores quantidades de processos pedidos.

Considerando esse cenário, a Hitachi Vantara, empresa que une solução de armazenamento de dados, apresenta quatro etapas para um approach de Governança eficiente de dados.

1. Captura de Dados (Discover)

É fundamental obter o máximo de detalhes possíveis sobre os dados que sua empresa armazena, afinal, só é possível controlar dados que conhecemos. Portanto, ter um processo eficaz para identificar e eliminar dados redundantes, desatualizados e triviais pode ajudar a aproveitar melhor as informações.

2. Proteja e Preserve

Proteja no seu data center ou em estruturas de nuvens somente os dados que importam, e preserve informações apenas pelo tempo que for necessário, independente de onde elas estejam armazenadas ou suas aplicações. Isso garante que sua segurança está sendo direcionada pra dados que realmente importam, e que seu espaço não está sendo ocupado por informações desnecessárias.

3. Extraia o maior potencial de seus dados

É necessário analisar seus dados de forma a compreendê-los em sua totalidade, extrair valores de dados offline ou online e classifica-los com conceitos avançados de meta-tagging (linhas de código HTML) e processos de automatização de processos e negócios, para obter uma maior organização e capacidade de análise de informações.

4. Disponibilidade

Para reduzir riscos jurídicos e possíveis dores de cabeça, esteja em conformidade e estabeleça procedimentos para validação legal de seus dados, levando em conta as legislações específicas de cada setor como a Lei Geral de Proteção de Dados (LGPD), HIPAA, a legislação sobre armazenamento de dados de saúde, MiFID II e SOX, do setor financeiro.

Sua empresa precisa governar melhor seus dados para melhorar o desempenho? A Future possui uma Solução de Governança da Informação! Para conhecer clique aqui.

Fonte: CIO.

Read More

Cuidado com os (muitos) perigos da era digital

Um software malicioso ou malware (termo que é a junção das palavras malicious e software, adotado em 1990 por Yisrael Radai, pioneiro do combate aos vírus de computador), é uma espécie de programa cuja missão é se infiltrar em um dispositivo (seja ele um desktop, notebook, laptop ou smartphone) e gerar algum tipo de dor de cabeça ao usuário.

Por dor de cabeça me refiro, basicamente, a roubo de dados, bloqueio parcial ou total do equipamento infectado ou cancelamento de prerrogativa de acesso aos administradores de um sistema, para citar alguns exemplos. Mas há uma coleção gigantesca de opções, cada vez mais numerosas, até porque a imaginação dos hackers parece mesmo ser infinita.

Um novo tipo de malware “nasce” a cada 8 segundos no mundo (até porque assistimos à revolução do mobile e, com ela, à proliferação desenfreada de malwares dedicados exclusivamente aos smartphones). As ameaças digitais se transformaram em uma preocupação gigantesca tanto para usuários domésticos quanto para empresas. Para estas últimas, os prejuízos podem chegar a US$ 359 bilhões por ano, segundo a BSA The Software Alliance, defensora global do setor de software.

Por isso, toda atenção é pouca por parte do usuário final e dos administradores de redes. De acordo com pesquisa recente da Kaspersky Lab, uma das maiores empresas antivírus do mundo, os cinco métodos mais comuns de propagação dos malwares são os seguintes:

1. Pela internet

Você pode deixar seu computador vulnerável ao visitar um site que contém um código malicioso, por exemplo. Casos comuns nos últimos anos são os ataques drive-by (quando um usuário visita um site comprometido desde um dispositivo Android e seu navegador inicia o download de um aplicativo automaticamente). Também é transmitido quando aplicativos maliciosos disfarçados de softwares ou arquivos normais são baixados por meio de uma rede descentralizada (por exemplo, através de um torrent).

2. Por e-mail

O malware pode estar no corpo da mensagem ou no arquivo anexado. Quando você abre esses e-mails ou faz o download do arquivo, a “infecção” acontece. Além disso, o e-mail é a maior fonte de outra praga digital, o phishing (mensagens que buscam enganar os usuários e levá-los a revelar informações pessoais, como senhas e informações bancárias).

3. Por causa das vulnerabilidades do software

Também chamadas de “furos” ou “exploits”, facilitam o acesso ao equipamento remotamente, o que permite ao cibercriminoso gerenciar seus dados, recursos da rede local e outras fontes de informação.

4. Por meio de drives USB, CDs, cartões SD

Malwares podem se hospedar nesses tipos de dispositivos físicos. Ao executar algum arquivo malicioso localizado em uma mídia removível, ele é capaz de distribuir vírus para todas as unidades de uma rede de computadores e até mesmo excluir os dados dessa rede.

5. Por culpa dos próprios usuários

Às vezes, nós mesmos podemos instalar aplicativos que parecem seguros, mas que, na verdade, infectam o sistema do seu computador ou smartphone. Esse método é chamado de “engenharia social”, já que os criadores de vírus fazem com que a vítima hospede o vírus por conta própria.

