Arquivo de etiquetas Ciberataque

PorWagner Lindemberg

4 tipos de ataques cibernéticos que podem afetar seu negócio!

A complexidade elevada dos ataques cibernéticos e a presença da tecnologia no ambiente corporativo obriga os negócios a terem uma infraestrutura de TI robusta e confiável. Diante disso, investir em bons mecanismos de proteção é crucial, pois evita que a empresa fique exposta e sofra prejuízos.

Como a prevenção de ataques cibernéticos deve ocorrer? Quais as principais ameaças podem atingir um negócio? A melhor forma de prevenir a sua empresa de ataques cibernéticos é conhecendo as principais ameaças existentes. Confira um pouco mais sobre cada uma abaixo

Phishing

Essa é uma técnica antiga, mas que ainda hoje causa muitas vítimas. O phishing é constituído na criação de páginas falsas para roubar dados de usuários.

Geralmente disseminado com o apoio de e-mails de SPAM, essa técnica direciona o usuário a uma página falsa e o instrui a inserir senhas de suas contas pessoais. Para prevenir a sua companhia desse tipo de situação, a melhor abordagem é educar seus times sobre segurança na rede e os danos causados por esse tipo de ameaça.

Ataque DDoS

O ataque DDoS busca derrubar sites e sistemas web. Nesse caso, um grupo de dispositivos web infectados é acionado para enviar requisições a um único IP. Assim, é possível congestionar a sua banda de acesso e impedir que outras pessoas visualizem a página web.

A prevenção e a mitigação de um ataque DDoS se dá pelas seguintes etapas:

  • criação de uma infraestrutura escalável, capaz de lidar com o aumento da carga de trabalho;
  • uso de soluções que tornem fácil a filtragem de IPs suspeitos;
  • adoção de uma infraestrutura de reserva para direcionar acessos legítimos em caso de ataque.

Roubo de dados

Nesse caso, o negócio é invadido por meio da exploração das vulnerabilidades existentes em sua infraestrutura. O hacker faz uma leitura dos equipamentos e sistemas utilizados pelo negócio, assim como os possíveis pontos de acesso. Uma vez que a pessoa obtém acesso aos diretórios internos, ela trabalhará para capturar o máximo de dados sigilosos possíveis.

Para se prevenir, a empresa deve sempre manter sistemas atualizados e monitorados. O empreendimento precisa criar uma rotina de teste, validação e distribuição de updates de forma ágil. Assim, as vulnerabilidades serão mitigadas e os usuários poderão se manter em um ambiente mais robusto e confiável.

Ransomware

O ransomware é um dos tipos de ataque que causam um dos maiores impactos no ambiente corporativo. Esse malware se replica automaticamente e, uma vez que obtém acesso a um sistema, criptografa os dados de todos os usuários. Para que o acesso seja restaurado, um pagamento é exigido do usuário.

Em geral, a prevenção contra essa ameaça é feita com a atualização dos sistemas, criação de backups e políticas de controle de acesso. Além disso, o negócio pode segmentar a sua rede de dados. Dessa forma, se um ataque ocorrer, será mais fácil restaurar os arquivos e retomar as operações.

A prevenção de ataques cibernéticos é algo que todo negócio deve buscar. Se a empresa tem a capacidade de evitar situações de risco, os seus serviços se tornam mais confiáveis e robustos. Além disso, a empresa terá mais facilidade de se alinhar com leis como a GDPR e a LGPD, o que a tornará mais competitiva e em uma posição de destaque frente aos concorrentes.

Fonte: TIGRAconsult

PorWagner Lindemberg

Cassino online vaza informações sobre 108 milhões de apostas, incluindo detalhes de usuários

Um grupo de cassino on-line vazou informações sobre mais de 108 milhões de apostas, incluindo detalhes sobre informações pessoais, depósitos e saques dos clientes, informou a ZDNet.

Os dados vazaram de um servidor ElasticSearch que foi deixado exposto online sem uma senha, disse Justin Paine, o pesquisador de segurança que descobriu o servidor, à ZDNet.

O ElasticSearch é um mecanismo de pesquisa portátil e de alta qualidade que as empresas instalam para melhorar a indexação de dados e os recursos de pesquisa de seus aplicativos da Web. Esses servidores geralmente são instalados em redes internas e não devem ficar expostos on-line, pois geralmente lidam com as informações mais importantes de uma empresa.

