[Segurança] Principais notícias de segurança em Abril de 2022

  Esse é mais um pequeno apanhado com algumas das principais notícias sobre segurança e fraudes online que aconteceram no mês passado. A proposta é focar em notícias relacionadas, principalmente, ameaças, a fraudes e golpes direcionadas a usuários finais no Brasil, ou casos mais relevantes no mundo. Algumas notícias, que eu acho mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.

Boa leitura!

01/04/2022 - Atento teve perdas de R$ 197 milhões após sofrer golpe de ransomware (Canaltech)

Segundo o relatório financeiro da Atento sobre 2021, o ataque de ransomware sofrido em outubro do ano passado gerou um impacto de mais de R$ 197 milhões para a companhia. O valor envolve as perdas de faturamento pela interrupção nas atividades, que estaria na casa dos R$ 164 milhões, bem como cerca de R$ 32 milhões em esforços de controle e contenção de danos.

01/04/2022 - Ciberataques a dados bancários cresceram 141% no Brasil (Minuto da Segurança)

03/04/2022 - Pela primeira vez, número de casos de estelionato supera o de roubos no estado do Rio (Extra)

05/04/2022 - Preso grupo do golpe do perfil falso que fez mais de 2 mil vítimas no WhatsApp (Canaltech)

A Polícia Civil prendeu em Goiás 29 pessoas suspeitas de participarem em golpes aplicados no WhatsApp, como parte da Operação 2 Face. A estimativa é que as fraudes tenham vitimado 2 mil pessoas no país inteiro, com um prejuízo de R$ 3 milhões. O golpe ocorria com os criminosos utilizando fotos de pessoas em perfis do WhatsApp, e entrando em contato com conhecidos e familiares dos donos da imagem para pedir quantias de dinheiro - o golpe do "falso perfil".

05/04/2022 - 54 milhões de credenciais são expostas por códigos maliciosos (Security Report)

05/04/2022 - Golpe de WhatsApp: criminosos que fizeram vítimas no DF têm bens apreendidos (Correio Brasiliense)

06/04/2022 - Operação prende suspeitos de aplicar golpes no WhatsApp em 15 estados (Canaltech)

A Polícia Civil e o Ministério Público de Minas Gerais, com o apoio das instituições do Mato Grosso, deflagaram a Operação Camaleão, que prendeu sete suspeitos de envolvimento com uma organização criminosa que aplicava golpes de estelionato no WhatsApp. Segundo as autoridades, as fraudes atingiram pessoas de pelo menos 15 estados do Brasil. As autoridades decretaram a indisponibilidade de R$ 1,8 milhão em bens e ativos dos investigados, para fins de futuro ressarcimento às vítimas.

06/04/2022 - Depois de parar São Paulo, hackers derrubam Justiça Federal de Pernambuco (Convergência Digital)

06/04/2022 - Venda de dados e acessos indevidos lideram denúncias à ANPD (Convergência Digital)

07/04/2022 - SP: Polícia Civil faz operação para combater golpe digital (SBT)

O Departamento Estadual de Investigações Criminais de São Paulo (Deic/SP) deflagrou uma operação para cumprir 50 mandados de busca e apreensão no combate de um tipo de golpe digital chamado de chargeback. Nele, os criminosos fazem transações com cartões de crédito e recebem os produtos pelos quais pagaram, mas, na sequência, pedem o cancelamento da compra e não devolvem o que receberam, gerando prejuízos para as operadoras.

07/04/2022 - Mais de 326 mil brasileiros foram alvos de fraudes em fevereiro (Convergência Digital)

As tentativas de fraude atingiram 326.290 brasileiros durante o mês de fevereiro, de acordo com o Indicador de Tentativas de Fraude da Serasa Experian. Isso significa que a cada 7 segundos alguém era alvo dos golpistas. Se comparado ao mesmo mês do ano passado, houve uma alta de 4,9% nos casos. Pessoas com idade de 36 a 50 sofreram 118.020 tentativas de fraude, sendo esta, a faixa etária mais visada pelos fraudadores.

07/04/2022 - Golpe usa tribunal do Distrito Federal e falso processo criminal para extrair dinheiro (Convergência Digital)

O Tribunal de Justiça do Distrito Federal e dos Territórios (TJDFT) alerta que criminosos têm enviado e-mails que mencionam processos criminais em nome das vítimas e informam sobre possível audiência, sem data nem local definido. Tais e-mails fraudulentos têm contatos de pretensos advogados como remetentes e contêm um link para consultar o suposto processo, que leva para um programa que, segundo as orientações dos criminosos, deve ser baixado ao custo aproximado de R$ 100.

07/04/2022 - Ransomware aumenta e valor médio dos resgates foi R$ 2,5 milhões em 2021 (Convergência Digital)

Segundo pesquisa da Unit 42, da Palo Alto Networks, a demanda média de resgate em casos de incidentes de ransomware em 2021 aumentou 144% no ano passado, para US$ 2,2 milhões (R$ 10 milhões), enquanto o pagamento médio subiu 78%, para US$ 541.010 (R$ 2,5 milhões). As indústrias mais afetadas foram Serviços Profissionais e Jurídicos, Construção, Atacado e Varejo, Saúde e Manufatura.

07/04/2022 - Polícia Federal prende hackers que invadiram portal do STF (Convergência Digital)

08/04/2022 - Vídeo mostra como quadrilha usou estacionamento falso para furtar carros de fãs durante show do Maroon 5 em SP (G1)

08/04/2022 - Varejista de autopeças é o mais novo alvo dos hackers no Brasil (Convergência Digital)

A rede de lojas de autopeças MercadoCar, que tem sede e operação na região metropolitana de São Paulo, amanheceu com suas lojas fechadas. Segundo um breve comunicado no site da empresa, houve um ataque cibernético que causou o fechamento temporário, sem fornecer informações sobre qual tipo de ataque foi sofrido.

11/04/2022 - Ataques ransomware vêm priorizando pequenas e médias empresas, indica estudo (Canaltech)

Um novo vírus para o sistema operacional Android, batizada de Octo, é capaz de roubar dados do usuário, registrar o que é digitado ou acessado e, até mesmos, utilizar o celular como se fosse o próprio dono. A praga é focada em aplicativos bancários, mas também pode ser usada em casos de fraude de criptomoedas, espionagem e outras ações maliciosas.

11/04/2022 - Nubank é condenado a indenizar correntista por fraude em aplicativo (Convergência Digital)

11/04/2022 - Em busca de mais renda, muitos brasileiros perdem dinheiro no golpe do falso emprego (Jornal Nacional / G1)

11/04/2022 - Google processa suposto estelionatário que usava suas ferramentas para praticar 'golpe dos filhotes' na internet (G1)

12/04/2022 - DDoS alcança amplificação de 220 bilhões de vezes (CISO Advisor)

12/04/2022 - Panasonic invadida novamente; Conti assume responsabilidade (em inglês) (info Risk Today)

12/04/2022 - T-Mobile comprou secretamente seus dados de clientes de hackers para prevenir o vazamento. Isso falhou. (em inglês) (vice)

No ano passado, a T-Mobile confirmou que foi violada depois que hackers ofereceram para venda os dados pessoais de 30 milhões de seus clientes por 6 bitcoins, no valor de cerca de US$ 270.000 na época. De acordo com documentos judiciais sobre o caso, um terceiro contratado pela T-Mobile tentou pagar aos hackers pelo acesso exclusivo a esses dados e impedi-los de vazar mais amplamente. Entretanto, o plano acabou falhando e os criminosos continuaram a vender os dados, apesar do terceiro ter pago a eles US$ 200.000.

