Vulnerabilidades MikroTik – Atualizações

Vulnerabilidades MikroTik – Atualizações

ATUALIZAÇÃO: Vulnerabilidades MikroTik.

 

Aumentou para quase 20% o número de roteadores Mikrotik capturados numa botnet formada para a mineração da criptomoeda Monero, recentemente descoberta pela Trustwave. E até este domingo (05/08), o número de roteadores Mikrotik a serviço da botnet no mundo inteiro subiu de 72.187 para 85.499, ou seja, 92 dispositivos por hora.

Curiosamente, a maior parte dos dispositivos contaminados está instalada no Brasil, com um total de 81.140 hoje contra 71.011 no dia 31/07, data da descoberta. Um dos roteadores capturados atende o servidor web de um hospital, cuja identidade não foi revelada pelo pesquisador da Trustwave.

Em detalhes: A botnet está contaminada com o malware Coinhive, responsável pela escravização de dispositivos, visando utilizá-los na mineração da criptomoeda Monero. Até este último update, ainda não se sabe quem está por trás desta botnet. A única certeza, é que ela tem o objetivo de favorecer esta atividade de mineração, que consome recursos de computação e também energia elétrica.

A lógica dos criminosos, é de que quanto mais máquinas fazendo mineração, maiores as probabilidades de lucro para quem controla a rede.



Cadastre-se em nossa Newsletter

Você sabe quais são os dez tipos de phishing mais comuns?

Você sabe quais são os dez tipos de phishing mais comuns?

Conheça quais são os dez tipos de phishing mais comuns e entenda porque eles nunca saem de moda.

 

O phishing é e continuará sendo um dos principais vetores de ataque para roubo e sequestro de dados. Isso se deve porque sua estratégia de criação é rápida e permite não só o emprego de técnicas sofisticadas de cibercrime, como também pode “surfar” na onda de eventos políticos, sociais e etc.

Empresas e usuários estão cada vez mais na mira dos atacantes. E para as organizações, é necessário acompanhar a evolução das tecnologias de proteção contra o cibercrime. Já os usuários, devem ficar atentos pois qualquer descuido, pode ser crucial para o sucesso destes criminosos. Conheça abaixo os dez tipos de phishing mais comuns:

Falsos e-mails ou mensagens

O tipo mais comum. Quer um exemplo prático? O usuário recebe uma mensagem dizendo que seus dados precisam ser atualizados, pois a conta bancária pode ser desativada, e muitas pessoas acabam caindo pois os hackers enviam e-mails que parecem ser de empresas reais, como bancos. Sua ação principal é fazer com que o usuário clique em um link, este que leva a um endereço fraudulento. Veja abaixo um tipo de golpe aplicado pelo WhatsApp.

Foto: Thássius Veloso/TechTudo.

Phishing do Dropbox

Possui uma conta no Dropbox? Preste atenção pois seu armazenamento de arquivos importantes e particulares por lá pode ser comprometido, pois os criminosos usam falsos endereços que parecem vir do serviço de storage, que o levará a fazer login em um site fraudulento.

Ataque aos arquivos do Google Docs

Não só usuários comuns, mas também empresas passaram a armazenar documentos importantes no Google Drive. E isso tem feito com que os cibercriminosos também mirem esta plataforma.
O plano é basicamente o mesmo do phishing do Dropbox: um falso e-mail que parece ser da equipe do Google pede para que o usuário clique em um link falso.

Empresa grande? O prêmio e o peixe são ainda maiores!

Quando o assunto é atingir corporações, os criminosos visam atacar com phishing primeiro aqueles que ocupam os cargos mais altos. E quando conseguem ter acesso a esses e-mails, logo várias mensagens são espalhadas, solicitando arquivos importantes aos colaboradores, que respondem prontamente aos seus superiores. E em questão de minutos, boom!! Os atacantes já conseguiram acessar informações confidenciais da empresa, e além do roubo de dados, podem acontecer perdas financeiras.

Phishing por ransomware

O ransomware está em alta, e com forte tendência em se consolidar como um dos mais poderosos vetores de ataque atualmente. Com variantes muito mais danosas que o trivial “sequestro” de dados, alguns atacantes podem até destruir remotamente partes da infraestrutura, caso o cliente se negue a pagar o resgate.

No ransomware, o usuário também recebe um link fraudulento mas, em vez de ser redirecionado a um site falso, ele acaba instalando um malware no computador. O objetivo não é exatamente roubar apenas as informações, mas também tornar todos os dispositivos  infectados, indisponíveis para uso. E para ter acesso a todos seus arquivos novamente, é preciso pagar por um resgate aos criminosos.

