Welieve Security
Quarta feira (30), o Tribunal Regional Federal da 3ª Região – TRF3, em São Paulo, comunicou através de sua página oficinal que foi vítima de um ataque cibernético que fez com que os serviços prestados ficassem indisponíveis até o momento. Em decorrência do incidente, o órgão também autorizou que os funcionários trabalhassem de casa até que a situação seja reestabelecida e suspendeu os prazos de processos físicos e eletrônicos da corte.
Segundo o comunicado disponível na página do TRF3, o tipo de ataque foi identificado e a equipe técnica da corte está tomando todas as medidas necessárias para lidar com incidente: “as diligências efetuadas pela Secretaria de Tecnologia da Informação do órgão possibilitaram a identificação do tipo de ataque sofrido e a definição da estratégia a ser seguida na apuração dos fatos e na restauração progressiva da infraestrutura tecnológica do Tribunal”, destaca a mensagem.
Comunicado disponível na página do TRF3.
De acordo com informações de uma notícia publicada pelo G1, a Polícia Federal (PF) esteve quarta-feira (30) no prédio do TRF3 e analisou a extensão do ataque. Ainda segundo o portal, a PF vai abrir inquérito para investigar o incidente.
Nos últimos anos, órgãos ligados ao Judiciário do país têm sofrido uma série de ataques cibernéticos. Em novembro de 2020, o Supremo Tribunal de Justiça (STJ) foi vítima de um ataque de ransomware. O incidente fez com que a Corte tivesse que suspender todas as sessões de julgamento por videoconferência e as sessões virtuais destinadas à apreciação de recursos internos, bem como as audiências.
Já em maio de 2021, o Tribunal de Justiça do Estado do Rio Grande do Sul (TJ-RS) foi vítima de um ataque do ransomware REvil que criptografou documentos e imagens dos sistemas do órgão. Além disso, em fevereiro deste ano, o Tribunal Regional do Trabalho do Espírito Santo (TRT-ES) sofreu um ataque semelhante ao sofrido pelo TRF3.
Mensagem que apareceu brevemente após invasão do site da Câmara de BH.
Foto: Reprodução/Internet
O grupo de hackers “99Cr3w” que reivindicou a autoria do ataque ao site da Câmara Municipal de Belo Horizonte nesta quarta-feira (03), afirmou para O Tempo que eles fazem este tipo de ação “por diversão e pra mostrar as falhas dentro do sistema”.
Em mensagem enviada à reportagem pelas redes sociais, os invasores informaram também que não alteraram nada no sistema. “Dada dentro do sistema foi corrompido e nem nada do tipo, foi feita apenas a alteração da index principal (Deface)”, destacaram.
Ainda segundo a resposta enviada pelo 99Cr3w o sistema da Câmara não apresentou dificuldade de acesso. “Os logins de acesso da página não eram complexos e a senha não tinha nenhum tipo de criptografia e nisso tornou nosso trabalho mais fácil”, revelaram os Hackers.
A assessoria de imprensa da Câmara afirmou que procuraria a polícia para registrar um Boletim de Ocorrência (BO) ainda nesta quarta. A assessoria ainda disse que evidências sobre o ataque hacker estão sendo coletadas para que constem no registro.
Entenda o caso
O portal da Câmara Municipal de Belo Horizonte (CMBH) saiu do ar na terça (2) após um suposto “ataque hacker”. Por volta das 15h40 o serviço foi reestabelecido, totalizando aproximadamente 5 horas de apagão virtual no Legislativo municipal.
Devido ao problema no sistema, que aconteceu durante a transmissão da CPI da Covid, os depoimentos foram suspensos por 10 minutos, a partir das 10h19. O presidente da comissão, vereador Juliano Lopes (Agir) anunciou a pausa. “Nós vamos suspender a reunião por 10 minutos. A partir de 10h19. Houve uma invasão no site da Câmara, feita por hackers. E quem estava acompanhando a CPI pelo site não está conseguindo acessar”, disse.
Depois da interrupção, a transmissão online foi mantida no Youtube. Nos primeiros minutos após o portal sair do ar, a página inicial constava a mensagem “Site invadido por 99CR3W” e não era possível acessar os links internos.
De acordo com o comunicado, devido ao problema, as transmissões ao vivo das reuniões foram transferidas para o canal da Câmara no YouTube, e o material seria recolocado no portal após o completo restabelecimento.