12/04/2022 - Bandidos usam dados vazados para golpes com Pix; saiba se proteger (IG)

13/04/2022 - Ataques ransomware vêm priorizando pequenas e médias empresas, indica estudo (Canaltech)

15/04/2022 - Microsoft aumenta valores pagos em programa de bug bounty (Canaltech)

15/04/2022 - Banco Pan sofre vazamento de dados e possível extorsão (Tecmundo)

O Banco Pan confirmou que detectou recentemente uma "fragilidade" na plataforma de um fornecedor de tecnologia, utilizada na Central de Atendimento a clientes do segmento de cartões, o que permitiu o vazamento de informações de clientes. Isso possibilitou a cópia não autorizada de dados cadastrais e de limite disponível e saldo devedor "sem que tenham sido expostos dados completos de cartão, senhas ou qualquer dado que incorra em risco financeiro direto para o cliente e para o banco". Não foi informado quantos clientes foram expostos e, segundo o banco Pan, "não houve comprometimento de conta corrente, indisponibilidade de sistema, ou invasão à infraestrutura do Banco".

15/04/2022 - Esta lista foi compilada e compartilhada no blog do Anchises

17/04/2022 - Descoberto primeiro Malware direcionado a plataforma AWS Lambda Serverless (em inglês) (The Hacker News)

19/04/2022 - Volume de phishing bateu recordes em 2021 (CISO Advisor)

Segundo dados do Relatório de Ameaças 2022, elaborado pela BrightCloud, o volume de ataques de phishing subiu de modo extraordinário em 2021,, representando 770% no aumento global da atividade de phishing durante o mês de maio de 2021. Isso inclui tentativas de contaminação por meio de e-mails, textos e plataformas de comunicação, além de novas URLs maliciosas de alto risco escondidas atrás de de proxies e anonimizadores. 54% de todos as URLs de phishing detectadas em 2021 eram de marcas mais visadas: Apple, Facebook, YouTube, Microsoft e Google. O relatório destaca que o malware de criptomineração se tornou popular à medida que os cibercriminosos continuam procurando maneiras de comprometer dados e informações pessoais.

19/04/2022 - Atualização falsa do Windows 11 é a isca para roubar dados e criptomoedas (Canaltech)

19/04/2022 - McDonald's confirma vazamento de CPF, email e outros dados de clientes (UOL)

19/04/2022 - Receita autoriza Serpro a vender dados pessoais para terceiros (Convergência Digital)

19/04/2022 - Hackers usam atualização falsa do Win11 para roubar carteiras de criptomoedas (Minuto da Segurança)

20/04/2022 - Empresa de turbinas eólicas Nordex atingida por ataque de ransomware (Minuto da Segurança)

21/04/2022 - Ransomware Conti ataca entidades do governo na Costa Rica (em inglês) (Data Breach Today)

Depois de ter atacado o site do Ministério da Fazenda e do serviço de meteorologia da Costa Rica, os operadores do ransomware Conti agora ameaçam atacar as grandes empresas do país por não terem recebido o pagamento do resgate. Embora o valor não apareça nas publicações do grupo, há comentários de que o resgate exigido seria de US$ 10 milhões, em criptomoeda. O grupo já publicou perto de 620GB de dados do governo, num total de 37 arquivos compactados como Zip e RAR. Por causa do problema no Ministério da Fazenda, muitos serviços do governo foram paralisados, inclusive os da alfândega.

21/04/2022 - Hackers infiltram malware 'More_Eggs' em currículos enviados a gerentes de contratação corporativa (em inglês) (The Hacker News)

22/04/2022 - T-Mobile admite que hackers da Lapsus$ obtiveram acesso a suas ferramentas internas e código-fonte (em inglês) (The Hacker News)

A empresa de telecomunicações americana T-Mobile confirmou que foi vítima de uma violação de segurança em março deste ano, depois que a gangue de mercenários LAPSUS$ conseguiu acessar suas redes. Segundo reportagem do jornalista Brian Krebs bate-papos internos entre aos principais membros do grupo indicaram que a empresa foi acessada várias vezes em março antes da prisão de seus membros. A T-Mobile, em comunicado, disse que o incidente ocorreu graças ao uso de credenciais roubadas dos funcionários da T-Mobile para acessar sistemas internos, credenciais de VPN que foram usadas para acesso inicial e foram obtidas de sites ilícitos. Além de obter acesso a uma ferramenta interna de gerenciamento de contas de clientes chamada Atlas, os chats mostram que o LAPSUS$ violou as contas Slack e Bitbucket da T-Mobile, usando esta última para baixar mais de 30.000 repositórios de código-fonte.

22/04/2022 - Ransomware anuncia Secretaria da Fazenda do RJ como vítima (CISO Advisor)

O grupo que opera o ransomware Lockbit anunciou a Secretaria da Fazenda do Estado do Rio de Janeiro como uma de suas vítimas. Em seu site de vazamentos, o grupo informou ter se apoderado de um total de 420GB de dados da Secretaria em 2.338.476 arquivos supostamente em seu poder.

25/04/2022 - Premiação de “hackers do bem” concede recompensas em total acima de R$ 1,9 milhões (Olhar Digital)

Organizado pelo Zero Day Initiative (ZDI), o maior programa independente de recompensas de bugs do mundo, a premiação Pwn2Own Miami 2022 concedeu valores em um total de US$ 400 mil aos participantes. Este valor foi distribuído por 26 explorações exclusivas de sistemas de controle industrial (ICS) ao longo de três dias de competição.

25/04/2022 - Bancário compra iPhone de R$ 9 mil pela internet e recebe duas caixas de creme de leite (Tudo Celular)

25/04/2022 - Cuidado! Mostrar a rubrica no Instagram pode te expor a golpes online (UOL)

26/04/2022 - Rede de hospitais da França desliga internet após sofrer ataque cibercriminoso (Canaltech)

27/04/2022 - Nova versão do Guia dos Agentes de Tratamento (ANPD)

27/04/2022 - Coca-Cola investiga alegação de violação de dados (em inglês) (Data Breach Today)

Através de seu canal no Telegram, o grupo de ransomware Stormous alegou que teria violado e exfiltrado 161 GB de dados críticos da fabricante de bebidas Coca-Cola. A empresa disse estar investigando o caso.

27/04/2022 - American Dental Association atingida por incidente cibernético disruptivo (em inglês) (Data Breach Today)

A American Dental Association (ADA) supostamente foi atingida por um ciber ataque pelo "Black Basta", um novo grupo de ransomware. A ADA é a mais recente organização profissional médica que lida com um incidente cibernético, causando a interrupção dos serviços.

28/04/2022 - Participantes de bug bounty podem faturar até R$ 120 mil em menos de um ano (Canaltech)

28/04/2022 - Conti anuncia agência de inteligência do Peru como vítima (CISO Advisor)

28/04/2022 - Cloudflare registra ataque DDoS com 15,3 milhões de rps (CISO Advisor)

28/04/2022 - LinkedIn se torna a marca mais usada em ataques de phishing (Minuto da Segurança)

29/04/2022 - Microsoft identificou mais de 200 ciber ataques da Russia contra a Ucrânia (em inglês) (The Hacker News)

30/04/2022 - Europol aponta que deepfakes serão muito usadas ​​pelo crime organizado (Olhar Digital)

Veja também o vídeo dos incidentes do mês de Abril de 2022 produzido pela CECyber. Desta vez, eles destacaram 2 incidentes: o vazamento de dados da rede McDonalds, com 400 mil registros de clientes e funcionários, e o ataque sofrido pela T-Mobile (nos EUA), que teve códigos-fontes de seus softwares roubados pelo grupo Lapsus$.

