Como um SIC pode apoiar na adequação à LGPD?

O cuidado com as informações se tornou uma das ações mais estratégicas para empresas e órgãos públicos nacionais com o surgimento da Lei Geral de Proteção de Dados (LGPD). Afinal, erros graves de gestão, roubo e vazamento de dados podem provocar multas com base na legislação e danos à imagem e credibilidade. Para evitar essa situação, está havendo um maior foco na adesão ao Security Intelligence Center (SIC). 

Esse recurso tem como peça-chave proporcionar às companhias mais condições de enfrentar as ameaças virtuais com agilidade e eficiência, o que é essencial para manter o ambiente de TI devidamente protegido contra os cibercriminosos. Com os ataques cibernéticos sendo cada vez mais sofisticados, é necessário adotar mecanismos para minimizar riscos e perdas. 

Neste artigo, vamos apontar diversos detalhes sobre como o SIC pode ser útil para as organizações estarem mais preparadas e menos vulneráveis às ações de cibercriminosos no tocante a privacidade. Confira! 

O que é o Security Intelligence Center?

Consiste em uma central de segurança, com funcionamento no sistema 24/7/365, atuando de maneira ininterrupta para manter os serviços de uma instituição com elevado nível de proteção. 

Um aspecto positivo dessa central é a capacidade de fazer um monitoramento inteligente, permitindo identificar de forma ágil e proativa as ameaças virtuais. Para isso, conta com profissionais altamente capacitados e com o uso de métodos e ferramentas que previnem e eliminam tentativas que possam gerar incidentes de segurança

Também vale destacar que o SIC é uma evolução do Security Operation Center (SOC). Em virtude das táticas dos hackers estarem evoluindo de forma contínua, é muito importante que as organizações contem com recursos avançados para diminuir ao máximo problemas relacionados com a dificuldade de manter os dados protegidos.  

Como o SIC funciona

Ter mecanismos avançados para enfrentar os hackers com eficiência é, sem dúvida, um fator que merece ser levado em consideração. Com o objetivo de ajudar você a compreender isso melhor, vamos mencionar como o Security Intelligence Center age para proporcionar um maior nível de segurança aos usuários. Acompanhe! 

Antecipando ameaças

Analisar o ambiente de TI de maneira ágil e eficiente é crucial para uma organização estar mais segura. Por isso, apostar no SIC consiste em uma medida inteligente para antecipar ameaças com uma postura mais proativa. 

Por meio de relatórios, a solução permite avaliar como minimizar as vulnerabilidades na rede corporativa. À medida que há uma visão mais ampla sobre como os cibercriminosos estão tentando roubar informações, maiores são as possibilidades de utilizar os procedimentos corretos de proteção. 

Não há dúvidas de que investir em segurança da informação de forma estratégica é a melhor alternativa para manter os sistemas institucionais e os serviços digitais com um alto nível de disponibilidade. Com a transformação digital cada vez mais enraizada, isso não pode ser ignorado em hipótese alguma.  

Detectando riscos

Com a implantação do SIC, podem ser configurados alertas personalizados. Assim, é viável identificar, com mais rapidez, as tentativas de acesso indevido. Ter à disposição um recurso moderno para a notificação de eventos é um elemento que ajuda na melhoria contínua do uso de mecanismos voltados à proteção dos dados. 

A velocidade em constatar a presença de ameaças contribui para elevar o nível de segurança de um ambiente de TI. Quanto mais rápido forem empregadas ações para combater as ações de cibercriminosos, maiores são as chances de evitar problemas graves, como o vazamento de dados, alvo principal da LGPD.  

A inserção no mundo digital exige das organizações uma maior capacidade de identificar riscos. Nenhum serviço público ou privado pode ficar várias horas inacessível para os cidadãos, porque isso afeta negativamente o atendimento às demandas e o nível de satisfação dos usuários.   

Solução e proteção

Cada instituição tem uma realidade que precisa ser analisada com muita atenção. Tratar uma corporação financeira da mesma forma que, por exemplo, uma indústria é um erro que não pode ser cometido pelos gestores de TI. Por isso, o SIC tem como elemento marcante disponibilizar recomendações de segurança personalizadas. 

Ou seja, o ambiente de TI é analisado considerando o contexto em que o cliente está inserido e o tráfego de informações. Uma avaliação precisa é fundamental para que os mecanismos de segurança sejam mais efetivos e minimizem os riscos de ataques virtuais alcançarem as metas estabelecidas.   

Um monitoramento eficiente é cada vez mais necessário para proteger os dados e dificultar ao máximo as ações de hackers. E isso somente se torna possível quando há um investimento em soluções avançadas de proteção dos dados.   

Qual sua importância na LGPD?

O avanço tecnológico tem como uma das principais consequências a capacidade de os cibercriminosos adotarem processos cada vez mais sofisticados para roubar informações de uma instituição. Essa situação deve ser evitada ao máximo, porque causa transtornos ao público-alvo e pode resultar em multas relacionadas com o descumprimento das normas da LGPD

Dependendo do caso, é possível uma organização ser obrigada a pagar até R$ 50 milhões ou 2% do seu faturamento bruto. Para minimizar os riscos de conviver com prejuízos financeiros e de imagem, uma excelente alternativa é apostar em recursos com grande capacidade de proteger os dados

Essa conjuntura mostra como o investimento no SIC é uma boa escolha para uma instituição não apenas estar menos sujeita a vazamentos de dados, mas também demonstrar maturidade em segurança da informação, adequação às leis e normas e governança, de forma estratégica e inteligente, o que melhora a reputação e credibilidade, elementos bastante positivos para engajar os stakeholders. 

Saiba mais sobre o SIC

É muito importante contar com soluções modernas de segurança, porém é crucial ter parceiros que saibam usar a tecnologia a favor do seu negócio. Com foco em resultados concretos para seus clientes, a Future tem um robusto centro de inteligência e monitoramento. 

Ao priorizar investimentos planejados em recursos de ponta, uma organização pode contar com ferramentas avançadas e atualizadas. Essa ação é fundamental para ter à disposição um SIC que seja capaz de identificar vulnerabilidades e combater as ameaças digitais de forma estratégica. 

Se está à procura de uma solução diferenciada para proteger seus dados, realizar adequação à LGPD e aumentar a maturidade de segurança da sua organização, entre em contato com a nossa equipe agora mesmo! Estamos à disposição para tirar todas as suas dúvidas e garantir uma maior sustentabilidade para a sua instituição! 

O que é ransomware e como agir após um ataque?

Você sabe o que é o ransomware e como agir após ser vítima desse ataque? Esse questionamento é bastante relevante, pois cada vez mais sistemas e ambientes computacionais têm sofrido com esse tipo de ataque virtual.