Na semana passada, Paine se deparou com uma dessas instâncias do ElasticSearch que ficou sem segurança on-line, sem autenticação para proteger seu conteúdo confidencial. No primeiro olhar, ficou claro para Paine que o servidor continha dados de um portal de apostas online.

Apesar de ser um servidor, a instância ElasticSearch lidava com uma grande quantidade de informações agregadas de vários domínios da Web, provavelmente de algum tipo de esquema de afiliados, ou de uma empresa maior operando vários portais de apostas.

Após uma análise das URLs detectadas nos dados do servidor, Paine e ZDNet concluíram que todos os domínios rodavam cassinos on-line onde os usuários podiam fazer apostas em cartões clássicos e jogos de slot, mas também em outros jogos de apostas não padrão.

Alguns dos domínios que Paine localizou no servidor com vazamento incluíam kahunacasino.com, azur-casino.com, easybet.com e viproomcasino.net, só para citar alguns.

Depois de algumas pesquisas, alguns dos domínios pertenciam à mesma empresa, mas outros pertenciam a empresas localizadas no mesmo prédio em um endereço em Limassol, Chipre, ou operavam com o mesmo número de licença da eGaming emitido pelo governo de Curacao. – uma pequena ilha no Caribe – sugerindo que eles provavelmente eram operados pela mesma entidade.

Os dados do usuário que vazaram desse servidor comum do ElasticSearch incluíam muitas informações confidenciais, como nomes reais, endereços residenciais, números de telefone, endereços de e-mail, datas de nascimento, nomes de usuários do site, saldos de contas, endereços IP, navegador e detalhes do sistema operacional. informação, e uma lista de jogos jogados.

Além disso, Paine também encontrou cerca de 108 milhões de registros contendo informações sobre apostas, ganhos, depósitos e saques atuais. Os dados sobre depósitos e levantamentos também incluem detalhes do cartão de pagamento.

A boa notícia é que os detalhes do cartão de pagamento indexados no servidor ElasticSearch foram parcialmente editados e não estavam expondo os detalhes financeiros completos do usuário.

A má notícia é que qualquer um que tenha encontrado o banco de dados saberia os nomes, endereços residenciais e números de telefone dos jogadores que ganharam recentemente grandes somas de dinheiro e poderiam ter usado essas informações para direcionar usuários como parte de esquemas fraudulentos ou de extorsão.

O ZDNet entrou em contato por e-mail com todos os portais on-line cujos dados Paine identificou no servidor com vazamento. Até o momento, não recebemos nenhuma resposta de nenhuma das equipes de suporte que contatamos na semana passada, mas hoje, o servidor com vazamento ficou offline e não está mais acessível.

“Finalmente está claro. Não está claro se o cliente o desativou ou se o OVH fez o firewall para eles”, disse Paine à ZDNet, depois que ele também entrou em contato com o provedor de serviços na semana passada.

Tendo em conta que nenhum dos sites acima mencionados respondeu ao nosso pedido de comentários e nem tem a sua empresa-mãe, não ficou claro durante quanto tempo o servidor ficou exposto on-line, quantos utilizadores foram afetados exatamente, se alguém fora do pesquisador de segurança acessou o servidor com vazamento e se os clientes forem notificados de que seus dados pessoais ficaram expostos na Internet à vista.

Fonte: ZDNet.

PorWagner Lindemberg

Kaspersky detecta nova falha desconhecida no Windows

 

Há um mês, escrevemos sobre termos encontrado um exploit no Microsoft Windows. Pode parecer familiar, mas nossas tecnologias proativas detectaram outro exploit de 0-day que mais uma vez, se aproveita de uma vulnerabilidade previamente desconhecida no sistema operacional. Dessa vez, apenas o Windows 7 e o Server 2008 estão em risco.

No entanto, essa limitação não torna a ameaça menos perigosa. Embora a Microsoft tenha suspendido o suporte geral para o Server 2008 em janeiro de 2015 e oferecido uma atualização gratuita no lançamento do Windows 10, nem todas as pessoas fizeram a instalação. Os desenvolvedores ainda estão oferecendo atualizações de segurança e suporte para ambos os sistemas (e devem continuar até o dia 14 de janeiro de 2020) porque ainda possuem clientes suficientes.

