11 motivos para ainda temer o ransomware

As ferramentas e técnicas de detecção e recuperação de ransomware estão melhorando. Infelizmente, os desenvolvedores de ransomware também. Eles estão tornando o ransomware mais difícil de encontrar e os arquivos criptografados mais difíceis de recuperar.

Uma vantagem que as operações de segurança tiveram sobre o ransomware é que ele é previsível. Ele funciona de forma linear, o que oferece às ferramentas e equipes de segurança uma oportunidade de limitar os danos quando o ransomware é detectado. Agora, estamos vendo sinais de que os criadores de ransomware estão tornando seu trabalho menos previsível.

“No final do dia, ransomware tem que fazer algo, como substituir ou bloquear o sistema de arquivos”, diz pesquisador sênior de segurança, análise e pesquisa global de empresa. A atividade linear associada à sobrescrita ou ao bloqueio de dados torna o ransomware fácil de detectar, observa ele. “Se você pensar em todos os arquivos em um sistema como uma lista, o ransomware vai direto para a lista e começa a criptografá-los”, diz.

Mas os hackers estão tentando mudar a natureza previsível do ransomware para evitar a detecção. Estes são alguns dos novos truques que estão usando. 

1. Abrandando o processo de criptografia
“Alguns criadores de ransomware espalharam essa rotina um pouco para que não acontecesse de uma só vez. Acontece durante um longo período de tempo ”, diz. O objetivo é estar abaixo do limite de qualquer ferramenta de detecção. “Diga que o AV está procurando por 1.000 arquivos sendo acessados ​​em 10 segundos. Talvez eles aumentem esse prazo em 10 minutos para que a detecção não aconteça ” “Temos visto mais e mais disso”. Um grande risco de alongar a criptografia por um longo período de tempo, segundo ele, é que os arquivos de backup também podem ser criptografados.

2. Randomizando o processo de criptografia
Os criadores de ransomware também estão randomizando sua abordagem para criptografar ou sobrescrever arquivos, em vez de passar por eles de forma linear. Isso ajuda a evitar a detecção por ferramentas anti-ransomware que buscam por um padrão mais linear.

3. Entregando ransomware por meio de arquivos em vez de e-mail
Os links maliciosos no email ainda são, de longe, o método mais comum para fornecer ransomware. À medida que as organizações fazem um trabalho melhor de instruir os usuários a não clicar em links de e-mail questionáveis, alguns criminosos de ransomware estão mudando de tática. Em vez de um link, eles usam um anexo de documento que pode ser um PDF, um DOC Word ou outro tipo de arquivo comum. Esse documento contém um script que inicia o ransomware.

4. Criptografando o código do disco rígido
Talvez mais diabólicos, alguns hackers estão ignorando os arquivos e indo direto para o código no disco rígido. “Vimos rensomware que visam o registro mestre de inicialização. É o começo do disco rígido ”, diz especialista. “Se eles podem corromper isso, então eles podem reter o resto do seu disco rígido sem ter que criptografar todos os arquivos.”

5. Usando o código polimórfico
O uso de código polimórfico também complica a detecção de ransomware. “Para cada instância em que o malware é instalado em uma vítima diferente, ele irá alterar um pouco seu código antes de se espalhar novamente”. “Isso torna difícil detectar estatisticamente os arquivos de ransomware.”

Especialista afirma ainda que a frequência com que o código polimórfico muda – tão rapidamente quanto a cada 15 ou 20 segundos – é o que cria o desafio para os esforços de detecção. “Depois de descobrir a assinatura desse ransomware, fica mais fácil parar”, diz ele. “No entanto, como o código continua mudando, parece ser um novo ransomware, tornando muito difícil pará-lo.”

6. Usando ataques multi-threaded
O típico ataque de ransomware lança um único processo para realizar a criptografia. Em um ataque de ransomware multi-threaded, o código do ransomware principal inicia vários processos-filhos para acelerar o processo de criptografia e dificultar a sua interrupção. “Talvez você possa parar um ou dois, mas os outros executam e continuam a causar danos”. “Torna-se exponencialmente mais difícil impedir os ataques paralelos.”

Um cenário de horror que ele vê são os ataques multi-thread combinados com o código de ransomware polimórfico. “Você pode rapidamente sobrecarregar o processador e a memória, reduzindo a performance da máquina rapidamente”, diz ele.

