#MulheresHacker: Orgulhosos de todos vocês

Telefónica Tech    29 noviembre, 2021

A campanha #MulheresHacker 2021 está chegando ao fim. Ao longo deste ano, acompanhamos a vida de nossas mulheres, desde sua infância até sua maturidade, incluindo a vida escolar e universitária. Exemplos de mulheres lutadoras, apaixonadas e especialistas em tecnologia que, todos os dias, se tornam verdadeiras referências para crianças e jovens.

Obrigado a todos vocês por tornar esta iniciativa global uma realidade, que visa tornar o papel da mulher no setor de tecnologia mais visível e aumentar a conscientização entre nossas meninas sobre seu potencial para estudar carreiras na STEM.

Pressione PLAY e não perca o último vídeo 👇

Boletim semanal de cibersegurança 20-26 novembro

Telefónica Tech    26 noviembre, 2021

Reacharound: Possível ressurgimento da ameaça tripla TrickBot – Emotet – Ransomware

Em  janeiro passado, graças a uma ação internacional coordenada pela Europol e eurojust, o desmantelamento da    infraestrutura  da Emotet, malware amplamente utilizado nos  estágios iniciais da cadeia de infecção por ransomware.  Esses fatos contribuíram, de acordo com os pesquisadores de segurança, para o desligamento de várias operações  de ransomware de alto nível (RaaS).No entanto, desde a semana passada, houve relatos sobre o ressurgimento dessa ameaça por pesquisadores como GData ou AdvIntel, que apontaram que os operadores do ransomware Conti teriam convencido o ex-operador da Emotet para a reconstrução de sua infraestrutura.  Essas ações teriam ocorrido através de uma campanha que teria sido chamada de «Reacharound», que é caracterizada pela infecção de dispositivos com TrickBot, que incluiu uma carga Emotet. Pesquisadores da AdvIntel estimam que o retorno dessa ameaça terá um  impacto significativo nas operações de ransomware devido a três razões: a alta sofisticação das capacidades  da Emotet,   a promoção do conhecido crime as-a-service nesta área e o retorno da clássica ameaça tripla composta pela TrickBot-  Emotet-Ransomware

PoC publicado para uma vulnerabilidade no Microsoft Exchange

O pesquisador de segurança @testanull, publicou uma prova de conceito de trabalho (PoC) para a vulnerabilidade identificada como CVE-2021-4231 e CVSS de 8,8, que estaria afetando o Microsoft Exchange, que foi corrigido pela Microsoft no último Boletim de Segurança de Novembro. Diz-se que a vulnerabilidade afeta os serviços do Exchange Server 2016 e 2019 no local e pode permitir que um invasor autenticado execute código arbitrário remotamente. A Microsoft informa que detectou atividades relacionadas à exploração dessa vulnerabilidade ocasionalmente em ataques direcionados, por isso recomendam sua correção. Deve-se notar que esta não seria a primeira vez em 2021 que vulnerabilidades no serviço Microsoft Exchange foram exploradas para realizar ataques, já que as tentativas de explorar o ProxyLogon e  o ProxyShell  são bem conhecidas. Recomenda-se fazer uso do programa de diagnóstico Exchange para verificar o possível envolvimento dessas vulnerabilidades.

Novo 0-day no Windows com exploração pública

O pesquisador de segurança Abdelhamid Naceri tornou pública uma exploração para uma vulnerabilidade 0-day no Windows que permitiria que um invasor ganhasse privilégios de administrador e que afeta todas as versões do sistema operacional, incluindo Windows 10, Windows 11 e Windows Server 2022. Naceri conseguiu contornar o patch que a Microsoft incluiu em seu boletim mensal de novembro para uma escalada de vulnerabilidade de privilégio no Windows Installer (CVE-2021-41379), uma vulnerabilidade que ele relatou à Microsoft. Após essa nova descoberta, ele foi capaz de identificar um novo 0-day para o qual o pesquisador decidiu agora publicar a exploração (InstallerFileTakeOver) em sua conta gitHub. Com a publicação dessa exploração, Naceri pretende unir o sentimento de descontentamento já demonstrado por outros pesquisadores com a Microsoft, pois o que eles afirmam ser uma degradação contínua das recompensas que são relatadas à empresa. Espera-se que a Microsoft lance um patch de correção para o novo bug em seu próximo boletim. O pesquisador recomenda esperar pela correção oficial dada a complexidade da vulnerabilidade. Os pesquisadores de segurança da Cisco Talos  já detectaram amostras de malware que estão tentando explorar o novo 0-day. Pesquisadores indicaram que as tentativas de exploração observadas fazem parte de ataques de baixo volume, de modo que poderiam ser testes para  fazer ajustes  nos exploits e, portanto, podem ser entendidos como um possível passo preliminar antes de campanhas de maior escala.

Falha de segurança no GoDaddy

O registrador de domínios GoDaddy tornou público um incidente de segurança detectado em 17 de novembro deste ano, no qual um terceiro não autorizado supostamente teve acesso ao ambiente de hospedagem gerenciado WordPress da empresa através de uma senha comprometida. A investigação, que ainda está em andamento, determina que o invasor teve acesso às informações dos clientes a partir do dia 6 de setembro deste ano até o momento de sua detecção, que foi bloqueada e expulsa do sistema. Entre as informações expostas estão o endereço de e-mail e o número de clientes de 1,2 milhão de usuários ativos e inativos gerenciados do WordPress, a senha do administrador do WordPress definida no momento do provisionamento, nomes de usuário sFTP , banco de dados, senhas de usuários ativos e a chave privada dos certificados SSL para determinados usuários ativos. A empresa está entrando em contato com clientes afetados por essa falha de segurança. Vale ressaltar que  a GoDaddy sofreu uma violação de dados em maio do ano passado.