Quando detectamos o exploit, em outubro passado, nossos especialistas imediatamente reportaram a vulnerabilidade à Microsoft, junto com uma prova de conceito. Os desenvolvedores corrigiram prontamente o problema em 13 de novembro.

O que você deve saber sobre esta vulnerabilidade e este exploit?

Trata-se de uma vulnerabilidade de 0-day de elevação de privilégio no driver win32k.sys. Ao explorar essa falha, os cibercriminosos podem garantir os acessos necessários para persistirem no sistema de uma vítima.

O exploit foi utilizado em diversos ataques de APT, principalmente na região do Oriente Médio, e focava apenas nas versões de 32-bits do Windows 7. Você pode encontrar dados técnicos neste post do Securelist. Os assinantes dos nossos relatórios de inteligência de ameaças também podem obter mais informações sobre o ataque pelo endereço de e-mail intelreports@kaspersky.com.

Como se proteger?

Nada de novo por aqui — mas atenção aos nossos conselhos de sempre para vulnerabilidades:

  • Instale o patch da Microsoft imediatamente.
  • Atualize regularmente todos os softwares que a sua empresa utiliza para as versões mais recentes.
  • Pare de utilizar softwares desatualizados antes que seu suporte seja suspenso.
  • Utilize produtos de segurança com capacidades de avaliação de vulnerabilidades e gerenciamento de correções para automatizar processos de atualização.
  • Utilize uma solução de segurança robusta equipada com funcionalidade de detecção com base em comportamentos para uma proteção efetiva contra ameaças desconhecidas incluindo exploits 0-day.

Note que, mais uma vez, o crédito pela detecção dessa ameaça previamente desconhecida vai para nossas tecnologias proativas: mais propriamente para o mecanismo antimalware e de sandbox avançado da Kaspersky Anti Targeted Attack Platform (uma solução criada especificamente para proteção contra ameaças APT) e a tecnologia de prevenção automática de exploits que formam um subsistema integral do Kaspersky Endpoint Security for Business.

Fonte: Kaspersky

PorWagner Lindemberg

Ataques DDoS aumentam em volume

Estudo aponta que, somente no primeiro semestre do ano, houve em todo o mundo 47 ataques superiores a 300Gbps contra apenas sete durante o mesmo período em 2017; a região Ásia-Pacífico foi a mais visada.

No primeiro semestre do ano, houve em todo o mundo 47 ataques DDoS superiores a 300Gbps contra apenas sete durante o mesmo período em 2017. A região Ásia-Pacífico foi a mais visada com 35 ataques superiores a 300Gbps contra apenas cinco durante o mesmo período de 2017. As informações são do Relatório de Inteligência de Ameaças da NETSCOUT. Em nota, a fabricante afirma ter mitigado o maior ataque de DDoS já registrado, de 1,7 Tbps.

O levantamento descreve ainda as últimas tendências e atividades relativas às ameaças cibernéticas, desde a ação de grupos de ameaças persistentes avançadas (APT) ligados a estados-nação até operações de crimeware e campanhas de ataque de negação de serviço (DDoS – Distributed Denial of Service).

O estudo aponta que atividades patrocinadas por Estados se desenvolveram a ponto de descobrirem-se regularmente campanhas patrocinadas por um grupo crescente de nações. Os envolvidos que lançam essas ações também estão usando intrusões na escala da internet, como NotPetya, CCleaner, VPNFilter para campanhas direcionadas e altamente seletivas.

Inspirados no ataque WannaCry, de 2017, os principais grupos voltados ao crimeware estão adotando métodos de autopropagação que permitem ao malware espalhar-se de maneira mais rápida e fácil. Eles também estão intensificando o foco na mineração por criptomoeda.

As informações foram coletadas por meio do sistemas ATLAS, um projeto colaborativo reunindo centenas de clientes provedores de serviços, que concordaram em compartilhar dados de tráfego anonimizados equivalentes a aproximadamente um terço de todo o tráfego da internet.

Fonte: globalmask.

PorWagner Lindemberg

Ransomware Ryuk Ataca Várias Redes Empresariais e Já Soma $640.000 Em Resgates

Ransomware Ryuk está se espalhando visando várias redes corporativas em todo o mundo e criptografando vários dados em dispositivos de armazenamento, computadores pessoais e data centers.

