Arquivo de etiquetas Ciberataque

PorWagner Lindemberg

Kaspersky detecta nova falha desconhecida no Windows

 

Há um mês, escrevemos sobre termos encontrado um exploit no Microsoft Windows. Pode parecer familiar, mas nossas tecnologias proativas detectaram outro exploit de 0-day que mais uma vez, se aproveita de uma vulnerabilidade previamente desconhecida no sistema operacional. Dessa vez, apenas o Windows 7 e o Server 2008 estão em risco.

No entanto, essa limitação não torna a ameaça menos perigosa. Embora a Microsoft tenha suspendido o suporte geral para o Server 2008 em janeiro de 2015 e oferecido uma atualização gratuita no lançamento do Windows 10, nem todas as pessoas fizeram a instalação. Os desenvolvedores ainda estão oferecendo atualizações de segurança e suporte para ambos os sistemas (e devem continuar até o dia 14 de janeiro de 2020) porque ainda possuem clientes suficientes.

Quando detectamos o exploit, em outubro passado, nossos especialistas imediatamente reportaram a vulnerabilidade à Microsoft, junto com uma prova de conceito. Os desenvolvedores corrigiram prontamente o problema em 13 de novembro.

O que você deve saber sobre esta vulnerabilidade e este exploit?

Trata-se de uma vulnerabilidade de 0-day de elevação de privilégio no driver win32k.sys. Ao explorar essa falha, os cibercriminosos podem garantir os acessos necessários para persistirem no sistema de uma vítima.

O exploit foi utilizado em diversos ataques de APT, principalmente na região do Oriente Médio, e focava apenas nas versões de 32-bits do Windows 7. Você pode encontrar dados técnicos neste post do Securelist. Os assinantes dos nossos relatórios de inteligência de ameaças também podem obter mais informações sobre o ataque pelo endereço de e-mail intelreports@kaspersky.com.

Como se proteger?

Nada de novo por aqui — mas atenção aos nossos conselhos de sempre para vulnerabilidades:

  • Instale o patch da Microsoft imediatamente.
  • Atualize regularmente todos os softwares que a sua empresa utiliza para as versões mais recentes.
  • Pare de utilizar softwares desatualizados antes que seu suporte seja suspenso.
  • Utilize produtos de segurança com capacidades de avaliação de vulnerabilidades e gerenciamento de correções para automatizar processos de atualização.
  • Utilize uma solução de segurança robusta equipada com funcionalidade de detecção com base em comportamentos para uma proteção efetiva contra ameaças desconhecidas incluindo exploits 0-day.

Note que, mais uma vez, o crédito pela detecção dessa ameaça previamente desconhecida vai para nossas tecnologias proativas: mais propriamente para o mecanismo antimalware e de sandbox avançado da Kaspersky Anti Targeted Attack Platform (uma solução criada especificamente para proteção contra ameaças APT) e a tecnologia de prevenção automática de exploits que formam um subsistema integral do Kaspersky Endpoint Security for Business.

Fonte: Kaspersky

PorWagner Lindemberg

Ataques DDoS aumentam em volume

Estudo aponta que, somente no primeiro semestre do ano, houve em todo o mundo 47 ataques superiores a 300Gbps contra apenas sete durante o mesmo período em 2017; a região Ásia-Pacífico foi a mais visada.

No primeiro semestre do ano, houve em todo o mundo 47 ataques DDoS superiores a 300Gbps contra apenas sete durante o mesmo período em 2017. A região Ásia-Pacífico foi a mais visada com 35 ataques superiores a 300Gbps contra apenas cinco durante o mesmo período de 2017. As informações são do Relatório de Inteligência de Ameaças da NETSCOUT. Em nota, a fabricante afirma ter mitigado o maior ataque de DDoS já registrado, de 1,7 Tbps.

O levantamento descreve ainda as últimas tendências e atividades relativas às ameaças cibernéticas, desde a ação de grupos de ameaças persistentes avançadas (APT) ligados a estados-nação até operações de crimeware e campanhas de ataque de negação de serviço (DDoS – Distributed Denial of Service).

O estudo aponta que atividades patrocinadas por Estados se desenvolveram a ponto de descobrirem-se regularmente campanhas patrocinadas por um grupo crescente de nações. Os envolvidos que lançam essas ações também estão usando intrusões na escala da internet, como NotPetya, CCleaner, VPNFilter para campanhas direcionadas e altamente seletivas.