O registrador de domínios GoDaddy tornou público um incidente de segurança detectado em 17 de novembro deste ano, no qual um terceiro não autorizado supostamente teve acesso ao ambiente de hospedagem gerenciado WordPress da empresa através de uma senha comprometida. A investigação, que ainda está em andamento, determina que o invasor teve acesso às informações dos clientes a partir do dia 6 de setembro deste ano até o momento de sua detecção, que foi bloqueada e expulsa do sistema. Entre as informações expostas estão o endereço de e-mail e o número de clientes de 1,2 milhão de usuários ativos e inativos gerenciados do WordPress, a senha do administrador do WordPress definida no momento do provisionamento, nomes de usuário sFTP , banco de dados, senhas de usuários ativos e a chave privada dos certificados SSL para determinados usuários ativos. A empresa está entrando em contato com clientes afetados por essa falha de segurança. Vale ressaltar que  a GoDaddy sofreu uma violação de dados em maio do ano passado.

Vulnerabilidades no MediaTek permitem espionar dispositivos Android

A empresa de semicondutores MediaTek corrigiu várias falhas de segurança que poderiam ter permitido que os invasores escutassem chamadas telefônicas de dispositivos Android, executassem comandos ou aumentassem privilégios. Os SoCs (System on a chip) da MediaTek estão incorporados em cerca de 37% dos smartphones e dispositivos IoT do mundo, incluindo dispositivos de marcas como Xiaomi, Realme e Vivo, entre outros. Três dessas vulnerabilidades (CVE-2021-0661,  CVE-2021-0662  e  CVE-2021-0663) são devido à verificação incorreta de limites e foram corrigidas no boletim de segurança da MediaTek em outubro passado, todas com CVSS de 6,7. A quarta vulnerabilidade é atribuída ao identificador CVE-2021-0673, mas ainda não foi corrigida. A empresa publicará mais detalhes sobre a falha, bem como sua correção, no próximo boletim de segurança a ser publicado em dezembro.

Os riscos na falta de controle de inventário

Luca Conde Ottoni    24 noviembre, 2021

Eu comecei na área de segurança da informação aos 12 anos, hackeando jogos para me tornar o player mais poderoso online. Naquela época, eu não tinha ideia que um dia me tornaria um profissional de segurança ofensiva e, muito menos, que seria chamado para montar e liderar um ‘Dream Team’ numa multinacional como a Telefónica Tech. Hacking, era antes de tudo, um estilo de vida. De lá para cá, das muitas lições que aprendi é que nem sempre nas coisas mais complexas, na exploração de falhas mais complicadas, é que se encontram os tesouros mais preciosos. E ao decorrer da minha carreira isso se concretizou consecutivamente.  

  Algumas verdades são inegáveis – A Segurança é inversamente proporcional à praticidade, pelo menos um ataque cibernético acontece a cada 39 segundos e a falha mais simples pode desencadear o fim de um Império. Um problema recorrente que percebo em várias empresas que testei se resume a uma falha de levantamento de inventário de aplicações e se elas estão ou não divulgando serviços da rede interna de sua empresa.  

Uma atividade comum nas nossas abordagens de Red Team Testing é a modelagem de ameaças, ou seja, mapear todo o cenário de uma empresa e ver o grau de impacto que um atacante verdadeiro conseguiria causar. É neste ponto que esbarramos com as falhas de controle de inventário de aplicações. Como uma empresa vai gerenciar suas aplicações? Além disso, como patchs de segurança serão aplicados, se existem esses pontos cegos? 

 O cenário vai se tornando mais crítico quando essa mesma aplicação, que não está protegida pelo patch de segurança mais atual, divulga concomitantemente serviços internos e externos. Ela se torna um dos nossos principais alvos, e não é uma prática incomum que as equipes de Red Team estejam focadas nesse alvo. Mesmo não encontrando nenhuma vulnerabilidade crítica inicialmente, façam o download da aplicação, e pesquisem internamente, para, assim, encontrarem seus próprios Zero Days e posteriormente comprometerem a empresa alvo. 

 Saindo um pouco da ótica técnica e indo para um nível estratégico, esbarramos em problemas de políticas de segurança da informação que estão sendo desrespeitadas. Existem os problemas de conformidade com a IS027001, LGPD, GDPR que demandam levantamento de inventário e o risco da perda de credibilidade com seus clientes – O monstro que todos querem evitar. 

  A nossa recomendação é um levantamento de inventário completo, mapeando aplicações que devem ou não estar voltadas para fora, acompanhado por um gerenciamento contínuo de aplicação de patchs. Para mais informações ou dúvidas sobre como lidar com este problema entre em contato com a equipe da Telefónica Tech.  

Uma aplicação divulgando um serviço interno pode não disparar grandes alertas, para os mais leigos. Porém, é um alvo fácil para um profissional de elite. 

  

Deja un comentario en Os riscos na falta de controle de inventário
Luca Conde Ottoni
Luca Conde Ottoni

Especialista em Segurança da Informação: Profissional reconhecido internacionalmente com 10 CVE’s registrados no seu nome. Que já atuou com o Governo do Rio de Janeiro, como consultor para o PRODERJ e Especialista de Segurança da Informação no GSI(Gabinete de Segurança Institucional). Tendo passado desde multinacionais como a Húngara JobCTRL até a Stone Pagamentos sempre trazendo o mundo do hacking para o meio corporativo.

O papel do Threat Hunting como um acelerador na resposta a incidentes de ransomware

Íñigo Echavarri    22 noviembre, 2021

Seguindo na esteira dos artigos desenvolvidos para lançar luz sobre a resposta aos incidentes que são realizados em nosso grupo, parece claro que as ações necessárias para a implantação de um ransomware com o máximo impacto desejado pelo atacante requerem diferentes fases e diferentes estados. de compromisso.

Essas fases começam com um primeiro comprometimento de um ativo da organização, do qual o adversário aproveita habilmente para ganhar poder sobre a infraestrutura e terminam implantando o dispositivo final encarregado de criptografar e deixar as notas de resgate.

Normalmente, a missão de um «Caçador de Ameaças» é focar na localização das fases anteriores que os adversários realizam (e quanto mais cedo essa fase for detectada, melhor) para poder resolver e / ou mitigar o incidente produzido com um impacto nulo ou muito minimizado. em relação ao que é um incidente de ransomware.

Então, como o Threat Hunting pode agregar valor quando o incidente já foi concluído?