Este tipo de malware causa grandes prejuízos, pois restringe o acesso aos softwares, dados e informações. Por esse motivo, esse tópico gera muita preocupação por parte dos profissionais especializados em TI e em segurança da informação.

Pensando na importância desse tema, neste conteúdo explicaremos o que é o ransomware, destacaremos quais são os tipos e informaremos o que você pode fazer após ser vítima de um ataque desse tipo. Acompanhe a seguir.

O que são os malwares?

Antes de explicarmos o que é um ransomware, é fundamental entendermos o que são os malwares para uma melhor compreensão em relação a esse relevante assunto.

Também conhecido como software malicioso, malware é um termo abrangente e refere-se a qualquer programa ou código que pode causar prejuízos a sistemas, servidores ou rede de computadores.

Desse modo, podemos dizer que o malware é qualquer programa feito propositalmente com o objetivo de causar danos aos computadores e diferentes sistemas informatizados.

O que é o ransomware e como ele funciona?

Trata-se de um tipo de malware que impede as pessoas de acessarem sistemas, arquivos pessoais e informações. Nesse caso, quem for vítima do ataque terá que fazer o pagamento do resgate (ransom) para recuperar o acesso aos referidos ativos. Muitas vezes, os autores desse ciberataque exigem que o pagamento seja feito por meio de uma criptomoeda ou mesmo via cartão de crédito.

Nesse momento, é comum surgir a seguinte dúvida: quais são os principais caminhos para o ransomware infectar os computadores? Existem diversas possibilidades. Entre elas estão a utilização de spam malicioso, e-mails com armadilhas em anexo, links para sites maliciosos, etc. E, uma vez dentro de seu ambiente, ele se espalha horizontalmente, infectando os demais dispositivos de sua rede.

Qual a relação entre o Ransomware e o phishing?

O phishing é uma das formas utilizadas pelos cibercriminosos para espalhar um ransomware. Nesse caso, é muito comum ter um e-mail com um código malicioso em um anexo desconhecido na sua caixa de e-mails.

Se for um e-mail phishing, ele será parecido com um legítimo. Nessas situações, as chances dos usuários não perceberem a ameaça e executarem o malware são grandes. Após a execução do arquivo, os programas maliciosos infectam o computador do indivíduo.

Depois do contato inicial com um computador, normalmente o ransomware criptografa seus arquivos. Com isso, os usuários não terão mais acesso aos dados e informações. Quando essa situação acontece, a pessoa recebe uma notificação que suas informações foram sequestradas e continuarão nesse estado até que paguem o resgate solicitado.

Se a pessoa optar por fazer o pagamento, o cibercriminoso se compromete a fornecer uma senha de acesso para o desbloqueio das informações capturadas. Porém, é importante mencionar que não há garantia que essas informações possam ser recuperadas. Por esse motivo, o pagamento não é uma prática recomendada e essa prática pode incentivar que cibercriminosos façam novos ataques e vítimas.

Quais são os tipos de ransomware?

Existem diversos tipos de ransomware e o conhecimento desse tema é fundamental para você esteja melhor preparado, evitando desta forma ser vítima desse ataque. Destacaremos abaixo os tipos mais comuns.

Criptoware

Destacamos anteriormente sobre a criptografia. Nesse tipo de malware, os cibercriminosos criptografam todos os seus dados e impossibilitam o acesso. Para recuperá-los, os invasores solicitam o pagamento de resgate. Porém, essa prática não é recomendada, pois não há nenhuma garantia que os criminosos vão devolver esses arquivos.

Scareware

Ele inclui sistemas de segurança trapaceiros ou fraudes de suporte técnico. Nesse caso, você pode receber uma mensagem alegando que um determinado malware foi descoberto e a única maneira de livrar-se dele seria pagando.

No entanto, caso não faça nada, os seus arquivos continuarão seguros. Vale destacar que nenhum programa de segurança legítimo vai fazer solicitações desse modo. O Scareware, como o nome sugere, é desenvolvido com o intuito de assustar, e levar o usuário a realizar o pagamento.

O que fazer após um ataque de ransomware?

Primeiramente, é importante desconectar o computador da rede e fazer o isolamento de unidades externas (unidade USB, disco rígido etc.) do computador infectado.

Posteriormente, entre em contato imediatamente com um especialista em segurança da informação, pois é o profissional capacitado para resolver esse problema.

Também é uma ótima ideia fazer o backup dos dados, pois essa prática facilita a recuperação das informações. Ter uma rotina periódica de backups é outra medida preventiva nesse contexto.

Por fim, mas não menos importante, é fundamental contar com um antimalware e atualizá-lo de forma periódica. Isso porque, essa prática aperfeiçoa a identificação de programas maliciosos e evita que o sistema seja invadido. Trata-se, portanto, de uma medida preventiva e que visa garantir a segurança da informação de forma geral.

O ransomware gera muitos prejuízos em diferentes sistemas informatizados. Por esse motivo, é muito importante entender como funciona esse ataque e conhecer as medidas a serem tomadas após ser vítima do malware,reduzindo desta forma os prejuízos causados. Desse modo, torna-se possível manter as informações protegidas na sua empresa.

Está com alguma dúvida sobre o que é ransomware e como agir após esse ataque? Entre já em contato com a Future! Veja como podemos ajudá-lo a melhorar a segurança da informação na sua empresa e garantir proteção dos seus sistemas contra ataques de malwares.

Ransomware: 10 dicas para reforçar a proteção contra esse ataque

ransomware é mais uma de tantas ameaças a que uma empresa deve estar atenta constantemente. Sua diferença, porém, é que seu impacto é maior que o de outras ameaças, podendo dificultar muito o trabalho do departamento de TI, e gerar grandes prejuízos para a organização. 

Depois do ataque, o sistema rapidamente é controlado pelos invasores, sendo quase impossível remover esse malware. Por conta disso, se apresenta como um grande risco para qualquer corporação, seus dados, usuários e parceiros. 

Para entender melhor o que é um ransomware, como funciona e como evitá-lo, fique atento. Descubra abaixo como se proteger contra essa ameaça e verificar se sua companhia se encontra segura.  

O que é ransomware?

De maneira bastante breve, é possível definir o ransomware como um tipo de malware muito perigoso para as companhias. A explicação para isso está em sua rapidez de acesso, bem como na forma como ele atua no sistema de uma organização. Basicamente, o programa ameaça bloquear ou até mesmo publicar os dados da vítima. 

Obviamente, o grau de preocupação pode variar de acordo com o desenvolvedor do software. Alguns podem ser menos desenvolvidos, de forma a ser possível reverter alguns dos danos. Em outros casos, entretanto, essa solução não funciona, deixando a empresa nas mãos dos invasores. É comum, por exemplo, que seja pedido um resgate para a devolução da informação.  

