março 31, 2022

[Cidadania] Dia Internacional da Visibilidade Transgênero

O que você faria se te dissessem que sua expectativa de vida é de apenas 35 anos? Ou seja, que sonhos e perspectivas você poderia ter se soubesse que provavelmente você não completaria essa idade?

Segundo dados da Associação Nacional de Travestis e Transexuais (Antra), a expectativa de mulher transgênera ou travesti no Brasil é de apenas 35 anos, número que representa menos da metade da média nacional, que é de 76 anos.

Hoje, 31 de Março, é celebrado o Dia Internacional da Visibilidade Transgênero, uma data que foi instituída para dar visibilidade às conquistas da população de Transexuais, Travestis e pessoas Não-Binárias, mas também conscientizar a sociedade sobre a discriminação enfrentada por elas e reforçar a importância da luta por seus direitos.


Essa data é celebrada nos EUA desde 2009. Aqui no Brasil ela também é celebrada em 29 de Janeiro, pois nesta data em 2004 um grupo de ativistas transgêneros foi ao Congresso Nacional se manifestar em favor da campanha "Travesti e Respeito", em um histórico ato político em favor do respeito a diversidade de identidade de gênero no Brasil.

É muito importante (e urgente) promover o respeito a essa população e promover a defesa dos direitos dessa comunidade, que é marginalizada pela nossa sociedade e vítima constante de preconceito e violência!

O problema não se limita as piadas transfóbicas e ao desrespeito aos pronomes, aos nomes sociais e às identidades de gênero das pessoas trans. É bem pior: o Brasil é o país onde mais pessoas trans são assassinadas no mundo - e o que é pior, é fácil encontrar relatos de mortes com requintes de crueldade. No ano de 2021, ocorreram pelo menos 140 assassinatos de pessoas trans, sendo 135 travestis e mulheres transexuais, e 5 casos de homens trans e pessoas transmasculinas.

A inserção do público trans no mercado de trabalho também enfrenta muitos desafios. Infelizmente, no Brasil, 90% da população transexual e travesti tem a prostituição como fonte de renda e possibilidade de subsistência, pela simples falta de opção. O preconceito também causa uma alta evasão escolar: 72% das trans não concluiu o ensino médio.

O que devemos fazer, então?
  • Jamais compartilhar piadas sobre a população trans;
  • Se você conhece alguma pessoa trans, trate ela corretamente, usando o pronome certo, relacionado a sua identidade de gênero;
  • Respeito, sempre!
  • Se informe. Você pode começar com essas cartilhas;
  • Que tal conhecer algumas iniciativas de apoio e inserção das pessoas trans no mercado de trabalho?
Para saber mais:







março 28, 2022

[Segurança] Um tapa na fraude!

A cerimônia de premiação do Oscar 2022, ontem a noite, foi marcada por um episódio surpreendente: quando foi ao palco apresentar o Oscar de melhor documentário, o comediante Chris Rock fez uma piada de gosto duvidoso sobre a mulher de Will Smith, Jada Pinkett Smith, que estava presente com seu cabelo raspado — resultado de alopecia. Ofendido com a piada, de repente o Will Smith subiu ao palco e deu um tapa em Rock.

A cena, polêmica, virou meme.

Então, porque não criar alguns memes sobre Segurança aproveitando a cena? E não é que eu criei mesmo!? rs...






Que tal?

Veja também:

março 25, 2022

[Segurança] O golpe do "robô do Pix"

Esse golpe pode ter vários nomes, em vários perfis nas redes sociais, dos quais eu escolhi um nome genérico para dar o título desse post.

Talvez você já tenha visto perfis no Instagram com nomes do tipo "Rei do Pix", "Marcelo do Pix", "Princesinha do Pix", etc.

Em comum, diversos perfis em redes sociais prometem ganho fácil, bastaria você fazer um Pix para o dono do perfil que seria feita uma transferência de volta, via Pix, de um valor bem maior. Em troca de um dinheiro adiantado, os fraudadores prometem enviar um Pix de volta, em um valor bem maior. Eles frequentemente divulgam uma "tabela" de ganhos, de quanto dinheiro você ganharia para cada valor transferido e compartilham exemplos de recibos de pessoas que, supostamente, receberam o dinheiro prometido.

  

  

A vítima acredita na mensagem prometendo dinheiro fácil, e supostamente sem riscos, e faz o Pix para a conta do fraudador. Obviamente ela não recebe nada em troca, o fraudador bloqueia o contato via WhatsApp e a vítima fica sem seu dinheiro. Em alguns casos, o dono do perfil pode fazer algumas transferências de volta para envolver a vítima e, no final, obter uma transferência de maior valor.

Alguns desses perfis alegam explorar um suposto bug no Pix ou alguma falha no sistema de pagamentos.  Eu achei um que era mais sincero: dizia usar contas de laranjas e dinheiro de terceiros para transferir o valor prometido.


O fraudador, no caso, pode simplesmente querer enganar a vitima recebendo o valor do Pix sem retornar nada, ou pior ainda: pode usar esse esquema para retirar dinheiro de contas correntes invadidas. Assim, ele transfere dinheiro para a conta da pessoa interessada, que vai ser incriminada quando o banco da conta invadida investigar a fraude.

O risco para as pessoas que caem nesse golpe, na verdade, são dois:
  • Simples perda financeira, ao transferir o dinheiro e não receber o valor prometido;
  • Acabar participando de um esquema criminoso e ser indiciado por isso, caso receba uma transferência originária de uma conta corrente previamente invadida pelo golpista.
O golpe é muito simples, e pela quantidade de perfis nas redes sociais oferecendo essa possibilidade de ganho fácil, acredito que tem muita gente que cai.

Veja também:
PS: Pequena atualização em 28/03.

março 23, 2022

[Segurança] A sua empresa na guerra cibernética entre a Rússia e Ucrânia

O que os executivos de segurança devem considerar sobre o conflito entre a Rússia e a Ucrânia, e seu impacto no dia-a-dia?

Mesmo que para nós, brasileiros, o conflito pareça distante da nossa realidade, no mundo sem fronteiras da Internet todos nós podemos ser envolvidos nos diversos ciber ataques que têm acontecido (e podem acontecer no futuro próximo). O problema se torna mais preocupante caso a sua empresa tenha relação com alguma outra organização na Rússia, Ucrânia ou nos países que apóiam algum dos lados, principalmente os Estados Unidos e principais países europeus. Tais empresas podem ser alvos de ciber ataques de grupos apoiados pelos governos ou hacktivistas.