7. Melhorando suas habilidades de escrita de código
A descriptografia está ficando mais difícil à medida que os desenvolvedores de ransomware aprimoram seu ofício. “Obter uma ferramenta de descriptografia depende de algumas coisas”, diz. “O autor do ransomware cometer um erro ao implementar o processo de criptografia. Não fazer o gerenciamento de chaves adequado, por exemplo, ou usar um gerador de números predicáveis ​​para uma chave. ”Esses erros permitem que os pesquisadores determinem as chaves de descriptografia do ransomware.

“Isso acontece mais vezes do que o esperado”. “Geralmente os caras que escrevem essas coisas não são especialistas em criptografia.” Ele vê essa mudança, observando que está ajudando com um caso que envolve uma nova versão do ransomware Crysis. “Com as versões anteriores do Crysis, o autor cometeu erros com a criptografia, então pudemos escrever decifradores. Agora eles consertaram e não há como decifrá-lo”.

8. Ransomware como distração
Outra tendência que ele viu crescer rapidamente no ano passado é o uso de ransomware como distração para esconder outro tipo de ataque. “Eles estão usando o ransomware como um ataque simples e destrutivo, talvez para agravar ainda mais a agenda política ou causar estragos na Internet, ou usá-lo para encobrir a instalação de malware em outro lugar.”

Usar o ransomware para obter ganhos financeiros ainda é o motivo mais comum para os criminosos. De acordo com uma pesquisa recente, 62% de todos os ataques de ransomware são para ganho financeiro, enquanto 38% são para atrapalhar os negócios. Apenas 24% são motivados politicamente. Especialista se preocupa que isso possa mudar. “Nós temos alguns atores que realmente cruzaram essa linha. Mais atores adotarão essa técnica. ”Ele cita uma onda do ransomware WannaCry que deixou os arquivos sem nenhuma maneira de descriptografá-los.

Os dois grupos que costumam comentar nos noticiários mais propensos a lançar ataques de ransomware destrutivos são atores patrocinados pelo Estado em nome de governos como os do Irã ou da Coreia do Norte e hacktivistas. “Isso não é algo que um colegial possa fazer. Para lançar uma campanha destrutiva de sucesso, você precisa de uma exploração, diz Bartholomew. Ele cita o WannaCry usando um exploit para o qual ninguém tinha um patch. “Não havia como impedir que essa coisa se espalhasse no começo.”

A única maneira de uma organização se proteger contra esses tipos de ataques de ransomware é manter uma boa higiene de segurança, garantir que seus usuários recebam treinamento de ransomware adequado e que tenham sólidos processos de backup e recuperação. Ele observa que algumas empresas usam thin clients onde não há disco rígido nos sistemas dos usuários, onde eles entram em um sistema virtual. “Esses são fáceis de reverter porque são sistemas virtuais”, diz ele.

9. Direcionando para sistemas operacionais dsatualizados
As versões mais recentes do Microsoft Windows 10 e do Apple MacOS são mais difíceis de atacar que as anteriores. A boa notícia para o ransomware é que existem milhões de sistemas mal corrigidos e desatualizado.

10. Encontrando novas maneiras de se mover lateralmente através da rede
Espera-se que incidentes de movimentação lateral de ransomware “aumentem significativamente”. Um usuário pode usar um dispositivo móvel em um Starbucks ou hotel, por exemplo, e alguém carregar um malware no dispositivo por meio de uma porta de comunicação comprometida. “A partir daí, eles podem atravessar a rede e entrar nos servidores da empresa”, diz ele. “Isso tem uma probabilidade muito alta de aumentar”, alerta.

11. Atrasando ataques de ransomware
Uma tática que se espera ver mais em um futuro próximo é o que ele chama de “postura de ovos de Páscoa”, onde o ransomware infecta um sistema, mas fica inativo por um largo período de tempo antes de ser ativado.

Como os pesquisadores se adaptam às ameaças em evolução
Nenhuma dessas adaptações torna o ransomware indetectável. “Você tem que tomar cada uma como algo conhecido e escrever detecções para elas. Analise, veja como o ransomware se comporta e mude suas detecções ”.

