Conforme alguns países afrouxam as medidas de segurança para contenção da COVID-19, colaboradores retornam ao escritório abrindo brechas para ameaças. Em paralelo, usuários do LinkedIn tem 700 milhões de registros à venda – e vulneráveis – na dark web.
O que você vai ler hoje:
- Desenvolvedora de soluções de TI sofre ataque de ransomware por vulnerabilidade em um de seus fornecedores
- Colaboradores voltam ao escritório – e levam ameaças consigo
- Grupo de hackers se passa pelo presidente do Afeganistão para infectar dispositivos do alto escalão do país
- 700 milhões de registros contendo dados de usuários do LinkedIn estão à venda na dark web
Desenvolvedora de soluções de TI sofre ataque de ransomware por vulnerabilidade em um de seus fornecedores
Kaseya, uma das principais desenvolvedoras de soluções de TI para MSPs (provedores de serviços gerenciados) e para o setor B2B, anunciou que foi vítima de um ataque cibernético no dia 2 de julho de 2021, durante o fim de semana do Dia da Independência dos Estados Unidos.
De acordo com as primeiras pesquisas, cibercriminosos realizaram um ataque de ransomware à cadeia de suprimentos, se aproveitando de uma vulnerabilidade no software VSA da Kaseya (que realiza análise vetorial de sinais para diagnosticar a qualidade de um sinal) com o objetivo de atingir diversos provedores de serviços gerenciados e seus clientes.
O ataque lembra o caso SolarWinds, no qual invasores foram capazes de comprometer o software de um fornecedor para enviar uma atualização maliciosa a milhares de clientes. No entanto, ainda não se sabe quão difundido será o incidente de ransomware da Kaseya – mas é provável que sua repercussão seja igualmente preocupante.
O responsável por anunciar o ataque foi o CEO da empresa, às 14h do dia 02 de julho, que declarou ter sido de vítima de “um ataque potencial contra o VSA, limitado a um pequeno número de clientes locais”. Contudo, por cautela, representantes da Kaseya pediram a seus clientes que desligassem imediatamente seus servidores VSA.
Em uma atualização de 5 de julho, a Kaseya disse que uma correção está sendo desenvolvida e que seria implantada primeiro em ambientes SaaS.
“Estamos desenvolvendo o novo patch para clientes locais, em paralelo com a restauração do Data Center SaaS”, disse a empresa, em comunicado oficial. “Estamos implantando em SaaS primeiro, pois controlamos todos os aspectos desse ambiente. Uma vez que o trabalho se prove bem-sucedido, a empresa vai publicar o cronograma de distribuição do patch para clientes locais e possíveis afetados.
Colaboradores voltam ao escritório – e levam ameaças consigo
A volta aos escritórios em países com medidas mais maleáveis de contenção do coronavírus, bem como a desinformação dos usuários a respeito das medidas de segurança da informação, criou um risco sem precedentes de ataques corporativos.
É o que mostra uma nova pesquisa da Armis, empresa de segurança localizada em Palo Alto, na Califórnia. De acordo com os resultados da pesquisa, as equipes de segurança têm muito trabalho pela frente, não só bloqueando os sistemas de suas organizações, mas também evitando que usuários sejam enganados por esquemas de phishing e abram as portas para ameaças ainda mais severas.
A Armis entrevistou 2.000 usuários finais nos EUA e descobriu que os perigos para a infraestrutura crítica, serviços públicos e para indústria de alimentos – ou seja, serviços essenciais – têm início na falta de conhecimento. Mais de 20% dos entrevistados não tinham ouvido falar de ataques em grande escala a seu setor e também não achavam que haveria quaisquer consequências de longo prazo para a cadeia de suprimentos após ataques diretamente associados a seus serviços, como foi o caso do ataque à JBS Foods ou à Colonial Pipeline.
Além disso, a pesquisa descobriu que 71% dos trabalhadores que voltam ao escritório planejam trazer importas documentos de dispositivos domésticos de volta para dispositivos corporativos – ou devem seguir usando dispositivos domésticos em ambientes corporativos -, enquanto 54% não acham que haja qualquer risco associado a isso.
Mas, infelizmente, o risco é real.