Entre os tipos mais comuns de malware, destaque para o adware, que insere anúncios indesejados durante a navegação para que seu “criador” obtenha lucro. Outro é o spyware, que consiste em um programa automático de computador que recolhe informações sobre o usuário e seus costumes na Internet e os transmite para uma entidade externa na Internet, sem o conhecimento e consentimento desse usuário.

O mais popular, entretanto, ainda é o vírus anexado a arquivos executáveis, que precisa da ativação do usuário. Ele é capaz de modificar ou excluir dados do dispositivo. Seu avatar mais conhecido é o Cavalo de Troia (Trojan), que se apresenta como um programa aparentemente legítimo e inofensivo – e que pode vir escondido em arquivos não executáveis, como imagens ou áudios. Sua missão é permitir que o invasor tenha acesso remoto ao computador infectado.

E, por fim, existem os worms. Diferentemente dos vírus, os worms não precisam de ajuda humana para se propagar: eles infectam uma vez e, depois, usam a rede disponível para atingir outras máquinas, via vulnerabilidades do sistema, como pontos fracos nos programas de e-mail, por exemplo. Embora muitos worms apenas “consumam” recursos da rede, reduzindo seu desempenho, muitos deles contêm “cargas” maliciosas criadas para roubar ou excluir arquivos.

Agora, faça as contas: um malware criado a cada 8 segundos significa mais de 10 mil ameaças virtuais novas por dia. Todos os dias. É ou não é mais do que o suficiente para você se dedicar a manter o seu equipamento sempre saudável?

Mantenha-se protegido! Conte com a Future!!! Somos parceiros dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

70% das vítimas de ransomware na América Latina perderam dinheiro, dados ou ambos

Quase 30% das pessoas na América Latina já foram vítimas de ransomware, conforme uma nova pesquisa da Eset, que entrevistou usuários e executivos de mais de 15 países da região.

Segundo o levantamento da companhia de segurança, 70% desse percentual perderam informações, dinheiro ou ambos como resultado de um ataque desse tipo.

Os países com o maior número de detecções de ransomware em 2018 na América Latina foram Colômbia, Peru e México – enquanto EUA e Rússia lideram o ranking global.

Além disso, o estudo também aponta que 93% das vítimas de ransomware afirmaram ter mudado de opinião quanto à importância do backup de informações.

E, apesar de os pesquisadores da área recomendarem não pagar pelo resgate dos dados sequestrados, 1 em cada 4 pessoas entrevistadas na pesquisas afirmaram que pagariam para tentar recuperar suas informações.

Mantenha-se protegido! Conte com a Future!!! Nossos profissionais são certificados pelos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: ComputerWorld.

Read More

7 conselhos para criptografar informações relevantes

Com a explosão de informações, proteger os dados é fundamental para qualquer negócio. Para ajudar empresas nesse sentido, a Eset, empresa de cibersegurança, indica conselhos importantes para criptografar dados. Confira!

1. Proteger as chaves de criptografia

A eficácia da criptografia depende das chaves usadas. Se elas estiverem comprometidas, as informações também estão, portanto, protegê-las é fundamental para manter os dados sigilosos.

2. Criptografar as informações armazenadas

Quando é necessário manter a confidencialidade dos dados armazenados, é possível criptografar os arquivos, pastas e até mesmo o disco rígido completo. Há também opções para criptografar informações em dispositivos removíveis ou em equipamentos móveis, como tablets e smartphones.

3. Criptografar a informação transmitida

Uma informação enviada e recebida é sempre vulnerável se não estiver criptografada. Nesses casos, é aconselhável usar protocolos seguros (por exemplo, HTTPS ou SSH) ao fazer conexões ou usar um serviço na internet, como e-mail ou redes sociais. Além disso, as ferramentas que criptografam o texto ou os arquivos antes de serem enviados são muito úteis. Caso os dados sejam interceptados, é necessário ter a chave para decodificar as informações e poder acessá-las.

4. Fazer backup de informações confidenciais

No caso de um incidente relacionado à informação, é uma boa prática de segurança fazer o backup de dados confidenciais. Isso permite que, em caso de perda de um dispositivo ou das chaves de criptografia que protegem os dados, seja possível recuperar os dados.

5. Use algoritmos de criptografia de domínio público

A vantagem de usar algoritmos de criptografia de domínio público, como o AES (Advanced Encryption Standard) ou o Blowfish, reside no fato de que eles são continuamente revisados pela comunidade científica e acadêmica. Eles também são disponibilizados para pesquisadores no campo, para identificar erros em sua implementação, de modo que eles são menos propensos a conter falhas do que um algoritmo proprietário.

6. Use a última versão do software de criptografia

Algo que é extremamente recomendado quando se fala de software, está relacionado ao uso das últimas versões dele, desde que as falhas que foram identificadas sejam corrigidas com as atualizações.

7. Use outras soluções de segurança

A criptografia ajuda a manter a confidencialidade das informações, mas não funciona contra malwares, vulnerabilidades não corrigidas ou ataques de engenharia social. Portanto, é necessário manter a segurança do computador utilizando outras medidas, como uma ferramenta contra códigos maliciosos, pois se ele estiver infectado, é provável que intrusos possam comprometer a criptografia.