Qual a ação do ransomware?

A forma de atuação de um ransomware é bastante similar à de tantos outros vírus aos quais uma companhia está suscetível. Sua porta de entrada, em geral, são e-mails de phishingspamdownloads mascarados e demais técnicas já conhecidas. O problema, porém, aparece logo após o arquivo ser aberto.  

A partir deste momento, o programa consegue, em poucos segundos, iniciar seu processo de criptografia. Dessa forma, não há tempo hábil para reverter a situação ou entrar em contato com especialistas do departamento de TI. Em pouco tempo, seus dados já estão nas mãos dos bandidos, não havendo muito que se possa fazer. Por conta disso, o mais indicado é investir na prevenção desses ataques.  

Impactos causados por ransomwares

Assim que se instala em um sistema, são diversas as maneiras que o ransomware pode complicar a operação de uma empresa. Esses impactos, então, dependem do objetivo do ataque, bem como da efetividade do malware. De qualquer forma, apenas o risco desses efeitos já assusta qualquer pessoa. Entre eles, pode-se citar, por exemplo: 

  • Perda de dados, documentos e arquivos de uma empresa, temporária ou permanentemente; 
  • Desligamento completo de toda a operação de uma companhia; 
  • Prejuízo financeiro devido à inativação das operações, do acesso ao sistema como um todo, e eventuais multas impostas pelas regulamentações de proteção de dados; 
  • Grandes gastos a fim de mitigar ou reverter os problemas causados pela invasão; 
  • Impacto direto na reputação da organização, afetando sua imagem perante o mercado, seus parceiros e consumidores. 

Como reforçar a proteção contra ransomwares?

Mais importante do que entender o funcionamento desse vírus é compreender como se proteger contra ele. Assim, é interessante investir em formas de garantir a segurança tanto de sua companhia, quanto de suas informações. 

Para isso, diversas são as técnicas que podem ser utilizadas, indo desde as mais simples às mais desenvolvidas. As mais indicadas, entretanto, são as que seguem.  

Antispam

Como dito anteriormente, uma das principais portas de entrada para um ransomware é o correio eletrônico. Com a constante sofisticação dos ataques phishing, é fundamental contar com uma ferramenta avançada antispam, que é a responsável por bloquear ataques deste tipo. Historicamente este controle reduz de forma significativa o risco deste tipo de ataque e, consequentemente, de uma infecção por ransomware

Proteção Web

Na maioria das vezes o ransomware entra na empresa através do acesso de um usuário a um link na Internet (normalmente contido em um e-mail phishing).  

Adicionalmente, uma vez instalado, normalmente, o ransomware busca comunicação com o atacante através de servidores externos. Esta comunicação serve para avisar que o ataque foi bem sucedido e evadir as informações roubadas.  

Assim, proteger a comunicação com a Internet é fundamental para reduzir eventuais impactos relacionados ao roubo das informações e, por vezes, impedir a própria instalação do software malicioso. 

Desta forma, contar com uma ferramenta especializada em proteção web é crucial para aquelas empresas preocupadas com este tipo de ataque. 

Perímetros de rede

Outro ponto a se atentar na hora de investir na proteção de sua empresa é o perímetro de rede. Para isso, se faz necessário, já de início, desenvolver políticas bem definidas.  

Junto a isso, sugere-se a utilização de uma rede isolada para os servidores, criando um limite de separação entre as redes internas e externas. Além disso, a fim de se proteger contra o ransomware, indica-se também a concepção de uma DMZ (Demilitarized Zone) para serviços publicados na internet. 

Firewall

Outro fator a se considerar com o objetivo de garantir a segurança de seus dados é investir em um firewall de borda. Por meio deste, se faz possível bloquear portas externas, em especial as que dão acesso ao sistema.  

Este pode trabalhar junto a um antimalware, reforçando ainda mais sua atuação. Esses são bloqueios que impedem ou retardam a entrada dos arquivos indesejados e evitam que seus dados sejam afetados. Para um melhor resultado, defina políticas avançadas de bloqueio para IPs maliciosos.  

Atualizações do sistema operacional

Assim como tudo no ambiente digital, os ransomwares evoluem e se atualizam, se tornando cada vez mais capacitados a invadir seu ambiente. Com isso em mente, se faz interessante manter o seu sistema operacional, da mesma forma, sempre atualizado. 

Em geral, os updates são disponibilizados pelo próprio fornecedor, já contendo níveis mais altos de proteção. É importante mencionar, porém, que todos os equipamentos devem ser atualizados e os sistemas antigos descontinuados para que a medida tenha efeito. 

Antimalware

Seguindo a lógica dos tópicos acima, uma boa forma de complicar a entrada de arquivos maliciosos é investir em um bom software antimalware. Este, porém, não pode ser qualquer ferramenta disponível no mercado, mas sim uma com capacidade comprovada.  

Outro ponto a se analisar é se este apresenta, de fato, proteção conta ransomware. Alguns sistemas muito utilizados não contam com essa defesa, em especial em suas versões gratuitas. Assim, instale um antimalware em todas as máquinas da empresa e confirme sua proteção contra ataques externos.   

Interconexão

A precaução deve ser sempre considerada quando se fala de internet, e isso inclui a comunicação entre seus próprios equipamentos. Com isso, o mais indicado é que toda a interconexão entre usuários e a rede da companhia seja feita através de VPN. 

Todos esses dispositivos devem seguir a política de segurança da organização, incluindo os de propriedade da companhia e dos funcionários. Se um destes, afinal, é infectado e se conecta ao sistema empresarial, causa os mesmos riscos que os demais.   

Políticas de segurança

Falando das políticas de segurança, se faz preciso entender que estas devem conter todas as regras para que haja uma correta proteção corporativa. Assim, devem constar nas normas os mais diversos aspectos da proteção digital, que vão de senhas fortes à redução de privilégios administrativos.  

Outras mudanças aconselháveis e fáceis de se aplicar são a troca constante das senhas e o bloqueio por tentativas de acesso. Por meio destas ações, fica mais fácil garantir a defesa de uma empresa.  

Capacitação de pessoas

De nada adianta, porém, toda a equipe de TI entender a situação e se precaver se os demais colaboradores não fizerem sua parte. Por isso, é preciso, também, investir em treinamentos e capacitações a respeito do tema. 

Todos dentro de uma organização devem estar cientes dos riscos de suas atitudes, bem como dos efeitos que estas podem ter. Muitas vezes, a falta de conhecimento é o que causa a entrada do ransomware, em especial por maneiras simples de se evitar. 

Backup

Nesse tipo de situação, todos os cenários devem ser considerados, inclusive um em que o ataque, de fato, ocorra. Para isso, a empresa deve ter a certeza de que seus dados não sejam perdidos, jogando anos de trabalho fora.  