Inspirados no ataque WannaCry, de 2017, os principais grupos voltados ao crimeware estão adotando métodos de autopropagação que permitem ao malware espalhar-se de maneira mais rápida e fácil. Eles também estão intensificando o foco na mineração por criptomoeda.

As informações foram coletadas por meio do sistemas ATLAS, um projeto colaborativo reunindo centenas de clientes provedores de serviços, que concordaram em compartilhar dados de tráfego anonimizados equivalentes a aproximadamente um terço de todo o tráfego da internet.

Fonte: globalmask.

PorWagner Lindemberg

Ransomware Ryuk Ataca Várias Redes Empresariais e Já Soma $640.000 Em Resgates

Ransomware Ryuk está se espalhando visando várias redes corporativas em todo o mundo e criptografando vários dados em dispositivos de armazenamento, computadores pessoais e data centers.

O atacante ganhou mais de US $ 640.000 de várias vítimas, exigindo 15 BTC a 50 BTC, a fim de recuperar seus arquivos. Empresas dos EUA e outros países estão severamente afetados pelo Ransomware Ryuk.

Curiosamente, uma análise mais aprofundada revelou que o Ransomware Ryuk usou alguns dos recursos do Ransomware HERMES, que é distribuído pelo Grupo Note-Coreano APT Lazarus.

Os pesquisadores acreditam que o Ryuk pode ser outra campanha direcionada do Grupo Lazarus ou derivado do código-fonte do Malware HERMES.

Nesse caso, os invasores selecionam cuidadosamente o alvo e ele é criado intencionalmente para redes corporativas de pequena escala e para ataques realizados manualmente pelos invasores.

Fluxo de Ataque d0 Ransomware Ryuk

Inicialmente, o Ryuk foi distribuído através de campanhas de spam massivas, kits de exploração e algumas operações específicas, como mapeamento extensivo de rede, hacking e coleta de credenciais necessárias antes de cada operação.

Os invasores que usam a mesma lógica de criptografia encontrada no ransomware HERMES. As semelhanças da lógica do processo de criptografia são quase as mesmas que do Ryuk.

O Ryuk Ransomware elimina mais de 40 processos do Windows e para mais de 180 serviços, executando taskkill e net stop em uma lista de nomes de serviços e processos predefinidos.

A maioria dos serviços e processos pertence ao software de antivírus, banco de dados, backup e edição de documentos.

De acordo com pesquisa da Checkpoint, a técnica de injeção de código contém a principal funcionalidade usada pelo ransomware para criptografia de arquivos. Ele é iniciado pela descriptografia de uma lista de strings de nome de função de API usando uma chave predefinida e uma matriz dos comprimentos de string que são usados ​​para carregar dinamicamente as funções correspondentes.

Duas amostras diferentes foram descobertas e as notas de resgate de ambas as versões são muito semelhantes as enviadas à vítima.

“Nota mais longa, bem redigida e bem formulada, que levou ao maior pagamento registrado de 50 BTC (cerca de US $ 320.000) e uma nota mais curta e mais direta, que foi enviada para várias outras organizações e também levou a alguns pagamentos de resgate. entre 15-35 BTC (até US $ 224.000). ”

Depois de concluir todas as primitivas criptográficas, ele criptografa todas as unidades e compartilhamentos de rede no sistema de vítimas, exceto o arquivo ou diretório contendo o texto de uma lista de desbloqueio codificada, que inclui “Windows”, “Mozilla”, “Chrome”, “RecycleBin”. e “Ahnlab”

Isso com o propósito de deixar o navegador da vítima intacto, pois pode ser necessário para ler a nota de resgate, comprar a criptomoeda e assim por diante.

Os atacantes usam várias carteiras e as vítimas precisam pagar a carteira específica que receberam dentro das notas do Ransomware.

O pesquisador acredita que esse Ransomware é um ataque completamente direcionado e que visa especificamente redes de empresas.

Fonte: GBHackers.

PorWagner Lindemberg

Relatório de Ameaças Virtuais Fortinet – Nenhuma Empresa Está 100% Segura

Das 103.786 vulnerabilidades publicadas na Lista CVE desde o seu início, 5.898 (5.7%) foram exploradas de acordo com a pesquisa do Relatório de Cenário de Ameaças Virtuais da Fortinet. Com mais de 100.000 explorações conhecidas, a maioria das organizações não consegue corrigir vulnerabilidades com agilidade suficiente. Isso indica que os criminosos cibernéticos não estão apenas desenvolvendo novas tecnologias e estratégias para explorar vítimas em potencial, mas também estão se tornando mais seletivo na forma como aproveitam essas explorações, concentrando-se naquelas que gerarão o maior retorno para o investimento.