Confira um divertido vídeo sobre ransomware, com oferecimento de nosso parceiro WatchGuard:

 

Pharming

Uma variante muito perigosa de phishing, pois ele ataca o servidor DNS, principalmente de empresas. O ataque pode ser ou com a instalação de um cavalo de troia em algum computador host ou diretamente na rede. A partir daí, qualquer endereço de site, mesmo que pareça confiável, pode levar a páginas fraudulentas sem que o usuário desconfie. Assim, os hackers conseguem coletar informações de várias pessoas ao mesmo tempo.

 

Bitcoins

Com as criptomoedas em alta, os cibercriminosos logo perceberam que seria um interessante meio de aplicação de golpes por phishing. Os hackers têm utilizado truques como sites disfarçados de serviços de câmbio ou e-mails com oportunidade de compra que são tentadoras, mas totalmente falsas.

Spear Phishing

Esse tipo de golpe visa atingir um número menor de pessoas, mas a chance de sucesso termina sendo maior. São enviadas a poucas pessoas mensagens personalizadas, com informações bem convincentes, como nome, sobrenome e outros dados, que levam o usuário a acreditar que está recebendo um e-mail legítimo de alguém familiar. Os golpistas podem até falsificar endereços de sites conhecidos, o que dificulta perceber que está se caindo em um golpe.

Smishing SMS

O alvo aqui são exclusivamente os celulares. O smishing é um tipo de phishing que chega por mensagens de texto supostamente enviadas por empresas conhecidas que oferecem prêmios que não existem. Como das outras formas de golpe, a pessoa clica em algum link malicioso e é induzida a digitar dados pessoais, incluindo número do cartão de crédito.

“Vishing” ou Voice Phishing?

Aqui, mais uma vez, o telefone, móvel ou fixo, é a forma usada para atacar as vítimas, Os criminosos criam uma mensagem automática e fazem repetidas ligações para vários números diferentes. Mais uma vez, sob o pretexto de serem empresas (e principalmente bancos), persuadem as pessoas a digitarem ou informarem dados pessoais.

Fonte: techtudo.


Cadastre-se em nossa Newsletter

VPNFilter – Atualizações e comunicados do Ministério Público.

VPNFilter – Atualizações e comunicados do Ministério Público.

Em comunicado, Ministério Público reforça pedido para que todos brasileiros reiniciem os seus roteadores.

 

Há oito meses, o Ministério Público do Distrito Federal e Territórios (MPDFT), em parceria com a Polícia Civil do Distrito Federal (PCDF), vem investigando fraudes cometidas com o uso de roteadores infectados.

Em comunicado, o departamento de comunicação do MPDFT, informa.

A Comissão de Proteção dos Dados Pessoais do Ministério Público do DF e Territórios (MPDFT) alerta que os roteadores domésticos e de home office estão sob risco de infecção pelo malware VPNFilter. Para ajudar a combater o vírus, todos os proprietários brasileiros devem reiniciar os aparelhos para interromper temporariamente o vírus e ajudar na identificação potencial de roteadores infectados.

O MPDFT recomenda, ainda, a desativação das configurações de gerenciamento remoto e o uso de senhas fortes. Também é importante atualizar o software (firmware) do roteador. Os aparelhos infectados podem coletar dados pessoais, bloquear o tráfego de internet e direcionar os usuários para sites falsos de instituições bancárias e de e-commerce. O objetivo é cometer fraudes.”

Acesse aqui maiores informações sobre o procedimento de investigação criminal do MPDFT.

Fonte: Ministério Público do Distrito Federal e Territórios.


Cadastre-se em nossa Newsletter

VPNFilter – A propagação de malware que afetou milhares de usuários. Entenda.

VPNFilter – A propagação de malware que afetou milhares de usuários. Entenda.

Polícia federal dos EUA diz que hackers comprometeram 500 mil aparelhos em 54 países, e pede que dispositivos sejam resetados para interromper o malware e ajudar na identificação de aparelhos infectados.

 

O FBI, a polícia federal americana, emitiu um alerta informando que hackers estrangeiros propagaram um malware capaz de comprometer “centenas de milhares de roteadores de casas e escritórios”. Nomeado VNPFilter, este malware tem impacto significativo e é capaz de recolher informações que passam pelos roteadores além de torná-los inoperantes.

“O FBI recomenda a qualquer proprietário de roteadores em escritórios pequenos e casas devem resetar seus aparelhos para interromper temporariamente um malware e ajudar com a possível identificação de dispositivos infectados”, disse a agência em um comunicado oficial e também na conta do Twitter.