Nada melhor, então, do que possuir um backup constante dos dados hospedados em seu ambiente. Outra boa ideia é apostar em um plano de disaster recovery (recuperação de desastres)

DNS

Em adição a tudo o que foi descrito acima, atuar com um servidor de DNS — Domain Name System — seguro auxilia muito no processo. Para isso, é possível contar com auxílio de terceiros realizando parcerias com fornecedores especialistas.  

Dessa forma, é simples garantir sua segurança no acesso aos sistemas corporativos. É esse fator, por exemplo, que evitará o aparecimento de domínios suspeitos na rede interna. Estes, aliás, se apresentam como uma das principais portas de entrada do ransomware nas companhias.   

Auditoria de segurança

Por fim, se faz preciso também garantir que todos os passos acima sejam seguidos de maneira correta. Para isso, o ideal é realizar auditorias constantes e profundas em toda a atuação e estrutura da organização. 

Esse processo pode ser feito de forma interna, mas sugere-se, também, sua realização externa, por meio de consultorias especializadas. Estas, então, terão mais liberdade, autonomia e conhecimento para analisar todo e qualquer ponto que possa se apresentar como um risco para a empresa. 

Saiba mais sobre proteção contra ransomware com a Future

Grande parte dos especialistas considera o ransomware como uma das principais ameaças a uma empresa. Dessa forma, se proteger contra esse malware é vital para o sucesso e o crescimento de um negócio. Para isso, porém, o mais indicado é contar com parceiros capacitados e que te auxiliem em todo esse processo.  

Com mais de 20 anos de atuação no mercado de segurança da informação, a Future é a escolha ideal para você. A empresa traz confidencialidade, integridade, disponibilidade e conformidade para qualquer projeto que precisar. Mais do que isso, possui o conhecimento e a experiência necessários para te ajudar de forma totalmente eficaz. 

Assim, você terá ao seu lado não somente um parceiro, mas toda uma equipe empenhada em proteger sua empresa e lhe apoiar operacional e estrategicamente. E, em momentos como o atual, em que os ataques são cada vez mais comuns, esse é o suporte que você precisa para se manter competitivo no mercado.  

Ficou interessado? Entre em contato com um especialista da Future para mais informações. 

Cibercriminosos preferem cada vez mais ataques furtivos ‘baixos e lentos’

Uma abordagem “baixa e lenta” (“low and slow”, no original em inglês) para ataques cibernéticos financeiros superou o ransomware como principal vetor de ataque de criminosos que tentam cautelosamente extorquir dinheiro usando malware baseado em mineração criptográfica, de acordo com uma nova pesquisa da Darktrace, empresa britânica de segurança cibernética.

Embora o ransomware tenha feito manchetes quando causou estragos no Reino Unido, Europa e EUA, mais proeminentemente com o WannaCry, uma nova geração de malware está silenciosamente se instalando nos dispositivos dos usuários e nos datacenters para roubar eletricidade e largura de banda para minerar moedas criptografadas como Monero.

De acordo com a Darktrace, ao longo de 2018 e em 2019, houve um aumento da proeminência de malware com cargas de mineração criptográfica, bem como o retorno de trojans bancários.

Em uma conversa com a Computerworld do Reino Unido, o diretor de caça às ameaças da empresa, Max Heinemeyer, disse que a Darktrace avistou “formas muito criativas de cripping acontecendo”. Especulando sobre a razão pela qual essa mudança estava ocorrendo, ele disse que é possível que os agentes de ameaças tenham perdido o lucro porque as vítimas do ransomware podem não ter conhecimento suficiente da tecnologia para realmente entrar no Tor e fazer pagamentos de bitcoin.

“Uma abordagem melhor seria ir para a clandestinidade e usar a mineração de criptografia porque é baixa e lenta e garante um lucro”, disse ele.

Heinemeyer disse que a empresa tinha até visto um invasor, que era administrador de sistemas em um grande banco europeu, instalar um dispositivo de mineração sob as placas de piso do data center em que ele trabalhava para usar a capacidade de seu local de trabalho para extrair moeda.

Uma empresa no Reino Unido também foi atingida por uma variante de mineração de criptografia que se espalhou lateralmente pela organização poucos minutos depois do e-mail inicial de spear phishing, onde o trojan havia se espalhado para mais de 400 dispositivos dentro do ambiente.

“Vimos um malware de mineração de criptografia que não está funcionando com capacidade total para evitar o superaquecimento de computadores e fazer o ventilador girar 100%, para evitar essas implicações físicas de serem muito altas”, disse ele.

Ao contrário do bitcoin, o Monero é relativamente fácil de usar em hardware de commodity – por isso é mais fácil minerar a moeda em um laptop habitual e, portanto, mais lucrativo.

“Vimos tantas variantes diferentes de como esses malwares estão se espalhando ou sendo carregados, que é claro dizer que há muitos jogadores no mercado de criptografia, e as barreiras à entrada para criar seu próprio malware de mineração de criptografia são simples hoje em dia”, disse ele.

A fraude com cartão de crédito é “incômoda” porque, para evitar o alerta imediato sobre a aplicação da lei, os criminosos precisam estabelecer redes de lavagem de dinheiro nos quais os intermediários poderiam comprar artigos de luxo com os dados roubados. O ransomware era “outra maneira legal de monetizar” e agora a mineração de moeda criptografada é “mais uma ferramenta em seu arsenal”, como colocou Heinemeyer.

Embora a mineração de criptografia possa não ser tão obviamente prejudicial para a vítima, ela é tão perigosa quanto outros ataques, porque uma vez que uma máquina é comprometida, outros back doors podem ser estabelecidos e, por exemplo, transformados em um trojan de cartão de crédito posteriormente.

“Portanto, ainda há um enorme risco, além da óbvia eletricidade e do poder de computação que está sendo roubado”, disse Heinemeyer.

Estudo de caso

O novo relatório está ligado ao lançamento dos novos ‘módulos de resposta de AI cibernética’ Antigena, da Darktrace, e também inclui alguns exemplos de ataques vistos pelas empresa.

Os módulos Antigena vão além da rede interna de uma organização e até a nuvem pública (especificamente Amazon Web Services e Azure), bem como o Office 365 e outros aplicativos de software como serviço.

A empresa descobriu que, em uma consultoria de investimentos japonesa, um sistema de CCTV conectado à Internet havia sido comprometido – o que significa que eles poderiam visualizar todo o escritório, incluindo o escritório do CEO e a sala de reuniões.

No entanto, a companhia alega que os seus algoritmos detectaram um comportamento incomum no servidor de CCTV não criptografado, com grandes volumes de dados sendo transferidos para um endereço desconhecido na web. Aqui, a Antigena bloqueou a movimentação de dados do dispositivo para servidores externos, enquanto permitia que a câmera operasse como deveria.