Tais informações podem ser extremamente valiosas quando se trata de priorizar vulnerabilidades de correção. Se os criminosos não estão explorando a grande maioria das vulnerabilidades, consertar tudo – além de ser impossível – não é a abordagem correta. Em vez disso, é essencial incorporar o conhecimento do que eles estão explorando através de serviços de inteligência contra ameaças. As organizações podem, então, acoplar essas informações sobre ameaças aos Serviços de Classificação de Segurança, que fornecem insights em tempo real sobre a preparação para a segurança em todos os elementos de segurança, para adotar uma abordagem muito mais proativa e estratégica para a correção de vulnerabilidades.

Outros detalhes importantes ​​do relatório deste trimestre incluem:

Praticamente nenhuma empresa é imune a explorações graves: quase nenhuma empresa está imune às tendências de ataque em evolução dos cibercriminosos. O FortiGuard Labs detectou 96% das empresas com pelo menos uma falha grave. Além disso, quase um quarto das empresas viu o malware criptográfico e apenas seis variantes de malware se espalharam para mais de 10% de todas as organizações. O FortiGuard Labs também encontrou 30 novos ataques de dia zero durante o trimestre.

Cryptojacking agora em dispositivos IoT domésticos: os cibercriminosos adicionaram dispositivos IoT ao seu arsenal de ferramentas usadas para mineração de criptomoedas, incluindo dispositivos de mídia domésticos. Eles são um alvo especialmente atraente devido à sua rica fonte de potência computacional, que pode ser usada para fins maliciosos. Outro fator crítico é o fato de que esses dispositivos tendem a estar sempre conectados, permitindo que os invasores realizem a mineração de forma contínua.

As tendências de botnets demonstram criatividade dos cibercriminosos: os cibercriminosos estão maximizando o impacto das botnets, carregando-as com várias ações mal-intencionadas. WICKED, uma nova variante de botnet Mirai, adicionou pelo menos três exploits ao seu kit de ferramentas para melhor direcionar dispositivos de IoT não atualizados. VPNFilter, o avançado ataque patrocinado que tem como alvo os ambientes SCADA / ICS, surgiu como uma ameaça significativa porque não apenas realiza a extração de dados, mas também pode tornar os dispositivos completamente inoperantes, individualmente ou em grupo. A variante Anubis da família Bankbot introduziu várias inovações, incluindo ransomware, keylogger, funções RAT, interceptação de SMS, tela de bloqueio e encaminhamento de chamadas.

Desenvolvedores de malware aproveitam o desenvolvimento ágil: tendências recentes de ataque mostram que os autores de malware estão adotando práticas de desenvolvimento ágeis para tornar seu malware ainda mais difícil de detectar, bem como para combater as táticas mais recentes dos produtos antimalware. O GandCrab teve muitos novos lançamentos este ano e seus desenvolvedores continuam atualizando este malware em um ritmo rápido. Junto com a automação, o desenvolvimento ágil ajuda os autores de malware a lançarem novos ataques altamente evasivos, exigindo que as organizações adotem recursos de proteção e detecção de ameaças cada vez mais avançados para ajudá-los a identificar essas explorações.

Exploração efetiva de vulnerabilidades:Os cibercriminosos escolhem quais vulnerabilidades eles vão explorar. Para isso, eles avaliam as explorações na perspectiva de prevalência e volume de detecções relacionadas; por isso, apenas 5,7% das vulnerabilidades conhecidas foram exploradas sem muitos critérios. Se a grande maioria das vulnerabilidades não for explorada, as organizações devem pensar em adotar uma abordagem estratégica mais proativa para a correção de vulnerabilidades.

Os riscos de segurança continuam a crescer, e entender os riscos que você enfrenta e as táticas que seus inimigos cibernéticos estão usando é essencial para desenvolver e implementar uma estratégia de segurança eficaz e adaptável.

Relatório completo: Download.

Fonte: Fotinet.

PorWagner Lindemberg

Sistemas Vulneráveis em Pleno Voo

O pesquisador Ruben Santamarta, da empresa IOActive, fez em novembro passado um vôo entre Madri e Copenhague pela Norwegian. Durante o trajeto, decidiu usar o Wireshark para estudar o Wi-Fi em voo da aeronave.