Veja também:

• Principais notícias de segurança em Maio de 2021
• Principais notícias de segurança em Junho de 2021
• Principais notícias de segurança em Julho de 2021
• Principais notícias de segurança em Agosto de 2021
• Principais notícias de segurança em Setembro de 2021
• Principais notícias de segurança em Outubro de 2021
• Principais notícias de segurança em Novembro de 2021
• Principais notícias de segurança em Dezembro de 2021
• Principais notícias de segurança em Janeiro de 2022
• Principais notícias de segurança em Fevereiro de 2022
• Principais notícias de segurança em Março de 2022

[Segurança] O impacto do ataque de ransomware nos resultados da Atento

Esse é o tipo de notícia que todo vendedor de produtos de segurança adora compartilhar: Ao publicar os resultados fiscais do último trimestre e de todo ano de 2021, a Atento destacou os prejuízos causados pelo ciber ataque que sofreram em outubro do ano passado, quando a operação brasileira ficou fora do ar por vários dias devido a um ataque de ransomware.

De acordo com o relatório para os investidores, o ciber ataque teve um "impacto não recorrente" na receita da empresa no último trimestre de 2021 no valor de:

34,8 milhões de dólares

Isso após a empresa passar os três primeiros trimestres do ano com crescimento do EBITDA (sigla em inglês para "Earnings before interest, taxes, depreciation and amortization", ou seja, “Lucros antes de juros, impostos, depreciação e amortização”). Esse é um indicador muito utilizado para avaliar empresas de capital aberto pois representa a geração operacional de caixa da companhia. Ou seja, o quanto a empresa gera de recursos em suas atividades operacionais, sem levar em consideração os efeitos financeiros e impostos.

O relatório menciona constantemente o impacto do ciber ataque na operação brasileira da Atento, em quase todo parágrafo!

Em Outubro de 2022 a Atento comunicou ter sofrido um ciberataque a seus sistemas no Brasil e que interrompeu temporariamente os serviços de call center, aos clientes locais. A empresa apareceu listada entre as vítimas de operadores do ransomware Lockbit 2.0, indicando que sofreu ataque de ransomware. A empresa teve um conjunto de dados vazados, incluindo documentos sensíveis que abordam estratégias, balanços financeiros, arquivos com dados de faturamentos e dados de contratantes. As operações foram interrompidas por vários dias, e muitos clientes chegaram a desligar suas conexões com a Atento com receio de serem contaminadas pelo ransomware.

Veja um resumo com as principais informações apresentadas no relatório para os investidores:

• Impactos do ciber ataque nos resultados do 4º trimestre de 2021 (Q4 2021):
• Impacto total: US$ 46,1 milhões de dólares
• Impacto na receita: US$ 34,8 milhões de dólares
• Gastos: US$ 11,3 milhões de dólares (gastos com medidas de proteção, detecção e remediação)
• Queda de 22,2% na receita do Q4 2021;
• Queda de 17,4 milhões de dólares no EBITDA
• A receita anual caiu 0,2% quando comparada com 2020 (versus estimativa de crescimento de 5,9% se não tivesse ocorrido o ciber ataque)
• O EBITDA anual caiu 36%, em vez de crescer 26,2% se o ciber ataque não tivesse ocorrido.

O relatório deixa claro que o ciber ataque no Brasil causou um grande impacto financeiro para a empresa no país e puxou para baixo os resultados da Atento em todo o mundo. Eu separei também alguns trechos relevantes do relatório que mostram isso:

• O EBITDA consolidado da Atento no quarto trimestre diminuiu 90,8% para US$ 4,7 milhões, com a margem caindo 131 bps para 1,4%, principalmente devido ao ataque cibernético mencionado anteriormente que impactou as operações da empresa no Brasil e resultou em US$ 34,8 milhões em perda na receita e US$ 11,3 milhões em custos relacionados a proteção, detecção e remediação. O EBITDA do ano inteiro diminuiu 6,1% para US$ 145,8 milhões, principalmente devido a uma queda de 36,5% no Brasil, enquanto o EBITDA das Américas e EMEA aumentou 15,5% e 72,7%, respectivamente. No ano, a margem EBITDA caiu 130 bps para 10,1%.
• O fluxo de caixa livre de 2021 foi negativo em US$ 55,5 milhões, principalmente devido ao impacto do ataque cibernético de US$ 25,1 milhões, custos únicos de refinanciamento de US$ 21 milhões e impostos de US$ 20 milhões postergados graças aos programas de alívio da Covid em 2020. Ao excluir esses itens, o fluxo de caixa livre foi de US$ 10,5 milhões no ano, comparado a US$ 39,9 milhões em 2020.
• A receita do quarto trimestre no Brasil diminuiu 22,2%, para US$ 111,5 milhões, devido à interrupção provocada pelos ataques cibernéticos nas operações da empresa no país. As vendas multissetoriais e TEF caíram 17,5% e 39,0%, respectivamente. Ao excluir o impacto de US$ 34,8 milhões do ataque cibernético, a receita aumentou 2,0% para US$ 146,3 milhões, com as vendas multissetoriais diminuindo 0,7% e as vendas TEF aumentando 11,5%.

O relatório também menciona, muito superficialmente, quais foram as atualização nos controles de segurança cibernética provocadas pelo ataque de ransomware na empresa:

• Reforço nas medidas de proteção, detecção e remediação de segurança cibernética;
• Realização de acordos de parceria com os melhores provedores de segurança cibernética, como CrowdStrike e Microsoft;
• Estabelecer as melhores práticas e trabalhar em estreita colaboração com grupos e agências de defesa para melhorar o alerta preventivo e a preparação para ameaças.

Para saber mais:

• Atento sofre ciberataque no Brasil (Valor, 18/10/2021)
  
• Atento teve perdas de R$ 197 milhões após sofrer golpe de ransomware
• Página de relacionamento com os investidores
• Atento Reports Fiscal 2021 Fourth Quarter and Full Year Results
• Apresentação: Atento 4Q & Fiscal 2021 Results
• Relatório da Atento: Resilience in the Time of Ransomware

[Segurança] Jeff Moss no YSTS !!!

Essa notícia é bem legal! O pessoal do You Sh0t the Sheriff (YSTS) acabou de anunciar a participação do Jeff Moss no evento!

Conforme a descrição no site do evento, o Jeff Moss vai participar do "Fireside chat with The Dark Tangent", uma atividade que promete ser uma "oportunidade para os participantes do YSTS 14 interagir em um Q&A ao vivo (e remotamente) com o Jeff Moss (aka: Dark Tangent), em um bate papo informal". O Jeff irá participar remotamente do bate-papo.

O Jeff Moss, também conhecido pelo seu nick Dark Tangent, é criador e fundador das conferências Defcon e Blackhat - certamente uma grande personalidade na história da cultura hacker e do mercado de segurança.

Não menos importante, o YSTS também vai trazer novamente o Cris Thomas (Space Rogue), um dos fundadores do histórico grupo L0pht Heavy Industries. Veja a agenda completa do YSTS, que acontecerá em São Paulo no dia 23 de maio.

O YSTS acontece em um lugar secreto, informando somente aos participantes. O evento também não vende ingressos, eles são fornecidos apenas pelos patrocinadores. Ou seja, a única forma de participar do YSTS é ser convidado por um dos patrocinadores.

PS: Post corrigido, pois inicialmente eu tinha entendido que o Jeff Moss estaria presencialmente no YSTS.

[Segurança] Dicas de segurança da CISA no Star Wars Day

Antes tarde do que nunca, eu quero deixar registrado o quanto eu gostei das ações que o pessoal da CISA (Cybersecurity and Infrastructure Security Agency) realizaram ontem, no Star Wars Day, aproveitando a data para destacar algumas dicas de segurança relacionadas ao uso de Multi-factor authentication (MFA) e cuidados com ataques de phishing. Eles produziram algumas imagens e até mesmo um pequeno vídeo, que foram compartilhados nas redes sociais.

Eu mesmo recebi as imagens em alguns grupos no WhatsApp - ou seja, a campanha certamente viralizou entre a comunidade de segurança!

A campanha ficou bem objetiva, divertida e legal, explorando o tema Star Wars para conscientizar sobre algumas dicas básicas.

