Segundo levantamento da consultoria Roland Berger, o Brasil é o quinto país que mais sofre ataques e deve registrar cerca 9 milhões de ocorrências neste ano. Diante do aumento do risco, o levantamento “Cybersecurity e Governança em Ambientes Híbridos” publicado pelo IDC no primeiro semestre deste ano aponta que 59,7% das empresas da América Latina consideram a cibersegurança uma prioridade estratégica de negócios.
Em meio à possibilidades de assumir enormes prejuízos causados por conta de ataques como os de negação de serviço (DDoS), que sobrecarregam a operação até interrompê-la, de ransomwares, malwares que encriptam arquivos e documentos sensíveis em troca de resgate, ou pelo simples roubo e vazamento de dados, os investimentos são realizados em diferentes níveis e soluções. Entre as alternativas mais demandadas estão o Centro de Operações de Segurança (SOC, na sigla em inglês), e de Gestão de Eventos e de Informações de Segurança.
A prevenção é, realmente, a melhor alternativa para combater os criminosos virtuais. No entanto, não basta contratar as soluções mais modernas do mercado. É preciso entender de fato quais são as vulnerabilidades do sistema e suas necessidades, para adequar a infraestrutura de segurança a um ambiente com a maior segurança possível. A avaliação de segurança, ou security assessment, surge como um primeiro passo essencial nessa tarefa.
O assessment é uma prática consolidada no mercado de tecnologia da informação, especialmente em projetos de transformação digital, para viabilizar a arquitetura necessária para o desenvolvimento do produto desejado. No âmbito da cibersegurança, chegou mais recentemente para desenhar uma arquitetura de segurança robusta, uniforme e evitando “gambiarras” que dificultam a integração de soluções implementadas aos poucos e podem gerar gargalos nas camadas de proteção.
Com o objetivo principal bater uma fotografia do ambiente do cliente no início do trabalho e retornar com as recomendações que vão levar ao ponto de chegada, a avaliação também ajuda a direcionar o que deve ser priorizado para o alcance dos objetivos, muitas vezes normas de segurança a para obtenção de certificações como ISO 27001, PCI-DSS (para empresas de pagamento) e adequação à Lei Geral de Proteção de Dados (LGPD).
Um ambiente seguro exige mais do que tecnologia de ponta e frameworks de segurança, como NIST e o CIS, precisa também trabalhar processos e pessoas. Afinal, não adianta estabelecer normas que não são executadas como está escrito, ou ainda uma boa política de segurança que não é aplicada na prática ou que não chega ao conhecimento de todos os colaboradores. Tampouco adotar ferramentas sem que os times estejam capacitados para utilizá-las.
Uma das portas de entradas do ransomware e outros malwares são simples ações realizadas por funcionários sem o real entendimento do perigo, como o clique em links suspeitos ou conexão de dispositivos USB infectados. O trabalho remoto, hoje uma realidade, também abre brechas para a intercepção de dados e informações dos usuários.
O assessment é realizado para identificar, em uma visão de 360 graus, se os processos estão de fato sendo executados. Dependendo do escopo, também ajuda a criar políticas de segurança e até mesmo programas de conscientização e capacitação dos colaboradores. O objetivo principal é olhar não só para as tecnologias, mas também para a organização, especialmente em um cenário onde os recursos são finitos.
Quando se trata de segurança, o tempo é um bem valioso. O assessment, projeto que dura cerca de duas semanas, contra os dois meses em média de uma assessment padrão, surge como uma alternativa ágil e intensiva para atacar problemas pontuais relacionadas aos vetores de entrada e movimentação lateral, e, assim, conquistar ganhos rápidos.
O custo médio das empresas com remediação de ataques por ransomware mais do que dobraram no último ano, de 760 mil dólares para 1,8 milhão. Portanto, mais do que nunca, a prevenção é o melhor remédio, e o security assessment é a receita para manter sua empresa bem protegida.
Quer saber como manter sua empresa protegida ? Confira : Serviços Gantech
Foi notícia recentemente o vazamento de dados de fretes e registros da rota de cargas da empresa TNT (FedEx), fruto de uma falha que foi explorada originalmente por uma URL de rastreamento de pedido.
