abril 28, 2022

[Segurança] Top Women in CyberSecurity Latin America 2022

A comunidade LATAM Women in Cybersecurity (WOMCY) está organizando a terceira edição do prêmio Top Women in CyberSecurity - Latin America.

A premiação é organizada em conjunto com WOMCY e a WISECRA (Women in Security & Resilience Alliance) para reconhecer as mulheres que trabalham no mercado de cibersegurança na América Latina e na comunidade latina nos EUA que fizeram contribuições significativas e moldaram o caminho para as gerações futuras de novas profissionais.


As indicações para a premiação podem ser feitas até 08/05 através desse formulário: https://bit.ly/topwomen2022. É possível indicar uma pessoa ou a si mesma.

As ganhadoras serão anunciadas no dia 17 de junho de 2022, em uma cerimonia online organizada pela WOMCY.

Atualização (25/05): Após receber mais de 500 indicações, as inscrições estão abertas para participar da cerimônia de anúncio das mulheres que farão parte da lista 'Top Women in Cybersecurity Latin America 2022'. O evento será na sexta-feira, 17 de junho, e as inscrições devem ser feitas aqui: www.topwomenlatam2022.com.

Para saber mais:

abril 22, 2022

[Cidadania] Calendário da Diversidade

O portal Mais Diversidade tem disponível, online, um Calendário da Diversidade, um material que lista muitas datas nacionais e internacionais relacionadas a celebração da diversidade e inclusão das mais diversas minorias.

O calendário traz várias sugestões de datas que ajudam a conscientizar sobre esses temas, e eu separei algumas delas, para ilustrar a quantidade de datas e temas diferentes que podemos trabalhar em ações de conscientização a favor do respeito a diversidade (sem querer desmerecer as demais!):
  • Janeiro
    • 04/01: Dia Mundial do Braile
    • 21/01: Dia Nacional de Combate a Intolerância Religiosa
    • 29/01: Dia Nacional de Visibilidade das Pessoas Travestis e Trans
  • Fevereiro
    • 11/02: Dia Internacional das Mulheres e Meninas na Ciência
  • Março
    • 08/03: Dia Internacional da Mulher
    • 21/03: Dia Internacional da Síndrome de Down
    • 21/03: Dia Internacional de Luta pela Eliminação da Discriminação Social
  • Abril
    • 02/04: Dia Mundial do Autismo
    • 19/04: Dia do Índio
  • Maio
    • 17/05: Dia Internacional contra a LGBTfobia
  • Junho
    • 20/06: Dia Mundial do Refugiado
    • 28/06: Dia Internacional do Orgulho LGBT
  • Julho
    • 13/07: Dia do Estatuto da Criança e do Adolescente
  • Agosto
    • 19/08: Dia do Orgulho Lésbico
  • Setembro
    • 21/09: Dia Nacional da Pessoa com Deficiência
    • 23/09: Dia da Visibilidade Bissexual
    • 26/09: Dia Nacional do Deficiente Auditivo
  • Outubro
    • 2a terça-feira: Ada Lovelace Day
    • 01/10: Dia Internacional das Pessoas Idosas
    • 10/10: Dia Mundial da Saúde Mental
  • Novembro
    • 18/11: Dia Nacional de Combate ao Racismo
    • 19/11: Dia do Empreendedorismo Feminino
    • 20/11: Dia da Consciência Negra
    • 25/11: Dia Internacional do Combate a Violência contra a Mulher
  • Dezembro
    • 01/12: Dia Internacional de Combate à AIDS
    • 02/12: Dia Internacional para Abolição da Escravatura
    • 03/12: Dia Internacional da Pessoa com Deficiência
    • 05/12: Dia Internacional do Voluntariado
    • 06/12: Dia Nacional de Mobilização dos Homens pelo Fim da Violência contra as Mulheres
    • 13/12: Dia Nacional da Pessoa com Deficiência Visual
Para saber mais, visite o portal Mais Diversidade.

abril 12, 2022

[Segurança] Phish scale para dimensionar a complexidade do seu teste de phishing

Quando falamos sobre conscientização dos usuários finais sobre ciber segurança, provavelmente a primeira iniciativa que vem na cabeça dos profissionais da área são os testes de phishing, aonde são enviadas aos usuários da empresa mensagens semelhantes a golpes conhecidos de phishing. O objetivo é testar os usuários e identificar se eles são alvos fáceis, e portanto, identificar a necessidade de treinamentos e ações de educação específicas.

Para ajudar as empresas a avaliar se uma mensagem de teste de phishing é realista e se ela é fácil de ser identificada pelos usuários finais, o pessoal do NIST criou o projeto Phish scale.

O Phish scale utiliza uma escala com 2 parâmetros para classificar a dificuldade de identificar uma mensagem de phishing, baseado na quantidade de "dicas" presentes na mensagem (por exemplo, erros de digitação ou gramática no texto, uso de endereços de e-mail genéricos, etc) e a aderência ao contexto do usuário (por exemplo, quando é relacionado a empresa ou sou trabalho da vítima).