Riscos

  • Ataque direto: quando sua empresa sobre um ciber ataque por estar relacionada aos países, empresas ou entidades que fazer parte, fornecem produtos ou serviços ou até mesmo apoiam um dos lados do conflito, tais como as empresas e órgãos de governo ucranianas, russas e até mesmo as empresas que fornecem telecomunicações por satélite na região;
  • Ataque indireto: ser alvo por sua empresa ter alguma relação, direta ou indireta, com organizações relacionadas aos países envolvidos na guerra, como parceiros comerciais ou filiais de empresas. Esse foi o caso da subsidiária da Nestlé na França, que teve seu site pichado e informações de executivos expostas;
  • Retaliação: o apoio direto ou indireto a algum dos lados pode provocar uma onda de ciber ataques e protestos por parte dos apoiadores do outro lado. O simples fato do seu país de origem declarar seu apoio pode tornar a sua empresa um alvo;
  • Cobertura: quando sua empresa é atacada para servir de "ponte" para invadir outra organização;
  • Dano colateral: mesmo quando você não tem relação com o conflito, ciber ataques podem fugir do controle e atingir outras empresas, como ataques de phishing e malwares;
  • Distração: ciber criminosos também podem se aproveitar do caos e preocupação causada pelos ciber ataques na guerra entre Rússia e Ucrânia para ocultar suas tentativas de ataque as empresas.

Apesar da suposta complexidade que o tema "guerra cibernética" possa trazer, na prática a maioria dos ciber ataques utilizam técnicas básicas e bem conhecidas de invasão. Por isso, a lista de medidas preventivas começa com os cuidados básicos e boas práticas que toda empresa já deveria estar praticando:

  • Reforce as campanhas de conscientização para que os usuários tomem cuidado contra ataques de phishing e usem senhas fortes (e com segundo fator de autenticação), pois estes são dois dos vetores de ataque mais frequentes;
  • Certifique-se que todos os sistemas da empresa se mantenham atualizados e com backup em dia;
  • Reforçe a proteção e monitoramento dos sistemas de acesso remoto da empresa (VPN, Citrix e RPC, por exemplo);
  • Mantenha seu time bem estruturado e preparado para responder incidentes;
    • Nesse momento crítico, faça reuniões periódicas para manter o time atualizado;
    • Atualize seus sistemas de monitoramento com os indicadores (IOCs) de malwares que foram utilizados em ataques conhecidos;
    • Teste seus sistemas, suas ferramentas de monitoramento e detecção de ataques e teste também seu plano de resposta a incidentes;
  • Cuidado com fake news e campanhas de desinformação. Por exemplo, há rumores sobre o boicote as ferramentas da Kaspersky, um dos principais fabricantes de soluções de segurança no mercado. Embora a empresa tenha sua origem na Rússia, não há evidências de que a empresa represente algum risco real ou que tenha compromisso com o governo russo.

É importante, neste momento, revisar suas estratégias e ações de curto, médio e longo prazo, e fazer uma força-tarefa para fazer as melhorias que possam ser implementadas rapidamente.

Para saber mais:

março 22, 2022

[Segurança] Novas táticas e tecnologias de guerra cibernética no conflito entre Rússia e Ucrânia

A guerra em andamento entre a Rússia e Ucrânia tem um componente cibernético relevante, que vamos discutir intensamente nos próximos anos. Mas, em particular, algumas notícias recentes mostram que esse conflito está inaugurando novas táticas de guerra cibernética e hacktivismo:

  • "Protestware": Em 07/03, o mantenedor do pacote node-ipc publicou uma nova versão com um componente malicioso, como forma de protesto contra a guerra, que causa dano ao ser instalado em computadores com endereço IP da Rússia ou Bielorrúsia. O código incluía um pacote batizado de "peacenotwar" que gravava um arquivo com mensagem de protesto nos desktops. A chamada foi removida posteriormente, na versão 10.1.3, e esse problema recebeu o CVE 2022-23812 (com ocorre de risco altíssimo, 9,8 de 10);
  • "Deepfake em fake news": No dia 16/03 surgiu um vídeo falso compartilhado nas redes sociais, usando a tecnologia de "deepfake" para simular que o presidente da Ucrânia, Volodymyr Zelensky estava declarando a rendição das tropas. O site da emissora de televisão Ukraine 24 foi hackeado para divulgar o vídeo, que rapidamente viralizou nas redes sociais. Esse é o primeiro caso conhecido de deepfake usado como arma de desinformação em um conflito;
  • "Drone kamikaze com Inteligência Artificial": Segundo notícias, a Rússia está usando um novo tipo de drone para realizar bombardeios na Ucrânia. O Drone russo KUB-BLA pode voar por 30 minutos e carregar 3 kg de explosivos, e utiliza um sistema baseado em Inteligência Artificial (IA) para identificar e atingir o seu alvo. O seu uso desperta a discussão sobre o risco do uso de IA em armas robóticas de guerra.

  • Uso de IA para espionagem: Ao conseguir interceptar uma transmissão de rádio entre soldados russos na Ucrânia no início de março, que foi realizada em um canal não criptografado, um sistema de inteligência artificial estava automaticamente capturando, transcrevendo, traduzindo e analisando as conversas, usando vários algoritmos de inteligência artificial desenvolvidos pela empresa americana Primer. A Primer adaptou algoritmos de IA que já possui e eram treinados para transcrever e traduzir chamadas telefônicas. A ferramenta modificada também remove o ruído de fundo e destacam as principais declarações relevantes para a situação do campo de batalha, permitindo analisar e gerar informações de inteligência para o exército ucraniano.

Em comum, esse ferramental tecnológico representa um potencial de amplificar o impacto dos ciber ataques e protestos online durante momentos de conflito, na medida em que passarem a ser utilizados com maior freqüência.

Para saber mais:

PS: Post atualizado em 05/04.

março 17, 2022

[Segurança] Sete perguntas fundamentais sobre segurança para o corpo executivo

A Dra. Keri Pearlson e o Nelson Novaes Neto, ambos pesquisadores do MIT, publicaram recentemente um artigo na revista Harvard Business Review provocando sobre quais são as perguntas mais importantes relacionadas a segurança que devem ser questionadas junto aos Boards das empresas (7 Pressing Cybersecurity Questions Boards Need to Ask).

Os gestores das empresas têm um papel fundamental em garantir a segurança frente aos riscos e ameaças de segurança. Embora os alto executivos não tratem a questão da segurança em seu dia-a-dia e não se envolvam nos detalhes operacionais, eles tem responsabilidade legal pela empresa caso ocorra algum incidente de segurança de grande impacto ao negócio ou aos clientes.

Entretanto, segundo um levantamento realizado pelos pesquisadores, apenas 68% dos executivos no board das empresas discutem o tema de ciber segurança regularmente.

O artigo inicialmente aponta 5 tópicos que os executivos devem conhecer sobre segurança, incluindo o papel que o corpo executivo deve ter frente ao planejamento e preparativos de segurança da informação. Em seguida, são apresentadas 7 perguntas que devem ser questionadas junto ao corpo executivo da empresa para garantir que eles tenham visibilidade de como a segurança cibernética está sendo gerenciada pela organização.