Mantenha-se protegido! Conte com a Future! Somos parceiros dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

Fraudes em dispositivos móveis: como evitar?

Desde o lançamento do primeiro iPhone, em 2007, as transações mobile cresceram, em média, 72% ao ano. Atualmente, os clientes usam seus dispositivos móveis para pesquisar produtos, comparar os preços online em locais físicos e para efetuar pedidos.

Mas, embora os consumidores tendam a ver o celular como um canal seguro para compras, quase um terço de todos os ataques de fraude agora são direcionados a um dispositivo móvel.

Portanto, é essencial estar ciente dos principais riscos deste segmento, para que você possa proteger seus clientes e sua empresa.

Tipos de fraude mobile

1 – Phishing

Um dos meios mais comuns de se cometer uma fraude, o phishing também se aplica ao universo mobile. Nos últimos tempos, usuários de dispositivos móveis tornaram-se os alvos preferidos dos fraudadores. Usuários de iOS agora têm 18 vezes mais chances de sofrerem ataque de phishing do que baixar um malware, por exemplo.

O phishing mobile é relativamente bem-sucedido porque é mais difícil para os usuários verificarem links em dispositivos móveis. Além disso, sites falsos também costumam parecer mais legítimos em telas pequenas do que em computadores desktop.

2 – Autofraude

O fraudador pode fazer pedidos pelo celular, receber o produto ou serviço e, em seguida, pedir um estorno na empresa de cartão de crédito, com o objetivo de receber o reembolso total e manter o produto. Os golpistas usam esse tipo de fraude como uma forma de comprar itens caros, como computadores e joias, e depois revendê-los em mercados paralelos.

3 – Fraude de cartão de fidelidade

Os fraudadores também podem invadir aplicativos de fidelidade de clientes desavisados para roubar pontos de companhias aéreas, dados de cartões de crédito e até mesmo armazenar valor em cartões de presentes para transformá-los em dinheiro.

Em 2015, fraudadores invadiram aplicativos de clientes da Starbucks e transferiram valores em dinheiro para cartões-presente que controlavam. Quando essas contas da Starbucks chegaram a zero, muitas delas foram recarregadas automaticamente – e os fraudadores também tiveram esse novo saldo disponível.

Os fraudadores estão descobrindo que esses sistemas alternativos de pagamento costumam ser mais fáceis de hackear do que as instituições financeiras maiores, tornando-os um alvo bastante atraente.

4 – Dispositivos perdidos ou roubados

Roubar smartphones é outra maneira pela qual os criminosos podem facilmente fraudar os clientes. Se o legítimo proprietário tiver selecionado a opção para se manter logado no aplicativo do banco, do cartão de crédito ou em outras contas de lojas, por exemplo, os fraudadores podem fazer compras, transferir fundos e alterar informações.

Como se defender contra fraudes mobile

Infelizmente, para os varejistas de comércio eletrônico, os mesmos métodos de segurança que funcionam para se defender contra-ataques de fraude feitos em desktops nem sempre são tão eficazes em transações via dispositivos móveis. Isso significa que você precisa usar as soluções de segurança mais recentes para celular, incluindo proteções como os exemplos abaixo:

1- Autenticação

Busque utilizar estratégias de avaliação de identidade em camadas – ou seja, usando pelo menos dois fatores importantes, como nomes de usuário e senhas, reconhecimento de voz ou impressão digital. Cada nova camada protege a anterior, legitimando o contato de um cliente, por exemplo.

2 – Autenticação baseada em conhecimento

Os métodos tradicionais de autenticação baseada em conhecimento são fáceis para os fraudadores, pois hoje em dia não é tão difícil, para eles, o acesso a informações que não têm caráter confidencial claramente estabelecido.

No entanto, é possível criar métodos que dificultem a ação de fraudadores e que, ao mesmo tempo, sejam fáceis para o consumidor legítimo lembrar na hora de efetuar uma autenticação, como por exemplo o uso de perguntas baseadas em dados coletados de registros públicos e que são, muito provavelmente, familiares ao consumidor legítimo.

3 – Velocity

Alguns filtros de atuação rápida podem ajudar a evitar que os fraudadores que testam números de cartões de crédito roubados consigam efetivar fraudes. Estes filtros são capazes de monitorar dados específicos, como endereços de e-mail, números de telefone ou endereços de cobrança e envio, para impedir, por exemplo, que diversas transações com estes mesmos dados sejam processadas ​​em um curto período de tempo.

Lembre-se: melhoria contínua é obrigação!

Mas, como os telefones celulares e os fraudadores se tornam mais inteligentes a cada dia, é responsabilidade do varejista ser ainda mais inteligente nas estratégias de prevenção contra fraudes.

Uma abordagem eficaz para combinar inteligência artificial com uma equipe treinada de especialistas em proteção contra fraudes é fundamental. Tal ação pode impedir que clientes sejam enganados e que sua loja sofra prejuízos maléficos à saúde do negócio.

