Central de atendimento +55 (24) 2232-5850 - contato@future.com.br

malware

4 abril 2018
adm.future
0
Categories: Blog, Segurança

11 motivos para ainda temer o ransomware

As ferramentas e técnicas de detecção e recuperação de ransomware estão melhorando. Infelizmente, os desenvolvedores de ransomware também. Eles estão tornando o ransomware mais difícil de encontrar e os arquivos criptografados mais difíceis de recuperar.

Uma vantagem que as operações de segurança tiveram sobre o ransomware é que ele é previsível. Ele funciona de forma linear, o que oferece às ferramentas e equipes de segurança uma oportunidade de limitar os danos quando o ransomware é detectado. Agora, estamos vendo sinais de que os criadores de ransomware estão tornando seu trabalho menos previsível.

“No final do dia, ransomware tem que fazer algo, como substituir ou bloquear o sistema de arquivos”, diz pesquisador sênior de segurança, análise e pesquisa global de empresa. A atividade linear associada à sobrescrita ou ao bloqueio de dados torna o ransomware fácil de detectar, observa ele. “Se você pensar em todos os arquivos em um sistema como uma lista, o ransomware vai direto para a lista e começa a criptografá-los”, diz.

Mas os hackers estão tentando mudar a natureza previsível do ransomware para evitar a detecção. Estes são alguns dos novos truques que estão usando. 

1. Abrandando o processo de criptografia
“Alguns criadores de ransomware espalharam essa rotina um pouco para que não acontecesse de uma só vez. Acontece durante um longo período de tempo ”, diz. O objetivo é estar abaixo do limite de qualquer ferramenta de detecção. “Diga que o AV está procurando por 1.000 arquivos sendo acessados ​​em 10 segundos. Talvez eles aumentem esse prazo em 10 minutos para que a detecção não aconteça ” “Temos visto mais e mais disso”. Um grande risco de alongar a criptografia por um longo período de tempo, segundo ele, é que os arquivos de backup também podem ser criptografados.

2. Randomizando o processo de criptografia
Os criadores de ransomware também estão randomizando sua abordagem para criptografar ou sobrescrever arquivos, em vez de passar por eles de forma linear. Isso ajuda a evitar a detecção por ferramentas anti-ransomware que buscam por um padrão mais linear.

3. Entregando ransomware por meio de arquivos em vez de e-mail
Os links maliciosos no email ainda são, de longe, o método mais comum para fornecer ransomware. À medida que as organizações fazem um trabalho melhor de instruir os usuários a não clicar em links de e-mail questionáveis, alguns criminosos de ransomware estão mudando de tática. Em vez de um link, eles usam um anexo de documento que pode ser um PDF, um DOC Word ou outro tipo de arquivo comum. Esse documento contém um script que inicia o ransomware.

4. Criptografando o código do disco rígido
Talvez mais diabólicos, alguns hackers estão ignorando os arquivos e indo direto para o código no disco rígido. “Vimos rensomware que visam o registro mestre de inicialização. É o começo do disco rígido ”, diz especialista. “Se eles podem corromper isso, então eles podem reter o resto do seu disco rígido sem ter que criptografar todos os arquivos.”

5. Usando o código polimórfico
O uso de código polimórfico também complica a detecção de ransomware. “Para cada instância em que o malware é instalado em uma vítima diferente, ele irá alterar um pouco seu código antes de se espalhar novamente”. “Isso torna difícil detectar estatisticamente os arquivos de ransomware.”

Especialista afirma ainda que a frequência com que o código polimórfico muda – tão rapidamente quanto a cada 15 ou 20 segundos – é o que cria o desafio para os esforços de detecção. “Depois de descobrir a assinatura desse ransomware, fica mais fácil parar”, diz ele. “No entanto, como o código continua mudando, parece ser um novo ransomware, tornando muito difícil pará-lo.”

6. Usando ataques multi-threaded
O típico ataque de ransomware lança um único processo para realizar a criptografia. Em um ataque de ransomware multi-threaded, o código do ransomware principal inicia vários processos-filhos para acelerar o processo de criptografia e dificultar a sua interrupção. “Talvez você possa parar um ou dois, mas os outros executam e continuam a causar danos”. “Torna-se exponencialmente mais difícil impedir os ataques paralelos.”