Foram expostas as seguintes informações no domínio da TNT Express:
Tipo do Frete
CPF/CNPJ do Remetente, Destinatário e Devedor
Endereço do Remetente, Destinatário e Devedor
Nome Completo do Remetente, Destinatário e Devedor
Número da Nota Fiscal
Data de Envio
Preço da mercadoria
Peso e quantia dos produtos enviados
Informações gerais da entrega (se foi entregue, rotas, pedágios, cancelamento etc)
Print: tecmundo.com.br 29/07/19
Maiores informações sobre o caso, podem ser obtidas aqui
A Gantech é uma empresa nativa em Segurança da Informação, com mais de 12 anos de atuação e experiência no atendimento a empresas de transportes, com clientes expressivos como Celistics, Translovato, JSL entre outros.
No entanto, ainda acompanhamos assustados alguns casos como este, que indicam a falta de visibilidade das vulnerabilidades presentes nos ambientes de dados destas empresas. Roubos de carga, dados de crédito e de informações pessoais são as principais incidências, onde estes ativos estão extremamente vulneráveis e expostos, fruto de quando a gestão em Segurança da Informação é elementar demais, para o alto valor agregado que estes dados carregam.
GhostDNS: Ainda não sabe se o seu roteador foi infectado?
Encontrado em mais de 70 modelos, incluindo marcas como TP-Link, D-Link, Intelbras, Multilaser e Huawei, entre outras, o Ghost DNS já foi responsável pela infecção total de 87 mil dispositivos, sendo a maioria aqui no Brasil.
O GhostDNS realiza um ataque conhecido como DNSchange, porém de uma forma muito mais avançada. De uma forma geral, este golpe tenta adivinhar a senha do roteador na página de configuração web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, etc. Outra maneira é pular a autenticação explorando dnscfg.cgi. Com acesso às configurações do roteador, o malware altera o endereço DNS padrão – que traduz URLs de sites desejáveis, como os de bancos – para IPs de sites mal-intencionados.
Com mais de 100 scripts de ataque, o GhostDNS ainda conta com outros módulos estruturais no GhostDNS, além do DNSChanger. O primeiro é o servidor DNS Rouge, que sequestra os domínios de bancos, serviços na nuvem e outros sites com credenciais interessantes para os criminosos. O segundo é o sistema de phishing na web, que pega os endereços de IP dos domínios roubados e faz a interação com as vítimas por meio de sites falsos.
Fluxograma do ataque promovido pelo GhostDNS a roteadores — Foto: Reprodução/Netlab at 360
Quais modelos foram infectados?
Os roteadores afetados foram infectados por diferentes módulos DNSChanger. No Shell DNSChanger, os seguintes modelos foram identificados:
3COM OCR-812
AP-ROUTER
D-LINK
D-LINK DSL-2640T
D-LINK DSL-2740R
D-LINK DSL-500
D-LINK DSL-500G/DSL-502G
Huawei SmartAX MT880a
Intelbras WRN240-1
Kaiomy Router
MikroTiK Routers
OIWTECH OIW-2415CPE
Ralink Routers
SpeedStream
SpeedTouch
Tenda
TP-LINK TD-W8901G/TD-W8961ND/TD-8816
TP-LINK TD-W8960N
TP-LINK TL-WR740N
TRIZ TZ5500E/VIKING
VIKING/DSLINK 200 U/E
A-Link WL54AP3 / WL54AP2
D-Link DIR-905L
Roteador GWR-120
Secutech RiS Firmware
SMARTGATE
TP-Link TL-WR841N / TL-WR841ND
AirRouter AirOS
Antena PQWS2401
C3-TECH Router
Cisco Router
D-Link DIR-600
D-Link DIR-610
D-Link DIR-615
D-Link DIR-905L
D-Link ShareCenter
Elsys CPE-2n
Fiberhome
Fiberhome AN5506-02-B
Fiberlink 101
GPON ONU
Greatek
GWR 120
Huawei
Intelbras WRN 150
Intelbras WRN 240
Intelbras WRN 300
LINKONE
MikroTik
Multilaser
OIWTECH
PFTP-WR300
QBR-1041 WU
Roteador PNRT150M
Roteador Wireless N 300Mbps
Roteador WRN150
Roteador WRN342
Sapido RB-1830
TECHNIC LAN WAR-54GS
Tenda Wireless-N Broadband Router
Thomson
TP-Link Archer C7
TP-Link TL-WR1043ND
TP-Link TL-WR720N
TP-Link TL-WR740N
TP-Link TL-WR749N
TP-Link TL-WR840N
TP-Link TL-WR841N
TP-Link TL-WR845N
TP-Link TL-WR849N
TP-Link TL-WR941ND
Wive-NG routers firmware
ZXHN H208N
Zyxel VMG3312
Como se proteger?
