[Segurança] Ciber retrospectiva 2023

Chegamos no final do ano, época de relembrar os principais acontecimentos relevantes e que marcaram 2023.

Na minha opinião, os fatos mais relevantes no cenário de cibersegurança neste ano foram:

• O ano da Inteligência Artificial (IA): este foi, sem dúvida, "o ano da IA", Desde o final de 2022, com o lançamento do ChatGPT, o assunto entrou no dia-a-dia de todos. Há centenas de ferramentas hoje em dia que usam IA, mas o ChatGPT praticamente virou sinônimo de IA. É como ir no mercado e comprar um Danone e um BomBril. No decorrer do ano, a discussão sobre segurança e uso seguro / malicioso da IA foi constante, assim como o surgimento dos primeiros incidentes - vazamento de informações, uso de deep fakes para golpes e abuso sexual, etc;
• Ransomware é o "novo normal": O ransomware é o "novo normal" do mundo digital. Ou seja, qualquer pessoa ou empresa pode ser infectada a qualquer hora, como no caso do vírus da gripe e do Covid: você pode ficar doente e nem perceber, independente de quantas vacinas tenha tomado. As notícias de ataques de ransomware pipocaram diariamente. Merece destaque o ataque às redes de cassino MGM e Caesars, o caso mais emblemático do ano: enquanto a Caesars optou por pagar um resgate de 15 milhões de dólares, a MGM preferiu responder ao incidente, ficou 10 dias fora do ar e teve prejuízo declarado de mais de 100 milhões de dólares;
• Farra dos Ransomwares com os ataques de 0-day a cadeia de suprimentos: O grupo Cl0p mudou para sempre o cenário de ameaças ao inaugurar a tática de explorar vulnerabilidades de 0-day em ferramentas populares para invadir centenas de empresas em uma só tacada. Vítimas da vulnerabilidade na ferramenta MOVEit Transfer pipocaram no decorrer do ano, incluindo grandes empresas de vários setores;

• Mega Cyber Conflitos Geopolíticos: Como se já não bastasse a guerra na Ucrânia, em outubro tivemos a invasão de Israel pelo grupo Hamas, que desencadeou um grande conflito na região. Ambos os conflitos, na Ucrânia e Israel, foram acompanhados por ações no ciberespaço: guerra cibernética entre atores pró-rússia e pró-ucrânia, e protestos online em torno de Israel e da Causa Palestina, dando um grande destaque aos grupos hacktivistas;
• Os malwares do PIX dominaram o Brasil: com grande eficiência e capazes de limpar a conta bancária da vítima em segundos, o Brasil viu a proliferação dos malwares direcionados a fraudar transferências via PIX. Os primeiros casos surgiram no final de 2022, mas ao chegarmos no final do ano, pelo menos 9 famílias diferentes de malware para PIX já foram identificados;
• O roubo de celular virou um perigo constante nas grandes cidades brasileiras. O principal objetivo não é revender o aparelho. Pelo contrário, os criminosos preferem roubar celulares desbloqueados, quando ainda estão em uso pelas suas vítimas, para mais facilmente conseguir acesso aos apps financeiros e, assim, limpar a conta das vítimas;
• Os layoffs anularam a discussão sobre a falta de profissionais no mercado e burnout. Na verdade eles mascararam o problema, pois a escassez continua grande e as empresas continuam com dificuldade de contratar. O lado positivo da onda de layoffs é que amenizaram um pouco a super valorização de profissionais, que eram contratados com cargos e salários além da realidade. Se fala muito que essa onda de demissões em massa foi resultado do inchaço das empresas durante o período da pandemia. Mas, na minha humilde opinião, foi pura e simplesmente o empresariado aproveitando a onda para enxugar a folha de pagamentos. Afinal, se a empresa demite os funcionários nesse período, ela é só uma dentre outras dezenas de empresas e pode usar a desculpa que é mais uma vítima do movimento do mercado, e assim não chama tanto a atenção nem crítica contra si.

As notícias de ciber ataques e vazamento de dados pipocaram em 2023, diariamente. Ninguém foi poupado pelos operadores de ransomware, cibercriminosos, fraudadores, hacktivistas e ciber espiões. Por isso mesmo, ficaria muito extenso escrever uma retrospectiva citando as principais notícias do ano.

Preferi, então, fazer uma lista um pouco diferente:

• Algumas das tretas mais relevantes
• MOVEit Transfer: fala sério, aposto que ninguém sabia que essa ferramenta existia - nem as milhares de empresas que a usam. Mas, nas mãos do grupo de ransomnware Cl0p, uma vulnerabilidade descoberta na véspera de um feriado fez milhares de vítimas em 3 dias - tempo que a empresa demorou para lançar a correção;
• O ano da certificação digital #sqn: Essa era uma piada recorrente nos anos 2000: todo ano achava-se se era o momento em que a certificação digital iria bombar. No final das contas, aqui no Brasil, graças a ICP-Brasil e a digitalização dos serviços governamentais, sim, a certificação digital virou parte do dia-a-dia de muitas pessoas. Mas... em 2023 o ano foi sombrio: duas grandes certificadoras digitais brasileiras foram invadidas: a Valid, em abril, e uma grande empresa do setor que não vou dar o nome pois não saiu na imprensa, mas teve seus dados comercializados na deep web em agosto deste ano;

• Operation Triangulation: A operação, descoberta em 2023 pela Kaspersky, representa uma das mais complexas operações de espionagem que se tem noticia. Em atividade desde 2019, os responsáveis utilizaram nada menos do que quatro vulnerabilidades de zero-day para permitir uma invasão silenciosa em iPhones de empresas russas, graças principalmente ao envio de uma iMessage mal intencionada;
• Protestos online no conflito entre Israel e Hamas, que fomentou o hacktivismo e dezenas de grupos se juntaram apoiando a causa Palestina; 
• FBI versus BlackCat/ALPHV: no meio de tantas operações de sucesso das forças policiais nesse ano, o FBI anunciou que derrubou o site do grupo BlackCat, mas o grupo negou, dizendo que era um site secundário;
• Na comunidade brasileira:
• Basta usar a máscara do Anonymous para virar hacker? Tem curso? Como saber qual influencer é fake, e se quem reclama dos influencers faz por apoiar a comunidade ou para se auto promover também? No final, a crítica acaba em processinho e a comunidade se cala;
• Hacker hackeia?
• E um parabéns para o Master of Pwnage, que está promovendo a comunidade de uma forma saudável! 
• Vergonha alheia
• Também merece destaque o papelão dos ataques hacktivistas pró-Palestina contra o Brasil. Anunciado pelo grupo IRox Team em 19/10, eles prometiam uma "cyber war" contra os países que apoiam Israel, e colocaam o Brasil na lista, na primeira onda de ataques. prometida para 20/10. O resultado foi uma "meia dúzia" de ataques de DDoS e defacement contra sites sem qualquer relevância, como uma fábrica de pão de alho, um escritório de advocacia e uma funerária. No canal do grupo no telegram, os brasileiros chegavam a fazer piada dos ataques. Nesse meio tempo, várias empresas aproveitaram o FUD para se promover e provedores de acesso usaram os ataques como justificativa para problemas de instabilidade em seus serviços (o estranho é que não houve qualquer postagem de grupo hacktivista assumindo autoria por ataques contra provedores brasileiros); 