Além de descobrir que as portas de Telnet, FTP e web estavam disponíveis para certos IPs, descobriu que uma página de administração para um roteador de comunicação via satélite (SATCOM) da Hughes também poderia ser acessada sem autenticação.

Este é o sistema usado pela Norwegian que conecta um avião ao solo para fornecer conectividade à Internet (a Icelandair e a Southwest também usam o mesmo sistema).

Em um paper da Black Hat na semana passada, Santamarta e seus colegas publicaram detalhes de como essa simples descoberta os colocou na trilha de uma série de falhas de segurança maiores baseadas na pesquisa de vulnerabilidade IOActive SATCOM que remonta a 2014.
Sua alegação pré-show foi surpreendente – ele acreditava que era o primeiro pesquisador a descobrir como acessar sistemas de dentro do avião sem estar a bordo.

As vulnerabilidades não foram explicadas em detalhes por motivos de segurança, mas incluíram uma mistura perturbadora de backdoors a interceptação e manipulação de tráfego de dados de e para aeronaves (ou seja, monitoramento de visitas de passageiros), usando o Telnet para executar código e possivelmente interferindo no firmware.

Pode até ser possível lançar ataques contra dispositivos individuais pertencentes a passageiros ou tripulação conectados através do roteador SATCOM.

Extraordinariamente, a equipe descobriu que uma botnet da IoT havia tentado ataques de força bruta contra os equipamentos SATCOM, sem necessariamente visar sistemas das aeronaves.

O surpreendente é que esse botnet estava, inadvertidamente, executando ataques de força bruta contra modems SATCOM localizados a bordo de uma aeronave em vôo. Como os sistemas SATCOM são usados ​​em embarcações marítimas, bem como na indústria militar e espacial, eles também podem estar vulneráveis ​​a alguns dos problemas, disse Santamarta.

Nenhuma das vulnerabilidades pesquisadas teria dado ao invasor acesso aos sistemas aviônicos usados ​​pelos pilotos, mas celebrar isso pode ser a perda do ponto em que o estado da segurança do roteador SATCOM não é o que deveria ser.

Todas as falhas foram repassadas aos fabricantes envolvidos, bem como ao órgão de segurança da aviação, o Centro de Análise e Compartilhamento de Informações da Aviação (A-ISAC), embora Santamarta tenha dito que o nível de colaboração não era o esperado, dadas as implicações de segurança.

As falhas no avião, no entanto, foram fechadas: “Podemos confirmar que as companhias aéreas afetadas não estão mais expondo suas frotas à Internet”.

Fonte: https: Cibersecurity.

PorWagner Lindemberg

Kaspersky Lab: mais de 400 indústrias foram alvo de ataques de spear phishing

Os e-mails são disfarçados de cartas legítimas relacionadas a compras e contabilidade, e atingiram mais de 400 indústrias, a maioria na Rússia.

A série de ataques começou no segundo semestre de 2017 e atingiu centenas de computadores corporativos em segmentos como petróleo e gás, metalurgia, energético, construção e logística.

Nessa leva de ataques, os criminosos não só atingiram as indústrias, junto com outras organizações, mas se concentraram predominantemente nelas. Eles enviaram e-mails com anexos maliciosos e tentaram induzir as vítimas inocentes a fornecer dados confidenciais que pudessem ser usados para obter lucros.

De acordo com os dados da Kaspersky Lab, essa onda de e-mails atingiu cerca de 800 computadores de funcionários com o objetivo de roubar dinheiro e dados confidenciais das organizações que pudessem ser usados em novos ataques.

Os e-mails foram disfarçados de cartas legítimas relacionadas a compras e contabilidade, e seu conteúdo correspondia ao perfil das organizações atacadas e considerava a identidade do funcionário a quem a mensagem se destinava.

É notável que os invasores até se referiam às vítimas pelo nome. Isso sugere que os ataques foram preparados com cuidado e os criminosos investiram seu tempo para elaborar uma carta individual para cada usuário.

Quando o destinatário clicava nos anexos maliciosos, um software legítimo modificado era instalado discretamente no computador, permitindo que os criminosos se conectassem a ele, examinassem documentos e software relacionados às operações de compras, financeiras e contábeis. Além disso, os invasores procuravam diferentes formas de realizar fraudes financeiras, por exemplo, alterando os requisitos de notas de pagamento para creditar valores em seu benefício.