Um catalisador na resposta

Um Threat Hunter é um analista especializado em investigar várias fontes de informações da infraestrutura da organização para extrair dados sobre ameaças. Essas ameaças são detectadas nas diferentes anomalias que um adversário causa na operação normal dos diferentes ativos. Anomalias que o «Threat Hunter» conhece e sabe detectar nas informações fornecidas por ferramentas como EDR, XDR, SIEM, UEBA, etc., que fornecem o contexto necessário para diferenciar o que é operação normal do que não é.

Se esse mesmo processo for adaptado para a resposta a um incidente, temos como resultado um fluxo de informações realimentado pelo compartilhamento das descobertas entre as diferentes funções. O que um forense pode ser investigado pelo Threat Hunter para ver no EDR ou SIEM como ele alcançou aquela máquina, de onde e em quantas outras máquinas ele foi visto. Dar, por sua vez, novas informações ao forense (feedback) sobre o curso do incidente, permitindo acelerar as diferentes linhas de investigação (e ajustar melhor a contenção, em muitos casos).

Ao repetir essas investigações com os dados obtidos pela equipe de Cyberinteligência (como vimos no post anterior), o Threat Hunter retornará ao restante da equipe as diferentes descobertas que ajudarão esta parte da equipe a avançar rapidamente na classificação de o adversário. Permitindo conhecer dados tão cruciais como se houvesse um site onde serão publicados dados roubados (vazamento de dados) pelos atacantes ou que outras ferramentas pudessem utilizar no cenário específico, já que em outros incidentes realizados por este mesmo grupo eles terá sido visto.

Mas não apenas permite que a equipe de resposta a incidentes avance mais rapidamente em suas respectivas tarefas. Ao investigar ativamente o comportamento das máquinas na organização e com os diferentes indicadores de comprometimento (IOCs) disponíveis, permite levantar rapidamente serviços nos quais se possa confirmar que não há afetação e o arranque seguro dos afetados bloqueando artefatos maliciosos já identificados por meio de EDR.

Atuando a partir do EDR para todos os ativos

Conforme mencionado acima, a resposta ao incidente é amplamente “centrada em EDR”. As ações realizadas pelo Threat Hunter nesta plataforma são variadas:

  • Recuperación de evidencias. Gracias a un EDR, es posible conectar con las máquinas que interesen y recuperar información directamente desde ellas; permitie – Recuperação de provas. Graças a um EDR, é possível conectar-se com as máquinas de interesse e recuperar informações diretamente delas; permitindo obter artefatos sem a necessidade de usar o tempo de outros grupos técnicos da organização (dada a situação, eles geralmente têm uma carga de trabalho muito maior do que o normal)ndo obtener artefactos sin la necesidad de utilizar tiempo de otros grupos técnicos de la organización (dada la situación, suelen tener una carga de trabajo muy superior a la normal).
  • Investigação de eventos. Um EDR também oferece telemetria nas máquinas nas quais o agente correspondente está sendo executado. Esta telemetria permite investigar as execuções de artefatos, entender sua criação, eliminar arquivos maliciosos, rastrear conexões criadas por cada processo executado e, entre outros, detectar a persistência de diferentes elementos de software ou malware. Tudo isso fornece um contexto operacional muito completo no qual os padrões de ataque podem ser estudados de forma otimizada.
  • Isolamento de ativos. Conforme a telemetria é investigada, os ativos que exibem comportamento malicioso ou claramente suspeito podem ser isolados na rede; permitindo, por sua vez, o funcionamento normal daqueles elementos que não foram afetados.
  • Bloqueio de IOCs e criação de regras. Dois dos resultados mais interessantes das investigações são os Indicadores de Compromisso (IOC em inglês) e as regras de comportamento que o adversário fez no incidente. Ambos os elementos podem ser facilmente configurados na plataforma para bloqueio automático e aviso. Portanto, se o adversário tivesse deixado uma bomba lógica ou mantido o acesso com alguma persistência que relançaria o ataque, ele seria automaticamente bloqueado pelo EDR já que esta configuração havia sido feita anteriormente.

Devolvendo o bastão para a organização

Durante a resposta ao incidente, a equipe líder garantirá que o adversário foi expulso com sucesso e que o incidente foi resolvido em todos os níveis.

Para tanto, o Threat Hunter ficará encarregado de supervisionar que as informações produzidas pelo sistema EDR «mostrem calma» e que nenhuma máquina da infraestrutura apresente nova atividade relacionada ao incidente.

Para isso, qualquer comportamento anômalo será monitorado e os diferentes alertas necessários serão configurados caso o incidente seja reproduzido ou uma máquina possa ter atividade (a fim de isolar essa atividade automaticamente e continuar com a recuperação).

Após um período de tempo razoável em que será verificado que não há nenhuma nova atividade relevante (normalmente um mês após o incidente), o trabalho do Threat Hunter será encerrado, devolvendo a testemunha à organização do cliente ou grupo de serviço EDR atribuído.

Boletim semanal de cibersegurança 13-19 novembro

Telefónica Tech    19 noviembre, 2021

Emotet retorna à atividade

Pesquisadores de segurança da Cryptolaemus identificaram o que parece ser a reaparição do popular malware Emotet, cuja infraestrutura permaneceu inativa desde janeiro, após uma intervenção conjunta das forças de segurança em todo o mundo para frustrar suas operações. As novas amostras usavam o mesmo mecanismo de propagação tradicionalmente vinculado a esta botnet:  Malspam com anexos em Excel ou Word ou arquivos ZIP protegidos com senhas, remetentes falsificados e informações roubadas de threads de e-mail de vítimas antigas. A única diferença notável está no uso de comunicações criptografadas com o servidor C2 via HTTPS. Embora tenha sido apenas um dia desde a detecção da campanha de spam, outros pesquisadores começaram a alertar sobre essa nova atividade Emotet e sua entrega como segunda carga útil pelo malware Trickbot.  Operadores deste mesmo malware, Trickbot, que são conhecidos pelo pseudônimo de ITG23, foram recentemente vistos participando de várias campanhas junto com o ator de ameaças Shathak (TA551), na tentativa de entregar seu malware como uma etapa anterior de um compromisso com o ransomware Conti.