Um cenário de horror que ele vê são os ataques multi-thread combinados com o código de ransomware polimórfico. “Você pode rapidamente sobrecarregar o processador e a memória, reduzindo a performance da máquina rapidamente”, diz ele.

7. Melhorando suas habilidades de escrita de código
A descriptografia está ficando mais difícil à medida que os desenvolvedores de ransomware aprimoram seu ofício. “Obter uma ferramenta de descriptografia depende de algumas coisas”, diz. “O autor do ransomware cometer um erro ao implementar o processo de criptografia. Não fazer o gerenciamento de chaves adequado, por exemplo, ou usar um gerador de números predicáveis ​​para uma chave. ”Esses erros permitem que os pesquisadores determinem as chaves de descriptografia do ransomware.

“Isso acontece mais vezes do que o esperado”. “Geralmente os caras que escrevem essas coisas não são especialistas em criptografia.” Ele vê essa mudança, observando que está ajudando com um caso que envolve uma nova versão do ransomware Crysis. “Com as versões anteriores do Crysis, o autor cometeu erros com a criptografia, então pudemos escrever decifradores. Agora eles consertaram e não há como decifrá-lo”.

8. Ransomware como distração
Outra tendência que ele viu crescer rapidamente no ano passado é o uso de ransomware como distração para esconder outro tipo de ataque. “Eles estão usando o ransomware como um ataque simples e destrutivo, talvez para agravar ainda mais a agenda política ou causar estragos na Internet, ou usá-lo para encobrir a instalação de malware em outro lugar.”

Usar o ransomware para obter ganhos financeiros ainda é o motivo mais comum para os criminosos. De acordo com uma pesquisa recente, 62% de todos os ataques de ransomware são para ganho financeiro, enquanto 38% são para atrapalhar os negócios. Apenas 24% são motivados politicamente. Especialista se preocupa que isso possa mudar. “Nós temos alguns atores que realmente cruzaram essa linha. Mais atores adotarão essa técnica. ”Ele cita uma onda do ransomware WannaCry que deixou os arquivos sem nenhuma maneira de descriptografá-los.

Os dois grupos que costumam comentar nos noticiários mais propensos a lançar ataques de ransomware destrutivos são atores patrocinados pelo Estado em nome de governos como os do Irã ou da Coreia do Norte e hacktivistas. “Isso não é algo que um colegial possa fazer. Para lançar uma campanha destrutiva de sucesso, você precisa de uma exploração, diz Bartholomew. Ele cita o WannaCry usando um exploit para o qual ninguém tinha um patch. “Não havia como impedir que essa coisa se espalhasse no começo.”

A única maneira de uma organização se proteger contra esses tipos de ataques de ransomware é manter uma boa higiene de segurança, garantir que seus usuários recebam treinamento de ransomware adequado e que tenham sólidos processos de backup e recuperação. Ele observa que algumas empresas usam thin clients onde não há disco rígido nos sistemas dos usuários, onde eles entram em um sistema virtual. “Esses são fáceis de reverter porque são sistemas virtuais”, diz ele.

9. Direcionando para sistemas operacionais dsatualizados
As versões mais recentes do Microsoft Windows 10 e do Apple MacOS são mais difíceis de atacar que as anteriores. A boa notícia para o ransomware é que existem milhões de sistemas mal corrigidos e desatualizado.

10. Encontrando novas maneiras de se mover lateralmente através da rede
Espera-se que incidentes de movimentação lateral de ransomware “aumentem significativamente”. Um usuário pode usar um dispositivo móvel em um Starbucks ou hotel, por exemplo, e alguém carregar um malware no dispositivo por meio de uma porta de comunicação comprometida. “A partir daí, eles podem atravessar a rede e entrar nos servidores da empresa”, diz ele. “Isso tem uma probabilidade muito alta de aumentar”, alerta.

11. Atrasando ataques de ransomware
Uma tática que se espera ver mais em um futuro próximo é o que ele chama de “postura de ovos de Páscoa”, onde o ransomware infecta um sistema, mas fica inativo por um largo período de tempo antes de ser ativado.

Como os pesquisadores se adaptam às ameaças em evolução
Nenhuma dessas adaptações torna o ransomware indetectável. “Você tem que tomar cada uma como algo conhecido e escrever detecções para elas. Analise, veja como o ransomware se comporta e mude suas detecções ”.