Imediatamente, mude sua senha de admin no dispositivo, especialmente se você usa password default do fabricante ou considera que sua senha é fraca. Recomenda-se também atualizar o firmware do produto, além de verificar nas configurações se o DNS foi alterado.
XBASH: Servidores Linux e Windows são o alvo desse novo ransomware.
Descoberto pela Unit42 da Palo Alto Networks, equipe de especialistas e laboratório de inteligência contra o cibercrime, o XBASH possui recursos de ransomware e de mineração de moedas, recursos de autopropagação (ex: WannaCry ou Petya / NotPetya), além de recursos ainda não implementados que podem permitir sua rápida propagação dentro da rede de uma organização, exatamente como o WannaCry ou o Petya / NotPetya.
Basicamente, o ransomware se aproveita de senhas fracas e vulnerabilidades não corrigidas.
As organizações podem se proteger contra o Xbash por:
Usando senhas fortes e não padrão;
Mantendo-se atualizado sobre atualizações de segurança;
Implementando a segurança do terminal nos sistemas Microsoft Windows e Linux;
Impedindo o acesso a hosts desconhecidos na Internet (para impedir o acesso a servidores de comando e controle “command and control”);
Implementar e manter processos e procedimentos de backup e restauração rigorosos e eficazes.
Maiores informações podem ser obtidas diretamente no post da Unit42, pelo link: bit.ly/xbash-unit42.
Aumentou para quase 20% o número de roteadores Mikrotik capturados numa botnet formada para a mineração da criptomoeda Monero, recentemente descoberta pela Trustwave. E até este domingo (05/08), o número de roteadores Mikrotik a serviço da botnet no mundo inteiro subiu de 72.187 para 85.499, ou seja, 92 dispositivos por hora.
Curiosamente, a maior parte dos dispositivos contaminados está instalada no Brasil, com um total de 81.140 hoje contra 71.011 no dia 31/07, data da descoberta. Um dos roteadores capturados atende o servidor web de um hospital, cuja identidade não foi revelada pelo pesquisador da Trustwave.
Em detalhes: A botnet está contaminada com o malware Coinhive, responsável pela escravização de dispositivos, visando utilizá-los na mineração da criptomoeda Monero. Até este último update, ainda não se sabe quem está por trás desta botnet. A única certeza, é que ela tem o objetivo de favorecer esta atividade de mineração, que consome recursos de computação e também energia elétrica.
A lógica dos criminosos, é de que quanto mais máquinas fazendo mineração, maiores as probabilidades de lucro para quem controla a rede.
Conheça quais são os dez tipos de phishing mais comuns e entenda porque eles nunca saem de moda.
O phishing é e continuará sendo um dos principais vetores de ataque para roubo e sequestro de dados. Isso se deve porque sua estratégia de criação é rápida e permite não só o emprego de técnicas sofisticadas de cibercrime, como também pode “surfar” na onda de eventos políticos, sociais e etc.
Empresas e usuários estão cada vez mais na mira dos atacantes. E para as organizações, é necessário acompanhar a evolução das tecnologias de proteção contra o cibercrime. Já os usuários, devem ficar atentos pois qualquer descuido, pode ser crucial para o sucesso destes criminosos. Conheça abaixo os dez tipos de phishing mais comuns:
Falsos e-mails ou mensagens
O tipo mais comum. Quer um exemplo prático? O usuário recebe uma mensagem dizendo que seus dados precisam ser atualizados, pois a conta bancária pode ser desativada, e muitas pessoas acabam caindo pois os hackers enviam e-mails que parecem ser de empresas reais, como bancos. Sua ação principal é fazer com que o usuário clique em um link, este que leva a um endereço fraudulento. Veja abaixo um tipo de golpe aplicado pelo WhatsApp.