Assim, com o uso dessa escala, podemos adaptar a complexidade da mensagem de phishing ao nosso público-alvo ou ao melhor momento em que a campanha de testes é realizada.

O Phish Scale faz parte de um projeto do NIST sobre a usabilidade da ciber segurança, que tem um subprojeto específico sobre Phishing.

Para saber mais:

abril 11, 2022

[Segurança] Principais notícias de segurança em Março de 2022

Esse é mais um pequeno apanhado com algumas das principais notícias sobre segurança e fraudes online que aconteceram no mês passado. A proposta é focar em notícias relacionadas, principalmente, ameaças, a fraudes e golpes direcionadas a usuários finais no Brasil, ou casos mais relevantes no mundo. Algumas notícias, que eu acho mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.

Boa leitura!
03/03/2022 - Não caia no golpe "Donate to help children in Ukraine" ("Doe para ajudar crianças na Ucrânia") (em inglês) (MalwareBytes)

03/03/2022 - Receita alerta para golpe de saque imediato da restituição do imposto de renda (UOL)

03/03/2022 - Má configuração causou maioria de incidentes de nuvem em 2021 (CISO Advisor)

03/03/2022 - Ransomware é uma forte ameaça para as empresas brasileiras em 2022 (Security Report)

03/03/2022 - Incidente paralisou fabricante de pneus Bridgestone nos EUA (CISO Advisor)

03/03/2022 - Ataques a APIs crescem quase 700% nos últimos 12 meses (CISO Advisor)

04/03/2022 - Ataques de Credential-Stuffing em sistemas Windows remotos decolaram em 2021 (Minuto da Seguranca)

04/03/2022 - Grupo Lapsus$ invade e vaza dados da Samsung (BoletimSec)

A Samsung confirmou a violação de segurança que resultou na exposição de dados internos da empresa, incluindo o código-fonte dos seus smartphones Galaxy. Segundo a empresa, o vazamento não inclui informações pessoais de consumidores ou funcionários.


06/03/2022 - Mercado Livre confirma vazamento revelado pelo Lapsus$ (CISO Advisor)

Depois do grupo de cibercrime Lapsus$ indicou estar na posse de dados das empresas MercadoLibre (nome do controlador do MercadoLivre), MercadoPago, Vodafone e a Impresa (maior empresa de mídia de Portugal), o Mercado Livre confirmou em nota o acesso não autorizado e possível vazamento de parte do código-fonte do MercadoLivre Inc e de dados de aproximadamente 300.000 usuários.

06/03/2022 - Guerra cibernética: Ucrânia relata ataques “incessantes” de hackers russos (Olhar Digital)

06/03/2022 - Golpe: problema gravíssimo de segurança envolvendo a operadora Claro, o Instagram e bancos digitais (Olhar Digital)

Segundo denúncias de clientes, golpistas conseguem obter um novo chip da Claro com o número telefônico em nome de uma pessoa (os criminosos fecham a conta da vítima, ou simplesmente fazem uma portabilidade). Em seguida, eles assumem o perfil no Instagram dessa pessoa e passam a comercializar produtos pela rede social, negociando por meio de Pix cadastrado em uma conta bancária digital criada em nome da mesma vítima.

07/03/2022 - Ataques cibernéticos afeta infraestrutura de países da Europa (Minuto da Seguranca)

07/03/2022 - 1.223 endereços gov.br estão contaminados com malware (CISO Advisor)

08/03/2022 - Gangue do ransomware Hive ataca empresa de petróleo na Romênia em ataque recente (em inglês) (The Record)

08/03/2022 - Checklist de cibersegurança diante da crise na Ucrânia (Minuto da Seguranca)

08/03/2022 - FBI descobre que Ragnar Locker atingiu 52 alvos críticos de infraestrutura (em inglês) (TechTarget)

08/03/2022 - Google: Hackers russos atacam ucranianos e aliados europeus em ataques de phishing (em imglês) (The Hacker News)

08/03/2022 - Ataque prejudica transporte urbano de Curitiba (CISO Advisor)

Um ciber ataque foi apontado pela Prefeitura de Curitiba como a causa dos problemas que ocorreram com o sistema de transporte público da cidade, impactando o site da Urbs, Urbanização de Curitiba S.A., a empresa que administra o sistema de transporte. Além disso, houve queixas em relação ao sistema de recarga dos cartões de transporte.

09/03/2022 - Ciber atacantes exploram dispositivos Mitel para amplificar ataques DDoS 4 bilhões de vezes (em inglês) (The Hacker News)

09/03/2022 - Bug crítico permite a atacantes invadir remotamente e destruir dispositivos Smart-UPS da APC (em inglês) (The Hacker News)

Batizada de TLStorm, a falha explora três vulnerabilidades no protocolo de comunicação via rede, não autenticado, permitindo o acesso remoto aos dispositivos Smart-UPD da APC, podendo até mesmo causar danos físicos ao equipamento.