Aqui está uma lista de sete perguntas que a Dra Keri e o Nelson sugerem que sejam feitas para garantir que seu grupo de gestão entenda como a segurança cibernética está sendo gerenciada:
  1. Quais são nossos ativos mais importantes e como os estamos protegendo?
  2. Quais são as camadas de proteção que implementamos?
  3. Como sabemos se fomos violados? Como detectamos uma violação?
  4. Quais são nossos planos de resposta em caso de incidente?
  5. Qual é o papel do conselho em caso de incidente?
  6. Quais são nossos planos de recuperação de negócios no caso de um incidente cibernético?
  7. Nosso investimento em segurança cibernética é suficiente?
O simples fato de fazer essas perguntas e promover a discussão sobre esses assuntos também acaba por aumentar a conscientização sobre a importância da segurança cibernética e a necessidade de priorizar as ações relacionadas a sua estratégia de segurança.

É importante lembrar que o corpo executivo não conhece e nem precisa conhecer os detalhes técnicos sobre as políticas e controles existentes. Mas é fundamental que eles tenham visibilidade da postura de segurança da empresa. Essa é a "teoria do morrinho": quanto mais alto você está na montanha, melhor a sua vista do horizonte (estratégica) e menor a sua vista do que acontece no solo (a prática). Além disso, a comunicação entre os diversos níveis da organização deve ser clara e transparente, para garantir que os executivos tenham visibilidade dos riscos e medidas preventivas, e que o corpo técnico reconheça a importância estratégica que a organização dá para o tema. Na minha experiência tratando com gestores de alto escalão, eles costumam ter uma visão estratégica e superficial sobre segurança, acreditando que os times abaixo deles tomam todos os cuidados necessários - mas raramente questionando isso. Se há algum déficit na implementação de segurança, alguns executivos só saberão disso quando receberem algum resultado negativo de uma auditoria relevante ou no pior caso, após um ciber ataque com sucesso.

Provavelmente seu corpo executivo não saberá fazer ou responder a maioria dessas perguntas sugeridas pela Dra Keri e pelo Nelson. Mas é importante provocá-los, e faça esses questionamentos em suas próximas reuniões, sempre que o assunto surgir.

março 10, 2022

[Segurança] Principais notícias de segurança em Fevereiro de 2022

Esse é mais um pequeno apanhado com algumas das principais notícias sobre segurança e fraudes online que aconteceram no mês passado. A proposta é focar em notícias relacionadas, principalmente, ameaças, a fraudes e golpes direcionadas a usuários finais no Brasil, ou casos mais relevantes no mundo. Algumas notícias, que eu acho mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.

Boa leitura!

01/02/2022 - FBI alerta sobre risco de ataques cibernéticos nos Jogos Olímpicos de Beijing 2022 (Olhar Digital)

01/02/2022 - Relatório aponta hackers da Coreia do Norte entre os três principais grupos que atacam o setor financeiro (Olhar Digital)

O Lazarus, grupo de hackers da Coreia do Norte, está entre os três principais atores de ameaças ao setor financeiro global, segundo relatório da empresa de inteligência cibernética Blueliv. Junto ao Lazarus, estão os grupos Cobalt e FIN7 como os mais ativos em roubos e fraude atualmente. Phishing, fraudes de comprometimento de e-mail comercial (BEC), malware e roubo de credenciais são as principais maneiras pelas quais as entidades financeiras são visadas. Os trojans TinyBanker/Tinba, Dridex, Anubis, Trickbot e Kronos são comumente associados a ataques aos serviços financeiros. 

01/02/2022 - Securitas expõe 3 TB de dados de aeroportos na Colômbia e Peru (CISO Advisor)

A multinacional de serviços de segurança e investigação Securitas AB, expôs dados confidenciais de funcionários em vários aeroportos diferentes na América Latina, 3 terabytes de dados contendo mais de 1,5 milhão de arquivos, graças a um de seus buckets de armazenamento S3 da Amazon mal configurados.

01/02/2022 - Mais de um quinto dos ataques de ransomware visam o setor financeiro (em inglês) (Computer Weekly)

01/02/2022 - Fornecedor de combustível alemão desconectado devido a ciber ataque (em inglês) (Computer Weekly)

Um ataque cibernético contra a Oiltanking, uma grande empresa de logística de combustível da Alemanha, afeta 13 terminais de distribuição em toda a Alemanha, em um incidente que forçou o desligamento dos sistemas de automação da empresa e interrompeu o fornecimento de combustível. A empresa não forneceu detalhes sobre o ataque.

02/02/2022 - Nova moda do Instagram facilita a ação de criminosos na internet (R7)

Apesar de parecer algo inofensivo e divertido, as correntes de curiosidades sobre as pessoas acabam expondo na internet informações pessoais, que podem ser usadas para aplicar golpes.

02/02/2022 - Mais de 1.000 pacotes com Malware foram encontrados no repositório NPM (em inglês) (SearchSecurity)

Segundo relatório da empresa WhiteSource, sua ferramenta de varredura automatizada identificou cerca de 1.300 bibliotecas que exibiam comportamento de malware no NPM, popular repositório de códigos JavaScript. Todas as bibliotecas já foram removidas.

02/02/2022 - Área da saúde foi um dos principais alvos de cibercriminosos no Brasil em 2021 (CryptoID)

02/02/2022 - Exclusivo: E-mail @gov.br pode ser usado por qualquer pessoa e já surge em golpes (Tecnoblog)

02/02/2022 - Golpistas continuam a falsificar anúncios de emprego para roubar dinheiro e dados, alerta o FBI (em inglês) (The Record)

02/02/2022 - Vídeo: Polícia gaúcha fecha fazenda clandestina de mineração de criptomoedas (Portal do Bitcoin)

Duas pessoas foram presas e R$ 1 milhão em equipamentos de mineração de criptomoedas foram apreendidos pela Polícia Civil do Rio Grande do Sul durante a operação Krypto. A fazenda clandestina, na região do Vale do Sinos, possuía cerca de 106 máquinas de mineração, alimentadas por energia roubada da concessionária de energia Rio Grande Energia (RGE). Os técnicos estimam que toda a estrutura consumia, no mínimo, R$ 30 mil por mês de energia elétrica. Como o roubo de energia acontecia desde março de 2021, o prejuízo à empresa chega a ultrapassar R$ 350 mil.

03/02/2022 - FBI diz que a maioria dos ataques cibernéticos aos EUA vem da China (Olhar Digital)

03/02/2022 - É golpe: criminosos transferem número de celular de um chip para outro. Veja como se proteger (Extra)

03/02/2022 - Crime Shop vende logins hackeados para outras lojas do crime (Minuto da Segurança)

03/02/2022 - Brasil lidera ranking de vazamento de dados em 2021 (CISO Advisor)

Com 2,8 bilhões de dados sensíveis expostos, o Brasil foi o campeão mundial em vazamento de dados em 2021, de acordo com relatório publicado pela Axur. O relatório registra também a exposição indevida de 273 milhões de credenciais (login e senha) no mesmo período. 

03/02/2022 - Ataque atinge terminais de petróleo na Europa (CISO Advisor)

Um grande ataque cibernético teve como alvo instalações portuárias em pelo menos três países europeus: Alemanha, Holanda e Bélgica. Pelo menos seis terminais de armazenamento de petróleo no centro de refino de Amsterdã-Roterdã-Antuérpia (ARA) tiveram dificuldades para carregar e descarregar produtos refinados de petróleo, o que interrompe as entregas em vários portos importantes. A natureza do ciber ataque ainda não é clara.