“A maioria das ferramentas de segurança antigas não pegariam isso porque diriam: ‘Eu não tenho uma regra para isso’ – uma câmera de CCTV foi desonesta”, disse Heinemeyer. “Nossa AI revida de forma autônoma em vez de esperar que o ser humano confirme, investigue e pesquise isso, porque os dados estão indo para lá agora, nossa AI para o tráfego e diz que em vez dessa única câmera de CCTV que vai trapacear, nós vamos impor o que todas as outras câmeras de CCTV fazem.

“Assim, as operações normais serão aplicadas e apenas o comportamento estranho será interrompido. Desta forma, a exfiltração de dados foi interrompida, mas a câmera de CCTV ainda poderá ser usada ainda pela equipe interna de CCTV.”

Mantenha-se protegido. Conte com a Future! Somos parceiros e certificados pelos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o fomrulário abaixo e fale conosco.

Fonte: Computerworld.

Read More

Serviços de nuvem hospedam meio milhão de armas para ataque DDoS

Os ataques DDoS estão crescendo em frequência, intensidade e sofisticação. E, embora eles sejam distribuídos globalmente, pesquisa da A10 Networks descobriu dados interessantes sobre suas origens e fontes. Os resultados do estudo mostraram as análises e mapeamento das vulnerabilidades no mundo no último trimestre do ano passado e registrou 22,811,159 armas de DDoS.

As maiores concentrações de ataques ocorrem em países com grande densidade populacional. A China ocupa o primeiro lugar do ranking, com 4,347,660 ataques, seguida pelos Estados Unidos da América (3,010,039), Itália (900,584), Rússia (864,414), Coréia do Sul (729,842), Alemanha (507,162) e Índia (506,373).

O estudo também identificou 467,040 armas de DDoS hospedadas em servidores cloud. Com a adoção desta tecnologia em larga escala e com o impacto da mobilidade na entrega de aplicações, as armas também estão evoluindo com o resto da indústria.

Desde o advento da internet, foi preciso pouco mais de 25 anos para conectar 55% da população mundial, numa taxa de 4,6 pessoas por segundo. Número baixo se comparado com a quantidade de dispositivos conectados por segundo: 127. E isso está aumentando a medida que novas tecnologias surgem, como a Internet das Coisas (IoT), e a nova era de conexão 5G.

“O 5G vai expandir drasticamente os ataques nas redes, uma vez que esta tecnologia permite mais velocidade e latência ultrabaixa, possibilitando assim uma infinidade de novos casos de uso de IoT e crescimento exponencial de dispositivos conectados. Por outro lado, o 5G, juntamente com a inteligência artificial, serão essenciais na detecção e mitigação de ameaças”, afirma Ivan Marzariolli, country manager da A10 Networks.

Os maiores ataques DDoS são os de reflexão/amplificação. Essa técnica explora falhas nos protocolos DNS, NTP, SNMP, SSDP e outros protocolos para maximizar a escala dos ataques. E, de novo, China e Estados Unidos reúnem os maiores números de ataques. Nos ataques a protocolos de DNS, os EUA ocupam o primeiro lugar, com 1,401,407, seguidos pela China, com 885,625. Eles também ocupam o primeiro lugar nos ataques NTP (EUA – 1,302,440 e China – 1,202,017) e CLDPA (EUA – 1,233,398 e China 265,816).

Por meio das pesquisas, a A10 Networks registra e enumera os ataques DDoS para prevenir e bloquear ataques de maneira eficiente. “É impossível entender completamente a motivação ou o timing dos ataques DDoS. No entanto, é possível ter um inventário das armas e redes comprometidas. A A10 Networks Threat Intelligence fornece dados de defesa primordiais que ajudam a entender melhor a situação dos DDoS permitindo assim uma defesa proativa, que age antes dos ataques acontecem.”, explica Rich Groves, diretor de pesquisa de segurança da A10 Networks.

Proteja-se contra ataques DDoS! A Future é parceira dos maiores fabricantes de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: IT Forum 365.

Read More

Estudo da Sophos revela que tendência para ransomware direcionado continua

A Sophos, líder global de segurança na rede e para endpoint, lançou um novo relatório sobre um grupo de ransomware conhecido como Matrix. Este malware tem estado em operação desde 2016 e a Sophos detetou 96 amostras. Tal como aconteceu com outros tipos anteriores de ransomware direcionado, incluindo o BitPaymer, o Dharma e o SamSam, os atacantes que utilizam o Matrix têm estado a infiltrar-se nas redes e a infectar computadores através do Remote Desktop Protocol (RDP), uma ferramenta de acesso remoto integrada nos computadores com sistema operativo Windows. No entanto, ao contrário de outros ransomware, o Matrix infeta apenas um único equipamento na rede, em vez de se propagar amplamente por toda a organização.

No seu último artigo, a SophosLabs submeteu o código e as técnicas, em constante evolução, assim como os métodos e as mensagens de extorsão de dinheiro às vítimas, a um processo de engenharia reversa. Os criminosos que criaram o Matrix fizeram evoluir os parâmetros dos ataques ao longo do tempo, adicionando um novo código e ficheiros que mobilizam diferentes tarefas e cargas na rede.

As notas de resgate do Matrix encontram-se introduzidas no código de ataque, mas as vítimas não sabem quanto terão de pagar até entrarem em contacto com os atacantes. Durante grande parte da existência do Matrix, os agressores utilizaram um serviço de mensagens instantâneas anônimas criptograficamente protegido, denominado bitmsg.me. Com a descontinuação deste serviço, os criminosos regressaram à utilização de contas de e-mail normais.

Os atacantes que utilizam o Matrix exigem o pagamento de um resgate em criptomoeda, em equivalentes a dólares americanos. Este fato é invulgar uma vez que, normalmente, cada criptomoeda vem com um valor específico na sua própria denominação, e não em equivalentes a dólares. Não é claro se esta exigência quanto ao resgate se trata de uma manobra deliberada de diversão, ou se resulta apenas de uma tentativa de navegar num cenário de taxas de câmbio de criptomoeda em forte flutuação. Com base nas interações que o SophoLabs teve com os atacantes, os resgates exigidos eram de 2500$ USD, apesar de este valor ter sido reduzido quando os investigadores deixaram de responder às exigências.

O Matrix é um pouco como o “canivete suíço” do mundo do ransomware, pois apresenta novas variantes capazes de pesquisar e identificar potenciais vítimas depois de infetada a rede. Apesar do volume da amostra ser reduzido, isto não torna esta ameaça menos perigosa, pelo contrário, o Matrix encontra-se em evolução e estão a surgir novas versões à medida que os criminosos aprendem com cada novo ataque.