O site oficial das Lojas Renner se encontra fora do ar nesta quinta-feira (19) por consequência de um ataque de sequestro digital (ransomware). Informações compartilhadas com o site TecMundo mostra quem os responsáveis pela ação criminosa estão cobrando um resgate que pode chegar a US$ 1 bilhão (R$ 5,41 bilhões) para liberar os sistemas criptografados da empresa.
Segundo informações divulgadas pelo site, os responsáveis estão interessados somente nos ganhos monetários e não têm intenção de compartilhar quaisquer dados que tenham sido obtidos. Até o momento não há confirmação sobre qual ransomware foi usado, mas informações indicam que ele pode se tratar do Defray777, que se baseia em linhas de código do Linux para enumerar e criptografar pastas.
Uma fonte consultada pelo TecMundo afirma que 1,3 mil servidores das Lojas Renner foram criptografados, incluindo os bancos de dados localizados na cidade de Porto Alegre (RS) e da TIVIT, em São Paulo. Até o momento, o site da empresa se encontra indisponível e, ao entrar nele, o visitante é alertado sobre “novidades incríveis” que devem surgir em breve.
Lojas Renner confirma o ataque
Em um comunicado enviado ao Canaltech, a companhia confirmou que foi alvo de um ataque cibernético em seu ambiente de tecnologia da informação que resultou na indisponibilidade em parte de seus sistemas e operação. Ela também informa que já acionou seus protocolos de controle e segurança para bloquear o ataque e minimizar eventuais impactos. Confira o posicionamento:
“Neste momento, a Companhia atua de forma diligente e com foco para mitigar os efeitos causados, com a maior parte das operações já reestabelecidos e tendo sido verificado que os principais bancos de dados permanecem preservados. Cabe ressaltar que em nenhum momento as lojas físicas tiveram suas atividades interrompidas. A Companhia ressalta ainda que faz uso de tecnologias e padrões rígidos de segurança, e continuará aprimorando sua infraestrutura para incorporar cada vez mais protocolos de proteção de dados e sistemas”.
As Lojas Renner afirmam que vão manter o mercado informado sobre qualquer informação relevante sobre o caso, e informará as autoridades competentes nos próximos dias. A ação contra a empresa se soma a uma onda de ações semelhantes pelo país, que registrou nesta semana ataques de ransomware contra os sistemas do Tesouro Nacional e do Hospital e Maternidade Municipal Nossa Senhora da Graça, em Santa Catarina.
Fonte: TecMundo, VMWare, Lojas Renner
Empresa ignorou alerta de segurança e teve dados criptografados. Hackers conseguiram excluir todos os backups.
Faz uma semana que um ataque cibernético derrubou os sistemas da multinacional de Turismo Travelex. De acordo com informações do BleepingComputer, a empresa foi alvo de um ransomware conhecido como Sodinokibi.
A praga digital, que sequestra arquivos e pede resgate em bitcoin, infectou os sistemas da empresa no dia 31 de dezembro, deixando diversos serviços fora do ar até hoje.
A Travelex é uma empresa britânica especializada em câmbio e turismo. No Brasil ela atua por meio do Grupo Travelex Confidence, formado pela Confidence Câmbio e pelo Travelex Bank.
Em nota, a empresa disse que os sistemas no Brasil não foram afetados, veja a nota:
“O Grupo Travelex Confidence informa que o vírus do tipo ransomware, que atacou as redes da Travelex Global, não afetou o Brasil. Por fazer uso de sistemas independentes, tanto as operações como os clientes locais não foram impactados. Os sistemas do Grupo no Brasil estão funcionando normalmente. A Travelex Global está tomando todas as ações necessárias para resolver a situação, incluindo a instauração de uma investigação aprofundada.”
Diante do problema, a Travelex tirou todos os sistemas do ar, desligando todos os computadores e servidores, uma precaução para “proteger os dados e impedir a propagação do vírus”.
O resultado obvio foi que os clientes não conseguem mais acessar o site e aplicativo da empresa, mais de 1.500 filiais espalhadas pelo mundo estão sem sistema. Centenas de reclamações de clientes estão aparecendo nas redes sociais.
Enquanto o problema se agrava, a Travelex respondeu aos clientes que ainda não tem previsão para restabelecer os serviços. No site da empresa há uma informação sobre um “incidente cibernético” e “manutenção planejada” em outras páginas.
Rede interna da empresa foi bloqueada e arquivos foram roubados
De acordo com a ComputerWeekly, o ransomware usado no ataque da Travelex é o Sodinokibi. O BleepingComputer conseguiu confirmar que os sistemas da Travelex foram realmente infectados pelo ransomware.