Para derrotar os esforços feitos para evitar a detecção, disfarçando ou alterando a assinatura digital do ransomware, alguns fornecedores concentram-se na análise comportamental, às vezes usando Machine Learning para identificar o ransomware. A abordagem é eficaz com ameaças conhecidas, mas não tanto com o novo ransomware, pois ele não possui os dados necessários para reconhecê-lo.

O desafio é identificar novas ameaças, criar os conjuntos de dados que a análise comportamental precisa para detectá-las e, em seguida, distribuir esses conjuntos de dados para todos que precisarem deles o mais rápido possível.

O machine learning pode desempenhar um papel maior na identificação de novas variações de ransomware. Alguns sugeriram usá-lo para prever como uma variedade específica mudará com a próxima iteração baseada em versões anteriores. Este trabalho ainda é teórico, em grande parte, mas mostra como o Machine Learning pode eventualmente ser capaz de antecipar novas ameaças de ransomware e estar pronto para elas quando elas chegarem.

A Future possui as melhores soluções e serviços para a sua empresa. Saiba mais clicando aqui.

Fonte: ComputerWorld

Read More

Hacker desvia R$ 95 mil de conta de Câmara de Vereadores na Bahia

A Câmara de Vereadores de Brumado, no Sudoeste baiano, teve R$ 95 mil desviados da conta por um hacker. O valor corresponde a 21,6% do rendimento mensal da casa. O caso está sendo investigado pela Polícia Civil local.

Segundo o vereador Leonardo Vasconcelos (PDT), presidente da Câmara, o desvio foi percebido durante a utilização do sistema financeiro que o Legislativo municipal adota. “Apareceu uma tela de atualização no sistema pedindo para digitarmos informações, o que não é comum”, contou. O Banco do Nordeste (BNB) é o responsável pela conta da Câmara.

Vasconcelos diz que, ao procurar o banco, foi orientado a reiniciar o computador, já que havia a suspeita de invasão. Tarde demais.

Segundo o BNB, os indícios apontam para fraude eletrônica.

O caso aconteceu na última quarta-feira (28). O vereador registrou o caso em um boletim de ocorrência na Delegacia de Brumado. O BNB explicou que dispõe de sistema de monitoramento de transações atípicas. “Na oportunidade, o Banco iniciou análise técnica para ressarcimento ao cliente, se for o caso”, afirmou o banco, em nota.

O dinheiro foi transferido para uma conta do Itaú que fica na capital federal e o BNB solicitou bloqueio do dinheiro transferido. De acordo com o presidente da Câmara de Brumado, os procedimentos finais junto à instituição financeira foram feitos nesta segunda (2).

“Assinei um termo de compromisso entre o Poder Legislativo e o banco. Eles se comprometeram a fazer devolução do valor em até 10 dias úteis. Nem a Câmara nem o banco serão prejudicados”, disse Vasconcelos, que não descarta a transferência da conta do Legislativo para outro banco.

O CORREIO procurou a Polícia Civil de Brumado para comentar o caso, mas não obteve resposta.

Vasconcelos disse que nunca havia ocorrido problema semelhante na cidade. “Nunca passamos por isso aqui. Ouvimos muito falar desse tipo de coisa com pessoas físicas, e até com outras pessoas jurídicas. Temos que ter ainda mais cuidado”, concluiu o vereador.

A Future possui as melhores soluções e serviços para manter a sua empresa segura. Saiba mais clicando aqui.

Fonte: Correio24horas

Read More

Hackers roubam dados de milhões de cartões nos EUA

Uma varejista dos EUA, revelou neste domingo, 1º, que foi vítima de uma brecha de segurança que comprometeu dados de cartões de crédito usados para fazer compras nas lojas Saks e Lord & Taylor na América do Norte. A empresa afirmou que tomou uma série de medidas para conter a falha de segurança, mas não confirmou se seu sistema está protegido.

“Uma vez que tivermos mais clareza sobre os fatos, vamos notificar os consumidores rapidamente e oferecer serviços de proteção de identidade aos afetados”, afirmou um porta voz, em comunicado.

De acordo com empresas de segurança, há evidências de que números de milhões de cartões de crédito foram comprometidos, o que pode fazer dessa brecha de segurança uma das maiores envolvendo cartões de crédito no último ano.