O atacante ganhou mais de US $ 640.000 de várias vítimas, exigindo 15 BTC a 50 BTC, a fim de recuperar seus arquivos. Empresas dos EUA e outros países estão severamente afetados pelo Ransomware Ryuk.

Curiosamente, uma análise mais aprofundada revelou que o Ransomware Ryuk usou alguns dos recursos do Ransomware HERMES, que é distribuído pelo Grupo Note-Coreano APT Lazarus.

Os pesquisadores acreditam que o Ryuk pode ser outra campanha direcionada do Grupo Lazarus ou derivado do código-fonte do Malware HERMES.

Nesse caso, os invasores selecionam cuidadosamente o alvo e ele é criado intencionalmente para redes corporativas de pequena escala e para ataques realizados manualmente pelos invasores.

Fluxo de Ataque d0 Ransomware Ryuk

Inicialmente, o Ryuk foi distribuído através de campanhas de spam massivas, kits de exploração e algumas operações específicas, como mapeamento extensivo de rede, hacking e coleta de credenciais necessárias antes de cada operação.

Os invasores que usam a mesma lógica de criptografia encontrada no ransomware HERMES. As semelhanças da lógica do processo de criptografia são quase as mesmas que do Ryuk.

O Ryuk Ransomware elimina mais de 40 processos do Windows e para mais de 180 serviços, executando taskkill e net stop em uma lista de nomes de serviços e processos predefinidos.

A maioria dos serviços e processos pertence ao software de antivírus, banco de dados, backup e edição de documentos.

De acordo com pesquisa da Checkpoint, a técnica de injeção de código contém a principal funcionalidade usada pelo ransomware para criptografia de arquivos. Ele é iniciado pela descriptografia de uma lista de strings de nome de função de API usando uma chave predefinida e uma matriz dos comprimentos de string que são usados ​​para carregar dinamicamente as funções correspondentes.

Duas amostras diferentes foram descobertas e as notas de resgate de ambas as versões são muito semelhantes as enviadas à vítima.

“Nota mais longa, bem redigida e bem formulada, que levou ao maior pagamento registrado de 50 BTC (cerca de US $ 320.000) e uma nota mais curta e mais direta, que foi enviada para várias outras organizações e também levou a alguns pagamentos de resgate. entre 15-35 BTC (até US $ 224.000). ”

Depois de concluir todas as primitivas criptográficas, ele criptografa todas as unidades e compartilhamentos de rede no sistema de vítimas, exceto o arquivo ou diretório contendo o texto de uma lista de desbloqueio codificada, que inclui “Windows”, “Mozilla”, “Chrome”, “RecycleBin”. e “Ahnlab”

Isso com o propósito de deixar o navegador da vítima intacto, pois pode ser necessário para ler a nota de resgate, comprar a criptomoeda e assim por diante.

Os atacantes usam várias carteiras e as vítimas precisam pagar a carteira específica que receberam dentro das notas do Ransomware.

O pesquisador acredita que esse Ransomware é um ataque completamente direcionado e que visa especificamente redes de empresas.

Fonte: GBHackers.

PorWagner Lindemberg

Relatório de Ameaças Virtuais Fortinet – Nenhuma Empresa Está 100% Segura

Das 103.786 vulnerabilidades publicadas na Lista CVE desde o seu início, 5.898 (5.7%) foram exploradas de acordo com a pesquisa do Relatório de Cenário de Ameaças Virtuais da Fortinet. Com mais de 100.000 explorações conhecidas, a maioria das organizações não consegue corrigir vulnerabilidades com agilidade suficiente. Isso indica que os criminosos cibernéticos não estão apenas desenvolvendo novas tecnologias e estratégias para explorar vítimas em potencial, mas também estão se tornando mais seletivo na forma como aproveitam essas explorações, concentrando-se naquelas que gerarão o maior retorno para o investimento.