• Uma treta bizarra
• A construção de uma usina de dessalinização no Ceará que representa um grande risco à Internet  Brasileira;
• Ataque mais sofisticado do ano
• Operation Triangulation (já comentei acima)
• Ataques que vão ficar para a história
• Ataques de Ransomware aos cassinos MGM e Caesars, em Las Vegas;
• Ciber ataque do Lockbit ao maior banco comercial do mundo, o banco chinês ICBC;
• Estatística para usar nas suas apresentações
• O cassino MGM teve mais de 100 milhões de dólares em gastos, fruto do ataque de ransomware;
• Melhor hacking do ano
• Hackers poloneses foram contratados para investigar alguns trens que não ligavam após a manutenção e, assim, descobriram bloqueios que permitiam apenas a manutenção pelo fabricante, além de diversos controles que forçavam pane nos trens. O caso virou uma discussão subre DRM, e foi apresentado recentemente no 37th Chaos Communication Congress (37C3): Breaking "DRM" in Polish trains

• "Melhor" incidente de segurança do ano
• O gato hacker: Cat accused of wiping US Veteran Affairs server info after jumping on keyboard - Uma interrupção do sistema do Veterans Affairs Medical Center em Kansas City, Missouri, que ocorreu em setembro e durou quatro horas, foi atribuída a um gato pulando no teclado de um técnico. Enquanto um técnico revisava a configuração de um cluster de servidores, seu gato pulou no teclado e o apagou.
• Ciber ataque com maior número de vítimas
• Yakult Australia confirms 'cyber incident' after 95 GB data leak - bilhões de lactobacilos vivos podem ter sido afetados!!! kkkkkkkk...
• Burrada do ano
• Na Movida (MOVI3), o ‘exposed’ que azedou o mercado - Viralizou nas redes sociais uma foto postada por uma funcionária da Movida, de aluguel de carros, tirada durante uma convenção de vendas e que apresentou uma espécie de troféu com imagem do “compromisso” da empresa para o próximo ano e, ao fundo, as estimativas de receitas, EBITDA e lucro líquido. Entretanto, como a Movida não divulga guidances ao mercado e a meta de lucro apresentada na foto estava bem abaixo do consenso de mercado, a foto causou uma queda de mais de 11% do valor das ações ao longo do pregão, obrigando a empresa a lançar um comunicado ao mercado. Mesmo após a divulgação do comunicado oficial da empresa, os papéis ainda cairam 4% perto do fechamento do pregão.

• Notícia mais bizarra (tinha que ser no Brasil!!! kkkkkk)
• Bandidos desligam site de celular e roubam torre de 10 metros no Rio de Janeiro (Telesintese, 19/12/2023) - Técnicos da Claro, com apoio da polícia, confirmaram que bandidos desativaram completamente um site de celular da operadora em São Gonçalo (RJ), sem qualquer condição de recuperação, a não ser a construção de uma infraestrutura toda nova. Os técnicos da empresa foram prestar a assistência à uma falha de comunicação e descobriram foram roubadas todas as placas e equipamentos, os quadros de energia foram esvaziados, os cabos que ligam a antena à rede central da empresa foram retirados e até mesmo a torre de 10 metros de altura foi roubada;
• Um salve para os nossos comunicadores
• Cyber Morning Call, com o Carlos Cabral
• os mitológicos do i sh0t the sheriff (ISTS)
• e o sensacional TecSec Podcast
• Meme mais realista do ano...

Para saber mais:

• MOVEit hack victim list
• Trellix detecta colaboração de cibercriminosos e estados-nação
• 10 novos trojans para Android têm como alvo 985 apps bancários
• Retrospectiva LGPD. Penalidades Aplicadas em 2023
• Relatório classifica os 15 hacktivistas políticos e religiosos mais ativos
• ANPD faz balanço da LGPD e aponta perspectivas regulatórias para 2024
• Veja os principais incidentes do ano, segundo a Security Report: Painel de Incidentes Cibernéticos
• Acompanhe o painel de incidentes da IBRASPD
• CISCO:
• Top threats, attacker trends and malware from the past year
• Video: Talos 2023 Year in Review highlights
• Year in Malware 2023: Recapping the major cybersecurity stories of the past year
• Ransomware e APTs em redes internas foram os principais ciberataques do ano, aponta estudo
• Kaspersky:
• Advanced threat predictions for 2024
• Operation Triangulation
• Story of the year: the impact of AI on cybersecurity
• Veja quais foram os principais ataques cibernéticos do último ano e como empresas e órgãos governamentais tomaram providências
• Artigo interessante (nada a ver com 2023, mas que gostei assim mesmo): 5 marcos na história da ciência da computação
• Aqui no blog:
• Retrospectiva: Hackeando trens
• Retrospectiva: novas táticas de extorsão dos ransomwares
• Retrospectiva: Ataques DDoS batem novos recordes
• O fator humano no centro dos debates
• Malwares atacam transações PIX
• Spyware Triangulation em dispositivos iOS
• Veja o relatório e o webinar da Apura sobre a retrospectiva e as previsões para 2024:

Para finalizar o post e rir um pouco, assista a retrospectiva do Porta dos Fundos e a retrospectiva do comediante Afonso Padilha:

PS: Publiquei uma versão resumida desse artigo no Linkedin.

PS/2: Pequenas atualizações em 29/12, 11/01/2024 e 21/02.

[Segurança] Retrospectiva: Hackeando trens

Essa história é tão legal, mas tão legal mesmo, que merece um post aqui no blog!!!

Na minha opinião, essa'é uma das melhores histórias de hacking de todos os tempos, que mostram como o hacking pode ser benéfico para as empresas e a sociedade, batendo de frente contra regras pré-estabelecidas para favorecer um pequeno grupo.

Resumindo a história, hackers poloneses foram contratados para identificar e quebrar bloqueios de software em trens e, assim, permitir a manutenção por terceiros.

Tudo começou quando a Lower Silesian Railway (Koleje Dolnośląskie), uma empresa operadora de linhas trens na Polônia, contratou uma empresa terceira para realizar a manutenção de seus trens modelo Impuls 45WE fabricados pela Newag. Ela optou por essa empresa especializada, chamada SPS em vez de contratar o serviço da própria fabricante, que era bem mais caro. Mas, depois da manutenção, misteriosamente o trem não ligava mais (sem motivo aparente). Todos os componentes estavam ok, mas mesmo assim o trem simplesmente não dava partida.

Isso aconteceu com 5 trens que foram enviados para manutenção. Ao todo, 6 dos 11 trens da empresa estavam parados, causando grande prejuízo para a empresa e para a população (afinal, com menos trens em operação, a qualidade do serviço é impactada). Segundo o fabricante, Newag, os trens foram bloqueados por um “sistema de segurança” – mas nas 20 mil páginas de instruções de manutenção dos trens, não há sequer uma menção a isso. E a Newag se recusou a colaborar.