https://isc.sans.edu/diary/28044

0-Day em FatPipe VPN ativamente explorado

O FBI emitiu uma declaração alertando sobre uma ameaça persistente avançada (APT) abusando de uma vulnerabilidade de 0-day em dispositivos FatPipe VPN desde pelo menos maio do ano passado. Especificamente, a análise forense do FBI afirma que os atacantes poderiam ter acessado a função de upload de arquivo no firmware do dispositivo e instalado um webshell com acesso a raiz, levando a privilégios elevados nas redes internas das organizações alvo. A vulnerabilidade de 0-day descrita afeta os dispositivos FatPipe MPVPN, IPVPN e WARP (Virtual Private Network (VPN) e ainda não está identificada com um número CVE ou criticidade. O FatPipe já liberou um caminho e um aviso de segurança (FPSA006). O aviso do FBI também contém regras e indicadores da YARA para identificar atividades relacionadas nos sistemas.

https://www.ic3.gov/Media/News/2021/211117-2.pdf

ChainJacking: novo ataque da cadeia de suprimentos de software

A empresa de segurança Intezer, juntamente com a Checkmarx, publicou um artigo sobre um novo ataque da cadeia de suprimentos contra provedores de softwares que poderia colocar em risco várias ferramentas de gerenciamento de uso comum. Conhecido como «ChainJacking«, o ataque consiste na modificação ou corrupção do GitHub, Go Package Manager ou NPM pacotes de código aberto que são incluídos por padrão nas ferramentas de gerenciamento. No caso do GitHub, um invasor poderia reivindicar a propriedade de um nome de usuário abandonado e começar a entregar códigos maliciosos para qualquer um que baixe o pacote, aproveitando a confiança adquirida pelo antigo proprietário do nome de usuário. Explorando isso em um repositório de pacotes Go, poderia levar a uma reação em cadeia que amplificaria a disseminação do código malicioso e infectaria uma ampla gama de produtos, causando um dano comparável ao incidente do SolarWinds do ano passado ou ao do ataque de Kaseya deste ano. Até agora, nenhuma exploração ativa deste ataque foi relatada, mas isso não pode ser negligenciado dada a recente tendência de ataques da cadeia de fornecimento de software que são difíceis de detectar, ter um enorme impacto e dar aos agentes de ameaças novas mudanças de infecção.

https://www.intezer.com/blog/malware-analysis/chainjacking-supply-chain-attack-puts-popular-admin-tools-at-risk/

Vulnerabilidade de 0-day no ManageEngine ServiceDesk

Pesquisadores da IBM descobriram uma falha de 0-day no motor ManageEngine ServiceDesk. Trata-se de uma plataforma de gerenciamento de help desk amplamente utilizada que inclui aplicativos para a gestão de projetos e serviços de TI. A vulnerabilidade, CVE-2021-37415, poderia ser explorada para conceder acesso a um invasor não autorizado em um subconjunto de descanso de API de um aplicativo, que é responsável pela recuperação das informações dos tickets existentes dentro do referido aplicativo. Além disso, após a exploração bem-sucedida, um agente de ameaças poderia acessar dados confidenciais através da Internet, incluindo informações sobre os patches a serem aplicados ou a estrutura de rede interna de uma organização, entre outros. Além disso, isso poderia levar a um ataque da cadeia de suprimentos, devido ao uso generalizado deste produto e à natureza da vulnerabilidade. O ManageEngine emitiu a versão 11302  para corrigir a falha e que deve ser aplicada o mais rápido possível.

https://securityintelligence.com/posts/zero-day-discovered-enterprise-help-desk/

Desafios de segurança cibernética no setor de varejo online

Leandro Vasconcellos Gomes    15 noviembre, 2021

Costumamos ouvir bastante a frase transformação digital, mas do que se trata de fato e onde o setor de varejo está inserido? 

Estamos há algum tempo na era das mudanças tecnológicas e isso é perceptível. A transformação digital no ramo do varejo em especial está modificando bastante as estruturas tradicionais, e para manter-se vivo nesse mercado tão competitivo e dinâmico, é preciso encarar e se adaptar a essas inovações digitais. Essa transformação é caracterizada por mudanças na estratégia e no modelo de negócio através da tecnologia, e essas mudanças, criam valores para o consumidor e para as empresas. Entretanto, a tecnologia por si só, não agrega o valor que os empresários esperam, mas sim, apenas ao agregar-se-á uma estratégia e um modelo de negócio bem definidos.  

Os termos e-commerce e marketplace vêm se tornando bem propagados para os varejistas, que se viram obrigados nos últimos tempos a criarem canais de vendas online e com isso, migrarem seus comércios físicos para ambientes virtuais, usufruindo, sobretudo, da agilidade e economia das implantações em nuvem. Essa ação só veio corroborar essa tendencia, que já vinha crescendo, mas que com a pandemia aliada a jornada digital, disparou e trouxe em contrapartida consigo, riscos de segurança cibernética ainda maiores. Para se ter uma ideia, só no Brasil, segundo o índice Speeding Pulse, o e-commerce teve uma expansão de 75% em 2020, chegando a representar 11% das vendas do varejo. 

Varejistas estão implementando novos serviços e tecnologias devido à mudança de hábito de compra dos consumidores, além da adaptação a forma que seus colaboradores estão trabalhando e com essas mudanças inesperadas, novos vetores de ataques foram elaborados e/ou aperfeiçoados, enquanto os empresários se veem desafiados a implementarem novas infraestruturas de TI seguras e dentro de uma conformidade até então desconhecida para grande maioria.  

E a preocupação com a segurança cibernética, onde deve entrar? Sem dúvida, com o aumento de complexidade da rede, inclusão de novos dispositivos fora do perímetro tradicional, dentre outras mudanças, impor e ter visibilidade dos controles de segurança tornou-se algo ainda mais desafiador tanto para PMEs quanto para grandes varejistas, porém, é necessário para atingir a maturidade digital exigida e não sofrerem com as terríveis consequências de um ataque cibernético. 