Tais informações podem ser extremamente valiosas quando se trata de priorizar vulnerabilidades de correção. Se os criminosos não estão explorando a grande maioria das vulnerabilidades, consertar tudo – além de ser impossível – não é a abordagem correta. Em vez disso, é essencial incorporar o conhecimento do que eles estão explorando através de serviços de inteligência contra ameaças. As organizações podem, então, acoplar essas informações sobre ameaças aos Serviços de Classificação de Segurança, que fornecem insights em tempo real sobre a preparação para a segurança em todos os elementos de segurança, para adotar uma abordagem muito mais proativa e estratégica para a correção de vulnerabilidades.

Outros detalhes importantes ​​do relatório deste trimestre incluem:

Praticamente nenhuma empresa é imune a explorações graves: quase nenhuma empresa está imune às tendências de ataque em evolução dos cibercriminosos. O FortiGuard Labs detectou 96% das empresas com pelo menos uma falha grave. Além disso, quase um quarto das empresas viu o malware criptográfico e apenas seis variantes de malware se espalharam para mais de 10% de todas as organizações. O FortiGuard Labs também encontrou 30 novos ataques de dia zero durante o trimestre.

Cryptojacking agora em dispositivos IoT domésticos: os cibercriminosos adicionaram dispositivos IoT ao seu arsenal de ferramentas usadas para mineração de criptomoedas, incluindo dispositivos de mídia domésticos. Eles são um alvo especialmente atraente devido à sua rica fonte de potência computacional, que pode ser usada para fins maliciosos. Outro fator crítico é o fato de que esses dispositivos tendem a estar sempre conectados, permitindo que os invasores realizem a mineração de forma contínua.

As tendências de botnets demonstram criatividade dos cibercriminosos: os cibercriminosos estão maximizando o impacto das botnets, carregando-as com várias ações mal-intencionadas. WICKED, uma nova variante de botnet Mirai, adicionou pelo menos três exploits ao seu kit de ferramentas para melhor direcionar dispositivos de IoT não atualizados. VPNFilter, o avançado ataque patrocinado que tem como alvo os ambientes SCADA / ICS, surgiu como uma ameaça significativa porque não apenas realiza a extração de dados, mas também pode tornar os dispositivos completamente inoperantes, individualmente ou em grupo. A variante Anubis da família Bankbot introduziu várias inovações, incluindo ransomware, keylogger, funções RAT, interceptação de SMS, tela de bloqueio e encaminhamento de chamadas.

Desenvolvedores de malware aproveitam o desenvolvimento ágil: tendências recentes de ataque mostram que os autores de malware estão adotando práticas de desenvolvimento ágeis para tornar seu malware ainda mais difícil de detectar, bem como para combater as táticas mais recentes dos produtos antimalware. O GandCrab teve muitos novos lançamentos este ano e seus desenvolvedores continuam atualizando este malware em um ritmo rápido. Junto com a automação, o desenvolvimento ágil ajuda os autores de malware a lançarem novos ataques altamente evasivos, exigindo que as organizações adotem recursos de proteção e detecção de ameaças cada vez mais avançados para ajudá-los a identificar essas explorações.

Exploração efetiva de vulnerabilidades:Os cibercriminosos escolhem quais vulnerabilidades eles vão explorar. Para isso, eles avaliam as explorações na perspectiva de prevalência e volume de detecções relacionadas; por isso, apenas 5,7% das vulnerabilidades conhecidas foram exploradas sem muitos critérios. Se a grande maioria das vulnerabilidades não for explorada, as organizações devem pensar em adotar uma abordagem estratégica mais proativa para a correção de vulnerabilidades.

Os riscos de segurança continuam a crescer, e entender os riscos que você enfrenta e as táticas que seus inimigos cibernéticos estão usando é essencial para desenvolver e implementar uma estratégia de segurança eficaz e adaptável.

Relatório completo: Download.

Fonte: Fotinet.

PorWagner Lindemberg

Sistemas Vulneráveis em Pleno Voo

O pesquisador Ruben Santamarta, da empresa IOActive, fez em novembro passado um vôo entre Madri e Copenhague pela Norwegian. Durante o trajeto, decidiu usar o Wireshark para estudar o Wi-Fi em voo da aeronave.

Além de descobrir que as portas de Telnet, FTP e web estavam disponíveis para certos IPs, descobriu que uma página de administração para um roteador de comunicação via satélite (SATCOM) da Hughes também poderia ser acessada sem autenticação.