No relatório de ameaças da Sophos de 2019, Sophos’ 2019 Threat Report, destacamos que o ransomware dirigido será um dos fatores a influenciar o comportamento dos hackers, e as organizações devem permanecer atentas e trabalhar ativamente para assegurar que não são um alvo fácil de atingir.

A Sophos recomenda a implementação imediata de quatro medidas de segurança:

  • Restrição do acesso a aplicações de controlo remoto tais como o Remote Desktop (RDP) e o VNC
  • Verificação completa e regular da vulnerabilidade e testes de segurança em toda a rede. Se não realizou os testes de intrusão, está na altura de os fazer. Se continuar a ignorar os conselhos dos seus detetores de intrusão, os cibercriminosos serão bem sucedidos.
  • Autenticação multifatores para sistemas internos sensíveis, mesmo para os colaboradores na LAN ou através de VPN.
  • Criação de sistemas de back-up offline e offsite, bem como desenvolvimento de um plano de recuperação em caso de desastre, que abrange a restauração dos dados e dos sistemas para para todas as organizações, de uma vez só.

Para mais informações e análise podem ser obtidas no relatório Matrix: “A Low-Key Targeted Ransomware” realizado pela Sophos. Clique aqui para acessar o relatório!

Quer se proteger contra ransomware? A Future é parceira Sophos! Preencha o formulário abaixo e entre em contato conosco.

Fonte: WinTech Portugal.

Read More

4 dicas para proteger a empresa de ciberataques

O Dia Anual de Proteção de Dados, que acontece em 28 de janeiro, está se tornando cada vez mais importante como resultado de recentes ataques de hackers. Neste mês, os dados privados de centenas de políticos e celebridades alemães foram publicados na Internet. Nos Estados Unidos, o hack da cadeia de hotéis Starwood resultou na quebra de mais de 500 milhões de registros de clientes. Estes são apenas dois entre inúmeros exemplos de cibercrime em andamento.

O Data Privacy Day foi criado pelo Conselho da Europa em 2006. Em 2008, a National Cyber ​​Security Alliance (NCSA) começou a liderar a iniciativa nos Estados Unidos e em toda a América do Norte. O objetivo do dia é aumentar a conscientização sobre proteção de dados em todo o mundo.

De acordo com uma pesquisa recente conduzida pelo OTRS Group entre diretores e executivos de TI, mais de um terço (34%) dos entrevistados nos Estados Unidos e Canadá estão muito preocupados com o cibercrime, com outros 29% se classificando como preocupados. Assustadoramente, apenas 34% dos líderes de TI declararam que estavam muito preparados para incidentes de segurança, mas outros 35% se classificaram como preparados.

“Infelizmente, não há como proteger 100% contra ataques cibernéticos, mas práticas de segurança multinível com processos claramente definidos, preparação técnica, treinamento e reação rápida reduzem o risco”, disse Jens Bothe, diretor de consultoria global do OTRS Group. “A luta contra o crime cibernético é sempre responsabilidade conjunta de empresas, governo e usuários digitais.”

Como um membro oficial do NCSA Data Privacy Day Champion, o Grupo OTRS compilou as seguintes dicas para as empresas ajudarem a minimizar o risco e o impacto dos ataques cibernéticos:

Assegure processos suaves

Aceite o fato de que existem ameaças cibernéticas e reserve um tempo para investigar todos os processos relacionados à segurança na empresa. Todos os envolvidos precisam saber o que fazer quando o pior acontece, além de quem envolver e quais são os próximos passos. Documente esses processos e fluxos de trabalho – tanto para se defender contra ameaças quanto para responder a ataques. Defina seus processos agora para economizar um tempo valioso depois: quanto mais curto um ataque durar, menos dano poderá ser causado.

Tome as precauções técnicas necessárias

Até mesmo precauções técnicas aparentemente simples podem ajudar a evitar ataques. Instale firewalls, sistemas antivírus, ferramentas de criptografia, atualizações de segurança e sistemas de detecção de invasão. Se você não tiver a experiência, peça a um consultor para ajudá-lo a identificar e corrigir vulnerabilidades.

Forneça treinamento regular

Envolva todas as partes interessadas e mantenha-as regularmente informadas sobre possíveis incidentes e precauções técnicas. Todos os funcionários precisam saber a importância dos processos de manutenção para impedir que hackers acessem sua rede e causem o caos.

Responda rapidamente e com segurança em uma emergência

Quando o alarme soar, defina seu cenário de emergência o mais rápido possível. Um sistema como o STORM, desenvolvido pela OTRS, simplifica isso. O sistema de comunicação integrou processos específicos de segurança e pode ser adaptado individualmente aos requisitos da empresa usuária. Isso significa que, no caso de um ataque, o incidente é registrado imediatamente. Processos e notificações são iniciados automaticamente. Todas as etapas ocorrem em tempo real, para que a equipe possa minimizar o perigo o mais rápido possível.

Quer proteger sua empresa contra ciberataques? Conte com a Future! Somos parceiros dos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Clique aqui e entre em contato conosco.

Fonte: IT Forum 365.

Read More

Cerca de 500 milhões de usuários têm seus dados comprometidos por invasão no sistema de reservas da rede hoteleira Marriott

Cerca de 500 milhões de pessoas tiveram seus dados acessados ilegalmente após se hospedarem em hotéis da rede Marriott, entre os quais W, Sheraton e Westin.

A empresa hoteleira informou que hackers conseguiram “acesso não autorizado” ao sistema de reservas Starwood desde 2014, mas que o problema foi identificado apenas na semana passada. Os dados foram copiados e criptografados. A violação afetou clientes que fizeram reservas até 10 de setembro.

Segundo o Marriott, 327 milhões de pessoas tiveram expostos seus nomes, números de telefone, endereços de e-mail, números de passaporte, data de nascimento e informações de chegada e partida. Outro grupo expressivo teve seus números de cartões de crédito e respectivas datas de vencimento potencialmente comprometidos.

A rede Marriott, que relatou este incidente à polícia e continua a apoiar as investigações, destacou que as informações do cartão de crédito dos clientes estavam criptografadas, mas que era possível que os hackers também tivessem as informações necessárias para decifrá-las.

As vastas reservas de dados pessoais identificáveis disponíveis na Dark Web continuam a crescer a taxas históricas e os fraudadores têm muitos recursos para roubar identidades ou criar novas identidades sintéticas usando uma combinação de informações reais e inventadas, ou informações inteiramente fictícias. Por exemplo: os dados pessoais obtidos em uma violação poderiam ser cruzados com dados obtidos em outra violação e com outras violações amplamente divulgadas.