Além disso, sempre que os criminosos precisavam de dados ou funcionalidades adicionais, como direitos de administrador local ou dados de autenticação de usuários e contas do Windows para se espalhar pela rede corporativa, os invasores carregavam outros conjuntos de malware preparados individualmente para o ataque a cada vítima específica. Esses kits incluíam spyware, ferramentas adicionais de administração remota para estender o controle dos invasores nos sistemas infectados e malware para explorar vulnerabilidades do sistema operacional, além da ferramenta Mimikatz, que permite aos usuários obter dados de contas do Windows.

“Os invasores demonstraram um interesse claro em atingir indústrias russas. De acordo com nossa experiência, isso provavelmente se deve ao fato de que o nível de conscientização em cibersegurança dessas empresas não é tão alto quanto em outros mercados, como o de serviços financeiros. Isso torna as indústrias um alvo lucrativo para os criminosos virtuais, não apenas na Rússia, mas em todo o mundo”, disse Vyacheslav Kopeytsev, especialista em segurança da Kaspersky Lab.

Os pesquisadores da Kaspersky Lab recomendam que os usuários adotem estas medidas para se proteger de ataques de spear phishing:

– Utilizar soluções de segurança com funcionalidades exclusivas de detecção e bloqueio de tentativas de phishing. As empresas podem proteger seus sistemas de e-mail locais com os aplicativos direcionados contidos no pacote Kaspersky Endpoint Security for Business. O Kaspersky Security for Microsoft Office 365 protege o serviço de e-mail baseado na nuvem Exchange Online, fornecido no pacote do Microsoft Office 365;
– Realizar iniciativas de conscientização sobre segurança, incluindo treinamentos em forma de jogos com avaliação de habilidades e reforço por meio da repetição de simulações de ataques de phishing. Os clientes da Kaspersky Lab podem utilizar os serviços Kaspersky Security Awareness Training.

Spear phishing é um golpe de e-mail direcionado com o objetivo único de obter acesso não autorizado aos dados sigilosos. Diferente dos golpes de phishing, que realizam ataques amplos e dispersos, o spear phishing foca em um grupo ou organização específicos. A intenção é roubar propriedade intelectual, dados financeiros, segredos comerciais ou militares e outros dados confidenciais.

Fonte: CryptpoID.

PorWagner Lindemberg

Pesquisa revela que 35% das empresas não têm especialistas em cibersegurança

Apesar de 95% dos Chief Information Officers (CIOs) esperarem que as ameaças cibernéticas cresçam nos próximos três anos, apenas 65% de suas organizações atualmente contam com especialistas em cibersegurança, segundo estudo do Gartner.

O levantamento também revela que desafios relacionados a competências continuam preocupando organizações que têm se submetido à digitalização de seus negócios, sendo a falta de profissionais habilitados de segurança o principal entrave para a inovação.

Na pesquisa Gartner Agenda CIO 2018, o Gartner reuniu dados a partir de entrevistas com 3.160 executivos de tecnologia das principais indústrias de 98 países, o que representa aproximadamente US$ 13 trilhões em receita do setor público e US$ 277 bilhões em investimentos em TI.

O estudo mostra que a cibersegurança se mantém uma fonte de profunda preocupação para as organizações. Muitos criminosos operam por meios que dificultam a antecipação por parte das empresas e também demonstram prontidão para sofisticarem os ataques e se adaptarem às mudanças de ambientes, segundo Rob McMillan, diretor de Pesquisa do Gartner.

Proteção

Dos entrevistados consultados pela pesquisa, 35% indicaram que suas empresas já investiram e implantaram algum tipo de proteção de segurança digital, enquanto outros 36% informaram estarem experimentando e planejando adotar sistemas no curto prazo. O Gartner estima que 60% dos orçamentos para segurança devem apoiar competências para detecção e resposta até 2020.

Novos ataques

De acordo com a pesquisa do Gartner, muitos CIOs consideram crescimento e participação de mercado como uma das prioridades de negócio para 2018. A expansão geralmente oferece redes de fornecedores mais diversas, diferentes formas de trabalho, de modelos de financiamento e de padrões de investimento de tecnologia, bem como diferentes produtos, serviços e canais de suporte.

Blindagem

O Gartner estima que 93% dos CIOs de organizações de alta performance afirmam que os negócios digitais têm possibilitado a liderança de modelos que são adaptáveis e abertos à mudança. Para o benefício de muitas práticas de segurança, essa cultura da abertura amplia a atitude da organização rumo a novos recrutamentos e processos de treinamento.