03/02/2022 - Hackers roubaram US$ 326 milhões da Wormhole; plataforma blockchain diz que todos os fundos já foram restaurados (Olhar Digital)

03/02/2022 - Falha no iPhone foi explorada por outra empresa de espionagem israelense, dizem fontes (6 Minutos)

03/02/2022 - BC registra vazamento de dados de 2,1 mil chaves Pix sob responsabilidade da Logbank (6 Minutos) (Valor)

O Banco Central comunicou o vazamento de mais 2.112 chaves Pix que estão sob a guarda do Logbank Soluções de Pagamento, pertencentes a 2.082 pessoas. Esse é o terceiro episódio de vazamento de chaves Pix já registrados no país.

04/02/2021 - E-book da OCC reúne os 50 golpes mais comuns na internet (Mente Binária)

04/02/2022 - Emenda que inclui proteção de dados pessoais na Constituição será promulgada na quinta (Agência Senado)

04/02/2022 - Ataque de Ransomware a Swissport atrasa vôos e impacta operações (em inglês) (Bleeping Computer)

O grupo que opera o ransomware BlackCat assumiu a autoria pelo ataque contra a empresa de serviços de aviação Swissport. Os cibercriminosos alegam ter roubado mais de um terabyte de dados na suposta invasão à rede da empresa.

04/02/2022 - Bancos fortalecem regras para proteger dados pessoais de clientes (FEBRABAN)

O Normativo SARB 25, aprovado pelo Conselho de Autorregulação da FEBRABAN, estabelece princípios e diretrizes a serem adotadas pelas instituições financeiras para fortalecer a proteção dos dados pessoais dos consumidores, em conformidade à Lei Geral de Proteção de Dados (LGPD).

04/02/2022 - Segundo Microsoft, adoção de MFA continua baixa, apenas 22% entre os clientes corporativos (em inglês) (The Record)

04/02/2022 - PF faz nova operação sobre “Faraó dos Bitcoins” e prende dona de corretora (Tecnoblog)

04/02/2022 - Globo 'erra no Pix' e vai à Justiça para reaver R$ 318 mil que pagou por engano (UOL)

05/02/2022 - Vítima escapa de golpe bancário e rouba celular de criminoso (Tecmundo)

05/02/2022 - Golpe do "Instagram hackeado" fez, ao menos, 271 vítimas no DF em 2021 (Metrópoles)

06/02/2022 - França multa Google e Facebook em 210 milhões de euros por violação de privacidade em cookies de rastreamento (em inglês) (The Hacker News)

A Commission Nationale de l'informatique et des Libertés (CNIL), órgão fiscalizador da proteção de dados da França, aplicou multas de € 150 milhões (US$ 170 milhões) e € 60 milhões (US$ 68 milhões) ao Facebook (agora Meta Platforms) e ao Google por violar as regras de privacidade da União Européia pela complexidade de gestão de cookies pelos usuários, ao não fornecer uma opção fácil de rejeitar a os cookies de rastreamento.

07/02/2022 - App criminoso engana maquininha e faz pagamento falso (Tecmundo)

Cibercriminosos desenvolveram um aplicativo para celular Android (APK) que simula cartões de crédito e permite o pagamento de compras via NFC. O APK consegue enganar as máquinas de pagamento ao realizar compras por aproximação, permitindo ao criminoso simular o pagamento de uma compra e enganar o vendedor. O aplicativo é oferecido em grupos no Telegram e Facebook por cerca de R$ 250.

07/02/2022 - Hackers chineses atacam instituições financeiras de Taiwan (Olhar Digital)

Segundo a Symantec, um grupo de hackers chineses de ameaças persistentes avançadas (APT), conhecido como Antlion, realizou campanhas contra instituições financeiras de Taiwan. Os ataques, cuja principal intenção era espionagem através de um backdoor personalizado chamado xPack, tiveram a duração de pelo menos 18 meses.

07/02/2022 - Golpista do Tinder, israelense é expulso de aplicativo após roubar mais de US$ 10 milhões (O Globo)

07/02/2022 - Streamer é acusado de roubar R$ 2,6 mi com golpe de criptomoeda (Globo Esporte)

07/02/2022 - LockBit, BlackCat, Swissport, a atividade de ransomware permanece forte (em inglês) (Threat Post)

07/02/2022 - EUA indiciam 6 call centers da Índia por golpes direcionados a idosos (em inglês) (Data Breach Today)

A Procuradoria dos EUA para o Distrito Norte da Geórgia indiciou seis call centers sediados na Índia e seus diretores por conspirar com o provedor de Voz sobre IP e-Sampark em tentativas de fraudar vítimas sediadas nos EUA. Os call centers indiciados fizeram chamadas fraudulentas para consumidores americanos, que foram encaminhadas pela e-Sampark. Os operadores do call center se passaram por investigadores fiscais do Imposto de Renda, e para evitar uma suposta investigação, muitas vítimas pagaram entre US$ 500 e US$ 60.000 em cartões-presente.

07/02/2022 - Puma sofre vazamento de dados após ataque de ransomware na Kronos (em inglês) (Bleeping Computer)

A fabricante de roupas esportivas Puma informou que foi atingida por uma violação de dados devido ao ataque de ransomware que atingiu a Kronos em dezembro de 2021, empresa norte-americana provedora de serviços de gerenciamento de força de trabalho. Segundo notificação divulgada pela Puma, os invasores roubaram informações pessoais de funcionários da Puma e seus dependentes do ambiente de nuvem Kronos Private Cloud (KPC) antes de criptografar os dados.

08/02/2022 - Dia da Internet Segura: e-mails vazados são usados em mais de 500 mil transações em 2021 (AllowMe)

08/02/2022 - PF prende suspeito de invadir rede interna da Caixa (Agência Brasil)

A Polícia Federal (PF) anunciou que, através da Operação Atacante, prendeu um dos suspeitos que faz parte do grupo de cibercriminosos que invadiu a rede interna da Caixa Econômica Federal, acessou os sistemas internos da Caixa e alterou dados dos correntistas. Segundo a PF, o grupo criminoso acessava ilicitamente os sistemas da Caixa para consultar dados dos correntistas e alterar informações, inclusive de cartões de crédito, e assim “obtinham vultosas vantagens econômicas”.

08/02/2022 - Justiça americana recupera US$ 3,6 bi roubados da Bitfinex (CISO Advisor)

Duas pessoas foram presas em Nova York por conspiração para lavagem de dinheiro relacionado a criptomoedas roubadas durante a invasão da Bitfinex em 2016. Foi possível recuperar cerca de 94.000 bitcoins, que permaneceu na carteira usada para receber e armazenar os lucros ilegais do total de 119.754 bitcoins que foram roubados da plataforma da Bitfinex e lavados por meio de mais de 2.000 transações.