Post no Twitter – FBI

O VPNFilter é um malware modular altamente sofisticado que usa vários estágios para ganhar persistência, se comunicar com servidores C2 e baixar módulos adicionais de malware especializados. O primeiro estágio do malware difere da mesa categoria, típica de IoT, pois ele pode ganhar persistência no dispositivo afetado, o que significa que o dispositivo continua infectado por meio de uma reinicialização. Depois de ganhar uma posição segura, o primeiro estágio tenta localizar e baixar o segundo estágio do malware por meio de métodos redundantes, incluindo endereços IP ocultos em imagens do Photobucket e um domínio codificado. Se todos os métodos de download ativos falharem, o malware detectará um pacote de rede especial contendo mais instruções.

Entre os dispositivos afetados pelo VPNFilter, encontram-se os equipamentos dos fabricantes Linksys, MikroTik, NETGEAR e TP-Lynk.

Apenas relembrando, malwares são softwares maliciosos programados para se infiltrar em um computador alheio de forma ilícita. Vale a pena ficar atento a qualquer comportamento anormal de conexão, assim como aos links acessados em navegadores e clientes de e-mail.

Fonte: Secplicity e G1.


Cadastre-se em nossa Newsletter

Até 2020, qual o futuro do mercado de soluções CASB?

Até 2020, qual o futuro do mercado de soluções CASB?

O mercado de soluções CASB está repleto de fornecedores, sendo que alguns executam bem todas as principais funções requeridas, enquanto outros optam por se concentrar em apenas algumas. Vejamos mais sobre este mercado e como ele se comportará num futuro próximo.

 

Primeiramente, você sabe o que é CASB?

O Gartner define o mercado de Cloud Access Security Broker (CASB) como produtos e serviços que fornecem visibilidade do uso geral de aplicativos em nuvem, proteção de dados e governança para aplicativos de nuvem sancionados por empresas. Essa tecnologia é o resultado da necessidade de garantir a adoção significativa de serviços em nuvem e o acesso a eles de usuários dentro e fora do perímetro seguro da empresa.O CASB fornece recursos que são diferenciados e geralmente não estão disponíveis em outros controles de segurança, como firewalls de aplicativos da Web (WAFs), gateways da Web seguros (SWGs) e firewalls corporativos. A filosofia de design do CASB reconhece que, para serviços em nuvem, o alvo de proteção é diferente: os dados são seus, mas processados ​​e armazenados em sistemas que você não possui. Os CASBs fornecem uma política e governança consistentes ao mesmo tempo em vários serviços de nuvem, para usuários e dispositivos, além de visibilidade e controle detalhados das atividades do usuário e dos dados confidenciais.

Os CASBs regem principalmente aplicativos corporativos de back-office de SaaS, como plataformas de colaboração de conteúdo (CCPs), CRM, RH, ERP, service desk e aplicativos de produtividade (ex: Salesforce, Microsoft Office 365 e Google G Suite) usados ​​por todas as verticais de negócio. Os CASBs fornecem um ponto de controle consistente e conveniente sobre a atividade do usuário e os dados do usuário em um conjunto crescente de SaaS e outros aplicativos baseados em nuvem. Eles apoiam cada vez mais o controle do uso de redes sociais corporativas e podem impor controle adicional sobre os consoles para ofertas populares de infraestrutura como serviço (IaaS), como Amazon Web Services (AWS) e Microsoft Azure. Alguns fornecedores fornecem a capacidade de estender os recursos de segurança de dados e proteção contra ameaças a aplicativos personalizados em nuvens de IaaS e de plataforma como serviço (PaaS).

 

Os quatro pilares do CASB

Como principais funções requeridas, o mercado de CASB determina que as soluções possuam como entregáveis os seguintes atributos:
  • Visibilidade. Os CASBs fornecem uma visão consolidada do uso do serviço de nuvem de uma organização e os usuários que acessam dados de qualquer dispositivo ou local. 
  • Segurança de dados. Os CASBs fornecem a capacidade de aplicar políticas de segurança centradas em dados para impedir atividades indesejadas com base na classificação, na descoberta de dados e no monitoramento das atividades do usuário quanto ao acesso destas informações confidenciais ou escalonamento de privilégios. 
  • Proteção contra ameaças. Os CASBs impedem que dispositivos, usuários e versões de aplicativos indesejados acessem os serviços de nuvem, fornecendo controles de acesso adaptáveis. 
  • Conformidade. Os mandatos de conformidade, seja da legislação do governo, regras de agências externas ou requisitos internos de conformidade, não desaparecem quando se muda para a nuvem (mesmo que uma quantidade razoável de dívida técnica no local).