Embora a maior parte das organizações possua uma função específica com expertise em cibersegurança, reconhecendo sua necessidade, o Gartner destaca que ainda faltam competências na área. O Gartner recomenda que os CISOs (Chief Information Security Officers) continuem construindo uma frente resistente por meio de abordagens inovadoras, desenvolvendo equipes com habilidades de segurança.

Fonte: itforum365

PorWagner Lindemberg

Entenda o que é SQL Injection e a importância de tomar precauções

Precauções e Implicações de ataques SQL Injection

Ter um ambiente virtual com uma segurança do maior nível possível se tornou mais que uma questão de vontade: hoje em dia, é um requisito para sobrevivência no mercado. Entre os ataques mais nocivos, um que é muito comum (porém pouco divulgado) é o SQL Injection.

Com todas as notícias sobre ransomwares e ataques DDoS que temos atualmente, as invasões do banco relacional são, de certa forma, esquecidas pela mídia, mas seus danos podem trazer muitas dores de cabeça para gestores e diretores de TI.

Entenda mais a respeito:

Possíveis implicações de sofrer um ataque SQL Injection

As possíveis implicações de se estar exposto a uma vulnerabilidade de SQL Injection podem ser resumidas conforme abaixo:

  • Exposição de registros confidenciais registrados nas bases de dados;
  • Exposição do banco de dados da empresa aos concorrentes;
  • Modificação de dados (Inserir / Atualizar / Excluir) registrados nas bases de dados da empresa;
  • Obtenção de acesso arbitrário ao sistema operacional;
  • Obtenção de acesso arbitrário ao uso da rede.

Quando uma empresa lida com dados pessoais e financeiros de seus clientes, a situação se torna ainda pior. Vazamentos de dados de cartões de crédito podem ocorrer, assim como dados íntimos e familiares, manchando a imagem organizacional — às vezes, de forma irreversível.

A integridade dos dados é perdida no momento em que eles são acessados indevidamente, pois podem estar corrompidos. É possível que valores de cobranças e pagamentos sejam alterados, acabando com toda a visão financeira da empresa e a deixando sem saber o quanto deve pagar e receber de clientes e fornecedores.

É possível perceber que os impactos do SQL Injection se estendem por todas as áreas de uma empresa — desde perda de dados até parada total de sistemas. Com esse entendimento, é preciso buscar formas de se precaver e não deixar esse cenário acontecer.

Três maneiras de se prevenir dessas situações

Treinar desenvolvedores e DBAs especificamente sobre o assunto

Mesmo desenvolvedores e administradores de banco de dados experientes precisam estar sempre atentos à segurança do código e da base de dados. Treinar esses profissionais especificamente para esse propósito vai fazer com que eles ganhem uma perspectiva nova sobre o problema, se preocupando mais com validações — seja nas permissões de acesso ou no código-fonte do sistema.

Utilizar boas práticas no desenvolvimento e manutenção de sistemas

Fazer com que o time seja rigoroso no uso de boas práticas da TI também é um remédio eficiente que auxilia na proteção dos dados. Um exemplo disso é a prática do Code Review no time de desenvolvimento, pois um especialista em segurança pode encontrar brechas deixadas no código pelo desenvolvedor.

Realizar testes usando esse tipo de invasão

É possível usar a arma para a proteção do sistema. As equipes de segurança devem usar abordagens de SQL Injection no código desenvolvido, visando descobrir vulnerabilidades antes do código ser liberado para produção.

Na parte dos DBAs, também é preciso testar permissões de acesso, para que cada perfil tenha acesso estritamente àquilo que necessita. As permissões em excesso são uma das brechas mais utilizadas nesse tipo de ataque.

Nos dias de hoje, prever os problemas se tornou a melhor ferramenta para combatê-los. Com as informações correndo instantaneamente na rede, algumas horas são suficientes para destruir planos de empresas.

É preciso lembrar que de todos os ataques possíveis, o SQL Injection está entre os mais devastadores e entre os mais frequentes tipos de vulnerabilidades. Coibir esse cenário de risco é fundamental para a empresa perseguir seus objetivos no mundo digital.

Fonte: Conviso

PorWagner Lindemberg

Malware rouba dinheiro por meio de transferências bancárias

Pesquisadores identificaram um malware bancário que usa uma nova técnica para burlar as medidas de proteção do navegador e, assim, roubar dinheiro de contas bancárias.

Recentemente uma família de malwares bancários – ou bankers – foi descoberta. A ameaça usa uma nova técnica para manipular o navegador, fazendo com que as transações bancárias sejam enviadas para as contas dos invasores, sem que o usuário suspeite.