Se o risco de ataques já era alto, com o trabalho remoto, aumentaram. O teletrabalho tornou-se o principal meio de entrada para o ambiente empresarial pois, com esse modelo, as informações das empresas foram propagadas para diferentes locais e o uso de devices próprios, shadow IT, acessos remotos e vídeo chamadas nem sempre seguras o suficiente, passaram a ser um convite para cibercriminosos. As consequências associadas a tudo isso, como as perdas econômicas e de reputação das empresas, levam muitas vezes a quebra do negócio.   

Estamos a poucos dias da Blackfriday, onde consumidores vão às compras para adquirir produtos e serviços com preços abaixo de seus valores tradicionais. Para se ter uma ideia da importância dessa data para o varejo, no último ano, esse evento registrou quase 5 milhões de compras representando um faturamento na casa de 3 bilhões. Como muitos varejistas sofreram queda de vendas nos últimos meses por conta da pandemia, espera-se para esse ano muitos atrativos para alavancar as vendas, aumentando o lucro, mas trazendo em paralelo um aumento no número de tentativas de ataques cibernéticos.  

Consumidores e empresas devem ficar atentos, principalmente nesse período, com os sites falsos criados paras ludibriar os consumidores, pois é bem comum cibercriminosos falsificarem URLs e criarem ofertas falsas a fim de roubarem dados de cartões de créditos e outras informações pessoais dos clientes. Os impactos das ameaças cibernéticas podem atingir também empresas que não estão participando diretamente das ofertas, já que grande parte dos consumidores faz suas compras a partir de sua estação de trabalho. Dessa forma, ao receberem essas ofertas por e-mail e acessarem uma página falsa, por exemplo, no ambiente corporativo, a própria empresa corre o risco de ser infectada por um link malicioso, através de um ataque conhecido como phishing.  

Muito se discute sobre como será o varejo do futuro e algumas tendências aparecem bem fortes, como por exemplo, de os consumidores priorizarem a comodidade e o imediatismo ao efetuarem suas compras, exigindo uma melhor experiencia digital, não havendo mais distinção entre lojas físicas e virtuais, maior uso de tecnologias, como a inteligência artificial, dentre outras. Com tudo isso em mente, os varejistas devem atuar para entender como as várias tendências da transformação digital, projetadas para manter e alavancar os negócios, também podem impactar a postura de segurança cibernética de todo o setor. Além disso, se faz necessário uma mentalidade que insira a segurança como item prioritário para proteger essas novas abordagens. Outro ponto muito relevante é que as empresas tenham softwares e/ou tecnologias de segurança da informação capazes de detectar e proteger seus sistemas contra phishing, revelar existência de sites falsos, uso não autorizado da marca, Apps móveis suspeitos, conteúdos ofensivos e demais ameaças, inclusive com rastreio em ambientes inóspitos como a deep e dark web.  

Com tudo isso, é fundamental que as empresas possam contar com parceiros que sejam referência em segurança, que possuam um portfólio estruturado e baseado em um framework end to end de segurança, com um ecossistema de parceiros e alianças estratégicas, que permita organizar iniciativas em cibersegurança, tomando como base os objetivos de negócio e transformando a segurança em um habilitador para a transformação digital e novas oportunidades de negócio dos clientes. 

Boletim semanal de cibersegurança 6-12 novembro

Telefónica Tech    12 noviembre, 2021

Boletim de segurança da Microsoft

A Microsoft publicou seu boletim de segurança de novembro no qual corrigiu um total de 55 bugs em seu software, incluindo seis vulnerabilidades 0-day, duas das quais estão sendo exploradas. O primeiro, classificado como CVE-2021-42292 e com um CVSS de 7.8, é uma falha de evasão de mecanismos de segurança no Microsoft Excel. O segundo 0-day de exploração (CVE-2021-42321 e CVSS de 8,8) é uma vulnerabilidade de execução remota de código no Microsoft Exchange Server. As quatro vulnerabilidades restantes de 0-day, para os quais não foram fornecidos detalhes nesta fase, estão falhas de divulgação de informações no Windows Remote Desktop Protocol (CVE-2021-38631  e  CVE-2021-41371) e vulnerabilidades de execução remota de código no 3D Viewer (CVE-2021-43208  e  CVE-2021-43209).

https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov

Campanha contra uma vulnerabilidade recente no Zoho

Pesquisadores da Unidade 42 de Palo Alto publicaram uma investigação sobre uma campanha de exploração de vulnerabilidade CVE-2021-40539(CVSS 9.8) na solução ManageEngine ADSelfService Plus da Zoho. Esta é a segunda campanha detectada contra a mesma falha, pois no último dia 16 de setembro a CISA emitiu  um comunicado  confirmando que estava sendo ativamente explorada por um APT. As tentativas de exploração nesta segunda campanha, sem relação com a exposta pela CISA, começaram em 22 de setembro e só terminaram no início de outubro, período em que o agente de ameaças invadiu pelo menos nove entidades de diversos setores. Na cadeia de infecções, os pesquisadores observaram que, após ter acesso à rede da vítima, o webshell Godzilla ou o backdoor NGLite, ambos usados para se mover lateralmente, foram instalados. À medida que conseguiam passar pela infraestrutura, exfiltravam informações dos servidores até chegarem ao DC, onde instalaram a ferramenta de roubo de credenciais KdcSponge. Vale ressaltar que, embora Palo Alto vincule esta campanha ao grupo APT27 (TG-3390), de origem chinesa, a equipe de Inteligência de Ameaças da Microsoft, que também acompanhou a exploração da mesma vulnerabilidade, atribuiu a campanha ao ator chinês DEV-0322, relacionado ao incidente do SolarWinds.