Para derrotar os esforços feitos para evitar a detecção, disfarçando ou alterando a assinatura digital do ransomware, alguns fornecedores concentram-se na análise comportamental, às vezes usando Machine Learning para identificar o ransomware. A abordagem é eficaz com ameaças conhecidas, mas não tanto com o novo ransomware, pois ele não possui os dados necessários para reconhecê-lo.

O desafio é identificar novas ameaças, criar os conjuntos de dados que a análise comportamental precisa para detectá-las e, em seguida, distribuir esses conjuntos de dados para todos que precisarem deles o mais rápido possível.

O machine learning pode desempenhar um papel maior na identificação de novas variações de ransomware. Alguns sugeriram usá-lo para prever como uma variedade específica mudará com a próxima iteração baseada em versões anteriores. Este trabalho ainda é teórico, em grande parte, mas mostra como o Machine Learning pode eventualmente ser capaz de antecipar novas ameaças de ransomware e estar pronto para elas quando elas chegarem.

A Future possui as melhores soluções e serviços para a sua empresa. Saiba mais clicando aqui.

Fonte: ComputerWorld

Read More
29 março 2018
adm.future
0
Categories: Blog, Segurança

8,4 milhões de tipos de malware são descobertos por empresa

Uma empresa fornecedora de soluções antivírus distribuída no Brasil, divulgou seu relatório das ameaças de 2017 com 8 milhões, 400 mil e 58 novos tipos de malware descoberto, 14% a mais que a previsão feita no início do ano passado, para o período de 12 meses, que era de 7.4 milhões.

 

Segundo o presidente executivo da empresa, avalia que a situação é altamente preocupante, uma vez que os criminosos cibernéticos estão cada vez mais especializados em criar códigos maliciosos capazes de enganar os usuários de computador. As tecnologias de proteção estão cada vez mais tendo que se adiantar para evitar o roubo de dados pessoais e bancários das pessoas.

Laboratório de segurança digital

“Espécies diversas de worms e cavalos de Tróia existem em grande quantidade na Internet, mas perigosamente, o número de tipos de malware está crescendo de forma constante. O que nos chama a atenção é que a previsão feita no início do ano passado já era pessimista. Agora temos mais de 8.4 milhões de novas ameaças circulando na Internet”, afirma o especialista.

De acordo com o especialista, a ameaça mais evidente e séria ainda é o ransomware. “Isso não mudará em 2018, mas, mesmo assim está claro que os usuários devem se proteger contra ele e que os programas potencialmente indesejados (PUPs) estão em forte crescimento e sobem para a parte de cima da lista de ameaças mais perigosas a serem combatidas”, afirma ele.

Fonte: economiasc

 

28 março 2018
adm.future
0
Categories: Blog, Segurança

Empresas ainda confundem segurança com antivírus

Brasileiros ainda enxergam segurança cibernética como commodity. “Costumo dizer: você consegue sair do supermercado com uma caixa de leite e uma caixa de antivírus na mão”, brinca diretor-geral de empresa de segurança no Brasil.

“Não que tenha acabado, mas antivírus são apenas um pedaço pequeno do que é a segurança atualmente. Ainda confundem segurança com antivírus”, alerta o executivo, que há um ano e meio lidera as operações da companhia russa de segurança cibernética no Brasil.

O executivo lembra que a segurança da informação vai muito além da simples proteção contra vírus e malware. Um exemplo é o ataque phishing, que não é um malware, mas simplesmente uma estratégia hacker para convencer internautas a clicarem em links maliciosos, normalmente com falsas campanhas como “isca”. “Você precisa ter uma segurança embarcada que diz que esse site não é verdadeiro”, defende.

Uma das principais causas da vulnerabilidade de organizações, para ele, são estratégias inadequadas. “Empresas faturam como companhias mas têm mentalidade de proteção como usuários caseiros: (produtos) grátis. Elas ainda usam proteção grátis que vem embarcada nos dispositivos”, comenta. “E o grátis sai caro”, alerta.

Origem do problema

Diretor-geral recorre a sua experiência no início da carreira para lembrar uma das origens da falta de cultura de segurança em organizações. “Fui gestor de TI em banco e o que acontece é que TI geralmente é uma área sem faturamento dentro de empresas. Por isso, é difícil conseguir verba para investimentos em segurança. De maneira geral, quando é pedido para reduzir gastos, significa gastar menos. Por isso a empresa vai comprar algo mais barato.”