09/03/2022 - Redes de varejo estão entre os dez setores mais atacados por cibercriminosos (Minuto da Segurança)

09/03/2022 - Golpe da maquininha: Mulher paga R$ 2 mil por corrida de R$ 10 de app (UOL)

10/03/2022 - Startup lança programa de "caça bugs" gratuito para empresas (Exame)

10/03/2022 - Polícia Federal faz operação contra fraudes na Caixa Econômica (Agência Brasil)

A Polícia Federal deflagrou a Operação Anakin para desarticular uma organização criminosa especializada em fraudes bancárias e invasões cibernéticas aos sistemas da Caixa Econômica Federal. Os criminosos obtinham dados e acesso a contas bancárias, fazendo emissão de cartões de crédito para compras, pagamentos e saques. Os envolvidos nos crimes contavam com a ajuda de um funcionário dos Correios para repassar os cartões fraudados e causaram um prejuízo estimado de R$ 140 milhões. Foram presas quatro pessoas e cumpridos oito mandados de busca e apreensão em São Paulo.
14/03/2022 - YouTube tem descrição de vídeos infectada com malware (TecMundo)

14/03/2022 - Idoso é preso após enviar recados via Pix para ex-namorada (TecMundo)

Após perseguir e ameaçar a ex-namorada por telefone e redes sociais, após o final do relacionamento, um idoso de 67 anos foi preso em Fortaleza (CE) depois de enviar uma série de recados para a ex-namorada utilizando o campo de comentários do Pix , o aplicativo de pagamentos instantâneos do Banco Central. O idoso já possui uma medida protetiva contra ele registrada na Delegacia de Defesa da Mulher (DDM).

14/03/2022- Coca-Cola dando frigobar? Promoção que circula no WhatsApp é golpe (TechTudo)

14/03/2022 - Certificados falsos de vacina são anunciados no Telegram por R$ 500 (Metropoles)

15/03/2022 - Ubisoft sofre ataque hacker e jogos saem do ar (Bit Magazine)

15/03/2022 - INTERPOL lança centro contra crimes financeiros e corrupção (em inglês) (INTERPOL)

15/03/2022 - Criminosos usam anúncios na internet sobre empréstimos para aplicar golpes (R7)

15/03/2022 - DPO: atividade inscrita no CBO pelo Ministério do Trabalho (CryptoID)

15/03/2022 - Receita: Golpe usa boleto falso do Simples Nacional para pagamento via Pix (Convergência Digital)

15/03/2022 - Ataque DDoS massivo tira do ar websites do governo israelense (em inglês) (The Hacker News)

19/03/2022 - Malware já roubou senhas de mais de 100 mil usuários do Android (TecMundo)

Em depoimento na Câmara Municipal de São Paulo (SP) para a CPI dos Aplicativos, a diretora de segurança da 99, Tatiana Scatena, confirmou que a empresa foi vítima de um ataque cibernético no final de janeiro. Segundo a companhia, 0,006% dos motoristas parceiros tiveram suas contas comprometidas no aplicativo.



22/03/2022 - Malware já roubou senhas de mais de 100 mil usuários do Android (TecMundo)

A empresa de segurança móvel Pradeo revelou a existência de um malware disfarçado de aplicativo para Android, distribuído na Google Play Store, denominado “FaceStealer” e distribuido em um editor de fotos aparentemente inofensivo. O app malicioso já foi instalado em pelo menos 100 mil dispositivos e é capaz de roubar as credenciais de acesso ao Facebook e transmiti-las para um servidor na Rússia.

22/03/2022 - Governo americano alerta empresas sobre potenciais ciber ataques da Rússia (em inglês) (The Hacker News)

22/03/2022 - Lapsus$ vaza material atribuído a Microsoft, Okta e LG (CISO Advisor)

22/03/2022 - FEBRABAN assina acordo de cooperação com Polícia Federal para repressão a crimes cibernéticos (FEBRABAN)

22/03/2022 - Empresa de autenticação Okta investiga anúncio de invasão digital (em inglês) (Reuters)

23/03/2022 - Ransomware veloz criptografa 100 mil arquivos em 4 minutos (CISO Advisor)

Segundo estudo realizado pela empresa Splunk em ambiente de laboratório controlado com dez amostras de ransomware, foi possível estimar a velocidade para criptografar quase 100 mil arquivos, num total de quase 53 GB. O ransomware LockBit foi o mais rápido, criptografando 25 mil arquivos por minuto, com velocidade 86% maior que a mediana de 43 minutos. O malware mais lento demorou três horas e meia. Em ordem de velocidade, os ransomwares analisados foram os seguintes: LockBit, Babuk, Avadon, Ryuk, REvil, BlackMatter, Lado escuro, Conti, Labirinto e Mespinoza (Pysa).

