Arquivo de etiquetas Cryptojacking

PorWagner Lindemberg

Hacker clona celular e rouba US$ 1 milhão de banco de criptomoedas

O hacker Nicholas Truglia, de 21 anos, foi preso por roubar US$ 1 milhão em fundos pertencentes a um cliente de dois bancos de criptomoedas. A vítima é Robert Ross, da cidade de São Francisco, que possuía o valor depositado nos serviços Coinbase e Gemini. As duas contas foram esvaziadas pelo criminoso após a clonagem de seu número de celular.

Em depoimento à polícia, Ross afirmou ter perdido o sinal em seu smartphone no dia 26 de outubro. Nos dias que se seguiram, ele foi a lojas da Apple e também de sua operadora, a AT&T, quando notou que seu número havia sido clonado. Truglia usou sistemas de recuperação de senha e verificação de acesso para acessar as contas da vítima, converter o US$ 1 milhão em criptomoedas e transferi-las para carteiras próprias.

O dinheiro, afirmou a vítima, estava guardado para a realização de possíveis investimentos em moedas virtuais e para pagamento da faculdade da filha. O hacker foi preso na última semana e, após uma busca no apartamento do criminoso em Nova York, US$ 300 mil foram recuperados, com as autoridades admitindo que localizar o restante pode ser uma tarefa complicada.

Truglia foi indiciado por 21 crimes, incluindo fraude, roubo de identidade, roubo, invasão de computadores e outros. Ele também teria clonado celulares de executivos do Vale do Silício, incluindo CEOs e fundadores de câmbios e serviços voltados para as criptomoedas, mas não foi capaz de realizar roubos contra eles.

Nomes como estes vêm sendo cada vez mais citados como vítimas de uma prática chamada “SIM-swapping”, ou “troca de SIMs”, em uma tradução livre. Os criminosos transferem o número de celular da vítima para um chip ou dispositivo sob seu controle. Na sequência, tentativas de invasão de contas são feitas mesmo que protocolos de autenticação em duas etapas estejam funcionando.

É uma prática relativamente simples de ser realizada, afirma a polícia, uma vez que as operadoras americanas realizam verificações simples de cadastro antes da transferência, com dados como data de nascimento ou números de documentos. Tais informações podem ser obtidas de diferentes maneiras, a partir de engenharia social ou por meio de bancos de dados vazados de serviços online.

A mesma AT&T da vítima de Truglia já foi processada por um caso desse tipo, sendo acusada por um americano de negligência. No caso, registrado no começo do ano, o homem teve mais de US$ 24 milhões roubados de diferentes serviços online de criptomoedas depois de ter seu chip clonado com o uso de engenharia social no serviço telefônico da operadora.

As autoridades sugerem que as empresas do setor incrementem seus protocolos de segurança para casos desse tipo. Aos usuários, a polícia pede agilidade no registro de problemas quanto à perda de sinal, além de atenção maior na distribuição de cartões de visita e no armazenamento de fundos, que devem ser guardados em carteiras desconectadas, impossíveis de serem roubadas pelo método.

Fonte: CNBC

PorWagner Lindemberg

Relatório de Ameaças Virtuais Fortinet – Nenhuma Empresa Está 100% Segura

Das 103.786 vulnerabilidades publicadas na Lista CVE desde o seu início, 5.898 (5.7%) foram exploradas de acordo com a pesquisa do Relatório de Cenário de Ameaças Virtuais da Fortinet. Com mais de 100.000 explorações conhecidas, a maioria das organizações não consegue corrigir vulnerabilidades com agilidade suficiente. Isso indica que os criminosos cibernéticos não estão apenas desenvolvendo novas tecnologias e estratégias para explorar vítimas em potencial, mas também estão se tornando mais seletivo na forma como aproveitam essas explorações, concentrando-se naquelas que gerarão o maior retorno para o investimento.

Tais informações podem ser extremamente valiosas quando se trata de priorizar vulnerabilidades de correção. Se os criminosos não estão explorando a grande maioria das vulnerabilidades, consertar tudo – além de ser impossível – não é a abordagem correta. Em vez disso, é essencial incorporar o conhecimento do que eles estão explorando através de serviços de inteligência contra ameaças. As organizações podem, então, acoplar essas informações sobre ameaças aos Serviços de Classificação de Segurança, que fornecem insights em tempo real sobre a preparação para a segurança em todos os elementos de segurança, para adotar uma abordagem muito mais proativa e estratégica para a correção de vulnerabilidades.

Outros detalhes importantes ​​do relatório deste trimestre incluem:

Praticamente nenhuma empresa é imune a explorações graves: quase nenhuma empresa está imune às tendências de ataque em evolução dos cibercriminosos. O FortiGuard Labs detectou 96% das empresas com pelo menos uma falha grave. Além disso, quase um quarto das empresas viu o malware criptográfico e apenas seis variantes de malware se espalharam para mais de 10% de todas as organizações. O FortiGuard Labs também encontrou 30 novos ataques de dia zero durante o trimestre.