Talvez tomado pelo desespero, alguém na SPS resolveu pesquisar no Google por "Polish Hackers" e em maio de 2022 acabou contratando um grupo de pesquisadores de segurança: Michał “Redford” Kowalczyk, Sergiusz “q3k” Bazański (ambos do grupo Dragon Sector) e Kuba “PanKleszcz” Stępniewicz. No local, eles tiveram acesso à um dos trens que não se movia, dois computadores sobressalentes e os arquivos SDK do fabricante. Em paralelo, a operadora de trens não podia mais esperar e estava prestes a suspender o contrato com a SPS e enviar os trens para manutenção no fabricante. Foi dado o prazo de apenas uma semana para os hackers investigarem os trens!

Depois de muito trabalho, os três pesquisadores analisaram o dump de memória de vários computadores de vários trens e, comparando os trens que funcionavam e os que estavam parados, eles identificaram algumas diferenças. Resumindo muito a história, eles descobriram algumas flags que, ao serem modificadas, permitiram que o computador desse a partida no trem. Menos de uma hora antes do deadline, eles conseguiram provar que era possível colocar os trens de volta à operação.

Após alguns meses de estudos e engenharia reversa, os pesquisadores descobriram várias condições no código do software de controle dos trens que poderiam interromper ou impactar a operação dos trens da Newag, como por exemplo:

• bloqueio do tem em caso de troca de componentes (verificado pelo número de série);
• uma instrução para parar após rodar um milhão de quilômetros;
• uma condição no código que disparava o alarme de "falha no compressor", e paralisação do trem, caso o dia seja maior ou igual a 21, o mês maior ou igual a 11, e para anos maiores que 2o21. Os pesquisadores batizaram o dia 21/11 como "international compressor failure day";
• foi identificado um equipamento, de hardware, conectado a rede GSM e que recebia informações de bloqueio pelo computador on-board - possivelmente para enviar essas informações ao fabricante;
• o código do PLC continha lógica que travaria o trem com códigos de erro falsos se o trem não estivesse funcionando por mais de 10 dias;
• em outra versão, foi identificada uma instrução para interromper o funcionamento se o trem ficasse 10 dias ou mais em algumas localidades específicas. Pelas coordenadas de GPS incluídas no código, foi possível identificar que se tratavam de oficinas de manutenção de outras empresas.

Também foi descoberta uma forma para desfazer o bloqueio imposto pelo computador on-board através de uma sequência correta de cliques nos botões na cabine e na tela do computador de bordo. Quando a notícia da pesquisa chegou à mídia, os trens receberam uma atualização de software que removeu essa opção de “conserto”.

Ou seja, resumindo a treta: o fabricante dos trens tinha incluído, no software de controle à bordo, diversas condições para obrigar a manutenção dos trens por ele mesmo, além de forçar situações de suposto problema.

A Newag não assumiu o B.O., ameaçou processar os pesquisadores e está dizendo que isso é uma campanha de difamação da concorrência. A Newag também está tentando obrigar a retirada dos trens de circulação, alegando que representam um risco de segurança por terem sido hackeados.

O caso foi apresentado no evento Oh My H@ck, na Polônia, e no 37th Chaos Communication Congress (37C3): Breaking "DRM" in Polish trains (veja o vídeo aqui).

Para saber mais:

• Artigo que transcreveu, parcialmente, a palestra no evento Oh My H@ck: Dieselgate, but for trains – some heavyweight hardware hacking
• Hacker scandal involving Newag trains
• The story of the great Polish train hack
• The Deere Disease Spreads To Trains
• Hackers Hit With Legal Threats After They Fixed a 'Bricked' Polish Train
• Polish train maker denies claims its software bricked rolling stock maintained by competitor
• Hackers Fix Polish Train Glitch, Face Legal Pushback by the Manufacturer

[Segurança] Retrospectiva: novas táticas de extorsão dos ransomwares

Os grupos criminosos de ransomware, os principais operadores e seus afiliados, foram muito ativos em 2023, e as notícias de vítimas não pararam de chegar. E ninguém foi poupado, principalmente a área da saúde - um dos principais setores atingidos segundo todas as estatísticas de mercado.

E a lista de vítimas é gigante, com novas notícias surgindo diariamente e que muitas vezes incluíram várias empresas conhecidas. Veja, por exemplo, a lista de vítimas destacadas pelo painel da IBRASPD:

Neste cenário, um dos grandes destaques deste ano foram as novas táticas de extorsão que surgiram neste anp. Há muito tempo eu escrevo aqui no blog que a técnica de "dupla extorsão" é coisa do passado. E, neste ano em particular, novas técnicas surgiram e se somaram ao meu ranking, que anteriormente tinha "só" 12 formas diferentes de extorsão.

Em 2023 vimos operadores extorquirem suas vítimas de algumas formas criativas, para aumentar sua exposição e humilhação:

• Usar leis de proteção de dados para ameaçar as vítimas com multas se não pagarem o resgate: Em agosto, o grupo Ransomed passou a chamar sua extorsão de "Digital Peace Tax", alegando que o pagamento do resgate evitaria, às vítimas, lidarem com multas regulatórias - no caso, o GDPR. O título do blog deles já diz seu posicionamento: “Ransomed[.]vc – Leading Company in Digital Peace Tax.” Segundo os pesquisadores da Flashpoint, , o grupo divulgou pedidos de resgate para as suas vítimas que variam entre 50.000 euros e 200.000 euros. Para efeito de comparação, as multas do GDPR podem chegar a milhões de euros, ou até mais – já houve multa superior a 1 bilhão de euros;

• Notificar órgãos reguladores: Em novembro, após o grupo BlackCat/ALPHV adicionar a empresa MeridianLink ao seu site de vítimas de vazamento de dados e na falta de resposta da empresa, o grupo realizou uma notificação formal do incidente ao órgão regulador americano Securities and Exchange Commission (SEC)). A MeridianLink é fornecedora de um sistema e plataforma de empréstimo digital para instituições financeiras. Segundo o grupo AlphV, eles não criptografaram nenhum equipamento da empresa, mas exfiltraram seus arquivos;

• Utilizar sites na surface web para expor suas vítimas: para aumentar a visibilidade de seu painel com vítimas, alguns grupos de ransomware começaram a publicar essas informações na Internet, em vez de utilizar apenas sites na Deep Web, de acesso mais restrito;
• Fornecer API para facilitar o download de dados: O download de dados das vítimas sempre foi um gargalo nas operações de ransomware. Quando uma vítima é exposta e seus dados são liberados ao público, como resultado de uma extorsão sem sucesso, começa uma correria para baixar os dados. Para agilizar esse processo, o grupo BlackCat/APLHV disponibilizou uma API. A novidade foi verificada durante o ataque à Estée Lauder, gigante do setor de maquiagens e cosméticos de luxo. Desde então, o site de vazamento de dados do grupo BlackCat/APLHV adicionou uma nova página com instruções para outros hackers usarem sua API para coletar atualizações sobre novas vítimas;
• Uso de Torrent para facilitar o download de dados das vítimas: essa foi uma inovação do grupo Cl0p, para facilitar a exposição de suas vitimas que não pagaram os resgates.