Entra por um ouvido e sai pelo outro

O devastador caso do ransomware WannaCry, que derrubou milhões de máquinas em todo o mundo no ano passado, foi tratado por muitas pessoas como um verdadeiro alerta para companhias. O diretor concorda com a afirmação, mas diz que esse boom durou não mais que seis meses. “O WannaCry acordou muita gente, mas infelizmente temos mentalidade de que nada vai acontecer conosco. É como dizer que um raio não cairá duas vezes no mesmo lugar. Com segurança é ao contrário. Se você foi atacado uma vez, será de novo. E até com mais certeza porque o mercado sabe que você é inseguro”, diz.

O mega ataque criou preocupação, mas caiu no esquecimento em meio a tantas outras preocupações do dia a dia.

Segurança no core

O fato é que empresas estão mais avançadas no quesito segurança da informação, inclusive com o avanço da figura do CISO (Chief Information Security Officer), mas ainda há barreiras a serem quebradas.

O executivo cita como bons exemplos os casos de empresas como bancos e seguradoras, que têm criado o papel do arquiteto de segurança, profissional responsável por pensar a segurança em cada projeto desenvolvido. E é justamente esse ponto que ele defende: colocar a segurança da informação no início de cada discussão, senão pode ser tarde demais.

“É como projetar um carro. A montadora cria todas as peças e no fim vai colocar banco, cinto de segurança e airbag? Pode ser que não caiba no veículo. É preciso pensar tudo desde o começo de cada produção. Da mesma forma a segurança da informação, que tem de ser by design e pensada antes de qualquer processo.”

O diretor, por fim, diz também que vê uma postura mais avançada, mas organizações ainda continuam pensando que a aquisição de uma única tecnologia resolve o problema. “Não existe segurança default em dispositivos”, finaliza.

A Future possui as melhores soluções e serviços para manter sua empresa sempre segura. Saiba mais clicando aqui.

Fonte: ComputerWorld

Read More
23 março 2018
adm.future
0
Categories: Blog, Segurança

Ataques DoS crescem quatro vezes em 2017

Em 2017, os incidentes de segurança reportados voluntariamente por usuários de internet ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) do Núcleo de Informação e Coordenação do Ponto BR (NIC.br) somaram 833.775 (número 29% maior que o total de 2016), sendo 220.188 relacionados a dispositivos que participaram de ataques de negação de serviço (DoS – Denial of Service). Esse número foi quase quatro vezes maior do que as notificações de ataques DoS recebidas em 2016, que totalizaram 60.432.

Dispositivos IoT

Os ataques de negação de serviço (DoS ou DDoS) têm o objetivo de tirar de operação um serviço, um computador ou uma rede conectada à Internet. Em 2017, a maioria das notificações foi do tipo distribuído (DDoS – Distributed Denial of Service), quando um conjunto de equipamentos é utilizado no ataque. Em particular, muitos dos ataques reportados foram disparados a partir de dispositivos de internet das coisas (IoT na sigla em inglês) infectados e fazendo parte de botnets.

Parte dos ataques DDoS também foi originada por roteadores e modems de banda larga no Brasil, seja porque estavam comprometidos ou porque possuíam serviços mal configurados, permitindo amplificação de tráfego.

O CERT.br também observou que ataques de força bruta a serviços como SSH (22/TCP) e TELNET (23/TCP) continuam muito frequentes e englobam tentativas de comprometer dispositivos IoT e equipamentos de rede alocados às residências, tais como modems ADSL e cabo, roteadores Wi-Fi, entre outros. Esse tipo de ataque visa adivinhar, por tentativa e erro, as suas senhas de administração e, assim, comprometer os dispositivos.

Para melhorar esse cenário, é essencial implementar boas práticas presentes no Portal de boas práticas para a Internet no Brasil, principalmente as relativas à Implementação de Antispoofing para Redução de DDoS, e as Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS).

Tentativas de fraude

Já as notificações de tentativas de fraude diminuíram em 2017, somando 59.319 incidentes, uma queda de 42% em relação a 2016. Os casos de páginas falsas de bancos e sítios de comércio eletrônico (phishing) caíram 46% na comparação com o ano anterior. Já as notificações de casos de páginas falsas que não envolvem bancos e sites de comércio eletrônico, como serviços de webmail e redes sociais, por exemplo, tiveram um aumento de 6% em relação ao ano anterior.