Cryptojacking agora em dispositivos IoT domésticos: os cibercriminosos adicionaram dispositivos IoT ao seu arsenal de ferramentas usadas para mineração de criptomoedas, incluindo dispositivos de mídia domésticos. Eles são um alvo especialmente atraente devido à sua rica fonte de potência computacional, que pode ser usada para fins maliciosos. Outro fator crítico é o fato de que esses dispositivos tendem a estar sempre conectados, permitindo que os invasores realizem a mineração de forma contínua.

As tendências de botnets demonstram criatividade dos cibercriminosos: os cibercriminosos estão maximizando o impacto das botnets, carregando-as com várias ações mal-intencionadas. WICKED, uma nova variante de botnet Mirai, adicionou pelo menos três exploits ao seu kit de ferramentas para melhor direcionar dispositivos de IoT não atualizados. VPNFilter, o avançado ataque patrocinado que tem como alvo os ambientes SCADA / ICS, surgiu como uma ameaça significativa porque não apenas realiza a extração de dados, mas também pode tornar os dispositivos completamente inoperantes, individualmente ou em grupo. A variante Anubis da família Bankbot introduziu várias inovações, incluindo ransomware, keylogger, funções RAT, interceptação de SMS, tela de bloqueio e encaminhamento de chamadas.

Desenvolvedores de malware aproveitam o desenvolvimento ágil: tendências recentes de ataque mostram que os autores de malware estão adotando práticas de desenvolvimento ágeis para tornar seu malware ainda mais difícil de detectar, bem como para combater as táticas mais recentes dos produtos antimalware. O GandCrab teve muitos novos lançamentos este ano e seus desenvolvedores continuam atualizando este malware em um ritmo rápido. Junto com a automação, o desenvolvimento ágil ajuda os autores de malware a lançarem novos ataques altamente evasivos, exigindo que as organizações adotem recursos de proteção e detecção de ameaças cada vez mais avançados para ajudá-los a identificar essas explorações.

Exploração efetiva de vulnerabilidades:Os cibercriminosos escolhem quais vulnerabilidades eles vão explorar. Para isso, eles avaliam as explorações na perspectiva de prevalência e volume de detecções relacionadas; por isso, apenas 5,7% das vulnerabilidades conhecidas foram exploradas sem muitos critérios. Se a grande maioria das vulnerabilidades não for explorada, as organizações devem pensar em adotar uma abordagem estratégica mais proativa para a correção de vulnerabilidades.

Os riscos de segurança continuam a crescer, e entender os riscos que você enfrenta e as táticas que seus inimigos cibernéticos estão usando é essencial para desenvolver e implementar uma estratégia de segurança eficaz e adaptável.

Relatório completo: Download.

Fonte: Fotinet.

PorWagner Lindemberg

PowerGhost: Redes corporativas são alvo de novo minerador de criptomoedas

Especialistas de segurança da Kaspersky Lab identificaram um novo minerador de criptomoedas. Esta descoberta ocorre no momento em que a corrida pelas criptomoedas está crescendo, o que tem provocado um aumento correspondente no número de malwares do tipo cryptojacking (quando o invasor utiliza secretamente outro computador para realizar a mineração das criptomoedas para si próprio). Por isso não é surpresa nenhuma que um novo minerador tenha sido identificado. A bola da vez é um cryptominer que recebeu o apelido de PowerGhost.

Mas o PowerGhost é único por dois motivos:

  1. O foco dele é o ataque em redes corporativas;
  2. É fileless, ou seja, sem arquivo. Isso permite que o minerador possa minerar criptomoedas em servidores e estações de trabalho sem ser notado.

O reinado de terror do PowerGhost acaba de começar, e até o momento, foram relatados ataques na Turquia, Índia, Colômbia e Brasil.

Ações executadas por este minerador de criptomoedas

A primeira etapa é entrar na infraestrutura de computadores da empresa, e por meio da ferramenta Windows Management Instrumentation, tentar acessar as contas dos usuários.

Trabalhando em conjunto com o Mimikatz (uma ferramenta para extração de dados), o PowerGhost obtém as credenciais do usuário, que podem ser utilizadas para efetuar logon no sistema. Após conceder mais privilégios a si mesmo, o malware sequestra o sistema e inicia o processo de mineração.

O minerador tende a ficar mais tempo em um sistema, porque é difícil de ser detectado. Funciona furtivamente ao não baixar nenhum software que possa alarmar a sua presença no sistema. Ele também pode verificar se está sendo executado em um sistema operacional real ou em uma sandbox, permitindo que ele burle as soluções de segurança padrão.

O efeito

Mineradores de criptomoedas executam ações interessantes, como por exemplo utilizar o poder de processamento de seu sistema para assim minerar criptomoedas. Isso resulta em uma drástica redução de desempenho do servidor. Pode ocorrer o superaquecimento de dispositivos, aumentando o desgaste, e consequentemente aumentar os custos para reposição.

Uma versão do PowerGhost possui uma ferramenta para a realização de ataques de negação de serviço distribuído (DDoS).

O que fazer?

O PowerGhost deve ser tratado com um malware, e medidas de segurança precisam ser tomadas. O minerador explora vulnerabilidades antigas, que já foram corrigidas, então certifique-se de ter instalado as atualizações mais recentes em seu sistema operacional. Educar usuários e funcionários sobre os riscos de segurança ajudará a criar um ambiente com mais segurança.

Fonte: Latest Hacking News, Kaspersky, O Analista.