Mantenha-se protegido! Conte com a Future!!! Somos parceiros dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

Ataques a elementos de rede saltam em 2018

Estatísticas do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), apontam um aumento de ataques contra equipamentos como roteadores domésticos e elementos de rede e a continuidade de ataques por “força bruta” (tentativas de adivinhação de senhas). E alertam que a adoção de práticas de segurança simples, como manter os equipamentos atualizados com as versões mais recentes e com todas as correções aplicadas, utilizar senhas fortes e habilitar o recurso de verificação de senha em duas etapas, ajudariam a prevenir os incidentes mais comuns registrados em 2018.

Além dos incidentes de segurança reportados voluntariamente por usuários de Internet em 2018, o CERT.br divulga nesta quinta-feira (28/3) análises conjuntas de outras fontes: as notificações enviadas aos sistemas autônomos cujas redes possuem sistemas mal configurados, que podem ser abusados por atacantes para amplificar tráfego; as notificações de servidores DNS maliciosos, que tem o propósito de direcionar usuários para sítios falsos; e tendências obtidas a partir dos honeypots – sensores distribuídos no espaço de endereços IP da Internet no Brasil que ampliam a capacidade de detecção de incidentes e correlação de eventos.

As notificações reportadas ao CERT.br sobre varreduras de redes, aliadas aos dados obtidos por meio dos honeypots, apontam um aumento de ataques a elementos de rede. A varredura é uma técnica que tem o objetivo de identificar computadores ativos e coletar informações sobre eles. Em 2018, o CERT.br recebeu 397.590 notificações de varreduras, sendo 9% delas relativas ao par de portas TELNET (23/TCP) e Winbox (8291/TCP) que parecem visar roteadores da MikroTik.

“Esse é um ataque que surgiu em 2018. Os dados dos honeypots mostram, de forma complementar, que em março do ano passado saímos de praticamente zero varreduras contra a porta 8291 (do serviço Winbox do Mikrotik) para um pico que se mantém expressivo até hoje”, alerta Cristine Hoepers, gerente do CERT.br. “Os roteadores MikroTik são muito utilizados por provedores de acesso, o que reforça a importância e necessidade da adoção de boas práticas de segurança para os sistemas autônomos”, complementa. O CERT.br, inclusive, realizou uma apresentação sumarizando as boas práticas para os sistemas autônomos – assista ao vídeo e confira os slides.

Ataques de força bruta

Os ataques que têm o objetivo de adivinhar, por tentativa e erro, as senhas de administração e, assim, comprometer os dispositivos, também estão entre os destaques de 2018. As notificações sobre varreduras de rede apontam que os serviços que podem sofrer ataques de força bruta continuam muito visados: SSH (22/TCP) com 29% das notificações e TELNET (23/TCP) com 6% – este último, em conjunto com o par de varreduras 23/TCP e 2323/TCP, continua em evidência desde 2015 e parece ter como alvo dispositivos de Internet das Coisas (IoT na sigla em inglês) e equipamentos de rede alocados às residências de usuários finais, tais como modems ADSL e cabo, roteadores Wi-Fi, entre outros. Os dados obtidos por meio dos honeypotscorroboram que os serviços SSH (22/TCP) e TELNET (23/TCP) são muito procurados para ataques de força bruta. Também de acordo com os honeypots, essas são as duas portas que mais recebem varreduras.

Servidores DNS maliciosos

Além dos incidentes reportados por usuários de Internet e dos dados obtidos pelos honeypots, o CERT.br notifica sistemas autônomos que hospedam servidores DNS maliciosos que fornecem respostas incorretas para nomes de domínios populares como os de instituições financeiras, comércio eletrônico e redes sociais. São usados em ataques que também comprometem roteadores domésticos para que passem a consultá-los.

“Observamos que esse foi um problema comum no país em 2018. Os servidores DNS maliciosos têm o propósito de direcionar os usuários para sítios falsos, o usuário pode ser levado à outra página com identidade visual semelhante, e assim, inadvertidamente, fornecer senhas de acesso, entre outros dados importantes, ou mesmo acabar permitindo que se instalem códigos maliciosos (malwares) em seu equipamento”, explica Hoepers.

Amplificação de tráfego

Equipamentos infectados, mal configurados ou invadidos podem ser usados para ataques de negação de serviço (DoS – Denial of Service), uma técnica em que um atacante utiliza um equipamento conectado à rede para tirar de operação um serviço, um computador ou uma rede ligada à Internet. Em 2018, o CERT.br recebeu 158.407 notificações sobre computadores que participaram de ataques de negação de serviço.

Os ataques DoS também podem acontecer pela exploração de características em serviços de Internet, como DNS, SNMP e NTP, SSDP, que permitem altas taxas de amplificação de pacotes. O atacante forja o endereço IP da vítima fazendo com que ela receba diversas respostas grandes, que consomem uma quantidade considerável de banda da rede. Diversos equipamentos, como roteadores domésticos, costumam vir com esses serviços habilitados e podem ser abusados. Mais de 70% dos casos de DoS reportados ao CERT.br em 2018 envolvem protocolos de rede que podem ser utilizados como amplificadores, tais como: DNS (53/UDP), SNMP (161/UDP), NTP (123/UDP) e SSDP (1900/UDP).