https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/

Acesso não autorizado à Aruba Central

A HPE relatou um incidente de segurança que supostamente resultou em um terceiro não autorizado a obter acesso a informações no ambiente de nuvem Aruba Central. O ator, que ainda não foi identificado, teve acesso usando uma chave de acesso roubada, o que lhe permitiu visualizar dados armazenados do usuário. Em particular, um repositório contendo dados de telemetria de rede dos clientes e outro com dados sobre a localização de dispositivos WiFi foram afetados, afetando dados como endereço MAC, endereço IP, tipo de sistema operacional, nome do host e nome de usuário em redes WiFi onde a autenticação é necessária. De acordo com as informações fornecidas pela empresa, o ator teria tido acesso no dia 9 de outubro pela primeira vez, e poderia ter acesso até o dia 27 de outubro, quando a senha foi alterada. Isso significava que os dados aos quais ele teve acesso datam de 10 de setembro, no máximo, pois são removidos dos repositórios a cada 30 dias. A HPE teria confirmado que nenhum dado sensível/confidencial foi afetado, e nenhuma ação foi necessária dos clientes.

https://www.arubanetworks.com/support-services/security-bulletins/central-incident-faq/

Várias vulnerabilidades no driver gráfico da AMD para Windows 10

Pesquisadores de segurança privada em colaboração com o CyberArk Labs e a Apple Media Products RedTeam relataram uma longa lista de vulnerabilidades no driver gráfico da AMD para windows 10. Em particular, 18 dos bugs detectados foram classificados com alta gravidade como um conjunto de falhas em várias APIs poderia levar a cenários de escalada de privilégios, negação de serviço, divulgação de informações e até mesmo execução arbitrária de código na memória do kernel. Enquanto isso, a AMD já abordou todas as vulnerabilidades e emitiu um aviso refletindo todos os CVEs atribuídos, bem como informações sobre como aplicar atualizações tanto para a AMD Radeon Software quanto para a AMD Radeon Pro Software for Enterprise. Além disso, a AMD também corrigiu recentemente bugs em seu produto de processador de servidor AMD EPYC e problemas de desempenho de seus processadores compatíveis com as novas versões do Windows 11 lançadas pela Microsoft.

https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1000

Os 4 passos necessários para adequação da sua empresa às boas práticas de segurança da informação

Gutiel Farias    8 noviembre, 2021

Os dados são moeda de troca no ambiente digital, mas infelizmente nem sempre estão seguros – visto os casos recentes de vazamentos de informações pessoais. Essas falhas na proteção geram insegurança, por isso, a governança digital e a proteção dos dados se tornam cada vez mais importantes:

  • A Amazon divulgou (06/10/2021) que a plataforma de live streaming de games Twitch sofreu um vazamento de dados por conta de um erro de configuração. Um hacker anônimo anunciou ter colocado a mão em 125GB de dados. Entre os dados expostos estão: código-fonte do Twitch, relatórios de pagamento de 2019, clientes Twitch para dispositivos móveis, equipamentos de computador e console de jogos, AWS SDKs e serviços internos, dados de novos projetos e ferramentas de segurança interna, entre outros. O Twitch tem média de 30 milhões de visitantes diários e atrai músicos e gamers.
  • A plataforma integradora de vendas HariExpres e parceira de grandes varejistas brasileiras, como os Correios, Mercado LivreB2W DigitalAmazonShopeeMagalu, tinyERP. Bling! e Nuvemshop, expôs mais de 1,75 bilhão de dados confidenciais (o equivalente a 610 gigabytes de informações). Entre os dados vazados dos comerciantes, estão nome, e-mail, endereços comerciais e o CNPJ.
  • Um site brasileiro expôs cerca de 426 milhões de dados pessoais, como CPF, nome, endereço, gênero, data de nascimento, e-mail e até a renda de pessoas físicas. Outros 109 milhões de dados incluem informações de veículos, como número de chassi, Renavam, modelo e placas de veículo de usuários, segundo a empresa de segurança digital PSafe.

Segundo um levantamento feito através da plataforma Toluna com 1.000 brasileiros questionando sobre a segurança dos dados online, cerca de 48% dos entrevistados afirmaram que não comprariam em uma empresa vítima de ataques cibernéticos. Com isso, a implementação de medidas de segurança para demonstrar capacidade na proteção e privacidade dos dados de seus clientes e consumidores são extremamente necessárias para a continuidade do negócio e caso não ocorra, essas empresas podem ser vistas como não confiáveis ou até mesmo sofrer algum tipo de ataque tendo como consequência:

  • Reporte de incidentes que podem levar a perda de confiança na marca e danos a reputação;
  • Revisão de todos os processos de governança e a implementação de medidas de segurança.
  • Perdas financeiras com multas que podem chegar a 2% do faturamento limitados a 50MM;
  • Prejuízo causado pela interrupção dos serviços e a recuperação dos dados,

Em resposta ao constante aumento de ciberataques que vêm sendo reportados, ocorreu o desenvolvimento de regulamentações a fim de estabelecer a proteção dos dados dos clientes e consumidores.

No Brasil, a LGPD (Lei Geral de Proteção de Dados n. 13.709/2018) é a legislação inspirada no Regulamento Geral de Proteção de Dados da União Europeia e que tem como objetivo determinar regras e diretrizes para o tratamento dos dados pessoais do titular como a coleta, armazenamento, compartilhamento e eliminação.

Segundo a proposta da PEC 17/2019 que torna a proteção de dados pessoais um direito fundamental e em processo de votação para aprovação pelo Senado, também caberá à União organizar e fiscalizar a proteção e o tratamento de dados pessoais conforme os termos estabelecidos pela lei.

Mas por que exatamente a Privacidade de Dados é importante?

A grande maioria das empresas possui elevado volume de tramitação de dados e armazenamento de informações de colaboradores, clientes e terceiros.

Qualquer processo de coleta de dados pessoais não autorizado, tratamento indevido de informações ou implementação de medidas não eficientes podem trazer consequências negativas ao titular dos dados, como possíveis fraudes e o roubo de identidade, podendo afetar diretamente os direitos e a liberdade de um indivíduo.