“A violação da Marriott apenas torna essa tarefa muito mais fácil e com maior probabilidade de sucesso. Ter os bancos de dados no mesmo lugar torna esse processo ainda mais simples para os malfeitores”, alerta Diretor de Regulamentação e Padrões Globais da OneSpan, líder global em segurança de identidade digital, transações seguras e produtividade para os negócios.

Para o executivo, “os ataques cibernéticos, como o da Marriott, continuarão e é imperativo que as organizações dos setores público e privado não apenas implantem as mais recentes tecnologias de detecção de fraude baseadas em autenticação e risco em suas organizações, mas também garantam que todos os parceiros tenham medidas de segurança cibernética”, conclui Michael Magrath.

Fonte: CryptoID.

Read More

PRF é invadida por hackers e fecha serviços online para cidadãos e agentes

Em outubro, foi descoberto que logins da Polícia Rodoviária Federal (PRF) eram vendidos aos montes em grupos de mensagens pela internet. Por R$ 200, qualquer pessoa poderia comprar o acesso aos sistemas do órgão policial e acessar dados de qualquer veículo, além de visualizar informações sobre multas, dados pessoais sensíveis, troca de emails realizadas por agentes policiais, realizar a liberação de veículos recolhidos em pátio, abertura de boletins de ocorrência e até aplicar multas para qualquer cidadão que tenha um carro, moto ou caminhão.

Por meio de novos documentos recebidos por um agente anônimo da PRF, descobriu-se que a área de Tecnologia da Informação e Comunicação (TIC) pouco fez para resolver a questão, inicialmente. Além disso, que o agente anônimo, após consultas internas aos servidores da área de TIC, foi informado de que hackers tiveram sucesso ao acessar o sistema DPRF SEGURANÇA, área na qual podem ser encontradas todas as senhas dos servidores da Polícia Rodoviária — ou seja, expondo completamente o sistema.
Para conter a possível invasão e realizar a troca de senhas, a Polícia Rodoviária Federal deixou seus sistemas offline e implementou acessos específicos via VPN. Ainda não se sabe se os sistemas continuam fora do ar.

“Deu-se muito crédito ao uso do email corporativo por parte de servidores à sítios que puderam ser invadidos, tendo como consequência o acesso de hackers aos dados funcionais ali registrados, porém o problema na PRF foi bem maior”, disse o servidor. “Há aproximadamente 15 dias, todos os sistemas da PRF que funcionavam via web foram retirados de funcionamento através da internet, sem qualquer explicação plausível para tal”.

A falha que expôs todas as senhas não foi detectada pelo departamento de Tecnologia da Informação e Comunicação, de acordo com a fonte. A falha, na verdade, foi descoberta por outra área interna da Polícia Rodoviária, conhecida como “CIBER”.

prf

Em um memorando, o aviso divulgado corrobora o que foi dito pela fonte: “a solução encontrada pelo Coordenador-Geral de TIC da PRF foi parar todos os sistemas através da internet por um prazo mínimo de 3 dias”.

No memorando recebido, assinado por Wanderley José Silva Júnior, coordenador de TIC na PRF, é possível ler o seguinte comunicado:

  1. “A Coordenação-Geral de Tecnologia da Informação e Comunicação – CGTIC, informa que no dia 12 de novembro de 2018, a partir das 20:00h (Horário de Brasília), todos os sistemas e aplicações da Polícia Rodoviária Federal estarão indisponíveis para acesso externo, com uma previsão de restabelecimento e normalização dos serviços em até 03 (três) dias úteis:
  2. Informamos ainda que todas as aplicações e sistemas somente estarão disponíveis quando acessadas pela rede interna da PRF (Superintendências, Uops e Delegacias);
  3. Visando a adoção de medidas de Segurança da Informação, todas as senhas de acesso serão “resetadas”, ensejando a necessidade de contactar os Núcleos de Tecnologia da Informação – Nutics de cada Regional para o cadastramento de novas senhas”.

Acompanhe abaixo o memorando

memorando

Polícia no escuro?

É um cenário fácil de se imaginar quando a empresa que você trabalha ou a faculdade que você estuda acaba ficando com os serviços online inacessíveis. Quanto dinheiro é perdido neste tempo? Agora, um órgão policial no escuro pode tornar a vida não só servidores um caos, mas também da própria população dependente.

Os prejuízes de ficar offline

“Filas foram formadas na porta dos núcleos de TIC da Sede em Brasília e dos estados, pois os servidores tinham que receber uma senha temporária fornecida por eles, para depois, através da Rede de Dados Interna da PRF, entrar no DPRF Segurança e trocar suas senhas de acesso aos sistemas, seja através do CPF ou email funcional. Um caos”, relatou o servidor anônimo. “Em qualquer empresa privada, se a área de TI ficasse fora por apenas um dia, o prejuízo ao trabalho e a imagem, além dos prejuízos financeiros seriam terríveis. Imagine então um órgão policial, como a PRF, que lida diariamente com os cidadãos, além do combate à criminalidade e ainda executa arrecadação através das notificações de trânsito”.

Com os sistemas inacessíveis, os principais prejudicados — ao lado da população que teve que se locomover para as unidades da PRF para retirar boletins de acidentes — são os policiais nas estradas.

“Os maiores prejudicados foram os policiais nas estradas. Os sistemas, essenciais ao trabalho policial, só funcionam na rede corporativa da PRF com acesso externo apenas através de VPNs, que são fornecidas individualmente aos servidores que procuraram os Núcleos de TIC”, comentou o servidor.

Quer proteger sua empresa contra ataques? Conte com a Future! Clique aqui e entre em contato conosco.

Fonte: TecMundo.

Read More

Fifa sofre novo ataque hacker e teme vazamento de dados

Os sistemas de computadores da Fifa (Federação Internacional de Futebol) foram hackeados novamente e a entidade está preparada para vazamentos mais danosos de informações confidenciais.
Autoridades da Fifa admitiram o ciberataque sofrido e teme que uma série de matérias seja prontamente publicada com base em um conjunto de documentos internos que foram originalmente obtidos pelo site Football Leaks em 2015.

O órgão emitiu uma declaração condenando “quaisquer tentativas de comprometer a confidencialidade, integridade e disponibilidade de dados em qualquer organização usando práticas ilegais”. O presidente da Fifa, Gianni Infantino, disse à Associated Press que os meios de comunicação contataram a organização sobre vazamentos de informações que receberam.

“As perguntas que recebemos, respondemos”, disse ele. “Meu trabalho envolve discussões, conversas, trocas de documentos, rascunhos, idéias, em muitos, muitos, muitos, tópicos, senão você não vai a lugar algum.”