Com objetivo de reduzir o número de redes brasileiras passíveis de serem abusadas para realização de ataques DoS, o CERT.br notifica regularmente os sistemas autônomos brasileiros que possuem endereço IP com algum serviço mal configurado permitindo amplificação de tráfego. As ações de conscientização do Programa Por uma Internet mais Segura, do NIC.br, contribuíram para uma queda de 73% dos endereços IPs abusáveis via protocolo SNMP, no período de janeiro a dezembro de 2018.

“Os ataques por amplificação de tráfego precisam ser reduzidos no Brasil e cada um de nós tem um papel importante a desempenhar, desde os fabricantes de equipamentos, os provedores de acesso à Internet e toda a comunidade técnica, mas também os usuários da rede. Cada um precisa fazer a sua parte para que a Internet seja mais saudável como um todo”, pontua Hoepers.

Mantenha-se protegido! A Future é parceira e possui profissionais certificados junto aos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

Smart TV, a nova porta de acesso para cibercriminosos

À medida que as smart TVs ganham mais funcionalidades, a quantidade e a sensibilidade dos dados que manipulam ficam mais relevantes para o mundo do cibercrime.

Segundo a Statista, em 2018, mais de 114 milhões de TVs inteligentes foram vendidas em todo o mundo. De acordo com uma publicação da IHS Markit, esse volume representaria 70% de todos os televisores vendidos naquele ano.

A ESET, empresa líder em detecção proativa de ameaças, analisa o caso levando em conta que quanto mais usuários utilizam essa tecnologia, os cibercriminosos encontram mais formas de se aproveitar dela por meio da Internet das Coisas.

“O fato de que a maioria das smart TVs executam hoje alguma configuração baseada no Android, implica na criação de um ambiente no qual é mais fácil para os crimonos gerar códigos maliciosos capazes de afetar computadores de vários fabricantes, facilitando a transição de um malware“, diz Denise Giusto Bilic, especialista em segurança de TI da ESET América Latina e autora do relatório: SMART TV: a porta dos fundos em nossa casa?.

Os cibercriminosos tem um objetivo claro com campanhas maliciosas: a geração de dinheiro. Ou seja, eles exigem informações capazes de vender – dados para poder extorquir suas vítimas, sequestrar e processar dados. As smart TVs têm todos esses recursos, o que as torna um alvo atraente.

No relatório elaborado pela ESET, menciona-se que as técnicas que podem ser usadas para executar algum código malicioso no ambiente da vítima são engenharia social, vulnerabilidades, configurações ruins e ataques físicos. Essas metodologias permitem que os cibercriminosos ganhem controle da tecnologia.

Em 2016, muitos usuários foram afetados pelo sequestro de televisores com ransomware para Android, como casos do Simplocker ou do Vírus da Polícia.

Além disso, o ADB.Miner, um malware voltado para a criptomoedas, pode ser instalado sem a ajuda do usuário com de configurações habilitadas por padrão.

“Embora as vulnerabilidades sejam corrigidas e os usuários sejam treinados para detectar fraudes, muitas TVs continuam a ser encontradas em espaços vulneráveis, como em locais onde podem ser acessadas fisicamente por terceiros – por exemplo, na sala de espera de um escritório ou em uma sala de estar. Em particular, portas USB podem ser usadas para executar scripts maliciosos ou explorar vulnerabilidades”, destaca Giusto Bilic.

O invasor pode automatizar de várias maneiras ações maliciosas com base na interação com a interface do usuário e executar o ataque em poucos segundos, simplesmente conectando um dispositivo similar na aparência a uma memória USB.

O Laboratório de Pesquisa da ESET indica algumas medidas preventivas para reduzir os ataques a smart TVs:

  1. Ter alguma solução de segurança: elas oferecem proteção contra ameaças para Smart TV, em particular, para distribuições baseadas em Android, além de módulos capazes de prevenir infecções por malware e detectar páginas fraudulentas para bloquear o acesso a elas (funcionalidade chamado antiphishing). Outra camada de proteção que essas soluções devem incluir é a proteção de portas USB, para impedir que códigos mal-intencionados invadam esses conectores.
  2. Configure os dispositivos: Reforçar as configurações do dispositivo para garantir que nenhuma lacuna fique sem segurança é uma das primeiras precauções a serem tomadas ao adquirir uma smart TV. Restringir origens desconhecidas, verificar aplicativos, não mostrar senhas, criar perfil restrito, automatizar atualizações, configurar a Google Play Store, desabilitar a depuração e coleta de dados por padrão, são os principais pontos a serem levados em conta no momento da configurar a segurança de um dispositivo de streaming.
  3. Reforce a segurança da rede: Embora a configuração correta do dispositivo ajude, não é suficiente para criar um ambiente de rede seguro. Para proteger as TVs, é importante certificar-se de que o roteador use protocolos fortes e credenciais robustas, e que seu firmware não apresente vulnerabilidades.
  4. Proteção física: Para equipamentos que estão em áreas vulneráveis ​​- por exemplo, na sala de espera de um escritório ou em espaços públicos -, a proteção das entradas físicas do dispositivo deve ser levada em conta – da mesma forma que para qualquer outro dispositivo – de rede ou USB. Para este propósito, a proteção pode ser ativada por meio de soluções de segurança ou, no caso de boxes de TV, em caixas de acrílico com fechadura. Para proteger as portas USB, você pode usar proteções, gadgets que são colocados entre a TV e qualquer unidade externa que se conecte a ela, o que evita qualquer execução indesejada de código. Por sua vez, é aconselhável cobrir a câmera de TV inteligente quando ela não estiver sendo usada.