De tempos em tempos surgem novas formas "criativas" de extorquir as vítimas de ransomware. Dessa forma, o meu "contador de extorsões" aqui no blog fica atualizado, de 13 para 15 técnicas diferentes, muito além do "double extorsion" que muitos especialistas dizem por aí:

1. O clássico: sequestrar (criptografar) os computadores e/ou dados locais;
2. Vazar os dados roubados e ameaçar expor publicamente ("double extorsion");
3. Realizar ataques de DDoS contra a empresa;
4. Call centers que ligam para a empresa atacada pelo ransomware;
5. Avisar os clientes que a empresa teve os dados roubados!
6. Avisar os acionistas, para que estes possam vender suas ações antes de divulgar o ataque;
7. Vazar documentos que mostrem práticas ilegais da empresa;
8. Vazar documentos confidenciais para os competidores;
9. Uso de imagens violentas para assustar as vítimas;
10. Acesso pesquisável aos dados roubados;
11. Expor a vítima em site público na Internet;
12. Vazar os dados das vítimas via Torrent;
13. Oferecer acesso aos dados roubados via API;
14. Digital Peace Tax;
15. Denunciar a vítima aos órgãos reguladores.

Para saber mais:

• Pay our ransom instead of a GDPR fine, cybercrime gang tells its targets
• The Emergence of Ransomed: An Uncertain Cyber Threat in the Making
• AlphV files an SEC complaint against MeridianLink for not disclosing a breach to the SEC
• BlackCat cria API de vazamento em nova tática de extorsão

PS: Pequena atualização em 28/12.

[Segurança] Retrospectiva: Ataques DDoS batem novos recordes

Nesse ano, os ataques distribuídos de negação de serviço (DDoS) alcançaram níveis recordes, chegando até mesmo a derrubar algumas grandes empresas.

O ano começou com a Cloudflare anunciando, em fevereiro, ter detectado e mitigado dezenas de ataques DDoS hipervolumétricos, a maioria deles atingindo um pico de 50 a 70 milhões de requisições por segundo (rps). Na ocasião, o maior ataque excedeu 71 milhões de rps, o que alcançou a marca de maior ataque DDoS HTTP já registrado até então, mais de 54% superior ao recorde anterior de 46 milhões de rps em junho de 2022. Neste mesmo mês Akamai também mitigou o que ela chamou de "maior ataque DDoS já lançado contra um cliente Prolexic baseado na Ásia-Pacífico (APAC)". O ataque, que ocorreu em 23 de fevereiro de 2023, atingiu o pico de 900,1 gigabits por segundo (Gbps) e 158,2 milhões de pacotes por segundo (Mpps).

No decorrer desse ano, voltamos a ver mais notícias relevantes sobre ataques de DDoS. Em Junho o grupo Anonymous Sudan realizou alguns ataques DDoS contra a Microsoft, e conseguiram tirar do ar os servidores da Azure, OneDrive e Outlook. Em outubro, eles realizaram um ataque contra a Netflix.

Certamente o hacktivismo causa um grande aumento de ataques DDoS. Por isso mesmo, vale a pena lembrar que nessa segunda metade do ano surgiu o conflito entre Israel e Hamas, que no campo cibernético causou uma grande movimentação de dezenas de grupos hacktivistas. Como é de se esperar num cenário desses, logo no início do conflito já foram vistos ataques DDoS contra Israel. Segundo a CloudFlare, os primeiros ataques DDoS contra Israel aconteceram 12 minutos após a invasão de Israel pelo Hamas. Entre os alvos, sites e apps que fornecem informações e alertas sobre ataques de foguetes.

Mas o grande vilão desse ano foi a vulnerabilidade HTTP/2 Rapid Reset (CVE-2023-44487), descoberta em outubro e que permitiu aos ataques DDoS alcançarem uma volumetria surpreendente - um salto de 70 para 400 milhões de requisições por segundo (aproximadamente).

Na ocasião, a Amazon, Google e Cloudflare disseram ter detectado os maiores ataques DDoS já registrados em todos os tempos, graças à essa vulnerabilidade:

• A Amazon disse que entre 28 e 29 de agosto de 2023, eles testemunharam um ataque que atingiu um pico de mais de 155 milhões de requisições por segundo;
• A Cloudflare disse que viu um ataque atingir um pico de 201 milhões de requisições por segundo;
• A Google mitigou um ataque em Agosto que foi oito vezes maior que o recorde anterior. Envolveu 398 milhões de requisições por segundo, o que equivale a “receber todas as solicitações diárias à Wikipédia em apenas 10 segundos”. Em junho de 2022, eles tinham relatado a interrupção de um ataque que atingiu o pico de 46 milhões de requisições por segundo.

Em setembro, a Akamai afirmou que detectou e impediu com sucesso o maior ataque DDoS direcionado a uma das maiores e mais influentes instituições financeiras dos EUA (sem citar o nome da vítima). Em 5 de setembro de 2023 os cibercriminosos usaram uma combinação de vetores de ataque de ACK, PUSH, RESET e SYN Flood, atingindo um pico de 633,7 Gbps e 55,1 Mpps. O ataque durou menos de 2 minutos e foi mitigado proativamente. O tráfego malicioso veio de todo o mundo, incluindo Bulgária, Brasil, China, Índia, Tailândia, Rússia, Ucrânia, Vietname, e Japão.

Ou seja, neste ano, os ataques DDoS alcançaram a marca de...

398 milhões de requisições por segundo

... segundo a Google.

Veja alguns dos maiores ataques DDoS já reportados, que eu registrei aqui no blog, e seu crescimento no decorrer do tempo:

• Pacotes por segundo
• 704,8 milhões de pps em Setembro de 2022 (Akamai)
• 853 Gbps e 659,6 milhões de pps em Julho de 2022 (Akamai)
• 900,1 Gbps e 158,2 milhões de pps fevereiro de 2023 (Akamai)
• 633.7 Gbps and 55.1 milhões de pps em Setembro de 2023 (Akamai)
• Requisições por segundo (rps):
• 398 milhões de rps em Agosto de 2023 (Google)
• 201 milhões de rps em Agosto de 2023 (Cloudflare)
• 155 milhões de rps em Agosto de 2023 (Amazon)
• 71 milhões de rps em Fevereiro de 2023 (Cloudflare)
• 633.7 Gbps e 55.1 million pps em Setembro de 2023 (Akamai)
• 46 milhões de rps em Agosto de 2022 (Google)
• 26 milhões de rps e 2,5 Tbps em Outubro de 2022 (Cloudflare)
• 22 milhões de rps em Junho de 2022 (Cloudflare)
• 15 milhões de rps em Abril de 2021 (Cloudflare) 
• 17 milhões de rps em Agosto de 2021 (Cloudflare)
• Gigabits e Terabits por Segundo (Gbps / Tbps)
• 26 milhões de rps e 2,5 Tbps em Outubro de 2022 (Cloudflare)
• 3,47 Tbps em Novembro de 2021 (Microsoft)
• 2,54 Tbps em Setembro/2017
• 2,4 Tbps em Outubro/2021 (Azure)
• 2,3 Tbps em Fevereiro/2020 (AWS)
• 1,7 Tbps em Março/2018 (Arbor)
• 1,5 Tbps em Novembro/2016 (Rússia)
• 1,35 Tbps em Fevereiro/2018 (GitHub)
• 1,2 Tbps em Novembro/2016 (provedor Dyn)
• 1 Tbps em Setembro/2016 (provedor OVH)
• 900,1 Gbps e 158,2 milhões de pps Fevereiro de 2023 (Akamai)
• 853 Gbps e 659,6 milhões de pps em Julho de 2022 (Akamai)
• 665 Gbps em Setembro/2016 (Brian Krebs)
• 633.7 Gbps and 55.1 milhões de pps em Setembro de 2023 (Akamai)
• 602 Gbps em Janeiro/2016 (BBC)
• 400 Gbps em Fevereiro/2014 (Cloudfare)
• 300 Gbps em Março/2013 (Cloudflare)
• 45 Gbps em Novembro/2011

Pela lista acima, fica perceptível que a Akamai usa um método diferente para medir os ataques DDoS, através de pacotes por segundo. Mas, quando comparamos a métrica deles em volumetria de tráfego, em termos de Gibabits ou Terabits por segundo (Gbps / Tbps), os ataques recebidos pela Akamai tem sido muito baixos - enquanto o pico recorde deles foi de 900,1 Gbps em fevereiro de 2023, a Cloudflare reportou um ataque de 2,5 Tbps em Outubro de 2022.

Para saber mais:

• Microsoft levou quase 15 horas para mitigar mega-ataque DDoS na sua nuvem
• New 'HTTP/2 Rapid Reset' zero-day attack breaks DDoS records
• How AWS protects customers from DDoS events
• New technique leads to largest DDoS attacks ever, Google and Amazon say
• Google mitigated the largest DDoS attack to date, peaking above 398 million rps
• Estatísticas da Akamai:
• Akamai Prevents the Largest DDoS Attack on a U.S. Financial Company (Set/2023)
• Akamai Mitigates Record DDoS Attack in Asia-Pacific (900 Gbps) (Março/2023)
• Record-Breaking DDoS Attack in Europe (Set/2022)
• Largest European DDoS Attack on Record (Julho/2022)
• Massive DDoS attack on U.S. financial company thwarted by cyber firm
• Massive HTTP DDoS Attack Hits Record High of 71 Million Requests/Second (The Hacker News)
• Aqui no blog:
• Nova Buzzword: Web DDoS Tsunami Attack
• Novo ataque DDoS: HTTP/2 Rapid Reset
• Google e Akamai batem novo recorde de ataques DDoS

[Segurança] Retrospectiva: O fator humano no centro dos debates

Nunca antes eu vi a discussão sobre o fator humano tão presente no nosso mercado. Em 2023, a preocupação com o fator humano esteve presente na maioria das discussões.

Há muitos anos é dito, no mercado de segurança, que "o elemento humano é o elo mais fraco da segurança". Essa percepção é motivada pelo fato de que as pessoas tem um papel decisivo na grande maioria dos incidentes de segurança. Segundo a Verizon, por exemplo, 74% dos incidentes envolvem o elemento humano.

Os maiores pecados atribuídos aos usuários, que dão origem à maioria dos incidentes, são o uso de senhas fracas e o click em mensagens de Phishing. De fato, o ser humano é alvo constante de golpes de engenharia social (onde o phishing é apenas um deles).

Por exemplo, falhamos miseravelmente em cuidar de nossas senhas. Segundo dados recentes da Nordpass, 123456 continua sendo a senha mais usada em todo o mundo (e a segunda no Brasil):

Mas essa visão de que o usuário é o "culpado" pelos ciberataques, está mudando. Uma abordagem muito mais positiva e efetiva é tratar o usuário como parte da estratégia de defesa, e nesse momento surge o termo "firewall humano". Justamente por ser um alvo constante de ciberataques, o usuário é a primeira e principal barreira de proteção da empresa, e só precisa ser educado e orientado adequadamente.

Atualmente todos os eventos de segurança tem várias palestras relacionados a conscientização, sua importância e compartilhamento de estratégias. No Brasil, um ótimo termômetro dessa tendência é o evento Cultsec, um evento focado em Conscientização que surgiu no ano passado e, neste ano, teve 2 edições, em São Paulo e Belo Horizonte.

Para saber mais:

• Maioria dos portais usa ‘admin’ como senha de administrador

Boas Festas

O ano de 2023 está chegando no fim!

Em alguns momentos na história nós criamos, revisamos e reformamos o 'calendário", um jeito de formalizar a contagem do tempo. Agrupamos os dias em semanas, em meses e anos. Estabelecemos qual seria o primeiro dia do ano (não vou entrar no debate de que isso foi fruto de uma apropriação de celebrações anteriores - "pagãs"). Embora algumas culturas celebram o ano novo em datas diferentes e tem outras formas de contar a quantidade de anos, para mim vale o nosso calendário cristão... hahahahahah

Mas, disso tudo, para minha reflexão de hoje o que importa é que nós criamos esse hábito de, uma vez por ano, celebrar o final de um ciclo e criar expectativas para o próximo. É um momento para refletirmos sobre os nossos desafios e conquistas no ano que está terminando e sonharmos com o que gostaríamos de fazer melhor daqui para frente. Que lições tiramos de 2023 e levamos para 2024? Nunca um ano vai ser totalmente bom nem totalmente ruim. A vida é uma montanha russa louca, cheia de altos e baixos, andando a uns 180 km/h. E o melhor a se fazer é aproveitar a jornada.

Eu gosto muito dessa época do ano: as celebrações do Natal e do Ano Novo são oportunidades para nos conectarmos às pessoas que mais amamos e que fazem parte da nossa jornada: nossos familiares e amigos.

De diferente, nesse ano, quero destacar um vídeo bem legal feito pelo pessoal do Serasa, mostrando a importância de autenticar corretamente as pessoas e, assim, não receber presente de estranhos:

E, para acabar esse post, segue uma charge engraçadinha...

"Pô, só uma charge"? eu estava revisando meus posts anteriores e vi que eu publiquei várias charges e memes engraçados em 2017, 2018, 2021 e 2022.

Aproveite e veja também esse meu post com dicas de segurança para esse período de festas.

[Segurança] Principais notícias de segurança em Novembro de 2023

Segue abaixo a minha tradicional lista com as principais notícias sobre segurança e fraudes online que aconteceram no mês passado. As que eu considero mais relevantes incluem um pequeno resumo, de apenas um parágrafo. A proposta dessa série de posts é focar principalmente em notícias relacionadas a ameaças, ciber ataques, fraudes e golpes direcionadas a usuários finais no Brasil, ou alguns casos mais relevantes no mundo. Algumas dessas notícias, aquelas que eu considero mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.