08/02/2022 - Engarrafamentos facilitam roubos cada vez mais frequentes de celulares em São Paulo (Jornal Nacional)

08/02/2022 - Sequestro de dados nas redes sociais é um dos crimes digitais que mais causam prejuízos (Jornal Nacional)

08/02/2022 - Ciber ataque derruba serviços móveis, voz e TV da Vodafone Portugal (em inglês) (The Record)

A Vodafone Portugal teve grande parte dos seus serviços de dados de clientes interrompidos após “um ataque cibernético deliberado e malicioso destinado a causar danos e interrupções”. As redes móveis 4G e 5G da empresa, juntamente com serviços de voz fixa, televisão, SMS e atendimento de voz/digital ficaram offline após o ataque. A empresa disse que está trabalhando com as autoridades para investigar o incidente, não atribuiu o incidente a um ataque de ransomware e divulgou que, com base nas evidências, os dados dos clientes não parecem ter sido acessados ou comprometidos.

08/02/2022 - Medusa Android Banking Trojan se espalha pela rede de ataques do Flubot (em inglês) (The Hacker News)

Dois trojans bancários diferentes para Android, o FluBot e o Medusa, estão contando com o mesmo meio de entrega como parte de uma campanha de ataque simultâneo, de acordo com a ThreatFabric. As infecções em andamento lado a lado são facilitadas pelo uso da mesma infraestrutura de smishing (SMS phishing) e nomes de aplicativos, nomes de pacotes e ícones semelhantes. Os principais alvos da campanha são a Turquia, EUA e Canadá.

08/02/2022 - Sites do governo do RS ficam fora do ar após ataque cibernético (G1)

09/02/2022 - Cibersegurança: investimentos vão superar R$ 5 bilhões no país em 2022 (Convergência Digital)

09/02/2022 - Procura-se profissional de cibersegurança: escassez de talentos na área é questão global (Valor)

09/02/2022 - Equifax concorda com acordo de US$ 425 milhões por violação de dados (em inglês) (The Hacker News)

A Equifax concordou com um acordo com a Comissão Federal de Comércio dos EUA, com o Departamento de Proteção Financeira do Consumidor e com 50 estados e territórios dos EUA inclui o pagamento de até US$ 425 milhões para ajudar as pessoas afetadas pela violação de dados que expôs as informações pessoais de 147 milhões de pessoas em 2017, incluindo mais de 145 milhões de consumidores dos EUA, 15,2 milhões de residentes no Reino Unido e 8.000 canadenses. No centro da violação estava a falha da Equifax em corrigir uma vulnerabilidade no framework Apache Struts, de acordo com várias investigações.

09/02/2022 - Rússia derruba 4 mercados na Dark Web para cartões de crédito roubados (em inglês) (The Hacker News)

Uma operação especial das autoridades russas levou à apreensão e fechamento de quatro fóruns online especializados em roubo e venda de cartões de crédito roubados, Ferum Shop, Sky-Fraud, Trump's Dumps e UAS.

09/02/2022 - Brasil sofreu mais de 88,5 bilhões de tentativas de ataques cibernéticos em 2021 (Minuto da Segurança)

De acordo com os dados levantados pelo FortiGuard Labs, o Brasil sofreu mais de 88,5 bilhões de tentativas de ataques cibernéticos em 2021, um aumento de mais de 950% com relação a 2020 (com 8,5 bi).O país ocupou o segundo lugar em número de ataques na América Latina e Caribe, atrás apenas do México (com 156 bi) e na frente de Peru (11,5 bi) e Colômbia (11,2 bi). 

09/02/2022 - Grupos APT russos usaram iscas sobre o COVID-19 para atingir diplomatas europeus (em inglês) (The Hacker News)

O grupo hacker ligado à Rússia, conhecido como APT29 ou Cozy Bear, atacou missões diplomáticas europeias e Ministérios das Relações Exteriores como parte de uma série de campanhas de spear phishing montadas em outubro e novembro de 2021. Segundo a ESET, os ataques começaram com um e-mail de phishing com tema COVID-19 representando o Ministério das Relações Exteriores do Irã e contendo um anexo HTML que, quando aberto, acaba instalando o malware Cobalt Strike.

10/02/2022 - Malware Emotet cresce 55% e atingiu 10% das empresas brasileiras em janeiro (Convergência Digital)

10/02/2022 - Comerciantes são vítimas do 'golpe do estorno' em vendas pela internet (R7)

10/02/2022 - ExpressVPN oferece R$ 523 mil para quem hackear seus servidores (Tecmundo)

10/02/2022 - 75% dos latino-americanos já foram alvo de crimes cibernéticos (Tecmundo)

10/02/2022 - Novo golpe no WhatsApp usa sistema de valores a receber do BC (Tecmundo)

Segundo a Kaspersky, criminosos estão aplicando um novo golpe através de links maliciosos enviados por WhatsApp alegando que as vítimas possuem valores a receber do Banco Central, prometendo um saque instantâneo do dinheiro via Pix. A mensagem falsa redireciona os usuários para sites falsos em nome do sistema Registrato do Banco Central do Brasil, sempre indicando (erroneamente) que a vítima tem dinheiro a receber, com valores entre entre R$ 1 mil e R$ 4 mil.

10/02/2022 - Site imita página da Microsoft sobre Windows 11 e espalha “ladrão” de senha (Tecnoblog)

10/02/2022 - CISA, FBI, NSA emitem alerta sobre aumento severo dos ataques de ransomware (em inglês) (The Hacker News)

10/02/2022 - Promulgada emenda constitucional de proteção de dados (Agência Senado)

Em sessão solene, o Congresso Nacional promulgou a Emenda Constitucional (EC 115), que inclui a proteção de dados pessoais entre os direitos e garantias fundamentais do cidadão. O texto também fixa a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.

10/02/2022 - Vítimas de Ransomware pagaram mais de US$ 600 milhões a cibercriminosos em 2021 (em inglês) (The Record)

Segundo empresa de análise de blockchain Chainalysis, mais de US$ 600 milhões em criptomoedas podem estar vinculados a pagamentos de ransomware em 2021. A gangue de ransomware Conti respondeu por quase um terço desses pagamentos. 

11/02/2022 - Polícia espanhola prende 8 por fraude com SIM Swapping (em inglês) (Data Breach Today)

11/02/2022 - Vazamentos de dados do Pix irão ocorrer com frequência, diz presidente do BC (Folha)

11/02/2022 - Google premiou 8,7 milhões de dólares para pesquisadores de segurança em 2021 (em inglês) (The Record)

11/02/2022 - Hacker da Nintendo é condenado a três anos de prisão por pirataria (Olhar Digital)

12/02/2022 - Violação de dados expõe detalhes de reserva de 19 milhões de clientes (em inglês) (Data Breach Today)

Um enorme vazamento de dados foi descoberto, totalizando mais de 172 GB de dados expostos em um bucket S3 da AWS configurado incorretamente. O vazamento afetou cerca de 19 milhões de pessoas, clientes da empresa de agendamento online FlexBooker.
15/02/2022 - Dados da Internet Society vazaram (em inglês) (Infosecurity Magazine)

15/02/2022 - Três quintos dos ciberataques em 2021 não envolveram malware (CISO Advisor)

Segundo relatório da CrowdStrike, 62% dos ataques em 2021 foram comprometidos por “atividade não malware”, ou seja, através de credenciais legítimas para acessar redes. O número de ataques de ransomware que levaram a vazamentos de dados aumentou de 1.474 em 2020 para 2.686 no ano passado, o equivalente a mais de 50 eventos de ransomware direcionados por semana. Segundo a CrowdStrike, as demandas relacionadas a ransomware atingiram valor médio de US$ 6,1 milhões por incidente, um aumento de 36% em relação a 2020. 