Acesse o relatório “SMART TV: a porta dos fundos em nossa casa?”.

Fonte: CryptoID.

Read More

10 pontos para entender melhor a lei brasileira de proteção de dados

LGPD é o acrônimo de Lei Geral de Proteção de Dados, sancionada pelo presidente Michel Temer com o objetivo de aumentar a privacidade de dados pessoais e o poder das entidades reguladoras para fiscalizar organizações. O documento altera o Marco Civil da Internet e chega em uma época propícia, marcada por grandes vazamentos de informações e escândalos que envolvem justamente o uso indevido de informações pessoais.

A partir de agora, as empresas têm 18 meses para se adaptarem à lei. O não cumprimento dessas obrigações pode acarretar, por exemplo, em multas altíssimas que chegam até mesmo a R$ 50 milhões por infração. Ainda que essa prática coloque o Brasil no grupo dos países considerados adequados na proteção à privacidade dos cidadãos, a expectativa é que os próximos meses serão de dificuldade e planejamento dentro das corporações. Confira dez pontos para entender mais a LGPD:

1 – Objetivos

A principal meta é garantir a privacidade dos dados pessoais das pessoas e permitir um maior controle sobre eles. Além disso, a lei cria regras claras sobre os processos de coleta, armazenamento e compartilhamento dessas informações, ajuda a promover o desenvolvimento tecnológico na sociedade e a própria defesa do consumidor.

2 – Motivações da LGPD

Há um grande debate no setor desde 2010 sobre a proteção dos dados. Entre os fatores que levaram à aprovação do projeto de lei brasileira foi o GPDR, regulamento aprovado pela União Europeia em maio de 2018. Como este documento tem aplicabilidade extraterritorial, muitas empresas brasileiras já tiveram que se adequar para esta nova realidade.

3 – Principais pontos

A lei é aplicada a todos os setores da economia; possui aplicação extraterritorial, ou seja, toda empresa que tiver negócios no país deve se adequar a ela; consentimento do usuário para coletar informações pessoais; os titulares podem retificar, cancelar ou até solicitar a exclusão desses dados; criação da Autoridade Nacional de Proteção aos Dados (ANPD); e a notificação obrigatória de qualquer incidente.

4 – Data Protection Officer

A partir de agora, as organizações devem estabelecer um Comitê de Segurança da Informação para analisar os procedimentos internos. Dentro deste órgão haverá um profissional exclusivo para a proteção dos dados e responsável pelo cumprimento da nova lei.

5 – Avaliação da Maturidade dos processos e Impacto de Riscos

É o levantamento de quais situações devem ser corrigidas pela empresa para a garantia de que a LGPD seja cumprida em todos os departamentos.

6 – Redução da exposição ao risco

Aqui, é a etapa de implementação das medidas para proteger os dados pessoais na base da empresa. Elas podem ser de segurança, técnicas e administrativas, que evitam, combatem ou minimizam a perda ou indisponibilidade de ativos de informação devido a ameaças que atuam sobre algumas vulnerabilidades.

7 – Adoção do Privacy by Design

Aborda a proteção desde a concepção do produto ou sistema, sendo incorporada diretamente às estruturas tecnológicas, ao modelo de negócio e à infraestrutura física. Ou seja, a privacidade está presente na própria arquitetura, permitindo que o próprio usuário seja capaz de preservar e gerenciar a coleta e o tratamento de seus dados pessoais.

8 – Cumprimento dos subcontratantes

A LGPD estende-se também aos subcontratantes de uma empresa, como fornecedores e parceiros de tecnologia. Eles também ficam sujeitos às obrigações e podem realizar pagamentos de indenização, por exemplo.

9 – Multas

A nova lei prevê sanções para quem não tiver boas práticas. Elas englobam advertência, multa ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar de 2% do faturamento do ano anterior até a R$ 50 milhões, passando por penalidades diárias.

10 – Parceiro especializado

Lidar com esta situação enquanto tenta administrar o negócio não é fácil. Um parceiro especializado pode auxiliar nesse período de transição, possibilitando um maior conhecimento e aplicação de medidas eficientes para o cumprimento da lei.

Quer se adequar a LGPD? A Future está preparada para ajuda-lo nessa transição! Somos parceiros dos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Read More

Contadores são novo alvo do cibercrime

Especialistas da Karspesky descobriram que cibercriminosos estão concentrando seus esforços em PMEs, e dando atenção especial aos contadores.

Essa escolha é bastante lógica – estão em busca de acesso direto às finanças.