É necessário que o assunto privacidade seja priorizado pelas organizações para investimento nas melhores práticas de mercado. Para a avaliação das necessidades, gaps e riscos associados ao negócio, definição de uma estratégia de segurança E2E que garanta um nível aceitável de risco e a implementação dos controles necessários para garantir o cumprimento das obrigações regulatórias e de negócio, é importante seguir esses 4 passos:

  • Defina uma estratégia de segurança avaliando de forma recorrente a privacidade e proteção dos dados tramitados na organização para identificação dos possíveis riscos, gaps e necessidades no ambiente. As ameaças evoluem constantemente e as medidas avaliadas no passado podem não ser efetivas contra as principais ameaças atuais do mercado.
  • Estabeleça um modelo de arquitetura de segurança para implementação dos controles necessários e o cumprimento dos objetivos da organização. Diante do crescente número de crimes virtuais, é importante a definição da arquitetura baseada em segurança para implementar o conjunto de medidas necessárias contra vulnerabilidades a dados pessoais.
  • Execute a gestão da infraestrutura de segurança para estabelecer o controle e o acompanhamento E2E de um ambiente seguro, permitindo a detecção de possíveis ataques cibernéticos. Toda infraestrutura de segurança deve estar dentro de um ambiente seguro e confiável, o que vale para todos os segmentos de empresas e tipos de negócios, sejam esses físicos ou virtuais. 
  • Conte com o apoio de uma equipe de resposta especializada para se preparar para controlar os incidentes cibernéticos na ocorrência de um ataque ou vazamento de dados pessoais, estabelecendo dessa forma uma estrutura completa de segurança cibernética.

Confira algumas dicas que podem ser seguidas para proteger a sua privacidade na internet:

  • Atente-se ao recebimento de mensagens que solicitam informações sigilosas. Se caso suspeitar da autenticidade da mensagem ou do remetente, encaminhe à empresa responsável para validar a sua autenticidade. Não preencha formulários ou realize download de arquivos com fontes desconhecidas.
  • Evite a utilização de equipamentos e redes públicas para acessar informações que contenham dados pessoais sensíveis, como logins, senhas, dados de cartões de crédito, entre outros. Essas máquinas podem não ter medidas eficientes de segurança implementadas e reter informações importantes, como senhas de acesso.
  • A plataforma “Have I Been Pwned?” pode ajudar no mapeamento de vulnerabilidades em redes sociais e verificar se as suas informações foram vazadas através do endereço haveibeenpwned.com. É só digitar os endereços de e-mail utilizados para entrar na rede social e você será comunicado se esses endereços estão entre os vulneráveis.

Sobre o autor: Gutiel Farias atua no aprimoramento e desenvolvimento de soluções estratégicas de segurança cibernética, com experiência em projetos de consultoria relacionados a Privacidade e Proteção de dados e a LGPD (Lei Geral de Proteção de Dados).

Boletim semanal de cibersegurança 30 outubro-5 novembro

Telefónica Tech    5 noviembre, 2021

Trojan Source: vulnerabilidade em compiladores de código fonte

Pesquisadores da Universidade de Cambridge publicaram um artigo detalhando um novo método de ataque chamado «Trojan Source» que permite explorar uma falha presente na maioria dos compiladores de código-fonte e ambientes de desenvolvimento de software existentes. O método aproveita as características dos padrões de codificação de texto, como o Unicode, fazendo modificações que geram vulnerabilidades no código-fonte que passariam despercebidas por um humano e poderiam ser implementadas nas principais linguagens de programação como C, C++, C#, Java Script, Java, Rust, Go e Python.

Como resultado, tal ataque geraria um comprometimento da cadeia de fornecimento de software. Além disso, a pesquisa adverte que as vulnerabilidades introduzidas no código-fonte persistem nas funções de cópia e cola da maioria dos navegadores, editores e sistemas operacionais modernos, o que significa que qualquer desenvolvedor que copie código de uma fonte não confiável em uma base de código protegida poderia inadvertidamente introduzir vulnerabilidades «invisíveis» em um sistema. Os pesquisadores já compartilharam essas descobertas com 19 organizações envolvidas, muitas das quais já estão desenvolvendo atualizações para abordar o problema em compiladores de código, intérpretes, editores de código e repositórios (por exemplo, Rust catalogou com o identificador CVE-2021-42574).  Há também diferentes provas de conceito que simulam ataques nas linguagens de programação descritas.

Mais informações: https://trojansource.codes/trojan-source.pdf

BlackMatter anuncia o encerramento das operações sob pressão das autoridades

Atores de ameaças relacionados ao ransomware BlackMatter anunciaram o encerramento das operações devido à pressão das autoridades locais. Pesquisadores da plataforma VX-Underground divulgaram uma captura de tela da declaração, publicada no site privado RaaS (Ransomware-as-a-service), onde os operadores se comunicam e oferecem seus serviços às afiliadas. A tradução da mensagem, originalmente escrita em russo, afirma que a infraestrutura da BlackMatter será fechada nas próximas 48 horas, embora eles abram a possibilidade de continuar a fornecer aos afiliados os decodificadores necessários para continuar com suas operações de extorsão. Alguns meios de comunicação apontam que a motivação do grupo responde à recente publicação de relatórios da Microsoft e da Gemini Advisory que ligaram o grupo FIN7 (considerados os criadores da BlackMatter) a uma empresa pública Bastion Secure, bem como o aumento das prisões de indivíduos pertencentes a outros grupos de ransomware.

Saiba mais: https://twitter.com/vxunderground/status/1455750066560544769

Trojan bancário Mekotio reaparece com campanha melhorada

Pesquisadores do Checkpoint detectaram uma nova campanha do Trojan bancário Mekotio com mais de cem ataques nas últimas semanas usando e-mails de phishing contendo links maliciosos ou anexos zip. Segundo os pesquisadores, essa nova onda de ataques começou após a operação realizada pela Guarda Civil Espanhola em julho passado que resultou na prisão de 16 pessoas envolvidas na distribuição desse malware. No entanto, as indicações atuais apontam o Brasil como o centro de comando dos operadores de Mekotio, embora mantenha alguma colaboração da Espanha.