Fonte: Computer World

19 março 2018
adm.future
0
Categories: Blog, Segurança

Sua empresa está preparada para o GDPR?

GDPR – General Data Protection Regulation (Regulamento Geral de Proteção de Dados da União Europeia)  – foi desenvolvido pelo parlamento europeu e tem como objetivo garantir a segurança dos dados pessoais dos cidadãos contra vazamentos e roubos virtuais. A nova regra entrará em vigor a partir de maio e promete balançar não só o mercado internacional, mas também o brasileiro.

Ao contrário do que muitos acreditam, o GDPR não está restrito às empresas europeias, mas afetará qualquer companhia que por algum motivo tenha que processar dados de residentes europeus, independentemente da localização. Qual empresa que opera hoje em escala internacional não possui algum tipo de negócio com residentes ou empresas da União Européia? Portanto, a partir de agora, as organizações que mantêm negócios com qualquer cidadão europeu terão de focar ainda mais na proteção de dados dos clientes.

Em caso de vazamento de dados, a empresa terá apenas 72 horas para fazer o comunicado oficial e apresentar um plano de resposta ao incidente. As sanções são bem pesadas, podendi chegar a 4% do faturamento total da companhia ou 20 milhões de euros.

De acordo com levantamento realizado pela Real Protect, empresa especializada em Serviços Gerenciados de Segurança, estima-se que 60% das empresas ainda não iniciaram os preparativos para estar em compliance. Nos Estados Unidos, 2/3 das empresas estão reavaliando seus negócios na Europa.

De forma resumida, o GDPR trata de práticas relacionadas ao gerenciamento de toda e qualquer informação sensível para os negócios. Dessa forma, para estar dea cordo serão necessárias medidas práticas para melhorar tanto as ações dos funcionários quanto a execução da aplicação das políticas de segurança.

Inicialmente, é fundamental ter conhecimento e visibilidade sobre as informações e processos de segurança presentes na infraestrutura de sua empresa. Para isso, sugiro que você:

– Acesse e audite os dados sob sua responsabilidade;
– Reavalie Sistemas e Tecnologias;
– Alinhe objetivos de negócio ao longo da empresa.

É importante ressaltar também que o plano precisa sair do papel para a ação. Os gestores de segurança necessitam de estratégias práticas e que possam ser implementadas para que consigam, de fato, atingir o objetivo e estar em conformidade com o GDPR.E para que você possa, finalmente, responder de forma positiva à pergunta que dá título a este artigo!

Fonte: Computer World

Read More
16 março 2018
adm.future
0
Categories: Blog, Segurança

Malware foi pré-instalado em 5 milhões de celulares Android

Quase 5 milhões de smartphones alimentados pelo sistema operacional Android foram infectados por um malware através de um aplicativo pré-instalado nos aparelhos.

Conforme relata site, pesquisadores de segurança descobriram que o malware RottenSys se disfarçou de um aplicativo de “System Wi-Fi Service” e foi instalado em aparelhos das fabricantes Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung e GIONEE.

Aparentemente, o aplicativo foi instalado em algum momento ao longo da cadeia de suprimentos de fabricação dos smartphones, sendo que todos os dispositivos afetados foram enviados pelo Tian Pai, um distribuidor de telefonia móvel com sede em Hangzhou, na China.  No entanto, os pesquisadores não têm certeza se a empresa está envolvida no caso.

Ao contrário de oferecer o serviço de segurança de conexões Wi-Fi prometido pelo aplicativo pré-instalado, o RottenSys, na verdade, requeria quase todas as permissões sensíveis do Android para se comunicar com seus servidores e exibir propagandas na tela inicial do aparelho, gerando receitas publicitárias fraudulentas.

Os pesquisadores afirmam que, nos últimos 10 dias, o RottenSys exibiu anúncios 13.250.756 vezes. Além disso, alguns dispositivos infectados rodavam uma versão do RottenSys que permitia que os hackers tivessem habilidades mais extensas, incluindo instalação de aplicativos adicionais e automação de UI.