#MayTheFourth

[Segurança] Top Women in CyberSecurity 2022

A comunidade LATAM Women in Cybersecurity (WOMCY) está organizando a terceira edição do prêmio Top Women in CyberSecurity - Latin America.

A premiação é organizada em conjunto com WOMCY e a WISECRA (Women in Security & Resilience Alliance) para reconhecer as mulheres que trabalham no mercado de cibersegurança na América Latina e na comunidade latina nos EUA que fizeram contribuições significativas e moldaram o caminho para as gerações futuras de novas profissionais.

As indicações para a premiação podem ser feitas até 08/05 através desse formulário: https://bit.ly/topwomen2022. É possível indicar uma pessoa ou a si mesma.

As ganhadoras serão anunciadas no dia 17 de junho de 2022, em uma cerimonia online organizada pela WOMCY.

Para saber mais:

• WOMCY y WISECRA lanzan Tercera edición del “Top Women in Cybersecurity – Latin America 2022”

[Cidadania] Calendário da Diversidade

O portal Mais Diversidade tem disponível, online, um Calendário da Diversidade, um material que lista muitas datas nacionais e internacionais relacionadas a celebração da diversidade e inclusão das mais diversas minorias.

O calendário traz várias sugestões de datas que ajudam a conscientizar sobre esses temas, e eu separei algumas delas, para ilustrar a quantidade de datas e temas diferentes que podemos trabalhar em ações de conscientização a favor do respeito a diversidade (sem querer desmerecer as demais!):

• Janeiro
• 04/01: Dia Mundial do Braile
• 21/01: Dia Nacional de Combate a Intolerância Religiosa
• 29/01: Dia Nacional de Visibilidade das Pessoas Travestis e Trans
• Fevereiro
• 11/02: Dia Internacional das Mulheres e Meninas na Ciência
• Março
• 08/03: Dia Internacional da Mulher
• 21/03: Dia Internacional da Síndrome de Down
• 21/03: Dia Internacional de Luta pela Eliminação da Discriminação Social
• Abril
• 02/04: Dia Mundial do Autismo
• 19/04: Dia do Índio
• Maio
• 17/05: Dia Internacional contra a LGBTfobia
• Junho
• 20/06: Dia Mundial do Refugiado
• 28/06: Dia Internacional do Orgulho LGBT
• Julho
• 13/07: Dia do Estatuto da Criança e do Adolescente
• Agosto
• 19/08: Dia do Orgulho Lésbico
• Setembro
• 21/09: Dia Nacional da Pessoa com Deficiência
• 23/09: Dia da Visibilidade Bissexual
• 26/09: Dia Nacional do Deficiente Auditivo
• Outubro
• 2a terça-feira: Ada Lovelace Day
• 01/10: Dia Internacional das Pessoas Idosas
• 10/10: Dia Mundial da Saúde Mental
• Novembro
• 18/11: Dia Nacional de Combate ao Racismo
• 19/11: Dia do Empreendedorismo Feminino
• 20/11: Dia da Consciência Negra
• 25/11: Dia Internacional do Combate a Violência contra a Mulher
• Dezembro
• 01/12: Dia Internacional de Combate à AIDS
• 02/12: Dia Internacional para Abolição da Escravatura
• 03/12: Dia Internacional da Pessoa com Deficiência
• 05/12: Dia Internacional do Voluntariado
• 06/12: Dia Nacional de Mobilização dos Homens pelo Fim da Violência contra as Mulheres
• 13/12: Dia Nacional da Pessoa com Deficiência Visual

Para saber mais, visite o portal Mais Diversidade.

[Segurança] Phish scale para dimensionar a complexidade do seu teste de phishing

Quando falamos sobre conscientização dos usuários finais sobre ciber segurança, provavelmente a primeira iniciativa que vem na cabeça dos profissionais da área são os testes de phishing, aonde são enviadas aos usuários da empresa mensagens semelhantes a golpes conhecidos de phishing. O objetivo é testar os usuários e identificar se eles são alvos fáceis, e portanto, identificar a necessidade de treinamentos e ações de educação específicas.

Para ajudar as empresas a avaliar se uma mensagem de teste de phishing é realista e se ela é fácil de ser identificada pelos usuários finais, o pessoal do NIST criou o projeto Phish scale.

O Phish scale utiliza uma escala com 2 parâmetros para classificar a dificuldade de identificar uma mensagem de phishing, baseado na quantidade de "dicas" presentes na mensagem (por exemplo, erros de digitação ou gramática no texto, uso de endereços de e-mail genéricos, etc) e a aderência ao contexto do usuário (por exemplo, quando é relacionado a empresa ou sou trabalho da vítima).

Assim, com o uso dessa escala, podemos adaptar a complexidade da mensagem de phishing ao nosso público-alvo ou ao melhor momento em que a campanha de testes é realizada.

O Phish Scale faz parte de um projeto do NIST sobre a usabilidade da ciber segurança, que tem um subprojeto específico sobre Phishing.

Para saber mais:

• The Phish Scale: NIST-Developed Method Helps IT Staff See Why Users Click on Fraudulent Emails
• Página dos projetos do NIST sobre phishing
• Veja abaixo o vídeo curto que o pessoal do NIST fez para explicar o projeto:

[Segurança] Principais notícias de segurança em Março de 2022

 Esse é mais um pequeno apanhado com algumas das principais notícias sobre segurança e fraudes online que aconteceram no mês passado. A proposta é focar em notícias relacionadas, principalmente, ameaças, a fraudes e golpes direcionadas a usuários finais no Brasil, ou casos mais relevantes no mundo. Algumas notícias, que eu acho mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.

Boa leitura!

01/03/2022 - Japão confirma ciberataque que fez parar 14 fábricas da Toyota no país (Olhar Digital)

02/03/2022 - Empresa é condenada por copiar arquivos privados de trabalhador (Migalhas)

02/03/2022 - Ataques cibernéticos ao governo e ao setor militar da Ucrânia aumentaram em 196% (Security Report)

02/03/2022 - Polícia Federal apresenta projeto para criação de Força-Tarefa inédita no país contra crimes cibernéticos (DCiber)

02/03/2022 - Aplicativos feitos pelo governo para Android trazem risco, alerta CGU (Metrópoles)

02/03/2022 - AON investiga ataque cibernético em seus sistemas (Security Report)

03/03/2022 - Não caia no golpe "Donate to help children in Ukraine" ("Doe para ajudar crianças na Ucrânia") (em inglês) (MalwareBytes)

03/03/2022 - Receita alerta para golpe de saque imediato da restituição do imposto de renda (UOL)

03/03/2022 - Má configuração causou maioria de incidentes de nuvem em 2021 (CISO Advisor)

03/03/2022 - Ransomware é uma forte ameaça para as empresas brasileiras em 2022 (Security Report)

03/03/2022 - Incidente paralisou fabricante de pneus Bridgestone nos EUA (CISO Advisor)

03/03/2022 - Ataques a APIs crescem quase 700% nos últimos 12 meses (CISO Advisor)

04/03/2022 - Ataques de Credential-Stuffing em sistemas Windows remotos decolaram em 2021 (Minuto da Seguranca)

04/03/2022 - Grupo Lapsus$ invade e vaza dados da Samsung (BoletimSec)

A Samsung confirmou a violação de segurança que resultou na exposição de dados internos da empresa, incluindo o código-fonte dos seus smartphones Galaxy. Segundo a empresa, o vazamento não inclui informações pessoais de consumidores ou funcionários.

05/03/2022 - Empresário é sequestrado e tem ‘criptomoedas’ roubadas em Volta Redonda (Informa Cidade)

06/03/2022 - Mercado Livre confirma vazamento revelado pelo Lapsus$ (CISO Advisor)

Depois do grupo de cibercrime Lapsus$ indicou estar na posse de dados das empresas MercadoLibre (nome do controlador do MercadoLivre), MercadoPago, Vodafone e a Impresa (maior empresa de mídia de Portugal), o Mercado Livre confirmou em nota o acesso não autorizado e possível vazamento de parte do código-fonte do MercadoLivre Inc e de dados de aproximadamente 300.000 usuários.