O principal objetivo da Mekotio é o roubo de credenciais bancárias de usuários de língua espanhola e sua versão atual traz consigo novidades marcantes em seu fluxo de ataque, uma vez que seus desenvolvedores alcançaram maior ocultação e discrição ao implementar suas técnicas. Além de ter mais camadas de ofuscação, o zip anexado em e-mails de phishing contém um script com recursos de localização e análise que permitem que as vítimas sejam discriminadas com base em sua nacionalidade ou até mesmo detectem se o malware está sendo executado a partir de uma máquina virtual, permitindo que o ator ameace escapar da detecção e,  portanto, implantar com sucesso o malware.

Mais informações: https://research.checkpoint.com/2021/mekotio-banker-returns-with-improved-stealth-and-ancient-encryption/

Campanha do ator ameaça Tortilla distribuindo o Ransomware Babuk

Os pesquisadores de segurança da Cisco Talos identificaram uma campanha ativa que visa implantar o ransomware babuk através da exploração de servidores microsoft Exchange vulneráveis ao ProxyShell e PetitPotam. Esta campanha seria liderada pelo ator de ameaças conhecido como Tortilla, um grupo que está ativo desde julho de 2021 e cujo principal objetivo são as organizações localizadas nos Estados Unidos, bem como o Reino Unido, Alemanha, Ucrânia, Finlândia, Brasil, Honduras e Tailândia, em menor grau. O processo de infecção geralmente começa com um download no formato DLL ou EXE, que executará um comando PowerShell ofuscado e baixará a carga final do ransomware Babuk inserindo-o em um novo processo criado ad-hoc (AddInProcess32). Além disso, os pesquisadores também observaram a presença da webshell do Helicóptero da China em múltiplos sistemas infectados; bem como a tentativa de exploração de outras vulnerabilidades em Atlassian, Apache Struts, Oracle WebLogic ou WordPress.

Saiba mais: https://blog.talosintelligence.com/2021/11/babuk-exploits-exchange.html

Os termos da nuvem que você não pode perder (II)

Roberto García Esteban    3 noviembre, 2021

Como vimos no primeiro post da série em termos de nuvens, à medida que esta tecnologia avança, a confusão de termos e acrônimos que são difíceis de entender está crescendo. Para ajudá-los a compreendê-los, trago-lhes a segunda parte do glossário com as definições mais relevantes.

Glossário das nuvens

Multicloud: Modelo de implantação de computação em nuvem no qual serviços de vários provedores de nuvem são combinados para aproveitar os benefícios específicos de cada um desses provedores.

On-demand: Equivalente a «on demand». No campo tecnológico, é utilizado para expressar a flexibilidade dos produtos em nuvem, com base em um modelo de pay-per-use em que o provedor disponibiliza todos os seus recursos ao cliente mediante solicitação prévia para que o cliente possa responder aos seus picos e vales de demanda.

On-premise: É o regime de licenciamento tradicional, ou seja, a empresa adquire as licenças que lhe conferem o direito de uso dos sistemas do provedor, integra-os em suas próprias instalações e mantém seus dados em sua própria infraestrutura.

Open Source: O software livre não deve ser confundido com freeware ou freeware porque o software livre não precisa ser livre. O código-fonte Open Source é “Open Source” e os programas sob a GPL (“General Public License”), uma vez adquiridos, podem ser usados, copiados, modificados e redistribuídos livremente.

PaaS o Platform as a Service é um modelo de serviço de computação em nuvem que fornece um ambiente de desenvolvimento pronto para uso na Internet, no qual os desenvolvedores podem desenvolver, gerenciar, distribuir e testar seus aplicativos de software.

PUE Eficácia do uso de energia é o valor que resulta da divisão da quantidade total de energia usada pelas instalações de um data center pela energia fornecida ao equipamento de TI do data center. Itens como iluminação ou resfriamento se enquadram na categoria de energia usada pelas instalações do data center. Quanto mais próximo o valor PUE estiver de 1, mais eficiente o data center será.

Recuperação de desastre: o Disaster Recovery é um método para recuperar dados e funcionalidades após a interrupção de um sistema devido a um desastre, natural ou causado por humanos. 

SaaS o Software as a Service é um modelo de serviço de computação em nuvem que consiste na distribuição de aplicativos de software hospedados na nuvem aos usuários por meio da Internet por meio de uma assinatura ou modelo de pagamento de compra, mantendo a privacidade de seus dados e a personalização do aplicativo.

Servidor bare-metal: Um servidor bare-metal é um servidor físico com um único locatário, ou seja, de uso exclusivo do cliente que o contrata e que não é compartilhado com outras organizações ou usuários.

SLA: «Acordo de nível de serviço» ou «Acordo de nível de serviço». É um protocolo normalmente consubstanciado em um documento legal pelo qual uma empresa que presta um serviço a outra se compromete a fazê-lo sob certas condições de serviço.

Superinscrição. O excesso de assinatura de recursos ocorre quando um provedor de hospedagem em nuvem pública ou compartilhada oferece uma série de recursos de computação que excedem a capacidade disponível, com base na teoria de que os clientes não usam 100% dos recursos oferecidos.

VPN: Uma VPN (Virtual Private Network) ou Virtual Private Network é uma rede que permite criar uma conexão privada, criptografada e segura entre dois pontos através da Internet. Os túneis de comunicação VPN permitem que você envie tráfego criptografado e seguro e que os funcionários de uma empresa possam acessar as informações que precisam de sua empresa, mesmo que seja de natureza privada.

E porque uma imagem vale mais que mil palavras, este cartoon explica de forma divertida a diferença entre onpremise, IaaS, PaaS e SaaS e o diferente envolvimento de recursos por parte da empresa que cada modelo implica.

Deja un comentario en Os termos da nuvem que você não pode perder (II)
Roberto García Esteban
Roberto García Esteban

Engenheiro de Telecomunicações da UPM, graduado em Administração e Gestão de Empresas pela UNED e MBA Executivo pelo Instituto de Empresa. Atualmente sou responsável pela Oferta Global para PMEs na Telefónica Digital. Sou um grande fã de futebol (claro, do Real Madrid), embora goste de acompanhar e praticar todos os tipos de esportes (você pode me ver facilmente em uma corrida popular pelas ruas de Madri). Embora minha verdadeira paixão seja brincar com meus dois filhos pequenos.