Fonte: Olhardigital

12 março 2018
adm.future
0
Categories: Blog, Segurança

Malware brasileiro ataca bancos e cartões de créditos na América Latina

O malware Prilex, anteriormente relacionado a ataque em caixas eletrônicos no Brasil, foi reinventado por cibercriminosos para atingir vítimas em outros países da América Latina.

Segundo empresa, no Brasil, os criminosos usavam um dispositivo blackbox configurado com um modem USB 4G para controlar remotamente a máquina. Ao abrir um backdoor para o atacante, eles tiveram a possibilidade de sequestrar a conexão sem fio da instituição e controlar outros caixas eletrônicos à vontade.

Com o passar do tempo, o grupo migrou seus esforços para sistemas de pontos de venda desenvolvidos por fornecedores brasileiros usando cartões de crédito roubados que permitiam a criação de um novo totalmente funcional, habilitado inclusive para transações protegidas pelas funcionalidades de chip e senha. Isso permite realizar as transações fraudulentas em qualquer loja, on-line ou off-line.

Um especialista explica que trata-se de um novo tipo de malware que oferece suporte para os criminosos em suas operações, tudo com uma interface gráfica de usuário e modelos bem elaborados para criar diferentes estruturas de cartões de crédito. “Apesar da clonagem de cartões protegidos por PIN já terem sido discutidas no passado, cremos que a ameaça do Prilex e seu modelo de negócios são importantes para serem compartilhados com a comunidade; já que esses ataques estão se tornando cada vez mais fáceis de realizar e a implementação do padrão EMV não conseguiu acompanhar os criminosos”, comenta.

O cartão de crédito clonado funciona em qualquer sistema de ponto de venda no Brasil devido a uma implementação incorreta do padrão EMV (especificação criada pela Europay, MasterCard e Visa, para pagamentos eletrônicos seguros de débito e crédito), em que nem todos os dados são verificados durante o processo de aprovação. Embora esses ataques tenham acontecido no passado, é a primeira vez que um conjunto tão completo de utilitários é encontrado nesse âmbito, ainda mais visando apenas comerciantes brasileiros – até o momento. Todo o processo que envolve desde o roubo da informação até a criação do cartão falso é cuidado pelo Prilex, de forma fácil e direta.

Atualmente, a evidência da investigação indicou que o malware está sendo distribuído por meio de um e-mail convencional, que convence as vítimas a baixar uma atualização de um servidor remoto – na qual é controlada por criminosos. As vítimas tendem a ser lojas tradicionais, como postos de gasolina, supermercados e mercados típicos de varejo; e, todos eles, localizados em diferentes estados do Brasil.

Fonte: Computer World

7 março 2018
adm.future
0
Categories: Blog, Segurança

Hackers roubam ao menos US$ 7 milhões com malware de mineração de criptomoedas

Pesquisadores de empresa identificaram que um grupo hacker ganhou ao menos US$ 7 milhões, em apenas seis meses, com um método sofisticado de infecção para instalar software de mineração de criptomoedas em computadores corporativos.

No total, 2,7 milhões de usuários foram atacados por mineradores mal-intencionados em 2017. O número é aproximadamente 50% maior que o de 2016 (1,87 milhão). Os usuários se tornaram vítimas por conta de adware, jogos e software pirateados usados pelos criminosos virtuais para infectar computadores secretamente. Outra abordagem usada foi a mineração na Web, por meio de um código especial localizado em uma página da Web infectada. O minerador da Web mais usado foi o CoinHive, detectado em muitos sites populares.

Fim do ransomware?

Especialistas observaram que o ransomware está desaparecendo no segundo plano, ao mesmo tempo em que dá lugar aos mineradores. Isso é confirmado pelas estatísticas, que mostram um crescimento constante dos mineradores durante todo o ano, assim como o fato de que grupos de criminosos virtuais estão desenvolvendo seus métodos ativamente e já começaram a usar técnicas mais sofisticadas para propagar software de mineração. Nós já vimos uma evolução como essa; os hackers de ransomware usavam os mesmos truques quando estavam em ascensão.

Criptomoedas em voga

Os altos e baixos do bitcoin mudaram significativamente não apenas a economia mundial, mas também o universo da cibersegurança. Para ganhar valores em criptomoeda, os criminosos começaram a usar softwares de mineração em seus ataques que, como o ransomware, tem um modelo de monetização simples.