De acordo com o site, todos os arquivos da empresa foram criptografados e tiveram seus nomes alterados para uma sequência de mais de cinco caracteres aleatórios, semelhantes a .a7i3b47.
Além de pedir resgate em bitcoin, os hackers copiaram mais de 5 GB de dados pessoais da empresa, esses dados possuem datas de nascimento, números de previdência social e outros detalhes.
Hackers exigem resgate de R$ 12 milhões em Bitcoin
Uma situação incomum, os hackers tiveram acesso extremamente privilegiado aos sistemas da empresa, eles conseguiram deletar os backups, fazendo com que fique praticamente impossível que a empresa recupere os arquivos sozinha.
O resgate exigido pelos hackers é de US $ 3 milhões, (R$ 12 milhões); os hackers disseram que todos os arquivos serão divulgados na internet caso o resgate não seja pago. Existe uma contagem regressiva desde o dia 31 de dezembro.
Travelex ignorou alerta de segurança e deixou porta aberta
Detalhes de como o ataque ocorreu ainda não foram revelados pela empresa, mas um especialista em segurança já havia alertado a empresa sobre falhas de segurança.
O curioso aqui é que a empresa recebeu o alerta de segurança em Setembro, mas nada foi feito.
De acordo com o Bleeping Computer, a Travelex usa a plataforma de nuvem da Amazon, e todos o servidores Windows estavam expostos na Internet sem nenhum tipo de recurso de autenticação a nível de rede ativado.
Isso significa que qualquer pessoa que conhecesse o IP do servidor poderia se conectar ao sistema.
O pesquisador de segurança publicou uma imagem relatando a falha encontrada.
Com esse acesso, quem invadiu o sistema teve todo tempo do mundo para implantar o ransomware na rede e criptografar os arquivos.
A empresa também usava uma solução de VPN cheia de vulnerabilidades (CVE-2019-11510), um pesquisador de segurança descreveu as falhas dessa solução de VPN em um blog.
De acordo ele, as várias falhas do sistema de VPN “permitiam que qualquer um sem login e senha válida conseguisse se conectar remotamente à rede corporativa da empresa.
Parece que ignorar o alerta saiu bem caro.
Pesquisadores da Check Point Research divulgaram ontem (7) um relatório sobre uma falha de segurança identificada no WhatsApp, o mensageiro mais usado do mundo. Segundo o documento, a brecha encontrada permite que hackers interceptem mensagens e até mesmo alterem o conteúdo enviado para enganar usuários.
O problema coloca em risco mensagens enviadas em conversas privadas e em grupo e “dá aos atacantes um imenso poder de criar e espalhar desinformação a partir do que parecem ser fontes confiáveis”, relata a CPR.
O grupo que investigou a falha descobriu que ela pode ser explorada de três maneiras distintas:
- Usar o recurso de ‘aspas’ em um grupo a fim de mudar a identidade de um remetente mesmo que a pessoa não esteja no grupo;
- Mudar o texto de resposta de alguém para alterar o teor da mensagem
- Enviar uma mensagem privada a outro participante de um grupo de modo como se fosse privada, mas, na verdade, se trata de uma mensagem pública cuja resposta será enviada no grupo para todos
O problema está no processo de criptografia do mensageiro, alegam os pesquisadores, que deveria impedir qualquer tipo de interceptação em qualquer tipo de mensagem enviada ou recebida (texto, áudio, vídeo ou foto).
Os protocolos usados pelo WhatsApp, contudo, puderam ser convertidos a fim de permitir que um invasor descobrisse exatamente quais as regras de criptografia o programa usa. É com essa informação que um hacker poderia interceptar e alterar o conteúdo de uma mensagem.
A CPR afirma ter alertado o WhatsApp a respeito da grave vulnerabilidade descoberta no app. Até que uma correção seja lançada, os pesquisadores sugerem aos usuários que fiquem atento ao conteúdo de mensagens recebidas pelo mensageiro. O Facebook, o proprietário do WhatsApp, ainda não se pronunciou publicamente sobre o tema.
Uma empresa de hospedagem de websites da Coreia acaba de ser a mais nova vítima de ataques via ransomware: o malware para Linux afetou 153 servidores e tirou do ar mais de 3.400 sites de seus clientes. Para devolver os arquivos sequestrados, os cibercriminosos estão pedindo um resgate no valor de 5 bilhões de wons (algo equivalente a R$ 14,5 milhões).