 

O futuro do mercado de CASB

Até 2020, 60% das grandes empresas usarão um CASB para administrar serviços em nuvem, contra cerca de 10% do que se registra hoje. Uma outra estimativa é de que até 2020, pelo menos 99% das falhas de segurança na nuvem serão culpa do cliente.

Em busca de uma solução de CASB eficiente?

Uma pergunta comum de muitos clientes do Gartner é qual arquitetura técnica é melhor: somente API, somente proxy ou multi-modo. Não existe resposta única para essa pergunta, pois a seleção de produtos deve ser orientada por casos de uso, não por arquitetura técnica.
E com base nesta visão consultiva do Gartner, podemos formular outra pergunta tão importante quanto.

Porque não considerar uma solução CASB completa e com mais potencial do que seus concorrentes?

A arquitetura de proxy multi-protocolo Bitglass com o CASB Zero-Day assegura a proteção contra riscos conhecidos e desconhecidos de vazamento de dados e ameaças de malware, em aplicativos gerenciados e não gerenciados, bem como em dispositivos gerenciados e não gerenciados.

Reforçando a prevenção de vazamento de dados, seus mecanismos de controle de acesso e DLP são combinados com várias ações de correção que permitem estender o acesso a dados confidenciais, sem abrir mão da visibilidade e do controle. As ações de correção incluem quarentena, somente visualização, redigir, DRM, criptografar, rastrear / marca d’água e muito mais.

Conheça mais sobre a BitGlass. Aproveite também para ler a análise completa do mercado de CASB feita pelo Gartner.

 

Fonte: Gartner/BitGlass

 


Cadastre-se em nossa Newsletter

Qwerty Ransomware: O vilão é o acesso remoto?

Qwerty Ransomware: O vilão é o acesso remoto?

Novo ransomware Qwerty usa GnuPG para criptografar os arquivos do usuário

Descoberto originalmente pelo MalwareHunterTeam, ele é instalado manualmente pelo atacante quando via acesso remoto ao computador da vítima, pelo serviço Remote Desktop Services.

A técnica de sequestro do Qwerty, se baseia em utilizar o programa GnuPG para criptografar os arquivos do usuário no computador infectado. O GnuPG é um programa legítimo que está sendo usado ilegalmente pelo ransomware Qwerty. E o fato do Qwerty usar este programa não é bem uma novidade, pois ele já foi usado anteriormente por ransomwares como o VaultCrypt e KeyBTC.

Composto por diversos arquivos individuais,os quais para criptografar os arquivos no computador são executados simultaneamente, incluem-se o executável gpg.exe, o executável shred.exe, o arquivo de lote key.bat que gera as chaves, o arquivo run.js e o arquivo find.exe:

 

E na prática, como ele age?

O primeiro arquivo executado é o key.bat. Ele age executando vários comandos de forma sequencial para o ransomware. Quando o key.bat é executado, as chaves serão importadas.

Depois que as chaves forem importadas, o key.bat executará o arquivo run.js. Este arquivo por sua vez executará o find.exe, que é o principal componente do ransomware Qwerty.

O find.exe especificará a letra do drive que será criptografado e executará os seguintes comandos:

taskkill /F /IM sql /T
taskkill /F /IM chrome.exe /T
taskkill /F /IM ie.exe /T
taskkill /F /IM firefox.exe /T
taskkill /F /IM opera.exe /T
taskkill /F /IM safari.exe /T
taskkill /F /IM taskmgr.exe /T
taskkill /F /IM 1c /T
vssadmin.exe delete shadows /all /quiet
wmic shadowcopy delete
bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe bcdedit /set {default} recoveryenabled no
wbadmin.exe wbadmin delete catalog -quiet
del /Q /F /S %s$recycle.bin

Em seguida ele começará o processo de criptografia de cada drive detectado com o comando abaixo:

gpg.exe –recipient qwerty -o “%s%s.%d.qwerty” –encrypt “%s%s”

Os arquivos criptografados receberão a extensão .qwerty depois que o processo todo for concluído. Por exemplo, uma imagem teste.jpg ficará com a extensão teste.jpg.qwerty.

Depois que os arquivos forem criptografados, o shred.exe será executado para sobrescrever os originais:

shred -f -u -n 1 “%s%s”

É importante destacar que os arquivos só são sobrescritos uma única vez, o que torna possível recuperá-los usando um software especializado em recuperação de arquivos.

O pedido de resgate do ransomware Qwerty no arquivo README_DECRYPT.txt contém instruções para que a vítima entre em contato através do email cryz1@protonmail.com para receber as informações de pagamento.

No momento não existe uma ferramenta para ajudar o usuário a desbloquear os arquivos sem pagar o resgate.

 

Fonte: Bleeping Computer

 


Cadastre-se em nossa Newsletter