06/03/2022 - Guerra cibernética: Ucrânia relata ataques “incessantes” de hackers russos (Olhar Digital)

06/03/2022 - Golpe: problema gravíssimo de segurança envolvendo a operadora Claro, o Instagram e bancos digitais (Olhar Digital)

Segundo denúncias de clientes, golpistas conseguem obter um novo chip da Claro com o número telefônico em nome de uma pessoa (os criminosos fecham a conta da vítima, ou simplesmente fazem uma portabilidade). Em seguida, eles assumem o perfil no Instagram dessa pessoa e passam a comercializar produtos pela rede social, negociando por meio de Pix cadastrado em uma conta bancária digital criada em nome da mesma vítima.

07/03/2022 - Ataques cibernéticos afeta infraestrutura de países da Europa (Minuto da Seguranca)

07/03/2022 - 1.223 endereços gov.br estão contaminados com malware (CISO Advisor)

08/03/2022 - Gangue do ransomware Hive ataca empresa de petróleo na Romênia em ataque recente (em inglês) (The Record)

08/03/2022 - Checklist de cibersegurança diante da crise na Ucrânia (Minuto da Seguranca)

08/03/2022 - FBI descobre que Ragnar Locker atingiu 52 alvos críticos de infraestrutura (em inglês) (TechTarget)

08/03/2022 - Google: Hackers russos atacam ucranianos e aliados europeus em ataques de phishing (em imglês) (The Hacker News)

08/03/2022 - Ataque prejudica transporte urbano de Curitiba (CISO Advisor)

Um ciber ataque foi apontado pela Prefeitura de Curitiba como a causa dos problemas que ocorreram com o sistema de transporte público da cidade, impactando o site da Urbs, Urbanização de Curitiba S.A., a empresa que administra o sistema de transporte. Além disso, houve queixas em relação ao sistema de recarga dos cartões de transporte.

09/03/2022 - Ciber atacantes exploram dispositivos Mitel para amplificar ataques DDoS 4 bilhões de vezes (em inglês) (The Hacker News)

09/03/2022 - Bug crítico permite a atacantes invadir remotamente e destruir dispositivos Smart-UPS da APC (em inglês) (The Hacker News)

Batizada de TLStorm, a falha explora três vulnerabilidades no protocolo de comunicação via rede, não autenticado, permitindo o acesso remoto aos dispositivos Smart-UPD da APC, podendo até mesmo causar danos físicos ao equipamento.

09/03/2022 - Redes de varejo estão entre os dez setores mais atacados por cibercriminosos (Minuto da Segurança)

09/03/2022 - Golpe da maquininha: Mulher paga R$ 2 mil por corrida de R$ 10 de app (UOL)

10/03/2022 - Startup lança programa de "caça bugs" gratuito para empresas (Exame)

10/03/2022 - Polícia Federal faz operação contra fraudes na Caixa Econômica (Agência Brasil)

A Polícia Federal deflagrou a Operação Anakin para desarticular uma organização criminosa especializada em fraudes bancárias e invasões cibernéticas aos sistemas da Caixa Econômica Federal. Os criminosos obtinham dados e acesso a contas bancárias, fazendo emissão de cartões de crédito para compras, pagamentos e saques. Os envolvidos nos crimes contavam com a ajuda de um funcionário dos Correios para repassar os cartões fraudados e causaram um prejuízo estimado de R$ 140 milhões. Foram presas quatro pessoas e cumpridos oito mandados de busca e apreensão em São Paulo.

11/03/2022 - Triplica o uso de biometria e senhas bancárias na plataforma Gov.br (Convergência Digital)

11/03/2022 - 58% dos brasileiros sofreram crimes cibernéticos, aponta estudo da Norton (Exame)

11/03/2022 - Procon-SP notifica Mercado Livre após ataque cibernético (TecMundo)

12/03/2022 - Cibercrime vaza documentos sigilosos da imobiliária Lopes (CISO Advisor)

14/03/2022 - YouTube tem descrição de vídeos infectada com malware (TecMundo)

14/03/2022 - Idoso é preso após enviar recados via Pix para ex-namorada (TecMundo)

Após perseguir e ameaçar a ex-namorada por telefone e redes sociais, após o final do relacionamento, um idoso de 67 anos foi preso em Fortaleza (CE) depois de enviar uma série de recados para a ex-namorada utilizando o campo de comentários do Pix , o aplicativo de pagamentos instantâneos do Banco Central. O idoso já possui uma medida protetiva contra ele registrada na Delegacia de Defesa da Mulher (DDM).

14/03/2022- Coca-Cola dando frigobar? Promoção que circula no WhatsApp é golpe (TechTudo)

14/03/2022 - Certificados falsos de vacina são anunciados no Telegram por R$ 500 (Metropoles)

15/03/2022 - Ubisoft sofre ataque hacker e jogos saem do ar (Bit Magazine)

15/03/2022 - INTERPOL lança centro contra crimes financeiros e corrupção (em inglês) (INTERPOL)

15/03/2022 - Criminosos usam anúncios na internet sobre empréstimos para aplicar golpes (R7)

15/03/2022 - DPO: atividade inscrita no CBO pelo Ministério do Trabalho (CryptoID)

15/03/2022 - Receita: Golpe usa boleto falso do Simples Nacional para pagamento via Pix (Convergência Digital)

15/03/2022 - Ataque DDoS massivo tira do ar websites do governo israelense (em inglês) (The Hacker News)

15/03/2022 - Esta lista foi compilada e compartilhada no blog do Anchises

16/03/2022 - Suspeitos de aplicar golpes por aplicativo são alvos de operação no DF (Correio Braziliense)

16/03/2022 - Alta do e-commerce abre espaço para atuação de cibercriminosos no Brasil e no mundo (Minuto da Segurança)

16/03/2022 - Novo bug causa loop infinito no OpenSSL e pode permitir que atacantes derrubem servidores remotamente (em inglês) (The Hacker News)

17/03/2022 - Criticar empresa no Facebook rende demissão por justa causa (Convergência Digital)

18/03/2022 - Ciber criminosos atacam redes bancárias com novo rootkit para roubar dinheiro de caixas eletrônicos (em inglês) (The Hacker News)

19/03/2022 - Malware já roubou senhas de mais de 100 mil usuários do Android (TecMundo)

Em depoimento na Câmara Municipal de São Paulo (SP) para a CPI dos Aplicativos, a diretora de segurança da 99, Tatiana Scatena, confirmou que a empresa foi vítima de um ataque cibernético no final de janeiro. Segundo a companhia, 0,006% dos motoristas parceiros tiveram suas contas comprometidas no aplicativo.

20/03/2022 - Grupo anti-Rússia ataca a Nestlé desfigurando site (CISO Advisor)

21/03/2022 - Ciberataques atingem níveis sem precedentes devido a guerra (Minuto da Segurança)

21/03/2022 - Demanda por cibersegurança faz salário disparar e multiplica cursos de TI (Terra)

21/03/2022 - PF prende casal que fraudou 3 mil pessoas e ficou com R$ 6 milhões com criptomoedas (Convergência Digital)

21/03/2022 - Coletar dados de localização de celular não fere a LGPD nem a privacidade (Convergência Digital)

22/03/2022 - Malware já roubou senhas de mais de 100 mil usuários do Android (TecMundo)

A empresa de segurança móvel Pradeo revelou a existência de um malware disfarçado de aplicativo para Android, distribuído na Google Play Store, denominado “FaceStealer” e distribuido em um editor de fotos aparentemente inofensivo. O app malicioso já foi instalado em pelo menos 100 mil dispositivos e é capaz de roubar as credenciais de acesso ao Facebook e transmiti-las para um servidor na Rússia.