A brecha de segurança acontece no momento em que a varejista está enfrentando dificuldades para melhorar seu desempenho financeiro, conforme o setor de varejo tem reduzido vendas e margens. Em junho do ano passado, a empresa anunciou um plano de transformação para cortar custos e melhorar sua estratégia de monetização.

A varejista confirmou a falha depois que a empresa de cibersegurança Gemini Advisory informou, por meio de seu blog, que os sistemas da Saks e da Lord & Taylor foram hackeados por um grupo de cibercrime conhecido, chamado JokerStash.

A JokerStash, que costuma vender dados pessoais roubados na internet, havia divulgado na última quarta-feira, 28, que iria liberar mais de 5 milhões de números de cartões de créditos roubados.

Até agora, segundo a Gemini, o grupo de cibercriminosos já divulgou cerca de 125 mil números de cartões de crédito — 75% deles aparentam ter sido roubados da varejista, segundo a empresa de segurança. “É difícil saber a situação no momento, porque os hackers não costumam divulgar o banco de dados inteiro de uma vez só”, afirmou Chorine. A informação foi confirmada pelo diretor de segurança da informação da empresa de segurança.

Não se trata do primeiro caso de invasão ao banco de dados de uma varejista nos EUA. Entre 2006 e 2008, hackers roubaram dados de mais de 130 milhões de cartões de crédito de clientes de duas grandes varejistas. Além disso, a 40 milhões de números de cartões de crédito foram roubados da Target em 2013 e 56 milhões foram roubados da Home Depot em 2014.

8,4 milhões de tipos de malware são descobertos por empresa

Uma empresa fornecedora de soluções antivírus distribuída no Brasil, divulgou seu relatório das ameaças de 2017 com 8 milhões, 400 mil e 58 novos tipos de malware descoberto, 14% a mais que a previsão feita no início do ano passado, para o período de 12 meses, que era de 7.4 milhões.

 

Segundo o presidente executivo da empresa, avalia que a situação é altamente preocupante, uma vez que os criminosos cibernéticos estão cada vez mais especializados em criar códigos maliciosos capazes de enganar os usuários de computador. As tecnologias de proteção estão cada vez mais tendo que se adiantar para evitar o roubo de dados pessoais e bancários das pessoas.

Laboratório de segurança digital

“Espécies diversas de worms e cavalos de Tróia existem em grande quantidade na Internet, mas perigosamente, o número de tipos de malware está crescendo de forma constante. O que nos chama a atenção é que a previsão feita no início do ano passado já era pessimista. Agora temos mais de 8.4 milhões de novas ameaças circulando na Internet”, afirma o especialista.

De acordo com o especialista, a ameaça mais evidente e séria ainda é o ransomware. “Isso não mudará em 2018, mas, mesmo assim está claro que os usuários devem se proteger contra ele e que os programas potencialmente indesejados (PUPs) estão em forte crescimento e sobem para a parte de cima da lista de ameaças mais perigosas a serem combatidas”, afirma ele.

Fonte: economiasc

 

Empresas ainda confundem segurança com antivírus

Brasileiros ainda enxergam segurança cibernética como commodity. “Costumo dizer: você consegue sair do supermercado com uma caixa de leite e uma caixa de antivírus na mão”, brinca diretor-geral de empresa de segurança no Brasil.

“Não que tenha acabado, mas antivírus são apenas um pedaço pequeno do que é a segurança atualmente. Ainda confundem segurança com antivírus”, alerta o executivo, que há um ano e meio lidera as operações da companhia russa de segurança cibernética no Brasil.

O executivo lembra que a segurança da informação vai muito além da simples proteção contra vírus e malware. Um exemplo é o ataque phishing, que não é um malware, mas simplesmente uma estratégia hacker para convencer internautas a clicarem em links maliciosos, normalmente com falsas campanhas como “isca”. “Você precisa ter uma segurança embarcada que diz que esse site não é verdadeiro”, defende.

Uma das principais causas da vulnerabilidade de organizações, para ele, são estratégias inadequadas. “Empresas faturam como companhias mas têm mentalidade de proteção como usuários caseiros: (produtos) grátis. Elas ainda usam proteção grátis que vem embarcada nos dispositivos”, comenta. “E o grátis sai caro”, alerta.