Este é o sistema usado pela Norwegian que conecta um avião ao solo para fornecer conectividade à Internet (a Icelandair e a Southwest também usam o mesmo sistema).

Em um paper da Black Hat na semana passada, Santamarta e seus colegas publicaram detalhes de como essa simples descoberta os colocou na trilha de uma série de falhas de segurança maiores baseadas na pesquisa de vulnerabilidade IOActive SATCOM que remonta a 2014.
Sua alegação pré-show foi surpreendente – ele acreditava que era o primeiro pesquisador a descobrir como acessar sistemas de dentro do avião sem estar a bordo.

As vulnerabilidades não foram explicadas em detalhes por motivos de segurança, mas incluíram uma mistura perturbadora de backdoors a interceptação e manipulação de tráfego de dados de e para aeronaves (ou seja, monitoramento de visitas de passageiros), usando o Telnet para executar código e possivelmente interferindo no firmware.

Pode até ser possível lançar ataques contra dispositivos individuais pertencentes a passageiros ou tripulação conectados através do roteador SATCOM.

Extraordinariamente, a equipe descobriu que uma botnet da IoT havia tentado ataques de força bruta contra os equipamentos SATCOM, sem necessariamente visar sistemas das aeronaves.

O surpreendente é que esse botnet estava, inadvertidamente, executando ataques de força bruta contra modems SATCOM localizados a bordo de uma aeronave em vôo. Como os sistemas SATCOM são usados ​​em embarcações marítimas, bem como na indústria militar e espacial, eles também podem estar vulneráveis ​​a alguns dos problemas, disse Santamarta.

Nenhuma das vulnerabilidades pesquisadas teria dado ao invasor acesso aos sistemas aviônicos usados ​​pelos pilotos, mas celebrar isso pode ser a perda do ponto em que o estado da segurança do roteador SATCOM não é o que deveria ser.

Todas as falhas foram repassadas aos fabricantes envolvidos, bem como ao órgão de segurança da aviação, o Centro de Análise e Compartilhamento de Informações da Aviação (A-ISAC), embora Santamarta tenha dito que o nível de colaboração não era o esperado, dadas as implicações de segurança.

As falhas no avião, no entanto, foram fechadas: “Podemos confirmar que as companhias aéreas afetadas não estão mais expondo suas frotas à Internet”.

Fonte: https: Cibersecurity.

PorWagner Lindemberg

Kaspersky Lab: mais de 400 indústrias foram alvo de ataques de spear phishing

Os e-mails são disfarçados de cartas legítimas relacionadas a compras e contabilidade, e atingiram mais de 400 indústrias, a maioria na Rússia.

A série de ataques começou no segundo semestre de 2017 e atingiu centenas de computadores corporativos em segmentos como petróleo e gás, metalurgia, energético, construção e logística.

Nessa leva de ataques, os criminosos não só atingiram as indústrias, junto com outras organizações, mas se concentraram predominantemente nelas. Eles enviaram e-mails com anexos maliciosos e tentaram induzir as vítimas inocentes a fornecer dados confidenciais que pudessem ser usados para obter lucros.

De acordo com os dados da Kaspersky Lab, essa onda de e-mails atingiu cerca de 800 computadores de funcionários com o objetivo de roubar dinheiro e dados confidenciais das organizações que pudessem ser usados em novos ataques.

Os e-mails foram disfarçados de cartas legítimas relacionadas a compras e contabilidade, e seu conteúdo correspondia ao perfil das organizações atacadas e considerava a identidade do funcionário a quem a mensagem se destinava.

É notável que os invasores até se referiam às vítimas pelo nome. Isso sugere que os ataques foram preparados com cuidado e os criminosos investiram seu tempo para elaborar uma carta individual para cada usuário.

Quando o destinatário clicava nos anexos maliciosos, um software legítimo modificado era instalado discretamente no computador, permitindo que os criminosos se conectassem a ele, examinassem documentos e software relacionados às operações de compras, financeiras e contábeis. Além disso, os invasores procuravam diferentes formas de realizar fraudes financeiras, por exemplo, alterando os requisitos de notas de pagamento para creditar valores em seu benefício.