23/03/2022 - Ciberataque bloqueia tráfego da maior ferrovia italiana (CISO Advisor)

23/03/2022 - FBI: 6,9 bilhões de dólares perdidos por crimes na Internet em 2021 (em inglês) (The Record)

23/03/2022 - Ataque de ransomware interrompe serviços postais na Grécia (em inglês) (Data Breach Today)

23/03/2022 - Portal que emite guias do IPTU é clonado em BH e criminosos aplicam golpe (Estado de Minas)

24/03/2022 - Pai cai em golpe ao comprar videogame de presente para os filhos de falso policial federal (Folha Vitoria)

24/03/2022 - Hackers abriram 500 mil contas falsas com emails vazados no Brasil, diz estudo (Folha)

24/03/2022 - Valor médio de pedidos de resgate de ransomware aumentou 78% (CISO Advisor)

24/03/2022 - Governo anuncia plano tático contra cibercrimes (CISO Advisor)

24/03/2022 - Roubo de informações sigilosas tem forte crescimento no Brasil (CISO Advisor)

Segundo o serviço de inteligência de ameaças DarkTracer, 13.598 usuários foram infectados por malware e tiveram dados pessoais roubados somente em fevereiro de 2022, o que significa 2.560 vítimas a mais que no mês anterior. O número global também cresceu, de 104 mil em janeiro para mais de 39 mil infecções em fevereiro.

24/03/2022 - Valor médio de pedidos de resgate de ransomware aumentou 78% (CISO Advisor)

Estudo da Palo Alto Networks revela que o valor médio dos resgate de ransomware em 2021 ficou em US$ 541.010, enquanto a demanda aumentou 144%, perfazendo US$ 2,2 milhões.

24/03/2022 - Uma em cada cinco empresas leva, em média, seis meses para preencher uma vaga em segurança cibernética (Convergência Digital)

24/03/2022 - LGPD: Nas PMEs, 20% assumem não ter segurança da informação e 23% usam apenas antívirus gratuito (Convergência Digital)

24/03/2022 - Malware 'infostealer' faz 13,6 mil vítimas no Brasil em fevereiro (TecMundo)

A empresa de segurança ESET lançou um alerta sobre o aumento do número de vítimas de malwares conhecidos como “infostealer” tais como RedLine Stealer, Raccon Stealer, Vidar, Taurus e AZORult, entre outros. Somente no Brasil, 13.598 usuários foram afetados por estes códigos maliciosos no mês de fevereiro. O número global de infecções subiu de 104 mil em janeiro para 143 mil em fevereiro.

24/03/2022 - Rasomware: 649 empresas de infraestrutura crítica foram atacadas nos EUA em 2021 (Exame)

24/03/2022 - Grupo hacker Lapsus$ é preso após investigação da polícia de Londres (Exame)

A polícia de Londres, no Reino Unido, prendeu sete integrantes do grupo de cibercriminosos Lapsus$, responsável pela invasão de uma dezena de companhias internacionais e brasileiras. Os sete integrantes, com idades entre 16 e 21 anos, foram liberados sob investigação. A polícia afirma que o responsável pelo grupo havia alcançado uma fortuna de US$ 14 milhões por meio de invasões e extorsões.

24/03/2022 - Hackers norte-coreanos exploram o Chrome Zero-Day para atingir empresas de fintech, TI e mídia (em inglês) (The Hacker News)

Segundo o Grupo de Análise de Ameaças do Google (TAG), dois grupos hackers distintos apoiados pelo governo da Coreia do Norte exploraram uma falha de execução remota de código recentemente descoberta no navegador Chrome. Tais campanhas teriam como alvo organizações sediadas nos EUA, abrangendo empresas de mídia e notícias, TI, criptomoedas e fintechs, explorando a vulnerabilidade CVE-2022-0609, relativa ao componente Animation do navegador Chrome, que foi corrigida em 14 de fevereiro de 2022.


26/03/2022 - Confirmado: Anonymous invade o Banco Central da Rússia e vaza 28 GB de dados (em inglês) (Hack Read)

Um dos grupos afiliados ao Anonymous, "The Black Rabbit World" (Thblckrbbtworld), vazou 28 GB de documentos internos do Banco Central da Rússia em apoio à Ucrânia.


28/03/2022 - Golpistas criam perfis falsos de hotéis e pousadas para conseguir dinheiro (UOL)

O avanço da vacinação e a redução dos casos de covid-19 no país reaqueceram não só o setor do turismo, mas também o de golpes na internet, como a criação de perfis falsos de pousadas e hotéis nas redes sociais. Na maioria dos casos, criminosos reproduzem páginas oficiais dos hotéis e entram em contato com os seguidores do perfil oferecendo promoções e sorteio de diárias. Em troca, eles pedem os dados pessoais de cada um e tentam clonar o número de WhatsApp do futuro viajante. Em outros casos, disponibilizam links com vírus capazes de roubar senhas e dados dos usuários.