Porém, diferentemente do ransomware, eles não prejudicam os usuários de maneira destrutiva, e conseguem ficar no computador por muito tempo sem serem detectados, usando sua capacidade de processamento silenciosamente.

O ataque

Os pesquisadores identificaram um grupo de criminosos virtuais com técnicas de APTs em seu arsenal de ferramentas para infectar usuários com mineradores. Eles têm empregado o método de esvaziamento de processos (“process-hollowing”), normalmente utilizado em malware e já observado em alguns ataques direcionados de agentes de APTs, mas nunca em ataques de mineração.

No ataque, a vítima é enganada a baixar e instalar um software de publicidade que contém o instalador do minerador oculto. Esse instalador traz um utilitário legítimo do Windows cuja finalidade principal é baixar o próprio minerador de um servidor remoto. Após sua execução, um processo legítimo do sistema é iniciado, e o código legítimo desse processo é alterado para o código malicioso. Como resultado, o minerador opera sob o pretexto de uma tarefa legítima, sendo impossível para o usuário reconhecer se há uma infecção de mineração. Também é um desafio para as soluções de segurança detectarem essa ameaça.

Além disso, os mineradores marcam esse novo processo de modo a restringir o cancelamento de qualquer tarefa. Se o usuário tentar interromper o processo, o sistema do computador será reiniciado. Assim, os criminosos asseguram sua presença no sistema por um tempo mais longo e mais produtivo.

Fonte: Computer World

Read More
6 março 2018
adm.future
0
Categories: Blog, Segurança

UDPoS: malware de pontos de venda ameaça comércios

Os sistemas de ponto de venda (PoS, do inglês Point of Sale) continuam a ser um alvo tentador para cibercriminosos. Enquanto as corporações e outras grandes organizações podem pagar equipes particulares de segurança de TI para monitorar dados de pagamento, muitas pequenas empresas não podem. Os sistemas PoS geralmente enviam dados de cartão de crédito para computadores simples, que executam versões básicas do Windows ou Linux, aumentando sua atratividade para os criminosos.

O UDPoS é uma família de malware de ponto de venda (PoS) recém-descoberta, elaborada para colher e exfiltrar informações de cartão de crédito de sistemas PoS usando o tunelamento de DNS. Essa nova família utiliza vários truques de ilusão, à medida que tenta disfarçar-se como uma atualização do pacote do serviço LogMeIn, além de fazer conexões de rede para um URL que se mascara como um domínio LogMeIn legítimo.

UDPoS

Testes recentementes de uma empresa  análisa  de forma detalhada o UDPoS. Os testes começaram com o dropper do malware, um arquivo auto-extraível de 7-zip chamado update.exe. O arquivo contém um serviço de malware e payload. Quando o dropper é executado, o payload do malware, logmeinumon.exe, é extraído para o disco. O serviço LogmeinServicePack_5.115.22.001.exe é então executado pelo recurso RunProgram do 7-zip. A escolha do nome do LogMeIn é provavelmente uma tentativa dos cibercriminosos de camuflar o malware como software legítimo de protocolo de desktop remoto (RDP, do inglês remote desktop protocol).

O dropper se auto-exclui após a execução, deixando o serviço de malware livre para criar um mecanismo de persistência no host. Os locais do sistema usados pelo UDPoS para armazenar os componentes maliciosos de persistência dependem dos direitos do usuário executando o malware. Uma vez que a persistência foi estabelecida, o serviço de malware renuncia ao controle do payload.

O payload do UDPoS carrega-se na memória e, em seguida, executa uma verificação das soluções antivírus existentes (AV). Esta verificação contém código de buggy que identifica com sucesso apenas uma das quatro bibliotecas de AV. O malware então cria um arquivo ID, hdwid.dat, para armazenar dados roubados. O UDPoS então lança cinco segmentos que fazem o trabalho pesado do malware:

Segmento 1 – reúne informações do sistema
Segmento 2 – inicializa a comunicação de comando e controle (C2) e obtém o endereço IP externo da vítima
Segmento 3 – sistematicamente “pinga” com o servidor C2
Segmento 4 – raspa a memória dos processos em execução para extrair as faixas 1 e 2 dos dados do cartão de crédito
Segmento 5 – envia os dados exfiltrados para o servidor C2 via tunelamento de DNS

Por que UDPoS é importante e por que devo me preocupar?