Origem do problema

Diretor-geral recorre a sua experiência no início da carreira para lembrar uma das origens da falta de cultura de segurança em organizações. “Fui gestor de TI em banco e o que acontece é que TI geralmente é uma área sem faturamento dentro de empresas. Por isso, é difícil conseguir verba para investimentos em segurança. De maneira geral, quando é pedido para reduzir gastos, significa gastar menos. Por isso a empresa vai comprar algo mais barato.”

Entra por um ouvido e sai pelo outro

O devastador caso do ransomware WannaCry, que derrubou milhões de máquinas em todo o mundo no ano passado, foi tratado por muitas pessoas como um verdadeiro alerta para companhias. O diretor concorda com a afirmação, mas diz que esse boom durou não mais que seis meses. “O WannaCry acordou muita gente, mas infelizmente temos mentalidade de que nada vai acontecer conosco. É como dizer que um raio não cairá duas vezes no mesmo lugar. Com segurança é ao contrário. Se você foi atacado uma vez, será de novo. E até com mais certeza porque o mercado sabe que você é inseguro”, diz.

O mega ataque criou preocupação, mas caiu no esquecimento em meio a tantas outras preocupações do dia a dia.

Segurança no core

O fato é que empresas estão mais avançadas no quesito segurança da informação, inclusive com o avanço da figura do CISO (Chief Information Security Officer), mas ainda há barreiras a serem quebradas.

O executivo cita como bons exemplos os casos de empresas como bancos e seguradoras, que têm criado o papel do arquiteto de segurança, profissional responsável por pensar a segurança em cada projeto desenvolvido. E é justamente esse ponto que ele defende: colocar a segurança da informação no início de cada discussão, senão pode ser tarde demais.

“É como projetar um carro. A montadora cria todas as peças e no fim vai colocar banco, cinto de segurança e airbag? Pode ser que não caiba no veículo. É preciso pensar tudo desde o começo de cada produção. Da mesma forma a segurança da informação, que tem de ser by design e pensada antes de qualquer processo.”

O diretor, por fim, diz também que vê uma postura mais avançada, mas organizações ainda continuam pensando que a aquisição de uma única tecnologia resolve o problema. “Não existe segurança default em dispositivos”, finaliza.

A Future possui as melhores soluções e serviços para manter sua empresa sempre segura. Saiba mais clicando aqui.

Fonte: ComputerWorld

Read More

Polícia espanhola prende suspeito de liderar quadrilha hacker que roubou € 1 bilhão

A força policial espanhola prendeu um suspeito de liderar uma quadrilha de cibercriminosos que roubou mais de € 1 bilhão, o que equivale a cerca de R$ 4 bilhões. Após cooperação entre policiais dos EUA, Ásia de Europa, o suspeito, identificado como Denis K., foi detido em Alicante, uma cidade portuária localizada na costa sudeste da Espanha.

Segundo pronunciamento da Europol, o grupo aplicava golpes desde 2013, com membros em mais de 40 países e tendo lesado o patrimônio de mais de 100 instituições financeiras.

O método utilizado pelos cibercriminosos eram malwares enviados por e-mail para funcionários dos bancos e, com as máquinas infectadas, o grupo conseguia controle da rede e dos servidores do banco. “Com esse nível de acesso, os elementos autorizaram transferências bancárias fraudulentas, aumentaram os saldos das contas de mula ou controlaram os caixas eletrônicos afetados para liberar o dinheiro para eles”, comunicou a Europol.

Estavam com Denis K., no momento da apreensão, outros três homens, que supostamente fazem parte do grupo criminoso e teriam nacionalidades russas e ucranianas. A polícia da Ucrânia não comentou o caso. Com o grupo foram também apreendidos dois carros de luxo e mais de € 500 mil (ou cerca de R$ 2 bilhões) em jóias. As contas bancárias dos acusados e duas casas avaliadas em cerca de € 1 milhão (pouco mais de R$ 4 milhões) estão bloqueadas pela Justiça espanhola.

Segundo detalhes fornecidos pelos investigadores, Denis K. utilizou plataformas financeiras em Gibraltar e no Reino Unido para carregar cartões de crédito pré-pagos com bitcoins para usufruir das quantias na Espanha, além de usar a criptomoeda para lavagem de dinheiro.

A Future possui as melhores soluções e serviços para garantir a segurança da sua empresa. Saiba mais clicando aqui.