15/02/2022 - 74% de criptomoedas ilegais vieram de ransomware russo (CISO Advisor)

Segundo a Chainalysis, perto de 74% da receita de ransomware em 2021 – mais de US$ 400 milhões em criptomoedas – foram para variantes de ransomware que são provavelmente afiliados à Rússia. Além disso, após os ataques de ransomware, a maioria dos fundos extorquidos é lavada por meio de serviços que atendem principalmente aos usuários russos.


16/02/2022 - Nubank tem bug que não deixa transferir R$ 17,99 e mais 3 valores via Pix (Tecnoblog)

16/02/2022 - Dinheiro esquecido em bancos vira tema de golpe online no Brasil (Tecmundo)

O laboratório de segurança Psafe identificou golpes em mensageiros e redes sociais com páginas falsas que simulam o cadastro e a conferência do Sistema de Valores a Receber e do Registrato, do Banco Central. Só um dos sites maliciosos encontrados já teria sido visitado por mais de 560 mil pessoas em um mês.

16/02/2022 - Tentativas de fraude: mais 4 milhões em 2021, diz Serasa (CISO Advisor)

O Indicador de Tentativas de Fraude da Serasa Experian registrou 4,1 milhões de movimentações suspeitas no Brasil no ano de 2021. Esse número representa um aumento de 16,8% em relação ao acumulado de 2020, quando registrou 3,5 milhões de ataques. Os dados de 2021 foram considerados os mais expressivos de toda a série histórica, iniciada em 2011.

16/02/2022 - Trojan pega 140 mil máquinas de clientes da AWS, Azure e Google (CISO Advisor)

Segundo pesquisadores da Checkpoint, operadores do trojan bancário Trickbot estão buscando seletivamente alvos de alto perfil para roubar e comprometer seus dados confidenciais, já tendo infectado mais de 140 mil máquinas de clientes da Amazon Web Services (AWS), Microsoft Azure, Google Cloud e outras 57 corporações em todo o mundo, desde novembro de 2020.

17/02/2022 - Ataque ransomware na Gafisa infecta sistemas da construtora (Canal Tech)

17/02/2022 - Ataque cibernético atinge Ministério da Defesa da Ucrânia e bancos (Minuto da Segurança)

17/02/2022 - Malware bancário no Android: detecções aumentaram 428% em 2021 (Tecmundo)

17/02/2022 - ‘Dinheiro esquecido’: cerca de 30 sites falsos são identificados em 48h; veja como se proteger (Olhar digital)

De acordo com a Kaspersky, em menos de 48 horas foram identificados quase 30 domínios falsos simulando a função “Valores a Receber” do Registrato. Os sites seriam utilizados para aplicar golpes para roubar informações pessoais e dados de contas bancárias. Na maioria das vezes, as tentativas de fraudes também solicitam chaves do Pix, com o argumento de que pode ser utilizado para enviar o saldo disponível para o resgate.

17/02/2022 - Ao menos duas pessoas são presas em operação contra 'Gangue da Bicicleta' nas zonas Central e Norte de SP (G1)

17/02/2022 - Polícia cumpre 10 mandados de busca e apreensão em SP contra grupo suspeito de aplicar golpe do PIX (G1)

A operação Hemera realizada pela Polícia Civil de São Paulo tem como foco pessoas que "emprestam” suas contas bancárias para recepcionar valores transferidos de forma ilícita através do PIX. Dentre os alvos está a quadrilha que desviou R$ 67 mil das contas do vereador Marlon Luz em Junho de 2021, por meio de aplicativos de bancos após ter o celular furtado.


18/02/2022 - Polícia da Croácia prende menor de idade envolvido no vazamento de dados e extorsão por ransomware na A1 Telecom (em inglês) (HackRead)

18/02/2022 - Pai bloqueia Wi-Fi e 4G dos filhos e derruba internet de dois municípios (Tecnoblog)

Moradores de Messanges, na França, enfrentaram um problema inusitado: o acesso à internet na região era cortado entre meia-noite e 3 da manhã, todos os dias. Uma investigação mostrou que o corte era causado por um pai que usou um bloqueador de sinal para evitar que os filhos acessassem a internet nas madrugadas.

18/02/2022 - Emails de Phishing usando o Linkedin aumenta 232% (Minuto da Segurança)

19/02/2022 - Brasileiro perde R$ 100 mil na Binance com 250 saques em apenas 10 minutos (Livecoins)

19/02/2022 - Grupo Lapsus anuncia ataque a Submarino e Americanas (CISO Advisor)

O grupo Lapsus, que no início de dezembro de 2021 atacou o Ministério da Saúde, anunciou na madrugada de 19/02 um ataque às redes das cadeias de varejo Americanas e Submarino em uma mensagem publicada em inglês no canal de Telegram dos atacantes. Os sites de comércio eletrônico das duas marcas ficaram inoperantes e, após voltarem ao ar no mesmo dia, sofreram um novo ataque que, supostamente, impactou o ambiente PCI da empresa. Os sites da Americanas, Submarino e Shoptime foram retirados do ar, com uma mensagem informando que, "por questões de segurança, suspendeu proativamente parte dos servidores do ambiente de e-commerce".  Estima-se que a Americanas estava perdendo R$ 100 milhões por dia com a paralização de seu site e aplicativo. Segundo estimativas, a Americanas perdeu mais de R$ 2 bilhões em valor de mercado devido ao incidente. A empresa reestabeleceu seus sistemas e o e-comemrce após 4 dias.


21/02/2022 - Ação do Ministério da Justiça e Segurança Pública já causou prejuízo de R$ 1 bi ao crime organizado (Ministério da Justiça e Segurança Pública)

21/02/2022 - Usuários do Opensea perdem 2 milhões de dólares em NFTs em ataque Phishing (em inglês) (Bleeping Computer)

21/02/2022 - 83% dos funcionários continuam acessando as contas do antigo empregador (em inglês) (Help Net Security)

21/02/2022 - Centro nacional de pesquisas que abriga superlaboratório Sirius sofre ataque hacker em Campinas (G1)

21/02/2022 - Sem antivírus: crimes na internet crescem quatro vezes durante a pandemia (Correio Braziliense)

Em 2019, um ano antes da pandemia causada pelo novo coronavírus, o DF registrou 7.613 ocorrências por crimes praticados pela internet. Esse número ficou praticamente quatro vezes maior ao se comparar com os dois anos seguintes, em 2020 e 2021, período em que as pessoas ficaram mais em casa, chegando a um total de 30.273 notificações.