Ao invés de usar métodos complexos para monitorar a atividade do navegador, esse malware intercepta eventos específicos do loop de mensagens do Windows, de maneira que consegue verificar, nas janelas do programa, as atividades bancárias realizadas. Uma vez que a atividade bancária é detectada, o malware injeta um JavaScript malicioso no site. Todas essas operações são realizadas sem que o usuário perceba.

Em janeiro de 2018, a ESET identificou o grupo responsável por este malware. Em seus primeiros ataques, os cibercriminosos utilizavam uma ameaça que roubava criptomoedas, substituindo o endereço das carteiras na área de transferência. Por alguns meses, o grupo se concentrou em criar malwares de área de transferência, até que, finalmente, introduziu a primeira versão do banker. Como resultado, houve um pico na taxa de detecção em comparação com projetos anteriores dos mesmos criminosos. Isso ocorreu devido ao fato de que os atacantes eram muito ativos no desenvolvimento do malware bancário e introduziam novas versões quase diariamente.

O malware é distribuído por meio de campanhas maliciosas de spam via e-mail, que contêm como anexo um downloader JavaScript disfarçado de uma família comumente conhecida como Nemucod. Segundo as análises, as campanhas de spam são direcionadas principalmente contra usuários poloneses.

Caracteriza-se por manipular o sistema simulando as ações de um usuário. O malware não interage em nenhum ponto com o navegador no nível do processador, portanto, não requer privilégios especiais e cancela qualquer otimização do navegador por terceiros; que geralmente se concentram em métodos convencionais de injeção. Outra vantagem para os invasores é que o código não depende da arquitetura do navegador ou de sua versão, além disso, um único padrão de código funciona para todos os navegadores.

Uma vez identificado, o malware implementa um script específico para cada banco, já que cada site bancário é diferente e tem um código fonte diferenciado. Esses scripts são injetados em páginas nas quais o banker identificou uma solicitação para iniciar uma transferência bancária, como o pagamento de uma conta. O script secretamente injetado substitui o número da conta do destinatário por um diferente e, quando a vítima decide fazer a transferência bancária, o dinheiro será enviado para o atacante. Qualquer medida de segurança contra pagamentos não autorizados, como duplo fator de autenticação, não será útil nesse caso, pois o proprietário da conta está enviando a transferência voluntariamente.

O número de contas bancárias maliciosas é alterado com frequência e praticamente todos os ataques têm uma nova. O malware só vai roubar dinheiro se o valor da transferência bancária estiver dentro de um determinado intervalo – eles geralmente são escolhidos entre valores de 2,8 a 5,6 mil dólares. O script substitui a conta bancária de recebimento original e, também, o campo de entrada desses números por um falso que mostra a conta bancária original, para que o usuário veja o número válido e não suspeite de nada.

“Essa descoberta nos mostra que, no decorrer da batalha entre a indústria de segurança e os autores de bankers, novas técnicas maliciosas não precisam ser altamente sofisticadas para serem efetivas. Acreditamos que, na medida em que os navegadores estão mais protegidos contra a injeção de códigos convencionais, os autores de malware irão atacar de maneiras diferentes. Nesse sentido, o Win32/BackSwap.A simplesmente nos mostrou uma das possibilidades”, diz Camilo Gutierrez, chefe do Laboratório de Pesquisa da ESET na América Latina.

Fonte: Globalmask

PorWagner Lindemberg

Pesquisa revela que as empresas confiam mais em manter os hackers à distância do que em manter os dados seguros

Segundo a pesquisa, 94% dos profissionais de TI sentem que a segurança do perímetro é efetiva em manter usuários não autorizados fora das suas redes.

No entanto, 65% não confiam totalmente que seus dados estariam seguros se as defesas do perímetro fossem violadas, e 68% dizem que usuários não autorizados podem acessar suas redes

São Paulo, 17 de julho de 2017 – Apesar do crescente número de violações de dados e de quase 1,4 bilhão de registros de dados perdidos ou roubados em 2016 (fonte: Breach Level Index), a maioria dos profissionais de TI ainda acredita que a segurança do perímetro é efetiva em manter usuários não autorizados fora das suas redes.

No entanto, as empresas não investem o suficiente em tecnologia que proteja adequadamente seu negócio, de acordo com os resultados do quarto Data Security Confidence Index anual lançado hoje pela Gemalto (Euronext NL0000400653 GTO), líder mundial em segurança digital.