Fonte: CanalTech

Read More

PF prende grupo hacker por roubar R$ 10 milhões e lavar dinheiro com bitcoin

A Polícia Federal deu início nesta quarta-feira, 21, à Operação Código Reverso, que mira um grupo de cibercriminosos com conexões internacionais, que infectava computadores visando ter acesso a contas bancárias de vítimas para realização de transferências e pagamentos indevidos.

A Operação envolveu mais de 100 policiais cumprindo 43 mandados (sete de prisão preventiva, um de prisão temporária, 11 de intimação e 24 de busca e apreensão) em quatro estados: Tocantins, São Paulo, Goiás e Pernambuco. No total foram seis pessoas presas e duas seguem foragidas.

Segundo a PF, apenas nos últimos 9 meses, os cibercriminosos conseguiram gerar prejuízos na casa dos R$ 10 milhões, burlando mecanismos de segurança dos bancos para realizar suas operações fraudulentas.

A PF também nota que todos os membros da organização viviam uma vida luxuosa como resultado de suas atividades, utilizando empresas de fachada para ocultar a origem do patrimônio. Além disso, eles também investiram boa parte dos recursos roubados em bitcoins, o que a PF considera lavagem de dinheiro.

Também serão investigados empresários suspeitos de procurarem os cibercriminosos, que teriam buscado os serviços para obter vantagens comerciais ilícitas sobre a concorrência, além de receber descontos na quitação de impostos, pagamentos de contas e realização de compras por meio dos pagamentos indevidos realizados pelo grupo, que causavam prejuízos a milhares de contas bancárias de diversas instituições.

A Future possui a solução ideal para manter a segurança da sua empresa. Saiba mais clicando aqui.

Fonte: OlharDigital

Read More

Hackers roubam dados de 880 mil clientes de empresa de viagens dos EUA

Plataforma digital de reserva de viagens anunciou nesta terça-feira que identificou uma invasão que pode ter afetado informações de cartões de créditos de 880 mil usuários que fizeram compras no serviço entre 2016 e 2017, um problema já corrigido pela companhia.

A empresa estava investigando uma plataforma anterior à utilizada atualmente quando encontrou provas que sugeriam que um hacker invadiu o sistema e teve acesso a informações guardadas em dois sites. Especialistas, uma auditoria externa e a polícia foram chamados para ajudar a corrigir o problema, segundo a empresa.

De acordo com a companhia de viagens, os dados possivelmente roubados foram de clientes que usaram o serviço entre janeiro e a metade de junho de 2016 e a plataforma para parceiros entre janeiro de 2016 e dezembro de 2017. O site atual não foi afetado.

“O hacker pode ter tido acesso às informações pessoais de certas compras feitas nesses dois sites. O número de cartões de crédito envolvidos no incidente é de cerca de 880 mil”, explicou.

Os responsáveis pelo ataque também teriam obtido nomes completos, endereços, datas de aniversário, números de telefone, entre outros, das pessoas que utilizaram a Orbitz no período citado. A empresa, porém, não tem “provas concretas” de que esses dados foram roubados.

A empresa pediu desculpas pelo incidente e garantiu estar comprometida em manter a confiança de seus clientes. Os afetados pela invasão estão sendo notificados.

“Estamos oferecendo aos indivíduos afetados um ano de acompanhamento de crédito gratuito e serviços de proteção de identidade nos países nos quais eles estejam disponíveis”, explicou em nota.

A Future possui as melhores soluções e serviços para a manter sua empresa sempre segura. Saiba mais clicando aqui.

Fonte: EpocaNegocios

Read More

Ataque hacker mira informações da indústria marítima americana

Empresa de segurança divulgou algumas informações sobre sua investigação a respeito de um grupo de hackers de provável origem chinesa que está mirando as indústrias marítima e de engenharia americanas. Batizado de “TEMP.Periscope” e chamado por algumas outras empresas de “Leviathan”, é provável que o grupo tenha interesse nesses alvos por causa das disputas no Mar da China Meridional.

O TEMP.Periscope é um grupo de “APT” (sigla em inglês para Ameaça Avançada Persistente). São invasores que agem com objetivos específicos e contra alvos direcionados. Eles são diferentes dos criminosos que agem na internet e que visam os internautas em geral.