01/11/2023 - Hackers use Citrix Bleed flaw in attacks on govt networks worldwide (em inglês) (Bleeping Computer)

01/11/2023 - Scarlett Johansson hits AI app with legal action for cloning her voice in an ad (em inglês) (The Verge)

02/11/2023 - Boeing acknowledges cyberattack on parts and distribution biz (em inglês) (Bleeping Computer)

A Boeing reconheceu um incidente cibernético poucos dias depois que a gangue de ransomware LockBit anunciou que exfiltrou dados confidenciais da empresa. Segundo a Boeing, o incidente foi relacionado ao  negócio de peças e distribuição, e não afetou a segurança do voo.

02/11/2023 - HelloKitty ransomware now exploiting Apache ActiveMQ flaw in attacks (em inglês) (Bleeping Computer)

02/11/2023 - Com ajuda de IA, alunos criam ‘nudes’ de meninas nos EUA; Brasil tem casos  (Olhar Digital)

03/11/2023 - Países firmam acordo para parar de pagar gangues de ransomware (CISO Advisor)

Uma aliança formada por 40 países firmou compromisso durante a terceira cúpula anual “Iniciativa Internacional de Combate ao Ransomware” em Washington, D.C., no qual se comprometem a não pagar resgates exigidos por grupos cibercriminosos.

03/11/2023 - Hackers usam Flipper Zero para atacar iPhones com o iOS 17 (Olhar Digital

06/11/2023 - TellYouThePass ransomware joins Apache ActiveMQ RCE attacks (em inglês) (Bleeping Computer)

06/11/2023 - Sindicato de pilotos da American Airlines é alvo de ransomware (CISO Advisor)

06/11/2023 - Após nudes falsos de Isis Valverde, projeto cria crime de pornô fake (Metrópoles)

06/11/2023 - ‘Fake nudes’: número de casos quase quadruplica e preocupa especialistas (Olhar Digital)

07/11/2023 - Golpe da chamada de vídeo: saiba como se prevenir de criminosos (Folha Vitória)

07/11/2023 - Panamá tem o maior risco cibernético e Dinamarca, o menor (CISO Advisor)

07/11/2023 - Trojan bancário brasileiro evita ser excluído da internet (CISO Advisor)

Entre as diferentes famílias trojans bancários em ação no Brasil, o Guildma se destaca pela adoção de técnicas eficazes para manter suas atividades fraudulentas. Segundo a Kaspersky, o Guildma conseguiu atingir a “imortalidade digital” e não ter sua operação paralisada graças à algumas ações preventivas embutidas ni malware. Uma das técnicas empregadas pelo trojan é o uso de múltiplos domínios para garantir uma infecção bem-sucedida.

07/11/2023 - Novo vazamento de dados envolveria informações sensíveis no ConecteSUS (Convergência Digital)

Os dados da carteira de vacinação de milhões de brasileiros, registrados no aplicativo do Sistema Único de Saúde ConecteSUS, foram expostos em um site hospedado nos Estados Unidos, no provedor de hospedagem Hostinger. A página apresentava um formulário de consulta com nome, CPF e data de nascimento. Uma vez preenchidos os campos, eram revelados 27 tipos de dados, incluindo endereços, números de telefone e a marca e lote das vacinas de Covid-19. Não se sabe quantas pessoas foram afetadas pelo vazamento de dados.

07/11/2023 - Alunas de colégio em Recife são vítimas de falsos nudes feitos com IA (Olhar Digital)

09/11/2023 - Lego fans told to change their passwords right now following serious cyberattack (em inglês) (Tech Radar)

09/11/2023 - Microsoft: SysAid zero-day flaw exploited in Clop ransomware attacks (em inglês) (Bleeping Computer)

09/11/2023 - Polícia Civil deflagra Operação ‘Market Fake’ no combate ao crime de estelionato via internet (Polícia Civil)

09/11/2023 - ChatGPT: OpenAI culpa ataque DDoS por interrupção (Olhar Digital)

09/11/2023 - Programa Red Zone #102

Tópicos: Relato sobre o que ocorreu na Ekoparty da Argentina, 134 clientes impactados pela OKTA, problemas com a Atlassian, ataques DDOS contra o ChatGPT, Patches para o Big-IP, análise americana sobre riscos e investimentos. Canadá bane de vez a Kaspersky e o WeChat. Microsoft promete antecipar a obrigatoriedade no uso de MFA nas páginas administrativas de seus programas.

10/11/2023 - Maine govt notifies 1.3 million people of MOVEit data breach (em inglês) (Bleeping Computer)

10/11/2023 - Polícia Civil deflagra Operação ‘Boleto Fantasma’ em Guaratinguetá (Polícia Civil)

10/11/2023 - Brasil incorpora regulação internacional de criptoativos da OCDE (Convergência Digital)

11/11/2023 - DP World Australia’s port operations hit by cyber attack (em inglês) (The National News)

12/11/2023 - LockBit ransomware leaks gigabytes of Boeing data (em inglês) (Bleeping Computer)

O ransomware LockBit vazou mais de 43 GB de arquivos da Boeing depois que a empresa se recusou a pagar o resgate, ignorando os avisos de que os dados seriam disponibilizados publicamente. O grupo explorou uma vulnerabilidade no software da Citrix, conhecida como Citrix Bleed.

12/11/2023 - Hacker trapalhão rouba R$ 16 milhões em criptomoedas e perde tudo após enviar fundos para endereço errado (Livecoins)

13/11/2023 - DDoS Cyberattack Hits Cairo International Airport: Anonymous Collective Claims Responsibility (em inglês) (The Cyber Express)

13/11/2023 - OpenAI sofreu um ataque DDOS que afetou o ChatGPT e outros serviços (We Live Security)

13/11/2023 - Casal perde R$ 2 mil após confirmar dados bancários e fazer transação (vídeo) (G1)

13/11/2023 - Polícia prende quadrilha que vendia dados sigilosos no WhatsApp (Metrópoles)

13/11/2023 - CNJ vai investigar sentença de juiz feita com ChatGPT, que inventou jurisprudência (Tudo Celular)

13/11/2023 - ANPD quer saber o destino dos dados coletados por biometria nos estádios de futebol (Convergência Digital)

13/11/2023 - Brasileiro teme golpes financeiros e cobra mais proteção das organizações (Abranet)

97,8% dos brasileiros acreditam que as instituições financeiras deveriam fazer mais para protegê-los de fraudes, segundo o estudo "Faces of Fraud: Experiências do Consumidor com Fraude e o Que Isso Significa", do SAS. Além disso, 93,8% deles têm medo de serem vítimas de golpes financeiros. Não à toa, 85,7% admitem ser mais cautelosos com fraudes do que no passado, principalmente nos canais digitais.