29/03/2022 - Força policial multinacional prende 108 suspeitos de fraudes (em inglês) (InfoRisk Today)

29/03/2022 - Incidente derruba sites do Sebrae em todo o país (CISO Advisor)

29/03/2022 - 2021 bate recorde com quase 10 milhões de ataques DDoS (CISO Advisor)

Os ciber cibercriminosos lançaram aproximadamente 4,4 milhões de ataques distribuídos de negação de serviço (DDoS) somente durante o segundo semestre de 2021, elevando o número total desse tipo de ataque para 9,75 milhões no ano, revela relatório da Netscout. 

29/03/2022 - Sascar, empresa de tecnologia do grupo Michelin, é vítima de ciberataque (Valor)

30/03/2022 - Hackers roubam mais de US$ 600 milhões de blockchain de jogos (CISO Advisor)

A Ronin Network, plataforma de blockchain desenvolvida para os games de NFTs Axie Infinity Axie DAO, anunciou que foi atacada por hackers, em que foram roubadas criptomoedas avaliadas em aproximadamente US$ 625 milhões, ou 173.600 Ethereum (cerca de R$ 3 bilhões na cotação do dólar do dia).

30/03/2022 - Empresário português perde quase R$ 18 mil após cair em golpe (Terra)

Um empresário português que está no Brasil perdeu quase R$ 18 mil em transferências Pix após ser enganado por uma golpista que atua em um aplicativo de relacionamentos. Segundo ele, a mulher dizia que era jornalista do exército norte-americano. Os pedidos de dinheiro começaram quando a mulher disse que viria ao Brasil e precisava de R$ 2,4 mil para enviar a bagagem primeiro. Depois, ela pediu mais R$ 15 mil porque dentro da bagagem tinha um cofre com US$ 74 mil. Para passar segurança para o português, a suposta jornalista enviou fotos de uma mala no aeroporto. Ela também pediu que ele alugasse um apartamento para os dois. No entanto, após as transferências, a mulher sumiu e ele percebeu que caiu em um golpe. 

30/03/2022 - Empresa de TI Globant se junta ao SEBRAE e ao grupo SASCAR e é alvo dos hackers (Convergência Digital)

30/03/2022 - Tribunal Regional Federal de São Paulo sofre novo ataque hacker (Convergência Digital)

Segundo pedido encaminhado ao Conselho Nacional de Justiça., o Tribunal Regional Federal da 3ª Região (SP e MS) sofreu um ataque de ransomware que paralisou seus sistemas ao criptografar e indisponibilizar tanto equipamentos do próprio TRF 3 como ambiente de virtualização. 


Veja também o vídeo dos incidentes do mês de Março de 2022 produzido pela CECyber. Desta vez, eles começaram o vídeo destacando uma iniciativa recente para ajudar no combate a ciber crimes, a criação do Plano Tático de Combate a Crimes Cibernéticos por parte do Governo Federal. Também falaram sobre a prisão dos 7 adolescentes que fazem parte do grupo Lapsus$, na Inglaterra.


abril 08, 2022

[Segurança] Max Headroom Attack

Há mais de 30 anos atrás, um ataque de roubo de sinal televisivo ficou famoso e ganhou o nome de "Max Headroom Attack".

Em 1987, no meio da transmissão de um episódio da série Doctor Who nos EUA, de repente apareceu a imagem de uma pessoa usando uma máscara do Max Headroom, um personagem fictício da TV inglesa, que era um host de notícias e comédia muito popular naquele tempo. O ataque foi muito noticiado e discutido na época pois os atacantes, até hoje desconhecidos, conseguiram piratear o sinal de transmissão do canal de TV WTTW, em Chigago.

A própria TV WTTX tem uma página que cita e mostra um vídeo curto, de quase 5 minutos, falando sobre esse ataque.

Para saber mais:

abril 07, 2022

[Segurança] Indicadores dos ciber ataques durante o conflito entre a Russia e Ucrânia

(Nota: Esse post foi suspenso e colocado sob revisão do Blogger sob suspeita de violação da política de comunidade do site (Malware and Viruses policy). Este post é apenas uma coletânea de fatos técnicos sobre o ciber conflito entre Russia e Ucrânia, incluindo uma linha do tempo com os ciber ataques realizados no período do conflito e seus indicadores técnicos, obtidos de fontes públicas e confiáveis, quando houver. 

Não há conteúdo malicioso sendo publicado aqui!

Note: This post was suspended and placed under review by Blogger staff, on suspicion of violating the site's community guidelines (Malware and Viruses policy). This post is just a collection of technical information and facts about the cyber conflict between Russia and Ukraine, including a timeline of cyber attacks carried out during the period of the conflict and their technical indicators (IOCs), obtained from public and trustworthy sources, whenever they were available.