22/03/2022 - Governo americano alerta empresas sobre potenciais ciber ataques da Rússia (em inglês) (The Hacker News)

22/03/2022 - Lapsus$ vaza material atribuído a Microsoft, Okta e LG (CISO Advisor)

22/03/2022 - FEBRABAN assina acordo de cooperação com Polícia Federal para repressão a crimes cibernéticos (FEBRABAN)

22/03/2022 - Empresa de autenticação Okta investiga anúncio de invasão digital (em inglês) (Reuters)

23/03/2022 - Ransomware veloz criptografa 100 mil arquivos em 4 minutos (CISO Advisor)

Segundo estudo realizado pela empresa Splunk em ambiente de laboratório controlado com dez amostras de ransomware, foi possível estimar a velocidade para criptografar quase 100 mil arquivos, num total de quase 53 GB. O ransomware LockBit foi o mais rápido, criptografando 25 mil arquivos por minuto, com velocidade 86% maior que a mediana de 43 minutos. O malware mais lento demorou três horas e meia. Em ordem de velocidade, os ransomwares analisados foram os seguintes: LockBit, Babuk, Avadon, Ryuk, REvil, BlackMatter, Lado escuro, Conti, Labirinto e Mespinoza (Pysa).

23/03/2022 - Ciberataque bloqueia tráfego da maior ferrovia italiana (CISO Advisor)

23/03/2022 - FBI: 6,9 bilhões de dólares perdidos por crimes na Internet em 2021 (em inglês) (The Record)

23/03/2022 - Ataque de ransomware interrompe serviços postais na Grécia (em inglês) (Data Breach Today)

23/03/2022 - Portal que emite guias do IPTU é clonado em BH e criminosos aplicam golpe (Estado de Minas)

24/03/2022 - Pai cai em golpe ao comprar videogame de presente para os filhos de falso policial federal (Folha Vitoria)

24/03/2022 - Hackers abriram 500 mil contas falsas com emails vazados no Brasil, diz estudo (Folha)

24/03/2022 - Valor médio de pedidos de resgate de ransomware aumentou 78% (CISO Advisor)

24/03/2022 - Governo anuncia plano tático contra cibercrimes (CISO Advisor)

24/03/2022 - Roubo de informações sigilosas tem forte crescimento no Brasil (CISO Advisor)

Segundo o serviço de inteligência de ameaças DarkTracer, 13.598 usuários foram infectados por malware e tiveram dados pessoais roubados somente em fevereiro de 2022, o que significa 2.560 vítimas a mais que no mês anterior. O número global também cresceu, de 104 mil em janeiro para mais de 39 mil infecções em fevereiro.

24/03/2022 - Valor médio de pedidos de resgate de ransomware aumentou 78% (CISO Advisor)

Estudo da Palo Alto Networks revela que o valor médio dos resgate de ransomware em 2021 ficou em US$ 541.010, enquanto a demanda aumentou 144%, perfazendo US$ 2,2 milhões.

24/03/2022 - Uma em cada cinco empresas leva, em média, seis meses para preencher uma vaga em segurança cibernética (Convergência Digital)

24/03/2022 - LGPD: Nas PMEs, 20% assumem não ter segurança da informação e 23% usam apenas antívirus gratuito (Convergência Digital)

24/03/2022 - Malware 'infostealer' faz 13,6 mil vítimas no Brasil em fevereiro (TecMundo)

A empresa de segurança ESET lançou um alerta sobre o aumento do número de vítimas de malwares conhecidos como “infostealer” tais como RedLine Stealer, Raccon Stealer, Vidar, Taurus e AZORult, entre outros. Somente no Brasil, 13.598 usuários foram afetados por estes códigos maliciosos no mês de fevereiro. O número global de infecções subiu de 104 mil em janeiro para 143 mil em fevereiro.

24/03/2022 - Rasomware: 649 empresas de infraestrutura crítica foram atacadas nos EUA em 2021 (Exame)

24/03/2022 - Grupo hacker Lapsus$ é preso após investigação da polícia de Londres (Exame)

A polícia de Londres, no Reino Unido, prendeu sete integrantes do grupo de cibercriminosos Lapsus$, responsável pela invasão de uma dezena de companhias internacionais e brasileiras. Os sete integrantes, com idades entre 16 e 21 anos, foram liberados sob investigação. A polícia afirma que o responsável pelo grupo havia alcançado uma fortuna de US$ 14 milhões por meio de invasões e extorsões.

24/03/2022 - Hackers norte-coreanos exploram o Chrome Zero-Day para atingir empresas de fintech, TI e mídia (em inglês) (The Hacker News)

Segundo o Grupo de Análise de Ameaças do Google (TAG), dois grupos hackers distintos apoiados pelo governo da Coreia do Norte exploraram uma falha de execução remota de código recentemente descoberta no navegador Chrome. Tais campanhas teriam como alvo organizações sediadas nos EUA, abrangendo empresas de mídia e notícias, TI, criptomoedas e fintechs, explorando a vulnerabilidade CVE-2022-0609, relativa ao componente Animation do navegador Chrome, que foi corrigida em 14 de fevereiro de 2022.

25/03/2022 - Nestlé hackeada pelo Anonymous – 10 GB de dados vazados (Minuto da Segurança)

25/03/2022 - Golpe no WhatsApp usa chatbot do INSS para roubar dados (TecMundo)

26/03/2022 - Confirmado: Anonymous invade o Banco Central da Rússia e vaza 28 GB de dados (em inglês) (Hack Read)

Um dos grupos afiliados ao Anonymous, "The Black Rabbit World" (Thblckrbbtworld), vazou 28 GB de documentos internos do Banco Central da Rússia em apoio à Ucrânia.

27/03/2022 - Golpe promete PIX por aniversário do Nubank no WhatsApp (TecMundo)

28/03/2022 - Golpistas criam perfis falsos de hotéis e pousadas para conseguir dinheiro (UOL)

O avanço da vacinação e a redução dos casos de covid-19 no país reaqueceram não só o setor do turismo, mas também o de golpes na internet, como a criação de perfis falsos de pousadas e hotéis nas redes sociais. Na maioria dos casos, criminosos reproduzem páginas oficiais dos hotéis e entram em contato com os seguidores do perfil oferecendo promoções e sorteio de diárias. Em troca, eles pedem os dados pessoais de cada um e tentam clonar o número de WhatsApp do futuro viajante. Em outros casos, disponibilizam links com vírus capazes de roubar senhas e dados dos usuários.

29/03/2022 - Força policial multinacional prende 108 suspeitos de fraudes (em inglês) (InfoRisk Today)

29/03/2022 - Incidente derruba sites do Sebrae em todo o país (CISO Advisor)

29/03/2022 - 2021 bate recorde com quase 10 milhões de ataques DDoS (CISO Advisor)

Os ciber cibercriminosos lançaram aproximadamente 4,4 milhões de ataques distribuídos de negação de serviço (DDoS) somente durante o segundo semestre de 2021, elevando o número total desse tipo de ataque para 9,75 milhões no ano, revela relatório da Netscout. 

29/03/2022 - Sascar, empresa de tecnologia do grupo Michelin, é vítima de ciberataque (Valor)

30/03/2022 - Hackers roubam mais de US$ 600 milhões de blockchain de jogos (CISO Advisor)

A Ronin Network, plataforma de blockchain desenvolvida para os games de NFTs Axie Infinity Axie DAO, anunciou que foi atacada por hackers, em que foram roubadas criptomoedas avaliadas em aproximadamente US$ 625 milhões, ou 173.600 Ethereum (cerca de R$ 3 bilhões na cotação do dólar do dia).