Qualquer pessoa que aceite pagamentos com cartão de crédito através de um sistema PoS deve se preocupar em manter os dados de seus clientes seguros. UDPoS rouba os dados das faixas 1 e 2 do cartão de crédito. Os dados da faixa 1 incluem informações do cliente, número do cartão e código CVV2 de três dígitos. Os dados da faixa 2 contêm informações da faixa magnética próprias para criar clones físicos de cartões comprometidos.

A perda de dados do cartão de crédito dos clientes mostrou-se excepcionalmente prejudicial para a reputação e as finanças de grandes varejistas. É improvável que pequenas empresas possam sobreviver aos custos do roubo de dados do cartão de crédito de seus clientes via UDPoS.

Embora a exfiltração baseada no tunelamento DNS no malware PoS não seja nada novo, deve-se lembrar que, além de executar soluções antivírus e EDR, as organizações devem colocar mais ênfase na análise do tráfego de DNS por características duvidosas ou atípicas.

Fonte: Computer World

Read More
5 março 2018
adm.future
0
Categories: Blog, Segurança

Ataques DDoS crescem 14% no 4T de 2017

Pouco mais de um ano depois do devastador ataque DDoS da botnet Mirai, que usando uma rede zumbi de dispositivos de Internet das Coisas (incluindo câmeras de segurança) derrubou grandes serviços da internet como Twitter, Netflix e CNN, os bancos russos e toda a conexão IP da Libéria, o estado da segurança da internet global continua a exigir cuidado.

Dados do estudo sobre o quarto trimestre de 2017, mostram que as botnets estão bem vivas e cada vez mais espertas e difíceis de combater. Em linhas gerais, a companhia confirmou o aumento do número de ataques globais de DDoS (negação de serviço) em 14% no último trimestre de 2017, comparado com o mesmo período de 2016.

Além disso, identificou que a temida botnet Mirai não sumiu. No final de novembro, uma variação da botnet foi responsável por uma tentativa de ataque a quase 1 milhão de endereços únicos de IP.

Segundo estudo, 2018 promete sofisticação e mais complexidade nos ataques de redes de dispositivos zumbis, movendo-se para o terreno dos dispositivos móveis, a exemplo da botnet WireX, descoberta e desmantelada em agosto de 2017.

A botnet era formada por smartphones Android comprometidos por cerca de 300 diferentes apps infectadas, descobertas na Google Play Store. “O incidente WireX deve ser visto como um precursor do nascimento de botnets mobile-based e como uma mudança dos toolkits dos atacantes, na medida em que eles se adaptam e mudam para encontrar novos vetores de ataque”, diz o relatório.

Roubo de identidade

Uma das descobertas importantes sobre novos ciberataques aconteceu quase por acaso, por conta do uso de uma nova ferramenta, a Bot Manager, que utiliza múltiplas heurísticas para identificar potenciais bots em tempo real e fazer análise comportamental de tráfego de bots em geral. Há milhares de bots “do bem”circulando pela internet, como os crawlers de sites de busca, mas, com a ferramenta, ao analisar mais de 17 bilhões de logins em sites de seus clientes a Akamai descobriu que 43% desse logins eram ataques maliciosos de credential stuffing, executados por bots “do mal’, digamos assim.

Um ataque de credencial stuffing (preenchimento de credenciais) consiste de tentativas repetitivas de fazer login em diferentes sites, com credenciais (email e senha, por exemplo) roubadas, para tentar entrar com alguma delas. Esses ataques, nesse caso, foram empreendidos por botnets e esse dado, segundo a companhia, mostra uma novidade no comportamento das botnets que precisa ser monitorada. Os dados da Akamai mostram que os ataques de abuso de credenciais afetaram especialmente sites de varejo.

Segundo a companhia, as tentativas de login fraudulento por botnets foram mais intensas contra os sites de hospitalidade (hoteis, companhias aéreas, agências de viagem etc.). Do total de 1,2 bilhão de tentativas de login feitas nesses sites em novembro de 2017, 82% (ou 982 milhões) foram maliciosas. Ou seja, quase o dobro do percentual de 43% dos ataques contra todas as verticais analisadas. A segunda área mais atacada foi a de high tech, com 57% dos logins maliciosos, seguida do varejo, com 36% dos logins focados em abuso de credenciais roubadas.

Fonte: Computer World

Read More

Receba conteúdos exclusivos