A manifestação mais recente dessa tendência é um pico na atividade de Trojans, especificamente do Buhtrap e do RTM. Ambos possuem diferentes funcionalidades e formas de expansão, mas o mesmo propósito – roubar dinheiro de contas empresariais.

Ambas as ameaças são particularmente relevantes para empresas que trabalham em TI, serviços legais e produções em pequena escala. Isto talvez possa ser explicado pelo orçamento de segurança muito menor dessas organizações em comparação com empresas que trabalham no setor financeiro.

RTM

Geralmente, o RTM infecta vítimas por meio de e-mails de phishing.

As mensagens imitam correspondências empresariais comuns (incluindo frases como “pedido de devolução”, “cópias dos documentos do mês passado” ou “solicitação de pagamento”).

Clicar em um link ou abrir um anexo leva à infecção imediata, e dá aos operadores acesso completo ao sistema infectado.

Em 2017, foram registrados 2,3 mil usuários atacados pelo RTM.

Em 2018, 130 mil alvos.

E passados apenas dois meses de 2019, já vimos mais de 30 mil usuários que encontraram esse Trojan.

Se a tendência continuar, vai bater o recorde do ano passado. Por enquanto, podemos considerar o RTM como um dos Trojans financeiros mais ativos.

A maioria dos alvos do RTM opera na Rússia. No entanto, nossos especialistas esperam que o vírus cruze fronteiras e eventualmente ataque usuários de outros países.

Buhtrap

O primeiro encontro com o Buhtrap foi em 2014.

Naquela época, esse era o nome de um grupo cibercriminoso que roubava dinheiro de estabelecimentos financeiros russos – um montante de pelo menos U$ 150 mil por golpe.

Depois que os códigos-fonte das suas ferramentas se tornaram públicos em 2016, o nome foi utilizado para o Trojan financeiro.

O Buhtrap ressurgiu no início de 2017 na campanha TwoBee, quando serviu principalmente como um meio de entrega de malwares. Em março do ano passado, invadiu as notícias (literalmente), espalhando-se pelos sites dos principais veículos de mídia, cujas páginas principais tinham sido comprometidas por scripts implantados por atores maliciosos. Esses scripts executaram um exploit nos navegadores Internet Explorer de visitantes.

Poucos meses depois, em julho, cibercriminosos diminuíram seu público-alvo e se concentraram em um grupo de usuários específico: contadores que trabalham em empresas de pequeno e médio porte. Por esse motivo, criaram sites com informações direcionadas para esses profissionais.

Relembramos esse malware por causa de um novo pico, que começou no fim de 2018 e continua até hoje.

Ao todo, nossos sistemas de proteção evitaram mais de 5 mil tentativas de ataques do Buhtrap, sendo 250 desde o início de 2019.

Exatamente como da última vez, o Buhtrap está se espalhando por meio de exploits embedados em portais de notícia. Como de costume, usuários do Internet Explorer estão no grupo de risco. O IE utiliza um protocolo criptografado para baixar malwares de sites infectados, e isso complica a análise e permite que o vírus se esconda de algumas soluções de segurança. E sim, ainda utiliza uma vulnerabilidade que foi descoberta em 2018.

Como resultado da infecção, tanto o Buhtrap como o RTM permitem acesso completo a estações de trabalho comprometidas. Isso permite que cibercriminosos modifiquem os arquivos usados para trocas de dados entre sistemas de contabilidade e bancários.

Esses arquivos possuem nomes padronizados e nenhuma medida de proteção adicional, de forma que os bandidos podem modificá-los como quiserem.

Estimar os danos é desafiador, mas conforme observamos, os criminosos estão desviando fundos em transações que não ultrapassam os U$ 15 mil cada.

O que pode ser feito?

Para proteger sua empresa contra essas ameaças, recomendamos dar atenção especial à proteção de computadores – como os de contadores e administradores – que possuem acesso a sistemas financeiros.

É claro, todas as outras máquinas precisam ser protegidas também.

Aqui estão algumas dicas mais práticas:

  • Instale patches de segurança e atualizações para todos os softwares assim que possível.
  • Proíba, dentro do possível, o uso de ferramentas de administração remota nos computadores de contadores.
  • Proíba a instalação de qualquer programa não-autorizado.
  • Melhore a conscientização geral sobre segurança dos funcionários que trabalham com finanças, mas também foque em práticas antiphishing.
  • Instale uma solução de segurança com tecnologias de análise comportamental ativa.

Quer manter sua empresa protegida? A Future é parceira e possui profissionais certificados junto aos maiores fabricantes de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CryptoID.

Read More

Cibercriminosos preferem cada vez mais ataques furtivos ‘baixos e lentos’

Uma abordagem “baixa e lenta” (“low and slow”, no original em inglês) para ataques cibernéticos financeiros superou o ransomware como principal vetor de ataque de criminosos que tentam cautelosamente extorquir dinheiro usando malware baseado em mineração criptográfica, de acordo com uma nova pesquisa da Darktrace, empresa britânica de segurança cibernética.