O grupo vem sendo rastreado desde 2013, mas ficou ocioso após as negociações do ex-presidente norte-americano Barack Obama com o presidente da China Xi Jinping em 2015. Os invasores voltaram à ativa no fim de 2017, com versões atualizadas de suas ferramentas de ataque.

O Mar da China Meridional é uma região disputada. Nele passam anualmente mercadorias avaliadas em bilhões de dólares e acredita-se existir grandes depósitos de gás e petróleo lá. Vietnã, Filipinas, Malásia, Brunei e Taiwan reivindicam algum controle sobre a região, mas a China vem construindo infraestrutura e tentando assumir o controle da área.

Os Estados Unidos voltaram a realizar patrulhas na região em 2007. Os americanos alegam que essa medida visa garantir a “liberdade de navegação”.

De acordo com a empresa de segurança, o tipo de informação buscada pelo TEMP.Periscope permitira a alguém responder perguntas como “qual é o alcance e a eficácia deste sistema de radar marinho?” ou “com quanta precisão um sistema pode detectar e identificar atividades no mar?” Essas informações dariam vantagem em negociações e atividades no Mar da China Meridional.

Além de empresas de engenharia e logística da indústria marítima, o grupo também atacou empresas dos setores de consultoria, alta tecnologia, saúde e imprensa. A maioria das vítimas é dos Estados Unidos, mas algumas também são europeias e uma é de Hong Kong. A empresa não confirma se todas essas empresas chegaram a ser invadidas — apenas que foi possível registrar tentativas de ataque. Também não foi informado o número total de vítimas.

Como outros grupos de APT, o TEMP.Periscope chega às vítimas usando “spear phishing”, ou seja, e-mails direcionados e redigidos especificamente para seus alvos. Esse tipo de mensagem costuma ser bastante convincente e é mais difícil de ser reconhecida como maliciosa. O grupo também tira proveito de brechas para incluir o instalador de vírus em documentos, dando um ar de legitimidade ainda maior para os e-mails.

Uma das ferramentas usadas pelo TEMP.Periscope é chamada de “PHOTO”. Esse vírus é capaz de realizar capturas de tela, gravar vídeo e áudio, listar e finalizar programas em execução, registrar as teclas digitadas, recuperar usuários e senhas em armazenamento protegido e modificar arquivos.

A Future possui as melhores soluções e serviços para manter sua empresa sempre segura. Saiba mais clicando aqui.

Fonte: G1

Read More

Malware foi pré-instalado em 5 milhões de celulares Android

Quase 5 milhões de smartphones alimentados pelo sistema operacional Android foram infectados por um malware através de um aplicativo pré-instalado nos aparelhos.

Conforme relata site, pesquisadores de segurança descobriram que o malware RottenSys se disfarçou de um aplicativo de “System Wi-Fi Service” e foi instalado em aparelhos das fabricantes Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung e GIONEE.

Aparentemente, o aplicativo foi instalado em algum momento ao longo da cadeia de suprimentos de fabricação dos smartphones, sendo que todos os dispositivos afetados foram enviados pelo Tian Pai, um distribuidor de telefonia móvel com sede em Hangzhou, na China.  No entanto, os pesquisadores não têm certeza se a empresa está envolvida no caso.

Ao contrário de oferecer o serviço de segurança de conexões Wi-Fi prometido pelo aplicativo pré-instalado, o RottenSys, na verdade, requeria quase todas as permissões sensíveis do Android para se comunicar com seus servidores e exibir propagandas na tela inicial do aparelho, gerando receitas publicitárias fraudulentas.

Os pesquisadores afirmam que, nos últimos 10 dias, o RottenSys exibiu anúncios 13.250.756 vezes. Além disso, alguns dispositivos infectados rodavam uma versão do RottenSys que permitia que os hackers tivessem habilidades mais extensas, incluindo instalação de aplicativos adicionais e automação de UI.

Fonte: Olhardigital

Vantagens da contratação de serviços gerenciados de Segurança da Informação (MSS)

Os Managed Security Services (MSS), ou em português, serviços gerenciados de segurança, é um modelo de processos operacionais para garantir a segurança dos dados empresariais mais sensíveis. Cada vez mais empresas apostam nesse tipo de solução em seus setores de segurança da informação. Esse segmento se baseia no monitoramento remoto dos ambientes de TI. Isso é alcançado por meio do uso compartilhado de centros de operação de segurança (SOC – Security Operation Center).