A pesquisa entrevistou 1.050 tomadores de decisão do setor de TI em todo o mundo e concluiu que as empresas sentem que a segurança do perímetro as mantém protegidas, com a maioria (94%) acreditando que é bastante eficiente em manter usuários não autorizados fora da sua rede. No entanto, 65% não confiam totalmente que seus dados estariam protegidos se o perímetro fosse violado, uma pequena diminuição em relação ao ano passado (69%). Apesar disso, quase seis em 10 (59%) organizações informaram que acreditam que todos os seus dados sensíveis estão seguros.

A segurança do perímetro é o foco, o que falta são entendimento da tecnologia e segurança dos dados

Muitas empresas continuam a priorizar a segurança do perímetro sem perceber que é muito pouco efetivo contra ciberataques sofisticados. De acordo com os resultados da pesquisa, 76% disseram que sua organização aumentou o investimento em tecnologias de segurança do perímetro, como firewalls, IDPS, antivírus, filtragem de conteúdo e detecção de anomalias para proteger contra ataques externos. Mesmo com esse investimento, dois terços (68%) acreditam que usuários não autorizados podem acessar sua rede, tornando sem efeito a segurança do seu perímetro.

Esses resultados sugerem uma falta de confiança nas soluções utilizadas, especialmente quando mais de um quarto (28%) das organizações sofreu violações de segurança do perímetro nos últimos 12 meses.
A realidade da situação piora ao considerar que, em média, somente 8% das violações de dados foi criptografada.

A confiança das empresas é comprometida ainda mais, pois mais da metade dos entrevistados (55%) não sabe onde seus dados sensíveis estão armazenados. Além disso, mais de um terço das empresas não criptografa informações valiosas como pagamento (32%) ou dados de clientes (35%). Isso significa que, se os dados forem roubados, um hacker possuirá total acesso a essas informações e poderá usá-las para cometer crimes, incluindo roubo de identidade, fraude financeira e ransomware.

“Fica claro que existe uma discrepância entre as percepções da efetividade da segurança do perímetro das organizações e a realidade“, disse Jason Hart, Vice-Presidente e Diretor-Executivo de Tecnologia para Proteção de Dados na Gemalto. “Acreditando que seus dados já estão seguros, as empresas deixam de priorizar as medidas necessárias para proteger seus dados. As empresas precisam estar cientes de que os hackers buscam os ativos mais valiosos de uma empresa: dados. É importante concentrar-se na proteção desse recurso, caso contrário a realidade não poupará os que não o fazem.”

A maioria das empresas não está preparada para a GDPR

Com a Regulamentação Geral sobre Proteção de Dados (GDPR, em inglês) entrando em vigor em maior de 2018, as empresas precisam saber como cumpri-la protegendo adequadamente dados pessoais para evitar o risco de multas administrativas e danos à reputação. Porém mais da metade dos entrevistados (53%) disseram que não acreditam que não estarão em total conformidade com a GDPR até maio do próximo ano. Faltando menos de um ano, as empresas devem começar a introduzir os protocolos de segurança corretos na sua jornada para estar em conformidade com a GDPR, incluindo criptografia, autenticação de dois fatores e estratégias chave de gerenciamento.

Hart continua: “Investir em cibersegurança tornou-se claramente mais do que um foco para as empresas nos últimos 12 meses. Porém a preocupação está no fato de que poucos estão protegendo adequadamente os dados mais vulneráveis e essenciais que possuem, ou sequer sabem onde eles estão armazenados. Isso está atrapalhando o caminho rumo à conformidade com a GDPR, e as empresas que não melhorarem sua cibersegurança o quanto antes irão enfrentar graves consequências jurídicas, financeiras e de reputação.”

Sobre a pesquisa

A Vanson Bourne, empresa independente especialista em pesquisa de mercado de tecnologia, entrevistou 1.050 tomadores de decisão no setor de TI nos EUA, no Reino Unido, na França, na Alemanha, na Índia, no Japão, na Austrália, no Brasil, no Benelux, no Oriente Médio e na África do Sul em nome da Gemalto. A amostra foi dividida entre fabricação, cuidados com a saúde, serviços financeiros, governo, empresas de telecomunicações, varejo, serviços públicos, consultoria e mercado imobiliário, empresas de seguros e advocacia, TI e outros setores de organizações com um número de funcionários entre 250 e mais de 5.000.

Visite o site com os resultados regionais

Fonte: cryptoid.com.br

glpi-telegrambot-2.0.0