There is no malicious content published here!)

Eu tenho acompanhado os aspectos de segurança desde o início desse triste conflito entre a Rússia e a Ucrânia, uma vez que a invasão russa foi precedida por alguns ciber ataques e acabou gerando diversas outras ações online.

Até o início de Abril, em 1 mês de conflito, já haviam sido identificados diversos malwares "wiper", um malware destinado a destruir dados e sistemas, utilizados em ciber ataques contra empresas e órgãos de governo da Ucrânia. Entre eles, alguns nomes que ficaram famosos, como o WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoubleZero e o AcidRain. Todo o acompanhamento, descritivo e linha do tempo com os diversos ciber ataques que ocorreram estão disponíveis nesse post: "Guerra cibernética na Ucrânia".

Para facilitar, eu preferi retirar do post original e destacar aqui a lista de indicadores de comprometimento (IOCs) relacionados aos ciber ataques envolveram o uso de códigos maliciosos.

Segue abaixo alguns IOCs mis relevantes relacionados aos malwares envolvidos nos principais  ciber ataques contra a Ucrânia:

  • WhisperGate e WhisperKill (divulgados pela MicrosoftCERT-UASecureworks e CISCO Talos)
    • No dia 13 de Janeiro foi identificada a ação de um malware "wiper", batizado de WhisperGate, que sobrescreve a Master Boot Record (MBR) do equipamento infectado e apresenta uma nota falsa de resgate, simulando um ransomware;
    • Hashs do stage1.exe (BootPatch / MBR Wiper): a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92 (SHA-256)  189166d382c73c242ba45889d57980548d4ba37e (SHA-1) 5d5c99a08a7d927346ca2dafa7973fc1 (MD5)
    • Hash do stage2.exe (WhisperGate / Downloader): dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78 (SHA-256) 16525cb2fd86dce842107eb1ba6174b23f188537 (SHA-1) 14c8482f302b5e81e3fa1b18a509289d (MD5)
    • Hashs do payload do Stage 3 (WhisperPack / Loader DLL):  923eb77b3c9e11d6c56052318c119c1a22d11ab71675e6b95d05eeb73d1accd6 (SHA-256) b2d863fc444b99c479859ad7f012b840f896172e (SHA-1) b3370eb3c5ef6c536195b3bea0120929 (MD5)
    • Hashs da DLL do Stage 3 (WhisperPack / Loader DLL): 9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d  (SHA-256) 82d29b52e35e7938e7ee610c04ea9daaf5e08e90 (SHA-1) e61518ae9454a563b8f842286bbdb87b (MD5)
    • Hash do Stage 4 (WhisperKill / File Wiper):  34ca75a8c190f20b8a7596afeb255f2228cb2467bd210b2637965b61ac7ea907 (SHA-256) a67205dc84ec29eb71bb259b19c1a1783865c0fc (SHA-1) 3907c7fbd4148395284d8e6e3c1dba5d (MD5)
  • HermeticWiper / KillDisk.NCV (descoberto pela ESET)
    • Em 23/02, um pouco antes do início da invasão russa, foi identificado um "wiper" batizado de HermeticWiper (ou FoxBlade);
    • 1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591 (SHA-256)
    • 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da (SHA-256)
    • a64c3e0522fad787b95bfb6a30c3aed1b5786e69e88e023c062ec7e5cebf4d3e (SHA-256)
    • 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382 (SHA-256) 
  • Cyclops Blink (NCSC/UK)
    • Hash do arquivo cpd (sample 1): 50df5734dd0c6c5983c21278f119527f9fdf6ef1d7e808a29754ebc5253e9a86 (SHA-256)
    • Hash do arquivo cpd (sample 2): c082a9117294fa4880d75a2625cf80f63c8bb159b54a7151553969541ac35862 (SHA-256)
    • Hash do arquivo install_upgrade (sample 1): 4e69bbb61329ace36fbe62f9fb6ca49c37e2e5a5293545c44d155641934e39d1 (SHA-256)
    • Hash do arquivo install_upgrade (sample 2): ff17ccd8c96059461710711fcc8372cfea5f0f9eb566ceb6ab709ea871190dc6 (SHA-256)
  • IsaacWiper / Win32/KillMBR (ESET)
    • No dia 24/02, no dia do início da invasão russa e um dia depois do ataque pelo HermeticWiper, um novo malware atacou a Ucrânia, batizado de IsaacWiper pela ESET. A empresa divulgou essa descoberta em 01 de Março;