Originalmente criado para Windows, o ransomware Erebus foi modificado para também funcionar em Linux para conseguir infectar os servidores da Nayana Internet no dia 12 de junho. Depois de alguma negociação, o valor do resgate caiu para 1,2 bi de wons (o que equivale a R$ 3,5 milhões).
Ainda não se sabe exatamente como os bandidos virtuais conseguiram atacar os servidores da empresa coreana, mas, de acordo com a Trend Micro, o malware teria se aproveitado de algum exploit no kernel no Apache ou no PHP, que estariam desatualizados nos servidores da empresa, que ainda usa PHP 5.1.4, lançado em 2006. Após a contaminação, o Erebus criptografa dados do servidor, criando um arquivo chamado _DECRYPT_FILE.txt onde constam as informações sobre a recuperação. A Nayana Internet decidiu pagar o resgate em três parcelas à medida em que conseguir recuperar os arquivos de seus clientes.
Ataques de ransomware têm acontecido mais frequentemente, e preocupam especialistas e empresas em todo o mundo. Em maio, o WannaCrypt atingiu empresas em vários locais do mundo, chegando até mesmo ao Brasil, onde infectou máquinas de órgãos públicos. Há alguns dias, a Microsoft decidiu liberar atualizações para versões antigas do Windows, que já não mais tinham suporte, justamente por conta desse tipo de ameaça. Segundo especialistas, ataques de ransomware já lucraram US$ 1 bilhão somente em 2016.
Desafio não é mais o motivo
Já faz tempo que a sofisticação dos ataques está ligada intimamente ao número cada vez maior de informações das empresas circulando na rede. Se antes, boa parte dos ataques eram feitos apenas para provar a capacidade de um cibercriminoso em invadir um determinado sistema, hoje essas informações valem dinheiro.
Os ransomwares —programas maliciosos que “sequestram” dados e só os devolvem mediante pagamento—, fizeram diversas vítimas ao longo de 2016. Estudos apontam que durante o ano passado, esse tipo de ataque a empresas cresceu três vezes, passando de um ataque a cada 2 minutos para um a cada 40 segundos.
Além do sequestro, a venda de dados no mercado negro virtual, principalmente na deep web, também é um dos principais estímulos para os hackers. Para se ter uma ideia, em 2016, dados de mais de 17 milhões de usuários do Linkedin estavam a venda no mercado negro por pouco mais de US$ 2.000.
Além do vazamento
Além de dados de usuários e senhas, alguns empresários deparam-se com o roubo de código-fonte, descrições de plano de marketing ou novos produtos e vazamento de informações confidenciais para concorrentes.
Foi o que aconteceu com o programador e empreendedor Sérgio Silva* (*nome fictício), que, em 2015, descobriu que um de seus funcionários havia roubado a descrição e o código-fonte de um dos produtos da empresa de tecnologia que ele administrava. “Não tinha ideia que ele tinha acesso a tudo. Um dos funcionários compartilhou sua senha e ele teve acesso a tudo”, conta o programador que não quis se identificar para a matéria.
Já Sandro Camargo, que hoje é arquiteto de soluções da empresa A System, conta que participou de um caso quando trabalhava em uma empresa de TV por assinatura que envolveu vazamento de informações por e-mail. “Detectamos e-mails de um gerente comercial enviando informações confidenciais para o seu e-mail pessoal. até que um dia ele enviou um desses e-mails diretamente para o concorrente direto”, conta. O profissional foi desligado da da empresa e processado.
E como monitorar tudo isso?
Com tantas informações armazenadas em estruturas em Cloud (na famosa nuvem) e trafegando pela rede, nem sempre é fácil monitorar todos os acontecimentos. Um velho clichê da segurança resume bem a situação —existem dois tipos de empresas no mundo: as que já sabem que foram hackeadas e as que ainda não sabem.
“Estimativas indicam que metade das companhias do mundo terá estruturas em Cloud ou Data Centers externos para recuperação de desastres primários até o ano que vem e, já em 2020, cerca de 30% das 2.000 maiores empresas globais estarão impactadas por grupos de ciberativistas ou cibercriminosos”, diz Mário Rachid, Diretor Executivo de Soluções Digitais da Embratel.
Para não cair na lista das empresas que “ainda não sabem”, muitas companhias têm optado por buscar serviços e ajuda de outras empresas especialistas, capazes de monitorar e prever determinados acontecimentos.