Embora o ransomware tenha feito manchetes quando causou estragos no Reino Unido, Europa e EUA, mais proeminentemente com o WannaCry, uma nova geração de malware está silenciosamente se instalando nos dispositivos dos usuários e nos datacenters para roubar eletricidade e largura de banda para minerar moedas criptografadas como Monero.

De acordo com a Darktrace, ao longo de 2018 e em 2019, houve um aumento da proeminência de malware com cargas de mineração criptográfica, bem como o retorno de trojans bancários.

Em uma conversa com a Computerworld do Reino Unido, o diretor de caça às ameaças da empresa, Max Heinemeyer, disse que a Darktrace avistou “formas muito criativas de cripping acontecendo”. Especulando sobre a razão pela qual essa mudança estava ocorrendo, ele disse que é possível que os agentes de ameaças tenham perdido o lucro porque as vítimas do ransomware podem não ter conhecimento suficiente da tecnologia para realmente entrar no Tor e fazer pagamentos de bitcoin.

“Uma abordagem melhor seria ir para a clandestinidade e usar a mineração de criptografia porque é baixa e lenta e garante um lucro”, disse ele.

Heinemeyer disse que a empresa tinha até visto um invasor, que era administrador de sistemas em um grande banco europeu, instalar um dispositivo de mineração sob as placas de piso do data center em que ele trabalhava para usar a capacidade de seu local de trabalho para extrair moeda.

Uma empresa no Reino Unido também foi atingida por uma variante de mineração de criptografia que se espalhou lateralmente pela organização poucos minutos depois do e-mail inicial de spear phishing, onde o trojan havia se espalhado para mais de 400 dispositivos dentro do ambiente.

“Vimos um malware de mineração de criptografia que não está funcionando com capacidade total para evitar o superaquecimento de computadores e fazer o ventilador girar 100%, para evitar essas implicações físicas de serem muito altas”, disse ele.

Ao contrário do bitcoin, o Monero é relativamente fácil de usar em hardware de commodity – por isso é mais fácil minerar a moeda em um laptop habitual e, portanto, mais lucrativo.

“Vimos tantas variantes diferentes de como esses malwares estão se espalhando ou sendo carregados, que é claro dizer que há muitos jogadores no mercado de criptografia, e as barreiras à entrada para criar seu próprio malware de mineração de criptografia são simples hoje em dia”, disse ele.

A fraude com cartão de crédito é “incômoda” porque, para evitar o alerta imediato sobre a aplicação da lei, os criminosos precisam estabelecer redes de lavagem de dinheiro nos quais os intermediários poderiam comprar artigos de luxo com os dados roubados. O ransomware era “outra maneira legal de monetizar” e agora a mineração de moeda criptografada é “mais uma ferramenta em seu arsenal”, como colocou Heinemeyer.

Embora a mineração de criptografia possa não ser tão obviamente prejudicial para a vítima, ela é tão perigosa quanto outros ataques, porque uma vez que uma máquina é comprometida, outros back doors podem ser estabelecidos e, por exemplo, transformados em um trojan de cartão de crédito posteriormente.

“Portanto, ainda há um enorme risco, além da óbvia eletricidade e do poder de computação que está sendo roubado”, disse Heinemeyer.

Estudo de caso

O novo relatório está ligado ao lançamento dos novos ‘módulos de resposta de AI cibernética’ Antigena, da Darktrace, e também inclui alguns exemplos de ataques vistos pelas empresa.

Os módulos Antigena vão além da rede interna de uma organização e até a nuvem pública (especificamente Amazon Web Services e Azure), bem como o Office 365 e outros aplicativos de software como serviço.

A empresa descobriu que, em uma consultoria de investimentos japonesa, um sistema de CCTV conectado à Internet havia sido comprometido – o que significa que eles poderiam visualizar todo o escritório, incluindo o escritório do CEO e a sala de reuniões.

No entanto, a companhia alega que os seus algoritmos detectaram um comportamento incomum no servidor de CCTV não criptografado, com grandes volumes de dados sendo transferidos para um endereço desconhecido na web. Aqui, a Antigena bloqueou a movimentação de dados do dispositivo para servidores externos, enquanto permitia que a câmera operasse como deveria.

“A maioria das ferramentas de segurança antigas não pegariam isso porque diriam: ‘Eu não tenho uma regra para isso’ – uma câmera de CCTV foi desonesta”, disse Heinemeyer. “Nossa AI revida de forma autônoma em vez de esperar que o ser humano confirme, investigue e pesquise isso, porque os dados estão indo para lá agora, nossa AI para o tráfego e diz que em vez dessa única câmera de CCTV que vai trapacear, nós vamos impor o que todas as outras câmeras de CCTV fazem.

“Assim, as operações normais serão aplicadas e apenas o comportamento estranho será interrompido. Desta forma, a exfiltração de dados foi interrompida, mas a câmera de CCTV ainda poderá ser usada ainda pela equipe interna de CCTV.”

Mantenha-se protegido. Conte com a Future! Somos parceiros e certificados pelos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o fomrulário abaixo e fale conosco.

Fonte: Computerworld.

Read More

Receba conteúdos exclusivos