30/03/2022 - Empresário português perde quase R$ 18 mil após cair em golpe (Terra)

Um empresário português que está no Brasil perdeu quase R$ 18 mil em transferências Pix após ser enganado por uma golpista que atua em um aplicativo de relacionamentos. Segundo ele, a mulher dizia que era jornalista do exército norte-americano. Os pedidos de dinheiro começaram quando a mulher disse que viria ao Brasil e precisava de R$ 2,4 mil para enviar a bagagem primeiro. Depois, ela pediu mais R$ 15 mil porque dentro da bagagem tinha um cofre com US$ 74 mil. Para passar segurança para o português, a suposta jornalista enviou fotos de uma mala no aeroporto. Ela também pediu que ele alugasse um apartamento para os dois. No entanto, após as transferências, a mulher sumiu e ele percebeu que caiu em um golpe. 

30/03/2022 - Empresa de TI Globant se junta ao SEBRAE e ao grupo SASCAR e é alvo dos hackers (Convergência Digital)

30/03/2022 - Tribunal Regional Federal de São Paulo sofre novo ataque hacker (Convergência Digital)

Segundo pedido encaminhado ao Conselho Nacional de Justiça., o Tribunal Regional Federal da 3ª Região (SP e MS) sofreu um ataque de ransomware que paralisou seus sistemas ao criptografar e indisponibilizar tanto equipamentos do próprio TRF 3 como ambiente de virtualização. 

31/03/2022 - Log4Shell já responde por um terço das infecções por malware (CISO Advisor)

31/03/2022 - PCI Council publica PCI Data Security Standard v4.0 (CISO Advisor)

30/03/2022 - Vídeos: Gangue de motociclistas armados faz arrastão e rouba 3 pessoas em menos de 4 minutos em Santo André, no ABC Paulista (G1)

Veja também o vídeo dos incidentes do mês de Março de 2022 produzido pela CECyber. Desta vez, eles começaram o vídeo destacando uma iniciativa recente para ajudar no combate a ciber crimes, a criação do Plano Tático de Combate a Crimes Cibernéticos por parte do Governo Federal. Também falaram sobre a prisão dos 7 adolescentes que fazem parte do grupo Lapsus$, na Inglaterra.

Veja também:

• Principais notícias de segurança em Maio de 2021
• Principais notícias de segurança em Junho de 2021
• Principais notícias de segurança em Julho de 2021
• Principais notícias de segurança em Agosto de 2021
• Principais notícias de segurança em Setembro de 2021
• Principais notícias de segurança em Outubro de 2021
• Principais notícias de segurança em Novembro de 2021
• Principais notícias de segurança em Dezembro de 2021
• Principais notícias de segurança em Janeiro de 2022
• Principais notícias de segurança em Fevereiro de 2022

[Segurança] Max Headroom Attack

Há mais de 30 anos atrás, um ataque de roubo de sinal televisivo ficou famoso e ganhou o nome de "Max Headroom Attack".

Em 1987, no meio da transmissão de um episódio da série Doctor Who nos EUA, de repente apareceu a imagem de uma pessoa usando uma máscara do Max Headroom, um personagem fictício da TV inglesa, que era um host de notícias e comédia muito popular naquele tempo. O ataque foi muito noticiado e discutido na época pois os atacantes, até hoje desconhecidos, conseguiram piratear o sinal de transmissão do canal de TV WTTW, em Chigago.

A própria TV WTTX tem uma página que cita e mostra um vídeo curto, de quase 5 minutos, falando sobre esse ataque.

Para saber mais:

• Max Headroom Attack! (WTTW)
• Unsolved hijacking: the Max Headroom hack
• Thirty years later, “Max Headroom” TV pirate remains at large

[Segurança] Indicadores dos ciber ataques durante o conflito entre a Russia e Ucrânia

(Nota: Esse post foi suspenso e colocado sob revisão do Blogger sob suspeita de violação da política de comunidade do site (Malware and Viruses policy). Este post é apenas uma coletânea de fatos técnicos sobre o ciber conflito entre Russia e Ucrânia, incluindo uma linha do tempo com os ciber ataques realizados no período do conflito e seus indicadores técnicos, obtidos de fontes públicas e confiáveis, quando houver. 

Não há conteúdo malicioso sendo publicado aqui!

Note: This post was suspended and placed under review by Blogger staff, on suspicion of violating the site's community guidelines (Malware and Viruses policy). This post is just a collection of technical information and facts about the cyber conflict between Russia and Ukraine, including a timeline of cyber attacks carried out during the period of the conflict and their technical indicators (IOCs), obtained from public and trustworthy sources, whenever they were available.

There is no malicious content published here!)

Eu tenho acompanhado os aspectos de segurança desde o início desse triste conflito entre a Rússia e a Ucrânia, uma vez que a invasão russa foi precedida por alguns ciber ataques e acabou gerando diversas outras ações online.

Até o início de Abril, em 1 mês de conflito, já haviam sido identificados diversos malwares "wiper", um malware destinado a destruir dados e sistemas, utilizados em ciber ataques contra empresas e órgãos de governo da Ucrânia. Entre eles, alguns nomes que ficaram famosos, como o WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoubleZero e o AcidRain. Todo o acompanhamento, descritivo e linha do tempo com os diversos ciber ataques que ocorreram estão disponíveis nesse post: "Guerra cibernética na Ucrânia".

Para facilitar, eu preferi retirar do post original e destacar aqui a lista de indicadores de comprometimento (IOCs) relacionados aos ciber ataques envolveram o uso de códigos maliciosos.

Segue abaixo alguns IOCs mis relevantes relacionados aos malwares envolvidos nos principais  ciber ataques contra a Ucrânia:

• WhisperGate e WhisperKill (divulgados pela Microsoft, CERT-UA, Secureworks e CISCO Talos)
• No dia 13 de Janeiro foi identificada a ação de um malware "wiper", batizado de WhisperGate, que sobrescreve a Master Boot Record (MBR) do equipamento infectado e apresenta uma nota falsa de resgate, simulando um ransomware;
• Hashs do stage1.exe (BootPatch / MBR Wiper): a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92 (SHA-256)  189166d382c73c242ba45889d57980548d4ba37e (SHA-1) 5d5c99a08a7d927346ca2dafa7973fc1 (MD5)
• Hash do stage2.exe (WhisperGate / Downloader): dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78 (SHA-256) 16525cb2fd86dce842107eb1ba6174b23f188537 (SHA-1) 14c8482f302b5e81e3fa1b18a509289d (MD5)
• Hashs do payload do Stage 3 (WhisperPack / Loader DLL):  923eb77b3c9e11d6c56052318c119c1a22d11ab71675e6b95d05eeb73d1accd6 (SHA-256) b2d863fc444b99c479859ad7f012b840f896172e (SHA-1) b3370eb3c5ef6c536195b3bea0120929 (MD5)
• Hashs da DLL do Stage 3 (WhisperPack / Loader DLL): 9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d  (SHA-256) 82d29b52e35e7938e7ee610c04ea9daaf5e08e90 (SHA-1) e61518ae9454a563b8f842286bbdb87b (MD5)
• Hash do Stage 4 (WhisperKill / File Wiper):  34ca75a8c190f20b8a7596afeb255f2228cb2467bd210b2637965b61ac7ea907 (SHA-256) a67205dc84ec29eb71bb259b19c1a1783865c0fc (SHA-1) 3907c7fbd4148395284d8e6e3c1dba5d (MD5)
• HermeticWiper / KillDisk.NCV (descoberto pela ESET)
• Em 23/02, um pouco antes do início da invasão russa, foi identificado um "wiper" batizado de HermeticWiper (ou FoxBlade);
• 1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591 (SHA-256)
• 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da (SHA-256)
• a64c3e0522fad787b95bfb6a30c3aed1b5786e69e88e023c062ec7e5cebf4d3e (SHA-256)
• 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382 (SHA-256) 
• Cyclops Blink (NCSC/UK)
• Hash do arquivo cpd (sample 1): 50df5734dd0c6c5983c21278f119527f9fdf6ef1d7e808a29754ebc5253e9a86 (SHA-256)
• Hash do arquivo cpd (sample 2): c082a9117294fa4880d75a2625cf80f63c8bb159b54a7151553969541ac35862 (SHA-256)
• Hash do arquivo install_upgrade (sample 1): 4e69bbb61329ace36fbe62f9fb6ca49c37e2e5a5293545c44d155641934e39d1 (SHA-256)
• Hash do arquivo install_upgrade (sample 2): ff17ccd8c96059461710711fcc8372cfea5f0f9eb566ceb6ab709ea871190dc6 (SHA-256)
• IsaacWiper / Win32/KillMBR (ESET)
• No dia 24/02, no dia do início da invasão russa e um dia depois do ataque pelo HermeticWiper, um novo malware atacou a Ucrânia, batizado de IsaacWiper pela ESET. A empresa divulgou essa descoberta em 01 de Março;
• Hash do arquivo cl64.dll: AD602039C6F0237D4A997D5640E92CE5E2B3BBA3 (SHA-1)
• Hash do arquivo cld.dll: 736A4CFAD1ED83A6A0B75B0474D5E01A3A36F950 (SHA-1)
• Hash do arquivo clean.exe: E9B96E9B86FAD28D950CA428879168E0894D854F (SHA-1)
• Liberator / Disbalancer.exe (CISCO Talos)
• Em 09/03 o grupo de pesquisadores do CISCO Talos divulgou a descoberta de um malware disfarçado como um software batizado de "Liberator", promovida como uma ferramenta para realizar ataques DDoS contra alvos de propaganda da Rússia. O objetivo era infectar os "soldados cibernéticos" pró-Ucrânia, roubando dados da máquina aonde for instalado
• IP 95.142.46.35 - Porta 6666
• 33e5d605c1c13a995d4a2d7cb9dca9facda4c97c1c7b41dc349cc756bfc0bd67 (SHA-256)
• f297c69795af08fd930a3d181ac78df14d79e30ba8b802666605dbc66dffd994 (SHA-256)
• eca6a8e08b30d190a4956e417f1089bde8987aa4377ca40300eea99794d298d6 (SHA-256) (EXE)
• 705380e21e1a27b7302637ae0e94ab37c906056ccbf06468e1d5ad63327123f9 (SHA-256) (ZIP)
• CaddyWiper / Win32/KillDisk.NCX (ESET)
• No dia 14/03 a ESET noticiou a existência de um novo malware wiper atacando as redes das empresas da Ucrânia. Batizado de CaddyWiper, ele infecta servidores Windows;
• 98b3fb74b3e8b3f9b05a82473551c5a77b576d54 (caddy.exe)
• DoubleZero (CISCO Talos e CERT-UA)
• A partir do dia 17/03 as organizações ucranianas começaram a ser atacadas por mais um malware wiper distribuído através de ataques de spear-phishing, batizado de DoubleZero - conforme informado pelo CERT da Ucrânia em 23/03;
• d897f07ae6f42de8f35e2b05f5ef5733d7ec599d5e786d3225e66ca605a48f53 (SHA-256) 36dc2a5bab2665c88ce407d270954d04 (MD5)
• arquivo "csrss.zip": 8dd8b9bd94de1e72f0c400c5f32dcefc114cc0a5bf14b74ba6edc19fd4aeb2a5 (SHA-256) 989c5de8ce5ca07cc2903098031c7134 (MD5)
• arquivo "cpcrs.exe": 3b2e708eaa4744c76a633391cf2c983f4a098b46436525619e5ea44e105355fe (SHA-256) 7d20fa01a703afa8907e50417d27b0a4 (MD5)
• arquivo "csrss.exe": 30b3cbe8817ed75d8221059e4be35d5624bd6b5dc921d4991a7adc4c3eb5de4a (SHA-256) b4f0ca61ab0c55a542f32bd4e66a7dc2 (MD5)
• AcidRain (Sentinelone)
• Em 24/02 um malware wiper batizado de AcidRain foi utilizado para desativar os modens utilizados pela rede de acesso internet via satélites KA-SAT da empresa Viasat;
• 9b4dfaca873961174ba935fddaf696145afe7bbf5734509f95feb54f3584fd9a (SHA256)
• 86906b140b019fdedaaba73948d0c8f96a6b1b42 (SHA1)
• ecbe1b1e30a1f4bffaf1d374014c877f (MD5)
• PseudoSteel (CERT-UA)
• Em. 28/03 o CERT da Ucrânia alertou sobre a distribuição de mensagem com o malware PseudoSteel, disfarçado de um arquivo com nome ""Information on the loss of servicemen of the Armed Forces of Ukraine.docx.exe."" (em ucraniano). O vírus rouba arquivos locais e os envia para um servidor FTP externo;
• arquivo "Інформація_щодо_втрат_військовослужбовців_ЗС_України.docx.exe": eda76ae28628c64d9e12a86adef6dc69  (MD5) 13eaa638d071e7dc124cf982b8777c6ef50a3d9dc8c57d22d23abe1bae5560f5 (SHA-256)
• arquivo "googleupdate.exe": 878c30bdefb1b76ea10823a6d5a32f89 (MD5) bab351b5f19ecaa24eaa438dd93decd5587e0b441fc43b78893ca2e207b2cb2f (SHA-256)
• arquivo "googleupdate.deupx.exe": 55cafceba527c3e68852b1af071929c0 78b492e211e91b1ef9a4bcd5ba80c9572545d5f3f63d3071e3253dcec3a5d97c 
• arquivo "Втрати-1001.docx": 5d29da2285390164a0a7d80e6ed23da7 (MD5) c50972c11ffd1da9e0ed670b99296f75ec52933699790285d050c0654c21fda3 (SHA-256)

Segundo a Secureworks, os domínios abaixo foram usados para ataques de phishing reportados pelo CERT da Ucrânia em 25/02:

• ua-passport.space
• bigmir.space
• mirrohost.space
• mil-gov.space
• verify-email.space
• verify-mail.space
• creditals-email.space
• meta-ua.space
• i-ua.space
• kontrola-poczty.space
• walidacja-poczty.space
• weryfikacja-poczty.space
• konto-verify.space Domain 
• weryfikacja-konta.space
• walidacja-uzytkownika.space
• akademia-mil.space
• ron-mil.space

Para saber mais:

• Aqui no blog: Guerra cibernética na Ucrânia
• Na Wikipedia: 2022 Ukraine cyberattacks
• IOCs e informações de inteligência:
• Russia-Ukraine 2022 conflict related IOCs from CERT Orange Cyberdefense Threat Intelligence Datalake (GitHub)
• Talos on the developing situation in Ukraine (Talos Intelligence)
• Ukraine-Cyber-Operations (Curated Intelligence)
• A Cyber-Readiness Checklist and Guide (Fortinet)
• Wipers and worm in Ukraine — Indicators of Compromise (ESET)
• Responses to Russia's Invasion of Ukraine Likely to Spur Retaliation (Mandiant)
• Domains Linked to Phishing Attacks Targeting Ukraine (Secureworks)
• Lista de endereços IP que realizaram ataque DDoS à Russia: recomendações para proteger recursos de informação contra ataques de computador (em russo)
• Ukraine Campaign Delivers Defacement and Wipers, in Continued Escalation (Talos Intelligence)
• AcidRain | A Modem Wiper Rains Down on Europe (Sentinelone)
• Disruptive Attacks in Ukraine Likely Linked to Escalating Tensions (Secureworks)
• Monitoring cyber activities connected to the Russian-ukrainian conflict (Vedere Labs / Forescout)
• Return of Pseudo Ransomware (Trellix)
• Threat Advisory: DoubleZero (Talos Intelligence)

PS: Post atualizado em 11/04.