Foto: Thássius Veloso/TechTudo.
Phishing do Dropbox
Possui uma conta no Dropbox? Preste atenção pois seu armazenamento de arquivos importantes e particulares por lá pode ser comprometido, pois os criminosos usam falsos endereços que parecem vir do serviço de storage, que o levará a fazer login em um site fraudulento.
Ataque aos arquivos do Google Docs
Não só usuários comuns, mas também empresas passaram a armazenar documentos importantes no Google Drive. E isso tem feito com que os cibercriminosos também mirem esta plataforma.
O plano é basicamente o mesmo do phishing do Dropbox: um falso e-mail que parece ser da equipe do Google pede para que o usuário clique em um link falso.
Empresa grande? O prêmio e o peixe são ainda maiores!
Quando o assunto é atingir corporações, os criminosos visam atacar com phishing primeiro aqueles que ocupam os cargos mais altos. E quando conseguem ter acesso a esses e-mails, logo várias mensagens são espalhadas, solicitando arquivos importantes aos colaboradores, que respondem prontamente aos seus superiores. E em questão de minutos, boom!! Os atacantes já conseguiram acessar informações confidenciais da empresa, e além do roubo de dados, podem acontecer perdas financeiras.
Phishing por ransomware
O ransomware está em alta, e com forte tendência em se consolidar como um dos mais poderosos vetores de ataque atualmente. Com variantes muito mais danosas que o trivial “sequestro” de dados, alguns atacantes podem até destruir remotamente partes da infraestrutura, caso o cliente se negue a pagar o resgate.
No ransomware, o usuário também recebe um link fraudulento mas, em vez de ser redirecionado a um site falso, ele acaba instalando um malware no computador. O objetivo não é exatamente roubar apenas as informações, mas também tornar todos os dispositivos infectados, indisponíveis para uso. E para ter acesso a todos seus arquivos novamente, é preciso pagar por um resgate aos criminosos.
Confira um divertido vídeo sobre ransomware, com oferecimento de nosso parceiro WatchGuard:
Pharming
Uma variante muito perigosa de phishing, pois ele ataca o servidor DNS, principalmente de empresas. O ataque pode ser ou com a instalação de um cavalo de troia em algum computador host ou diretamente na rede. A partir daí, qualquer endereço de site, mesmo que pareça confiável, pode levar a páginas fraudulentas sem que o usuário desconfie. Assim, os hackers conseguem coletar informações de várias pessoas ao mesmo tempo.
Bitcoins
Com as criptomoedas em alta, os cibercriminosos logo perceberam que seria um interessante meio de aplicação de golpes por phishing. Os hackers têm utilizado truques como sites disfarçados de serviços de câmbio ou e-mails com oportunidade de compra que são tentadoras, mas totalmente falsas.
Spear Phishing
Esse tipo de golpe visa atingir um número menor de pessoas, mas a chance de sucesso termina sendo maior. São enviadas a poucas pessoas mensagens personalizadas, com informações bem convincentes, como nome, sobrenome e outros dados, que levam o usuário a acreditar que está recebendo um e-mail legítimo de alguém familiar. Os golpistas podem até falsificar endereços de sites conhecidos, o que dificulta perceber que está se caindo em um golpe.
Smishing SMS
O alvo aqui são exclusivamente os celulares. O smishing é um tipo de phishing que chega por mensagens de texto supostamente enviadas por empresas conhecidas que oferecem prêmios que não existem. Como das outras formas de golpe, a pessoa clica em algum link malicioso e é induzida a digitar dados pessoais, incluindo número do cartão de crédito.
“Vishing” ou Voice Phishing?
Aqui, mais uma vez, o telefone, móvel ou fixo, é a forma usada para atacar as vítimas, Os criminosos criam uma mensagem automática e fazem repetidas ligações para vários números diferentes. Mais uma vez, sob o pretexto de serem empresas (e principalmente bancos), persuadem as pessoas a digitarem ou informarem dados pessoais.