13/11/2023 - Maior banco comercial do mundo, chinês ICBC sofre ciberataque (CISO Advisor)

O Industrial and Commercial Bank (ICBC) da China confirmou que seus serviços foram interrompidos por um ataque de ransomware que afetou seus sistemas no dia 08/11. Imediatamente após a descoberta do incidente, o ICBC desconectou e isolou os sistemas impactados para conter o incidente. O ataque forçou o banco a realizar suas negociações por meio de mensageiros que transportavam pen drives USB por Manhattan. Acredita-se que o ICBC, o maior banco do mundo, tenha sido atacado pela gangue de ransomware LockBit, ligada à Rússia, graças a exploração da vulnerabilidade crítica Citrix Bleed (CVE-2023-4966), para a qual a Citrix emitiu uma correção no mês passado.  Segundo o grupo Lockbit, o banco pagou o resgate.

• Geopolitical Cybercrime: LockBit attack on the ICBC

13/11/2023 - Google processa criminosos que aplicam golpes com Bard ‘fake’ (Olhar Digital)

14/11/2023 - LockBit ransomware exploits Citrix Bleed in attacks, 10K servers exposed (em inglês) (Bleeping Computer)

14/11/2023 - Volume de ataques DDOS aumenta cerca de 400% nos últimos seis meses com foco em ISPs (Convergência Digital)

14/11/2023 - Golpe da renda extra faz vítimas no Brasil; conheça e se previna (Olhar Digital)

15/11/2023 - AlphV files an SEC complaint against MeridianLink for not disclosing a breach to the SEC (em inglês) (DataBreaches.net)

Após o grupo BlackCat/ALPHV adicionar a empresa MeridianLink ao seu site de vítimas de vazamento de dados, na falta de resposta da empresa o grupo realizou uma notificação formal do incidente ao órgão regulador americano Security Exchange Commission (SEC). A MeridianLink é fornecedora de um sistema e plataforma de empréstimo digital para instituições financeiras. Segundo o grupo AlphV, eles não criptografaram nenhum equipamento da empresa, mas exfiltraram seus arquivos.

15/11/2023 - Toronto Public Library confirms data stolen in ransomware attack (em inglês) (Bleeping Computer)

15/11/2023 - Cuidado com os pagamentos via Pix na hora das compras na internet | Primeiro Impacto (vídeo) (SBT News)

15/11/2023 - Esta lista foi compilada e compartilhada no blog do Anchises

16/11/2023 - Ukrainian and Czech police bust $9 million bank fraud gang (em inglês) (The Record)

16/11/2023 - Royal Mail’s recovery from ransomware attack will cost business at least $12M (em inglês) (The Register)

16/11/2023 - TSE divulga lista definitiva com 16 ataques no teste da urna eletrônica (Convergência Digital)

O Tribunal Superior Eleitoral divulgou a listagem definitiva com os nomes de investigadoras e investigadores individuais e equipes que participarão do Teste Público de Segurança da Urna (TPS) 2023, entre 27 de novembro e 1º de dezembro. Foram aprovadas 16 inscrições, sendo 8 individuais e 8 em grupo.

16/11/2023 - Programa Red Zone #103

Tópicos: O Banco Chines ICBC sofre ataque e impacta o Tesouro americano, VMware, Atlassian, Fortinet, Zimbra e Apache estão com 0-Days e não tem patch para resolver os problemas, a Toyota é atacada novamente e impacta o banco de financiamento mundial de veículos. Mesmo diante de tantos problemas ,a Microsoft fez a parte dela e apresentou seu Patch Tuesday com várias atualizações, Governo Americano derruba de vez a IPStorm Bornet e a pior de todas foi o bandido abrir chamado no governo dizendo que o atacado não se posicionou publicamente diante do problema. O mundo pirou!

17/11/2023 - Gangue de ransomware Royal fez mais de 350 vítimas em 12 meses (CISO Advisor)

17/11/2023 - É golpe! Criminosos divulgam anúncios falsos de programa do governo que nem foi lançado (Olhar Digital)

O governo federal anunciou, no início do ano, que lançaria um programa para possibilitar a compra de passagens aéreas por R$ 200. O Voa Brasil ainda não foi lançado e nem existe data para entrar em operação. Mas, mesmo assim, criminosos já utilizam anúncios falsos na internet para dar golpes em interessados na promoção. Segundo um levantamento do NetLab, um laboratório de pesquisa da Escola de Comunicação da Universidade Federal do Rio de Janeiro (UFRJ), foram identificados 457 anúncios falsos envolvendo o programa Voa Brasil em 24h.

19/11/2023 - Alemanha, França e Itália chegam a acordo sobre futura regulação de IA (UOL)

20/11/2023 - Greater Paris wastewater agency dealing with cyberattack (em inglês) (The Record)

20/11/2023 - Gamaredon's LittleDrifter USB malware spreads beyond Ukraine (em inglês) (Bleeping Computer)

20/11/2023 - É golpe! Criminosos anunciam falsamente um programa do governo que nem foi lançado ainda (CaveiraTech)

Apesar do programa Voa Brasil, do governo Federal, ainda não ter sido lançado e não há data para iniciar, criminosos já estão usando anúncios falsos na internet para enganar aqueles interessados em obter passagens aéreas por 200 reais.

21/11/2023 - Hackers create fake banking apps to steal financial data from Indian users (em inglês) (The Record)

21/11/2023 - Crypto firm Kronos Research says $26 million stolen after cyberattack (em inglês) (The Record)

21/11/2023 - Auto parts giant AutoZone warns of MOVEit data breach (em inglês) (Bleeping Computer)

21/11/2023 - Coletivo de malware VX-Underground incriminado pelo ransomware Phobos (CaveiraTech)

Uma nova variante do ransomware Phobos enquadra o popular coletivo de compartilhamento de malware VX-Underground, indicando erroneamente que o grupo está por trás dos ataques usando o encriptador.

21/11/2023 - Cybersecurity Executive Pleads Guilty to Hacking Hospitals (Infosecurity Magazine)

O diretor de operações (COO) da Securolytics, uma empresa de segurança de rede dos EUA, se declarou culpado de comprometer os sistemas de TI de dois hospitais para gerar negócios para sua empresa. Após os ataques, a Securolytics enviou e-mails oferecendo seus serviços, citando tais ataques. O executivo Vikas Singla, admitiu hackear os hospitais Gwinnett Medical Center (GMC) em Duluth e Lawrenceville, Geórgia em setembro de 2018, causando mais de 800.000 dólares em danos financeiros.

21/11/2023 - 123456 ainda é a senha mais usada no mundo, diz pesquisa (Olhar Digital)

22/11/2023 - Australia drops plans to ban ransomware payments in new national cyber strategy (em inglês) (The Record)

22/11/2023 - Welltok data breach exposes data of 8.5 million US patients (em inglês) (Bleeping Computer)

22/11/2023 - Ransomwares apresentam crescimento de quase 11% no Brasil, revela pesquisa (Security Report)

Um levantamento da ISH Tecnologia revela que os ataques cibernéticos de ransomware e stealer, dois dos mais perigosos e recorrentes malwares aplicados por criminosos, tem crescido nos últimos meses. Entre o segundo e terceiro trimestre de 2023, os stealers apresentaram um crescimento de 45,4% no número total de incidentes (de 3728 a 5423); já os ransomwares, de 10,8% (de 2962 a 3283).