Além disso, sempre que os criminosos precisavam de dados ou funcionalidades adicionais, como direitos de administrador local ou dados de autenticação de usuários e contas do Windows para se espalhar pela rede corporativa, os invasores carregavam outros conjuntos de malware preparados individualmente para o ataque a cada vítima específica. Esses kits incluíam spyware, ferramentas adicionais de administração remota para estender o controle dos invasores nos sistemas infectados e malware para explorar vulnerabilidades do sistema operacional, além da ferramenta Mimikatz, que permite aos usuários obter dados de contas do Windows.

“Os invasores demonstraram um interesse claro em atingir indústrias russas. De acordo com nossa experiência, isso provavelmente se deve ao fato de que o nível de conscientização em cibersegurança dessas empresas não é tão alto quanto em outros mercados, como o de serviços financeiros. Isso torna as indústrias um alvo lucrativo para os criminosos virtuais, não apenas na Rússia, mas em todo o mundo”, disse Vyacheslav Kopeytsev, especialista em segurança da Kaspersky Lab.

Os pesquisadores da Kaspersky Lab recomendam que os usuários adotem estas medidas para se proteger de ataques de spear phishing:

– Utilizar soluções de segurança com funcionalidades exclusivas de detecção e bloqueio de tentativas de phishing. As empresas podem proteger seus sistemas de e-mail locais com os aplicativos direcionados contidos no pacote Kaspersky Endpoint Security for Business. O Kaspersky Security for Microsoft Office 365 protege o serviço de e-mail baseado na nuvem Exchange Online, fornecido no pacote do Microsoft Office 365;
– Realizar iniciativas de conscientização sobre segurança, incluindo treinamentos em forma de jogos com avaliação de habilidades e reforço por meio da repetição de simulações de ataques de phishing. Os clientes da Kaspersky Lab podem utilizar os serviços Kaspersky Security Awareness Training.

Spear phishing é um golpe de e-mail direcionado com o objetivo único de obter acesso não autorizado aos dados sigilosos. Diferente dos golpes de phishing, que realizam ataques amplos e dispersos, o spear phishing foca em um grupo ou organização específicos. A intenção é roubar propriedade intelectual, dados financeiros, segredos comerciais ou militares e outros dados confidenciais.

Fonte: CryptpoID.

PorWagner Lindemberg

Pesquisa revela que 35% das empresas não têm especialistas em cibersegurança

Apesar de 95% dos Chief Information Officers (CIOs) esperarem que as ameaças cibernéticas cresçam nos próximos três anos, apenas 65% de suas organizações atualmente contam com especialistas em cibersegurança, segundo estudo do Gartner.

O levantamento também revela que desafios relacionados a competências continuam preocupando organizações que têm se submetido à digitalização de seus negócios, sendo a falta de profissionais habilitados de segurança o principal entrave para a inovação.

Na pesquisa Gartner Agenda CIO 2018, o Gartner reuniu dados a partir de entrevistas com 3.160 executivos de tecnologia das principais indústrias de 98 países, o que representa aproximadamente US$ 13 trilhões em receita do setor público e US$ 277 bilhões em investimentos em TI.

O estudo mostra que a cibersegurança se mantém uma fonte de profunda preocupação para as organizações. Muitos criminosos operam por meios que dificultam a antecipação por parte das empresas e também demonstram prontidão para sofisticarem os ataques e se adaptarem às mudanças de ambientes, segundo Rob McMillan, diretor de Pesquisa do Gartner.

Proteção

Dos entrevistados consultados pela pesquisa, 35% indicaram que suas empresas já investiram e implantaram algum tipo de proteção de segurança digital, enquanto outros 36% informaram estarem experimentando e planejando adotar sistemas no curto prazo. O Gartner estima que 60% dos orçamentos para segurança devem apoiar competências para detecção e resposta até 2020.

Novos ataques

De acordo com a pesquisa do Gartner, muitos CIOs consideram crescimento e participação de mercado como uma das prioridades de negócio para 2018. A expansão geralmente oferece redes de fornecedores mais diversas, diferentes formas de trabalho, de modelos de financiamento e de padrões de investimento de tecnologia, bem como diferentes produtos, serviços e canais de suporte.

Blindagem

O Gartner estima que 93% dos CIOs de organizações de alta performance afirmam que os negócios digitais têm possibilitado a liderança de modelos que são adaptáveis e abertos à mudança. Para o benefício de muitas práticas de segurança, essa cultura da abertura amplia a atitude da organização rumo a novos recrutamentos e processos de treinamento.