21/02/2022 - TRT-ES sem expediente por causa de incidente cibernético (CISO Advisor)

21/02/2022 - “Robô do Pix” promete rendimento fixo com criptomoeda no Brasil, mas é golpe (Tecnoblog)

21/02/2022 - Procon-SP notifica Americanas S.A para explicar instabilidade no site (Tecnoblog)

22/02/2022 - Bug da API Coinbase 'Market-Nuking' interrompeu novas ordens de negociação (em inglês) (Info Risk Today)

A plataforma de troca de criptomoedas Coinbase interrompeu brevemente seus serviços em 11 de fevereiro, depois que um pesquisador de segurança independente descobriu uma vulnerabilidade crítica em sua plataforma de negociação de moedas. O bug, que permitia aos usuários vender criptomoedas que não possuíam, não foi divulgado na época e foi corrigido em poucas horas. O pesquisador recebeu uma recompensa de US$ 250.000 por descobrir o bug, o maior valor já pago pela empresa em seu programa de Bug Bounty.


25/02/2022 - Golpistas criam plataforma para oferecer empregos fake (Baguete)

25/02/2022 - Malware em jogos na loja da Microsoft já infectou 5 mil dispositivos (Convergência Digital)

A Check Point Research identificou um novo malware que está sendo distribuído por meio de aplicativos da loja oficial da Microsoft e estimou que foram atingidas 5 mil vítimas em 20 países. O malware, batizado de Electron-bot, consegue controlar contas de redes sociais das vítimas, incluindo Facebook, Google e SoundCloud. O malware pode registar novas contas, iniciar sessão, comentar e curtir posts.

26/02/2022 - Grupo Lapsus anuncia invasão e vazamento da Nvidia (CISO Advisor)

No dia 26/02 o grupo hacker Lapsus$ anunciou um ciber ataque aos sistemas de computadores da fabricante de chips americana Nvidia, que causou o vazamento de informações confidenciais da empresa. Em seu canal do Telegram, o grupo publicou dois arquivos com credenciais de funcionários da Nvidia e alegou ter roubado 1 TB de informações. A empresa confirmou a invasão e o vazamento de dados de seus funcionários e de informações proprietárias. Os membros do Lapsus$ acusam a NVIDIA de ter tentado infectá-los com um ransomware, em uma retaliação ao seu ciber ataque a empresa.

Veja também o vídeo dos incidentes do mês de Fevereiro de 2022 da CECyber. Eles destacaram o ciber ataque do grupo Lapsus aos sites da B2W (dona dos e-commerces Americanas, Submarino e Shoptime) que deixou seus sites fora do ar por cerca de 4 dias e a guerra da Rússia com a Ucrânia.


março 08, 2022

[Cidadania] Dia Internacional das Mulheres

Eu queria escrever algo sobre a data de hoje, o Dia Internacional das Mulheres. Afinal, acredito que devemos respeitar, valorizar e apoiar a participação feminina na sociedade, hoje e sempre, todos os dias do ano.

Mas uma cena não sai da minha cabeça: recentemente eu fui em um evento para executivos do mercado de segurança e, tirando o time de staff do organizador do evento, não vi mulheres entre os executivos convidados. Haviam cerca de 50 pessoas, mas eu não identifiquei nenhuma convidada mulher no local. Não é uma crítica ao evento, pois sei que existem algumas executivas de segurança que costumam estar presentes nesses encontros, Mas, provavelmente, são cerca de 5 mulheres em um universo de 100 ou mais executivos que costumam estar presentes. Repito: não é culpa da organização do evento, mas é reflexo do nosso mercado de trabalho, que é formado majoritariamente por homens em todos os níveis e posições hierárquicas.

Não é vitimismo nem mimimi. Vivemos em uma sociedade machista, e a luta a favor da igualdade e diversidade deve ser constante, diária.

Não faz muito tempo assim que as mulheres não tinham sequer o direito a voto, por exemplo - isso foi aprovado em 1932, há 90 anos atrás!. Até pouco tempo atrás, a educação das meninas não era prioridade! A minha avó paterna, por exemplo, não foi alfabetizada quando criança pois saber ler e escrever era considerado importante só para os filhos homens. Ou seja, se você é mulher e está lendo esse artigo, agradeça as feministas que lutaram por esse direito.


Para aproveitar essa data, que tal prestigiar alguns eventos legais da comunidade de tecnologia e segurança?
Para saber mais:



março 07, 2022

[Segurança] Mês da Mulher ao "WOMCY Style"

Para celebrar o Dia Internacional da Mulher, ou melhor, o mês da mulher, a comunidade LATAM Women in Cybersecurity (WOMCY) vai realizar nos próximos dias uma série de palestras online sobre diversos temas de segurança, apresentadas por mulheres incríveis que trabalham na nossa área.


A comunidade preparou diversas palestras incríveis para esta semana, com temas relevantes de segurança, em três lives, nos dias 8, 9 e 10 de março, das 19h as 21h. Teremos palestras sobre ransomware, threat intel, pentest, forense na nuvem, segurança de redes e engenharia social. 

Dá uma olhada no time de feras e já coloca em sua agenda. As palestras serão transmitidas ao vivo no Canal da WOMCY no YouTube: https://www.youtube.com/c/WOMCYWomeninCybersecurity.

    


PS (adicionado em 08/03): Gostou? Veja as palestras do primeiro dia:
   



março 04, 2022

[Segurança] O grupo Lapsus$

Acho interessante escrever um post sobre o grupo hacker Lapsus (ou Lapsus$, ou Lapsus Group), um dos mais ativos recentemente, que conseguiu realizar ataques de extorsão e vazamento de dados em diversas empresas no Brasil e no mundo.

Aqui no Brasil, o grupo ficou famoso após realizar um grande ciber ataque contra o Ministério da Saúde no final do ano passado, quando tirou do ar o site do ministério, de outros órgãos de governo e o aplicativo ConecteSUS, impedindo o acesso a comprovantes de vacinação e outros registros do Sistema Único de Saúde (SUS), causando impacto até menos no registro oficial de casos de COVID no país. A plataforma ConecteSUS voltou a funcionar apenas 13 dias depois do ataque.


Outro ataque famoso, recente, foi contra as cadeias de varejo Americanas e Submarino. Os sites de comércio eletrônico das duas marcas ficaram inoperantes e, após voltarem ao ar no mesmo dia, sofreram um novo ataque que, supostamente, impactou o ambiente PCI da empresa. Os sites da Americanas, Submarino e Shoptime foram retirados do ar, com uma mensagem informando que, "por questões de segurança, suspendeu proativamente parte dos servidores do ambiente de e-commerce". Estima-se que a Americanas estava perdendo R$ 100 milhões por dia com a paralização de seu site e aplicativo. Segundo estimativas, a Americanas perdeu mais de R$ 2 bilhões em valor de mercado devido ao incidente. A empresa reestabeleceu seus sistemas e o e-comemrce após 4 dias.