    • Hash do arquivo cl64.dll: AD602039C6F0237D4A997D5640E92CE5E2B3BBA3 (SHA-1)
    • Hash do arquivo cld.dll: 736A4CFAD1ED83A6A0B75B0474D5E01A3A36F950 (SHA-1)
    • Hash do arquivo clean.exe: E9B96E9B86FAD28D950CA428879168E0894D854F (SHA-1)
  • Liberator / Disbalancer.exe (CISCO Talos)
    • Em 09/03 o grupo de pesquisadores do CISCO Talos divulgou a descoberta de um malware disfarçado como um software batizado de "Liberator", promovida como uma ferramenta para realizar ataques DDoS contra alvos de propaganda da Rússia. O objetivo era infectar os "soldados cibernéticos" pró-Ucrânia, roubando dados da máquina aonde for instalado
    • IP 95.142.46.35 - Porta 6666
    • 33e5d605c1c13a995d4a2d7cb9dca9facda4c97c1c7b41dc349cc756bfc0bd67 (SHA-256)
    • f297c69795af08fd930a3d181ac78df14d79e30ba8b802666605dbc66dffd994 (SHA-256)
    • eca6a8e08b30d190a4956e417f1089bde8987aa4377ca40300eea99794d298d6 (SHA-256) (EXE)
    • 705380e21e1a27b7302637ae0e94ab37c906056ccbf06468e1d5ad63327123f9 (SHA-256) (ZIP)
  • CaddyWiper / Win32/KillDisk.NCX (ESET)
    • No dia 14/03 a ESET noticiou a existência de um novo malware wiper atacando as redes das empresas da Ucrânia. Batizado de CaddyWiper, ele infecta servidores Windows;
    • 98b3fb74b3e8b3f9b05a82473551c5a77b576d54 (caddy.exe)
  • DoubleZero (CISCO Talos e CERT-UA)
    • A partir do dia 17/03 as organizações ucranianas começaram a ser atacadas por mais um malware wiper distribuído através de ataques de spear-phishing, batizado de DoubleZero - conforme informado pelo CERT da Ucrânia em 23/03;
    • d897f07ae6f42de8f35e2b05f5ef5733d7ec599d5e786d3225e66ca605a48f53 (SHA-256) 36dc2a5bab2665c88ce407d270954d04 (MD5)
    • arquivo "csrss.zip": 8dd8b9bd94de1e72f0c400c5f32dcefc114cc0a5bf14b74ba6edc19fd4aeb2a5 (SHA-256) 989c5de8ce5ca07cc2903098031c7134 (MD5)
    • arquivo "cpcrs.exe": 3b2e708eaa4744c76a633391cf2c983f4a098b46436525619e5ea44e105355fe (SHA-256) 7d20fa01a703afa8907e50417d27b0a4 (MD5)
    • arquivo "csrss.exe": 30b3cbe8817ed75d8221059e4be35d5624bd6b5dc921d4991a7adc4c3eb5de4a (SHA-256) b4f0ca61ab0c55a542f32bd4e66a7dc2 (MD5)
  • AcidRain (Sentinelone)
    • Em 24/02 um malware wiper batizado de AcidRain foi utilizado para desativar os modens utilizados pela rede de acesso internet via satélites KA-SAT da empresa Viasat;
    • 9b4dfaca873961174ba935fddaf696145afe7bbf5734509f95feb54f3584fd9a (SHA256)
    • 86906b140b019fdedaaba73948d0c8f96a6b1b42 (SHA1)
    • ecbe1b1e30a1f4bffaf1d374014c877f (MD5)
  • PseudoSteel (CERT-UA)
    • Em. 28/03 o CERT da Ucrânia alertou sobre a distribuição de mensagem com o malware PseudoSteel, disfarçado de um arquivo com nome ""Information on the loss of servicemen of the Armed Forces of Ukraine.docx.exe."" (em ucraniano). O vírus rouba arquivos locais e os envia para um servidor FTP externo;
    • arquivo "Інформація_щодо_втрат_військовослужбовців_ЗС_України.docx.exe": eda76ae28628c64d9e12a86adef6dc69  (MD5) 13eaa638d071e7dc124cf982b8777c6ef50a3d9dc8c57d22d23abe1bae5560f5 (SHA-256)
    • arquivo "googleupdate.exe": 878c30bdefb1b76ea10823a6d5a32f89 (MD5) bab351b5f19ecaa24eaa438dd93decd5587e0b441fc43b78893ca2e207b2cb2f (SHA-256)
    • arquivo "googleupdate.deupx.exe": 55cafceba527c3e68852b1af071929c0 78b492e211e91b1ef9a4bcd5ba80c9572545d5f3f63d3071e3253dcec3a5d97c 
    • arquivo "Втрати-1001.docx": 5d29da2285390164a0a7d80e6ed23da7 (MD5) c50972c11ffd1da9e0ed670b99296f75ec52933699790285d050c0654c21fda3 (SHA-256)

Segundo a Secureworks, os domínios abaixo foram usados para ataques de phishing reportados pelo CERT da Ucrânia em 25/02:

  • ua-passport.space
  • bigmir.space
  • mirrohost.space
  • mil-gov.space
  • verify-email.space
  • verify-mail.space
  • creditals-email.space
  • meta-ua.space
  • i-ua.space
  • kontrola-poczty.space
  • walidacja-poczty.space
  • weryfikacja-poczty.space
  • konto-verify.space Domain 
  • weryfikacja-konta.space
  • walidacja-uzytkownika.space
  • akademia-mil.space
  • ron-mil.space

Para saber mais:
PS: Post atualizado em 11/04.

abril 05, 2022

[Cyber Cultura] O impacto da pandemia no uso da Internet

Hoje o NIC.br divulgou os resultados da pesquisa Painel TIC COVID-19: Pesquisa on-line com usuários de Internet no Brasil - 4ª edição: Cultura, Comércio Eletrônico, Serviços Públicos On-line, Telessaúde, Ensino Remoto e Teletrabalho, com dados sobre atividades na Internet e dispositivos usados pelos brasileiros para acesso à rede durante a pandemia.

Além de apresentar indicadores sobre as formas de acesso e sobre o aumento do uso da Internet durante a pandemia para atividades de comércio eletrônico, serviços públicos on-line, telessaúde, cultura, ensino remoto e teletrabalho. O estudo, focado no público acima de 16 anos, também traz informações sobre o uso da modalidade de pagamento digital PIX durante o período. 

Veja alguns destaques sobre os hábitos dos usuários de internet durante a pandemia, em 2021:
  • 94% dos domicílios brasileiros possuem acesso a Internet;
  • 99% utilizam o celular para acesso a Internet;
  • 38% dos usuários que trabalharam durante a pandemia realizaram trabalho remoto;
  • 51% dos usuários comparam produtos e serviços pela Internet, liderado pela compra de produtos e bens alimentícios (63%);
  • 72% dos usuários que compraram pela Internet pagaram usando o PIX;
  • 73% dos usuários que compraram ingressos pela internet o fizeram para eventos on-line;
  • 89% assistiram a vídeos, programas, filmes ou séries pela Internet;
  • 77% buscaram informações relacionadas à saúde ou serviços de saúde;
  • 26% realizaram consulta médica pela Internet; a maioria (59%) através de aplicativos de mensagens instantâneas;
  • 83% dos usuários que frequentam escola ou universidade realizaram atividades ou pesquisas escolares pela Internet;
  • 85% utilizaram serviços de governo eletrônico.
O Pix, modalidade de pagamento instantâneo e digital lançada em novembro de 2020, teve uma rápida adesão e se tornou o segundo meio de pagamento mais usado em 2021 para compras online, logo após o pagamento por cartão de crédito. É interessante ver também que a adoção do Pix foi generalizada em todas as classes sociais, em comparação com o cartão de crédito que é mais utilizado nas classes A, B e C.



O estudo, como um todo, bem interessante e traz diversos dados sobre como a pandemia impactou no uso da Internet no Brasil. O mais legal é que em muitos momentos ele traz informações de como esse impacto variou em diferentes classes sociais.

Veja abaixo o video da live com a apresentação dos principais resultados do Painel TIC COVID-19:


A apresentação com os principais resultados da pesquisa está disponível no site do Cetic.br. O livro com o relatório detalhado está disponível online, assim como a lista completa dos dados e indicadores apresentados no estudo. Essa é a 4a edição das pesquisas sobre uso de tecnologias internet durante o período da pandemia do COVID-19, que estão disponíveis para consulta no site do Cetic.


Esse estudo do Comitê Gestor da Internet no Brasil (CGI.br) foi conduzido pelo Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (Cetic.br) do Núcleo de Informação e Coordenação do Ponto BR (Nic.br).

PS (adicionado em 11/04): Veja também essa notícia, sobre a pesquisa TIC Covid-19: "Covid-19 empurrou 42 milhões no Brasil para o teletrabalho". Eles destacam que, de um total estimado em 137 milhões de pessoas com mais de 16 anos que usam a internet com frequência no país, 38% deles (ou seja, 52 milhões de pessoas) passaram a alguma modalidade de teletrabalho – sendo que 8 em cada 10 foi obrigado a fazer esse movimento justamente por conta da pandemia.

abril 01, 2022

[Segurança] Hacker ou ciber criminoso?

Já fazem anos, muitos anos, que a imprensa confunde o conceito de hacker com criminoso. A maioria das notícias sobre ciber crimes e fraudes online associam essas atividades a figura do "hacker".

Veja, por exemplo, uma mesma notícia publicada em 3 portais diferentes:




Intencional ou não, essa confusão acontece desde os primórdios do surgimento da cultura hacker, quando ela começou a se popularizar - junto com os primeiros ataques informáticos. A comunidade de segurança acaba sendo obrigada a constantemente tentar tirar da população a imagem do hacker como uma pessoa mal intencionada ou criminosa.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.