Embora a maior parte das organizações possua uma função específica com expertise em cibersegurança, reconhecendo sua necessidade, o Gartner destaca que ainda faltam competências na área. O Gartner recomenda que os CISOs (Chief Information Security Officers) continuem construindo uma frente resistente por meio de abordagens inovadoras, desenvolvendo equipes com habilidades de segurança.

Fonte: itforum365

PorWagner Lindemberg

Entenda o que é SQL Injection e a importância de tomar precauções

Precauções e Implicações de ataques SQL Injection

Ter um ambiente virtual com uma segurança do maior nível possível se tornou mais que uma questão de vontade: hoje em dia, é um requisito para sobrevivência no mercado. Entre os ataques mais nocivos, um que é muito comum (porém pouco divulgado) é o SQL Injection.

Com todas as notícias sobre ransomwares e ataques DDoS que temos atualmente, as invasões do banco relacional são, de certa forma, esquecidas pela mídia, mas seus danos podem trazer muitas dores de cabeça para gestores e diretores de TI.

Entenda mais a respeito:

Possíveis implicações de sofrer um ataque SQL Injection

As possíveis implicações de se estar exposto a uma vulnerabilidade de SQL Injection podem ser resumidas conforme abaixo:

  • Exposição de registros confidenciais registrados nas bases de dados;
  • Exposição do banco de dados da empresa aos concorrentes;
  • Modificação de dados (Inserir / Atualizar / Excluir) registrados nas bases de dados da empresa;
  • Obtenção de acesso arbitrário ao sistema operacional;
  • Obtenção de acesso arbitrário ao uso da rede.

Quando uma empresa lida com dados pessoais e financeiros de seus clientes, a situação se torna ainda pior. Vazamentos de dados de cartões de crédito podem ocorrer, assim como dados íntimos e familiares, manchando a imagem organizacional — às vezes, de forma irreversível.

A integridade dos dados é perdida no momento em que eles são acessados indevidamente, pois podem estar corrompidos. É possível que valores de cobranças e pagamentos sejam alterados, acabando com toda a visão financeira da empresa e a deixando sem saber o quanto deve pagar e receber de clientes e fornecedores.

É possível perceber que os impactos do SQL Injection se estendem por todas as áreas de uma empresa — desde perda de dados até parada total de sistemas. Com esse entendimento, é preciso buscar formas de se precaver e não deixar esse cenário acontecer.

Três maneiras de se prevenir dessas situações

Treinar desenvolvedores e DBAs especificamente sobre o assunto

Mesmo desenvolvedores e administradores de banco de dados experientes precisam estar sempre atentos à segurança do código e da base de dados. Treinar esses profissionais especificamente para esse propósito vai fazer com que eles ganhem uma perspectiva nova sobre o problema, se preocupando mais com validações — seja nas permissões de acesso ou no código-fonte do sistema.

Utilizar boas práticas no desenvolvimento e manutenção de sistemas

Fazer com que o time seja rigoroso no uso de boas práticas da TI também é um remédio eficiente que auxilia na proteção dos dados. Um exemplo disso é a prática do Code Review no time de desenvolvimento, pois um especialista em segurança pode encontrar brechas deixadas no código pelo desenvolvedor.

Realizar testes usando esse tipo de invasão

É possível usar a arma para a proteção do sistema. As equipes de segurança devem usar abordagens de SQL Injection no código desenvolvido, visando descobrir vulnerabilidades antes do código ser liberado para produção.

Na parte dos DBAs, também é preciso testar permissões de acesso, para que cada perfil tenha acesso estritamente àquilo que necessita. As permissões em excesso são uma das brechas mais utilizadas nesse tipo de ataque.

Nos dias de hoje, prever os problemas se tornou a melhor ferramenta para combatê-los. Com as informações correndo instantaneamente na rede, algumas horas são suficientes para destruir planos de empresas.

É preciso lembrar que de todos os ataques possíveis, o SQL Injection está entre os mais devastadores e entre os mais frequentes tipos de vulnerabilidades. Coibir esse cenário de risco é fundamental para a empresa perseguir seus objetivos no mundo digital.

Fonte: Conviso