O método foi desenvolvido pela Gartner Group, líder americana em pesquisas e consultoria no setor de informação. A partir de três preceitos (Monitoração de Segurança, Resposta a Incidentes e Gerenciamento de Segurança), uma equipe especializada gerencia ambientes de todos os segmentos de mercado de maneira remota.

Neste modelo, em vez de tratar a segurança de dados como uma consultoria pontual ou com foco exclusivo em produtos, prioriza-se uma opção de segurança contínua, com foco sempre em resultados. Isso significa ir além de vender uma solução de antivírus: vende-se uma rede livre de vírus.

Tipos de empresa que oferecem serviços gerenciados de segurança

Conhecidos como MSSP, ou Managed Security Services Providers, as empresas que oferecem serviços gerenciados de segurança são comumente classificadas em 4 tipos:

· Pure Players: tratam-se de empresas especializadas, cujo faturamento vem integralmente de serviços de segurança;
· Generalistas de outsourcing de TI: quando serviços de segurança são um item adicional do portfólio dessas empresas, que costumam ser focadas em TI;
· Operadoras de Telecomunicações: oferecem serviços simplificados que estão focados em proteção para as conexões privadas e com a Internet;
· Fabricantes de produtos de segurança: empresas que tradicionalmente vendem produtos de segurança e
iniciaram, recentemente, unidades de negócio para venda de serviços.

Porque as empresas tem optado pelo MSS

Desde a criação do modelo nos anos 2000, vê-se cada vez mais empresas adotando o MSS como solução de segurança. Porém, terceirizar a proteção dos dados vem com os seus problemas. Uma equipe interna possui um panorama mais completo do negócio e disponibilidade exclusiva para os projetos internos, por exemplo.

No entanto, existem alguns fatores que empurram cada vez mais gestores para a solução remota:

· Segurança não é a especialização da maioria das empresas;
· Manter um setor voltado unicamente para segurança da informação é custoso;
· Obter e reter profissionais especializados é um grande desafio, pois empresas especializadas oferecem um plano de carreira mais sólido;
· O tempo de resposta nesse setor precisa ser muito rápido e exige uma equipe completa.

O modelo MSS traz benefícios que abordam com sucesso esses problemas:

Segurança é um problema contínuo

A abordagem do MSS de oferecer segurança como uma solução contínua é uma das principais características que tornaram o modelo tão popular. Esse setor está sempre mudando, com novos vírus, novos ataques e novas vulnerabilidades surgindo a todo o momento. Portanto, é impossível aplicar uma medida pontual que solucione as necessidades de segurança de uma empresa.

Tecnologia de ponta não é o suficiente

O modelo MSS parte do princípio de que não adianta focar a segurança em produtos e software. É claro, um antivírus atualizado e moderno é importante, mas nunca será o suficiente. Por mais que a tecnologia esteja chegando a níveis impressionantes de desenvolvimento, o fator humano ainda é um dos pontos mais importantes da segurança. Existem pessoas por trás dos novos vírus e novas técnicas de ataque. Portanto, também precisam existir pessoas especializadas nisso para defender as empresas deles.

Gerir segurança exige conhecimento específico e experiência

Adquirir o conhecimento necessário para realizar uma gestão de segurança eficiente pode demorar. Além das formações específicas, essa é uma área em que a experiência no mercado é extremamente valiosa.

Com dados sensíveis e necessidade de respostas rápidas a ameaças, as empresas não especializadas não possuem tempo hábil para montar uma solução de segurança do zero. Inegavelmente, é mais rápido contratar um MSSP. Essas empresas, além de já possuírem profissionais habituados com o ritmo desse mercado, também têm acesso a mais amostras e mais experiência com falhas e ataques.

Comprar MSS é mais barato

Os custos associados com o modelo MSS são muito menores, em especial para empresas de pequeno e médio porte. Manter um setor específico de segurança em uma empresa que não tem essa área como foco pode ser extremamente custoso. A gestão deve considerar que serão necessários gastos com licenças, hardware e software, profissionais altamente especializados, treinamentos e cursos de atualização, SOC, datacenter e sistemas. Além disso, é necessário desenhar novos processos e diretrizes.

Quer saber mais sobre o MSS da Future, clique aqui!

Fonte: EXAME

 

Receba conteúdos exclusivos