“Quero dizer, se eu tiver que ficar no meu quarto e não falar com ninguém e não puder fazer nada, como posso fazer meu trabalho adequadamente? Então se isso está sendo retratado como algo ruim, acho que não há muito que eu possa fazer mais do que o meu trabalho de maneira honesta, profissional e tentando defender os interesses do futebol”, adicionou Infantino.

Uma campanha de phishing é a principal causa suspeita do hack, que ocorreu em março, meses depois de a entidade ter sido vítima de outro grande ataque cibernético, que levou o grupo russo de hackers Fancy Bears a vazar detalhes de testes de drogas fracassados ​​por jogadores de futebol.

Medidas preventivas

Tim Sadler, cofundador e CEO da startup de segurança de e-mail Tessian, disse que o hack parece ser o resultado de um esquema clássico de phishing que enganou um funcionário despretensioso.

“Dentro de uma organização que emprega milhares de pessoas como a FIFA, existem milhares de vulnerabilidades humanas para os atacantes mirarem e explorarem e enormes quantidades de dados altamente valiosos para exfiltrar”, disse ele.

“Para minimizar o risco de ser vítima deste ataque de phishing – e qualquer outro tipo de tentativa de phishing – é importante que os funcionários da Fifa sejam céticos e vigilantes. Em outras palavras, eles devem ser alvo de fraudadores e responder tratando qualquer solicitação para informações ou pagamento em sua caixa de entrada como suspeitas, particularmente no rescaldo dessa violação.

“Também é importante que os funcionários sejam treinados sobre as características de um esquema de phishing, como eles operam e como eles podem impactar financeira e reputacionalmente sua organização. No entanto, como a Fifa foi hackeada duas vezes este ano, e golpes de phishing em ascensão e provando cada vez mais eficaz, a vigilância por si só não é suficiente.”
Sadler argumentou que o melhor meio de defesa é usar ferramentas de machine learning que analisam padrões de comportamento em e-mails e detectam anomalias que sugerem uma tentativa de comprometimento.

Tony Pepper, CEO da Egress Software, ecoou os apelos de Sadler para mitigar tais riscos por meio do uso de machine learning e expressou simpatia pela defesa de Infantino.

“Quando questionado sobre a violação, o presidente da Fifa explicou que a troca de documentos, rascunhos e ideias é fundamental para o seu trabalho, e acho que todos podemos relacionar”, disse Pepper.

“Na verdade, muito poucos dados permanecem em um banco de dados ou em um único servidor. Ao compartilhar documentos contendo informações confidenciais, a primeira coisa que deve ser feita é criptografar e-mails e anexos em trânsito e em repouso na caixa de correio e adicionar autenticação de fator e controles de política quando segurança adicional também é necessária.”

Mudanças simples

Simon McCalla, CTO da Nominet, órgão que registra domínios on-line no Reino Unido, acrescentou que mudanças simples em processos e sistemas apoiados por treinamento e educação podem ter impedido a violação.

“Para reduzir o risco de usuários clicarem nos domínios ‘próximos a’ usados ​​- como a substituição de john@fifa.com por john@fi-fa.com – a implantação de um sistema anti-phishing robusto ajudará absolutamente, mas você não pode dependem apenas de sistemas de defesa “, disse ele

“É importante conscientizar os usuários sobre os perigos do phishing e como identificar e-mails suspeitos também. Também é essencial incutir uma cultura de segurança, onde os funcionários são encorajados e habilitados a verificar qualquer coisa sobre a qual não tenham certeza”, completou McCalla.

Proteja-se contra ataques cibernéticos! Conte com a Future! Clique aqui e entre em contato conosco.

Fonte: ComputerWorld.

Read More

FireEye: Laboratório de pesquisa russo ajudou no desenvolvimento do malware industrial TRITON

A empresa de segurança FireEye afirma ter descoberto evidências que comprovam o envolvimento de um instituto de pesquisa de propriedade russa no desenvolvimento do malware TRITON. Causando a paralisação inesperada de alguns sistemas industriais no ano passado, incluindo uma instalação petroquímica na Arábia Saudita.

O TRITON, também conhecido como Trisis, é uma parte do malware ICS projetado para atingir os controladores do sistema de instrumentos de segurança Triconex (SIS) fabricados pela Schneider Electric e que são usados ??com frequência em instalações de petróleo e gás.

O Sistema Instrumentado de Segurança Triconex é um sistema de controle autônomo que monitora independentemente o desempenho de sistemas críticos e toma ações imediatas automaticamente se um estado perigoso for detectado.

Como malwares de tais capacidades não podem ser criados por um cracker/hackers de computador sem possuir conhecimento necessário dos Sistemas de Controle Industrial (ICS), os pesquisadores acreditam com “alta confiança” que o laboratório de Moscou Central Research Institute of Chemistry and Mechanics (CNIIHM, aka ??????) ajudou os atacantes, apelidados de “TEMP.Veles”, com conhecimento institucional a desenvolver o framework TRITON e testar seus componentes em um ambiente direcionado.

Em um post publicado hoje, a FireEye descobriu várias pistas de atribuição que conectam o desenvolvimento e as atividades de teste do malware Triton ao governo russo, CNIIHM e um ex-professor do CNIIHM.

Um endereço o IP [87.245.143.140] registrado no CNIIHM foi utilizado pelo TEMP.Veles para vários propósitos, incluindo o monitoramento da cobertura de código aberto do TRITON, reconhecimento de rede e atividades maliciosas em apoio à intrusão do TRITON, informou a FireEye ao apontar evidência.

Além disso, os padrões de comportamento observados na atividade do grupo TEMP.Veles também são consistentes com o fuso horário de Moscou, onde o instituto CNIIHM está localizado.

Embora os pesquisadores do CNIIHM possuam experiência em infraestrutura crítica e desenvolvimento de armas e equipamentos militares, a FireEye não reivindicou ou tem nenhuma evidência se o instituto também estava envolvido na implantação do malware Triton na natureza.

Existe alguma possibilidade de que um ou mais funcionários do CNIIHM possam ter conduzido a atividade ligando o TEMP.Veles ao CNIIHM sem a aprovação de seu empregador. No entanto, este cenário é altamente improvável, concluíram os pesquisadores da FireEye.

Nem o governo russo nem o instituto CNIIHM responderam ao relatório da FireEye, embora possamos prever a resposta da Rússia, já que o país negou repetidas vezes tais alegações de empresas privadas de segurança no passado.

O que preocupa é que os crackers/hackers por trás do Triton continuaram sendo uma ameaça ativa à infraestrutura crítica em todo o mundo, já que o malware tem a capacidade de causar danos graves e potencialmente fatais a uma organização ou encerrar suas operações.

A Future é parceira FireEye! Quer conhecer as soluções? Clique aqui e entre em contato conosco!

Fonte: Sempre Update.

Read More

Receba conteúdos exclusivos