A Armis encomendou um relatório de outra empresa de segurança, que descobriu que, nos últimos dois anos, 63% das empresas de prestação de serviços de saúde foram violadas devido a um dispositivo IoT não-gerenciado. No entanto, mais de 60% dos funcionários da área de saúde pesquisados não achavam que seus dispositivos pessoais representavam qualquer risco, e mais de um quarto das organizações não têm políticas em vigor que descrevam o uso apropriado de dispositivos pessoais em ambientes de negócio.
O mais impressionante do estudo, porém, é que 82% dos entrevistados que planejam trazer seus dispositivos pessoais de volta ao trabalho são profissionais encarregados da segurança cibernética em suas corporações.
Existe uma grande defasagem na educação de colaboradores a respeito dos riscos de segurança e ela precisa ser corrigida o quanto antes, ou pode se tornar uma brecha de significativa e altamente custosa para as empresas.
Grupo de hackers se passa pelo presidente do Afeganistão para infectar dispositivos do alto escalão do país
Um grupo de hackers que se comunicam em chinês está realizando ataques cibernéticos contínuos contra o governo do Afeganistão, se passando pelo presidente do país.
Acredita-se que um grupo de ameaças persistentes avançadas (APT) denominado IndigoZebra seja o responsável. Os ciberataques já miraram em ex-repúblicas soviéticas, por exemplo, conforme observado pela equipe de pesquisa da Kaspersky.
Em e-mails forjados, os cibercriminosos fingem ser do gabinete do presidente afegão, Ashraf Ghani, e pedem uma revisão urgente das modificações em um documento relacionado a uma entrevista realizada durante suposta coletiva à imprensa. Os pesquisadores dizem que esses e-mails são enviados de caixas de entrada de e-mail comprometidas de vítimas de alto perfil que sofreram ataques anteriormente.
O arquivo que serve como isca é um arquivo protegido por senha denominado NSC Press conference.rar. Se a vítima abre o arquivo, ela recebe um executável do Windows (NSC Press conference.exe), que implanta um dropper de malware no dispositivo do usuário, bem como um backdoor que garante a continuidade do ataque.
O backdoor é capaz de fazer download e upload de arquivos, executar comandos emitidos por meio de um servidor de comando e controle (C2) e roubar dados.
Entidades de segurança dizem que, se confirmada a autoria do ataque, a APT em questão também é provavelmente a responsável por ataques que datam de 2014, nos quais entidades políticas no Quirguistão e no Uzbequistão foram alvo.
700 milhões de registros contendo dados de usuários do LinkedIn estão à venda na dark web
Uma postagem com 700 milhões de registros de usuários do LinkedIn apareceu em um popular fórum de hackers da dark web, revelam pesquisadores.
Analistas do Privacy Sharks encontraram os dados colocados à venda no RaidForums por um hacker que se autodenomina “GOD User TomLiner”. O anúncio, postado em 22 de junho de 2021, ainda inclui uma amostra de 1 milhão de registros como prova da “legitimidade” da oferta.
Os registros incluem nomes completos, gênero, endereços de e-mail, números de telefone e informações a respeito do setor em que os usuários atuam. Não está clara a origem dos dados – mas o scraping a partir de perfis públicos é uma fonte provável.
Essa foi a estratégia por trás da venda de 500 milhões de registros do LinkedIn em abril desse ano. Ele continha uma “agregação de dados de vários sites e empresas”, bem como “dados de perfil de membros visíveis ao público”, disse o LinkedIn na época.
Mas, de acordo com porta-vozes do LinkedIn, nenhuma violação de suas redes ocorreu desta vez.
“Embora ainda estejamos investigando esse problema, nossa análise inicial indica que o conjunto de dados inclui informações extraídas do LinkedIn, bem como informações obtidas de outras fontes”, diz o comunicado da empresa à imprensa. “Isso não foi uma violação de dados do LinkedIn e nossa investigação determinou que nenhum dado privado de membro do LinkedIn foi exposto. A coleta de dados do LinkedIn é uma violação de nossos Termos de Serviço e estamos constantemente trabalhando para garantir que a privacidade de nossos membros seja protegida.”
Existem mais 200 milhões de registros disponíveis desta vez, então é provável que novos dados tenham surgido e que seja mais do que uma “reaquecida” nos registros anteriores, concluem os pesquisadores. O que cibercriminosos farão em posse desses dados ainda não se sabe, mas já preocupa.
Quer manter seus dados seguros? Consulte as soluções de segurança da informação da Compugraf e saiba como podemos te ajudar!