Ameaças crescentes preocupam equipe de segurança do Google, que responde com uma solução original. Instituto nuclear da Coreia do Sul sofre ataque de hackers. Campanhas cada vez mais sofisticadas ultrapassam medidas de proteção consolidadas.
O que você vai ler hoje:
Campanha de vishing contorna medidas de segurança da Microsoft
Instituto de pesquisa nuclear da Coreia do Sul é hackeado por grupo supostamente vinculado à Coreia do Norte
Mais da metade das organizações mundiais prefere pagar por resgate de ransomware
Google lança solução de combate a ataques à cadeia de suprimentos
Campanha de vishing contorna medidas de segurança da Microsoft
Uma campanha de vishing ultrapassou as medidas de segurança de e-mail da Microsoft, preocupando usuários de serviços empresa.
O ataque começava em um e-mail que, ironicamente, fingir denunciar fraudes realizadas no nome do destinatário e solicitava que o usuário entrasse em contato com um número específico, via telefone, para recuperar o controle sobre seus dados.
O vishing é uma contração de “voice phishing”, ou “phishing de voz” e geralmente envolve o roubo de informações pessoais das vítimas por telefone, ou a criação de mensagens de voz falsas para roubo de dados. No caso dessa campanha, os pesquisadores disseram que o esquema consistia em enviar recibos de pedidos falsos por e-mail e, em seguida, incluir números de telefone na mensagem, para que o usuário pudesse ligar “para iniciar o processo de ressarcimento”.
Os ataques usaram soluções da Geek Squad e do Norton Antivirus como cobertura e conseguiram atingir 25.000 caixas de entrada recentemente. O objetivo era conseguir informações do cartão de crédito das vítimas.
Esse ataque sofisticado provavelmente contornou suspeitas porque as mensagens não incluíam links aleatórios e evidentemente falsos – a marca registrada do phishing. Em vez disso, o único CTA (call to acion) no e-mail era um número de telefone, que supostamente conectaria o destinatário ao “departamento de cobrança” das soluções, para, teoricamente, o usuário solicitar a compensação financeira.
O método permitiu que os e-mails atravessassem as medidas-padrão de detecção de ameaças e contornassem até mesmo as barreiras de segurança da Microsoft, alertando para a necessidade de empresas e usuários não se apoiarem exclusivamente em uma única medida preventiva, e estarem duplamente atentos para possíveis golpes.
Instituto de pesquisa nuclear da Coreia do Sul é hackeado por grupo supostamente vinculado à Coreia do Norte
Um grupo de hackers norte-coreanos, com histórico de ataques de alto nível contra a Coreia do Sul, supostamente violou a rede do instituto estatal de pesquisa nuclear sul-coreano em maio de 2021.
O representante Ha Tae-keung do People Power Party, o principal partido da oposição da Coreia do Sul, afirmou que 13 endereços de IP não-autorizados acessaram a rede interna do Instituto de Pesquisa de Energia Atômica da Coreia (KAERI) no dia 14 de maio.
Após estudos, alguns dos endereços supostamente redirecionam ao Kimsuky, um grupo de espionagem cibernética norte-coreano, afirmou Ha.
“Se as principais tecnologias em energia nuclear do Estado vazaram para a Coreia do Norte, pode ser a maior violação de segurança do país”, afirma o legislador, à imprensa.
De acordo com a Agência de Segurança Cibernética e de Infraestrutura dos EUA, Kimsuky é um grupo avançado de ameaça persistente (APT), provavelmente encarregado pelo regime norte-coreano de uma missão de coleta de inteligência global, com foco em política externa e questões de segurança nacional relacionadas à península coreana, política nuclear e sanções nacionais.
Acredita-se que o grupo também esteja por trás de uma série de ataques de phishing contra a polícia sul-coreana e o Ministério da Unificação, ambos ocorridos em 2019. Mas o ataque cibernético mais notório de Kimsuky foi feito em 2014 contra a Korea Hydro & Nuclear Power, a concessionária nuclear e hidrelétrica da Coreia do Sul.
Em resposta às alegações de Ha, a KAERI emitiu um comunicado, dizendo que um estranho não-identificado acessou partes de seu sistema usando pontos vulneráveis de seu VPN. O instituto, então, bloqueou seu IP e atualizou a segurança de sua rede, disse.
Desde então, a KAERI vem trabalhando com as autoridades para investigar a extensão dos danos e quem está por trás do ataque.
Mais da metade das organizações mundiais prefere pagar por resgate de ransomware
Uma pesquisa do Conselho de Segurança Internacional Neustar (NISC) descobriu que 60% organizações pagariam o valor de resgate aos cibercriminosos no caso de um ataque de ransomware. O estudo foi conduzido com com 300 trabalhadores em cargos de senioridade ao redor do mundo.
Vítimas de alto escalão que pagaram resgates recentemente incluem a Colonial Pipeline, que pagou mais de US $ 4 milhões em Bitcoin para ter acesso à chave de descriptografia, e a JBS, do setor alimentício, que pagou US $ 11 milhões em Bitcoin para criminosos que comprometeram sua rede com o ransomware REvil.
Se por um lado esses incidentes tornaram as organizações mais predispostas a pagar pelo resgate, por outra, também acentuou os investimentos em medidas de prevenção, com 80% dos profissionais de segurança cibernética entrevistados afirmando que mais ênfase está sendo dada à proteção contra ameaças de ransomware.
No entanto, um quarto dos entrevistados temem que seus procedimentos de segurança atuais possam não oferecer proteção total contra esses ataques, classificando suas soluções como “um pouco” ou “muito” insuficientes.
Google lança solução de combate a ataques à cadeia de suprimentos
Para enfrentar a crescente ameaça de ataques à cadeia de suprimentos de software, a equipe de segurança do Google propôs uma nova estrutura de proteção intitulada “Supply chain Levels of Software Artifacts” (níveis de artefatos de sofware da cadeia de suprimentos), ou SLSA, pronunciado “salsa”.
Embora os ataques à cadeia de suprimentos não sejam novidade, exatamente, o Google observa que eles cresceram de forma notória no ano passado e mudaram o foco de suas explorações para vulnerabilidades de software conhecidas ou de dia zero.
O Google descreve o SLSA como “uma estrutura completa para garantir a integridade dos artefatos de software em toda a cadeia de suprimentos de software”. Ele segue o exemplo da “Autorização Binária para Borg” (BAB) interna do Google – um processo que a gigante tech vem usando há mais de oito anos para verificar a proveniência do código de um software.
O objetivo do BAB é reduzir o risco de vulnerabilidades internas, garantindo que o software de produção implantado no Google seja devidamente revisado, especialmente se o código tiver acesso aos dados do usuário.
Já o SLSA busca proteger toda cadeia de construção de software, do desenvolvedor ao código-fonte à plataforma de construção de códigos e repositórios de sistemas.
E, embora a estrutura SLSA seja apenas um conjunto de diretrizes por enquanto, o Google prevê que sua aplicação pode inspirar uma série de medidas preventivas que ajudarão a tornar as cadeias de fornecimento mais seguras e as empresas, por consequência, menos vulneráveis.
A Compugraf te ajuda a proteger a estrutura da sua empresa, nas distintas frentes do sue negócio. Conheça nossas soluções!