Em Portugal, o grupo também realizou diversos ataques, e um dos mais relevantes foi contra a operadora de telefonia Vodafone, que afetou mais de 4 milhões de clientes. O Lapsus também atacou o grupo Impresa, responsável pelo jornal Expresso e pela rede de TV SIC, e conseguiram enviar e-mail e mensagens de SMS para os assinantes do jornal Expresso.

Possivelmente o primeiro ataque deles a alvos conhecidos aconteceu em Julho de 2021 contra a Electronic Arts (EA), quando foram publicados posts em alguns fóruns underground (como o RaidForums) anunciando o ataque. O texto do post em questão estava assinado como LAPSUS, mas essa atribuição não é feita com certeza por este não ser o canal utilizado por eles, no Telegram.

A lista de alvos do grupo é grande, e inclui as seguintes empresas:
Em janeiro deste ano o grupo publicou um arquivo de 835MB com informações sensíveis do presidente do Brasil e de membros de sua família, incluindo números de documentos, informações bancárias (com detalhes que incluem valores monetários), informações de parentesco e de bens móveis e imóveis.

Um de seus ataques mais recentes aconteceu em 26/02, quando anunciaram a invasão dos sistemas da fabricante de chips Nvidia. Em seu canal do Telegram, o grupo publicou dois arquivos com credenciais de funcionários da Nvidia e alegou ter roubado 1 TB de informações. Segundo o post do grupo, a motivação é criticar o recurso LHR (lite hast rate), que impede seu uso para mineração de criptomoedas nas placas da empresa - e ameaçam publicar os códigos das placas de vídeo GeForce RTX 30. A Nvidia confirmou a invasão e o vazamento de dados de seus funcionários e de informações proprietárias. O aspecto mais interessante desta história foi que os membros do Lapsus$ acusaram a NVIDIA de ter tentado infectá-los com um ransomware, em uma retaliação ao seu ciber ataque a empresa.


Outros ataques recentes e que chamaram a atenção da imprensa foi a invasão e roubo de dados da Okta e da Microsoft, anunciado em 21/03. No caso da Microsoft, os atacantes conseguiram obter e vazar o código-fonte do Cortana e do Bing.

Apesar de algumas notícias identificarem o Lapsus$ como um grupo de ransomware, é interessante notar que eles fazem um tipo de extorsão diferente. Normalmente suas invasões não utilizam malwares do tipo ransomware, e eles costumam vazar dados das vítimas e realizar defacement nos seus sites sem, necessariamente, exigir dinheiro em troca. Em alguns casos, após a divulgação do ataque eles exigiram dinheiro para não vazar as informações roubadas ou propõem vendê-las para quem quiser comprar esses dados. Mas, isso tudo seguindo um modus operandi bem diferente dos operadores tradicionais de ransomware.


Eu me arrisco a dizer que a especialidade deles é invadir empresas através de contas internas comprometidas, utilizando a estrutura de acesso remoto existente. E, após a invasão, eles focam em roubar dados e obter provas de seu acesso (como através de screenshots de telas de ferramentas internas), para posterior divulgação e eventual chantagem. A extorsão não é o foco principal dos ataques, e acontece apenas eventualmente.

Normalmente o grupo anuncia seus ataques e divulga os dados roubados através de um canal no Telegram - aonde certamente você poderá encontrar 100% dos profissionais de Threat Intel do mercado e muita gente de forças policiais. Acredita-se que o principal vetor de ataques do Lapsus é através de credenciais internas para ganhar acesso remoto a rede da vítima, obtidas pelo envio de mensagens de Phising, uso de credenciais identificadas em vazamentos e, eventualmente, aliciando funcionários internos com a promessa de grandes ganhos financeiros. Um post do grupo no Telegram, oferecendo para comprar acesso a redes corporativas, viralizou entre os grupos de profissionais de segurança.


Especula-se que o grupo seja formado por pessoas do Reino Unido, Brasil, Espanha e Colômbia. A grande quantidade de alvos no Brasil e Portugal fazem acreditar que elo menos um dos integrantes deve ser desses países. Acredita-se que seu líder é um adolescente de 16 anos de idade vivendo em Oxford, na Inglaterra, que inclusive já sofreu um suposto doxxing ao ter suas informações pessoais publicadas no site Doxbin em 08 de janeiro deste ano. Os membros usam nicks como "White", "breachbase","Oklaqq" e "WhiteDoxbin".


Coincidentemente ou não, após o recente ataque à Okta e à Microsoft começaram a surgir relatórios de inteligência descrevendo o grupo. A própria Microsoft publicou um relatório em 22/03, aonde batizou o grupo de DEV-0537. Veja alguns trechos que achei interessante destacar do relatório da Microsoft:
  • DEV-0537 is known for using a pure extortion and destruction model without deploying ransomware payloads.
  • DEV-0537 started targeting organizations in the United Kingdom and South America but expanded to global targets, including organizations in government, technology, telecom, media, retail, and healthcare sectors.
  • DEV-0537 is also known to take over individual user accounts at cryptocurrency exchanges to drain cryptocurrency holdings.
  • DEV-0537 doesn’t seem to cover its tracks. They go as far as announcing their attacks on social media or advertising their intent to buy credentials from employees of target organizations.
  • Their tactics include phone-based social engineering; SIM-swapping to facilitate account takeover; accessing personal email accounts of employees at target organizations; paying employees, suppliers, or business partners of target organizations for access to credentials and multifactor authentication (MFA) approval; and intruding in the ongoing crisis-communication calls of their targets.
  • Microsoft Threat Intelligence Center (MSTIC) assesses that the objective of DEV-0537 is to gain elevated access through stolen credentials that enable data theft and destructive attacks against a targeted organization, often resulting in extortion.
  • Tactics and objectives indicate this is a cybercriminal actor motivated by theft and destruction.
  • They have been consistently observed to use AD Explorer, a publicly available tool, to enumerate all users and groups in the said network.
  • DEV-0537 is also known to exploit vulnerabilities in Confluence, JIRA, and GitLab for privilege escalation.
O pesquisador de segurança Michael Koczwara publicou uma lista com os TTPs (Técnicas, ferramentas e procedimentos) normalmente adotados pelo Lapsus$ nesse artigo: LAPSUS$ TTP’s

Segundo notícias que surgiram em 24/03, sete adolescentes foram presos pela polícia de Londres por supostamente participarem do grupo Lapsus, incluindo o suposto líder, que usa os nomes "White" e "Breachbase". Segundo a polícia, o responsável pelo grupo havia acumulado uma fortuna de aproximadamente US$ 14 milhões (300 BTC) graças as suas atividades ciber criminosas nos últimos anos.

Para saber mais:
PS: Pequena atualização em 04, 08, 21 e 22/03. Grande atualização em 24/03. Mais uma notícia incluída em 25/03. Atualizado em 30/03 e 01/04.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.