É o caso do Embratel Cyber Intelligence, uma solução lançada em 2016 pela Embratel capaz de identificar previamente possíveis ameaças, inclusive monitorando o que acontece no tráfego da rede e detectando movimentos na Deep Web, Dark Web e de dispositivos de Internet das Coisas.
De regra geral, a partir da coleta de dados nos clientes, a Embratel cria um perfil com as caraterísticas técnicas de cada estrutura. Diante de qualquer alteração, as empresas são avisadas imediatamente sobre movimentos indevidos e sobre as melhores estratégias de defesa para se protegerem das ameaças e para prevenirem novos ataques de negação de serviço (DDoS).
“Nossa nova solução pode ajudar as empresas a analisarem seus níveis de proteção e a monitorarem, com inteligência preditiva, eventuais movimentos na Internet”, diz o Diretor Executivo da Embratel.
Na manhã de segunda-feira (16), a notícia de que a encriptação WPA e WPA 2 utilizada em redes WiFi seria facilmente explorada por cibercriminosos aumentou o nível de preocupação no mundo da cibersegurança. Felizmente, a Microsoft anunciou um pacote de atualização para atacar esse problema nos sistemas Windows — vale notar que sistemas macOS, Android, iOS e Linux que utilizam WiFi WPA continuam vulneráveis.
“Soltamos uma atualização de segurança para resolver este problema. Os consumidores que atualizarem o sistema, ou possuem as atualizações ativadas de maneira automática, estarão protegidos. Nós continuaremos encorajando nossos consumidores para ligarem as atualizações automáticas, isso ajudará a mantê-los seguros”, comentou um porta-voz da Microsoft.
- A Microsoft ainda não revelou maiores detalhes sobre a atualização, mas fará isso nas próximas horas.
Outros sistemas
Apesar de ter foco maior no Android — 41% dos dispositivos com o sistema da Google estariam vulneráveis a esse ataque, algo considerado “especialmente devastador” pelos especialistas —, a falha está presente nas criptografias WPA e WPA2, ou seja, gadgets com Windows, macOS, iOS e outros sistemas baseados no Linux também estão sujeitos a sofrer as consequências dela.
De acordo com especialistas de segurança, os dispositivos Android e Linux podem ser os mais afetados. A Google prometeu uma atualização que corrige a brecha para as próximas semanas — e os aparelhos Google Pixel serão os primeiros a receberem.
A Apple ainda não comentou sobre o caso, desde a vulnerabilidade no macOS e iOS até uma possível atualização de emergência.
Já a Wi-Fi Alliance, rede responsável pela tecnologia WiFi utilizada nos dispositivos ao redor do mundo, comentou que o problema pode ser resolvido por “atualizações de software disponibilizadas pelas fabricantes, e que a ‘indústria Wi-Fi’ já começou a disponibilizar pacotes de atualização”.
Faz algum tempo que hackers estão mexendo com os sistemas de segurança automotivos. Na Europa, a invasão desses sistemas é uma realidade e, por causa disso, os roubos de veículos estão aumentando. Não importa qual é o sistema conectado — seja alarme, bloqueador ou entrada sem chave física — há uma brecha sendo explorada em cada um deles.
Como nota o Express, um estudo divulgado no começo de 2017 mostrou que 110 modelos de carros que rodam no Reino Unido podem ter o sistema de entrada sem chave hackeados em questão de segundos. Para realizar o hack, tudo que um criminoso precisa é estar a menos de 100 metros do veículo e possuir um transmissor.
Agora, uma pesquisa da RAC indica que o número de roubos na Inglaterra e no País de Gales cresceu de 65.783 carros em 2013 para 85.688 em 2017 — e ainda faltam uns bons meses para o ano terminar. “Os avanços na tecnologia causaram uma queda significante no número de roubos se compararmos com 2002, que era de 300 mil em um ano. Contudo, o número voltou a crescer a partir de 2013”, comentou Mark Godfrey, diretor da RAC Insurance.
Os efeitos do aumento de roubos já estão surgindo: o preço para seguro automotivo está crescendo na Europa, principalmente para carros conectados. Segundo o relato, o principal problema e atração para hackkers maliciosos está em veículos que não possuem chaves físicas para entrada ou ignição.
“A tecnologia de segurança para carros está avançando rapidamente, mas sempre é uma ‘queda de braço’ contra os criminosos. No mesmo passo em que os veículos se tornam mais conectados, eles também se tornam mais vulneráveis para ciberameaças. Se as fabricantes não tomarem a liderança na resolução desse problema, os governos poderão se tornar mais proativos nas atualizações”, comentou a RAC.