22/11/2023 - Yamaha Motor confirma ciberataque à filial das Filipinas (CISO Advisor)

22/11/2023 - Hack ao MOVEit continua com mais de 2.600 empresas afetadas (CISO Advisor)

22/11/2023 - Microsoft irá pagar até R$ 100 mil para quem encontrar falhas no Windows Defender (Olhar Digital)

23/11/2023 - Kansas Supreme Court: Hackers stole records, confidential files in October attack (em inglês) (The Record)

23/11/2023 - PCI DSS 4.0: novos procedimentos devem pedir AI e biometria para proteger cartões (Security Report)

23/11/2023 - Cibercrime se planeja para alta de consumo na Black Friday (Security Report)

23/11/2023 - Usuários e empresas mantém atenção com fraudes cibernéticas no fim de ano (Security Report)

23/11/2023 - Justiça exige perícia em vazamento de dados da Claro em ação de R$ 15 mil por cliente (Convergência Digital)

23/11/2023 - Governo vai criar Política de Cibersegurança por decreto e adia agência nacional (Convergência Digital)

23/11/2023 - INL, laboratório nuclear dos EUA, sofre ataque hacker (Olhar Digital)

O centro de pesquisa nuclear Idaho National Laboratory (INL), um dos laboratórios do Departamento de Energia dos Estados Unidos, foi vítima de uma violação de dados, segundo confirmação do órgão. O grupo SiegedSec assumiu a responsabilidade pelo ataque e disse que acessou dados confidenciais de funcionários.

23/11/2023 - Vai comprar na Black Friday? Veja quais sites evitar (Olhar Digital)

23/11/2023 - Programa Red Zone #104

Tópicos: Blackfriday. influencers. Primeira multa aplicada pela ANATEL contra comerciantes de TVBoxes, Citrix pede para Admins reiniciarem NetScaler, Phobos ransomware vira variante do VX-Underground, Google faz restrições de cookies e problemas podem acontecer. Atacante de hospitais é preso em USA e o problema pode crescer. Exploração dos problemas do Apache vão aumentar problemas de usuários.

24/11/2023 - Kubernetes Secrets of Fortune 500 Companies Exposed in Public Repositories (em inglês) (The Hacker News)

24/11/2023 - Black Friday: Phishing Emails Soar 237% (em inglês) (Infosecurity Magazine)

24/11/2023 - Malwares em aplicativos tendem a crescer durante as compras de fim de ano, diz análise (Security Report)

24/11/2023 - Febraban e Polícia Federal assinam mais um acordo para combater fraudes bancárias digitais (Febraban)

24/11/2023 - Black Friday: pesquisa alerta para malware via apps do Google e WhatsApp (Olhar Digital)

26/11/2023 - CISA and UK NCSC Unveil Joint Guidelines for Secure AI System Development (em inglês) (CISA)

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) lançaram um documento conjunto com as Diretrizes para o Desenvolvimento Seguro de Sistemas de IA (Guidelines for Secure AI System Development). Contando com o apoio de 23 organizações nacionais e internacionais de segurança cibernética, esta publicação marca um passo significativo na abordagem da intersecção entre inteligência artificial (IA), segurança cibernética e infraestrutura crítica. As diretrizes fornecem recomendações essenciais para o desenvolvimento de sistemas de IA e enfatizam a importância de aderir aos princípios do Secure by Design. Essas Diretrizes se aplicam a todos os tipos de sistemas de IA

26/11/2023 - KyberSwap says $54.7 million of user cryptocurrency stolen during attack (em inglês) (The Record)

27/11/2023 - Notorious ransomware gang takes credit for cyberattack on Fidelity National Financial (em inglês) (The Record)

A Fidelity National Financial – uma empresa americana fornecedora de seguros de títulos para vendas de propriedades incluída na Fortune 500 – reconheceu que sofreu um ciberataque ao reportar o fato, através de documento regulatório, para a Comissão de Valores Mobiliários dos EUA (SEC). No dia seguinte a gangue de ransomware AlphV/Black Cat assumiu o crédito pela invasão.

27/11/2023 - Healthcare giant Henry Schein hit twice by BlackCat ransomware (em inglês) (Bleeping Computer)

A empresa americana de saúde Henry Schein relatou um segundo ataque cibernético este mês pela gangue de ransomware BlackCat/ALPHV, que também invadiu sua rede em outubro. Em 15 de outubro a empresa teve que desligar alguns sistemas para conter um ataque cibernético que afetou seus negócios na véspera. Mais de um mês depois, em 22 de novembro, alguns aplicativos e a plataforma de comércio eletrônico da empresa foram retirados do ar após outro ataque reivindicado pelo grupo de ransomware BlackCat.

27/11/2023 - Multiple hospitals divert ambulances after ransomware attack on parent company (em inglês) (The Record)

27/11/2023 - O relatório afirma que um bug no software da Citrix levou a um ataque à Boeing (Caveira Tech)

27/11/2023 - Cibercriminosos Usam o Bot do Telegram Telekopye para Criar Golpes de Phishing em Grande Escala (Caveira Tech)

27/11/2023 - A General Electric investiga alegações de ataque cibernético e roubo de dados (Caveira Tech)

27/11/2023 - Bloqueio de GPS obriga a desvio de voos no Oriente Médio (CISO Advisor)

27/11/2023 - Hackers violam Cyberlink para ataque à cadeia de suprimentos (CISO Advisor)

27/11/2023 - Canadá investiga invasão à Polícia Montada e às Forças Armadas (CISO Advisor)

27/11/2023 - Jovens se preocupam mais com privacidade? Pesquisa diz que sim (abranet)

27/11/2023 - DarkCasino: ameaça APT volta a ser detectada com alto potencial de dano (Security Report)

27/11/2023 - APTs patrocinados por Estados-Nação movimentaram o cibercrime em 2023 (Security Report)

27/11/2023 - Prefeitura de Taboão da Serra sofre incidente cibernético (Security Report)

28/11/2023 - North Texas water utility serving 2 million hit with cyberattack (em inglês) (The Record)

28/11/2023 - 'Serial cybercriminal and scammer' jailed for 8 years, told to pay back $1.2M (The Register)

28/11/2023 - Suporte do board ainda é reação a incidente de Segurança, conclui estudo (Security Report)

Uma nova pesquisa da Trellix revela que o “board” de muitas empresas só se dispõe a apoiar a segurança cibernética após um ataque. Os CISOs permanecem vulneráveis até que os conselhos se tornem proativos. 95% deles recebem mais apoio do conselho após um ciberataque – com 46% recebendo um orçamento maior para tecnologia adicional, 42% revisando sua estratégia geral de segurança, 41% implementando novas estruturas e padrões e 38% criando empregos e responsabilidades após um ataque.

28/11/2023 - PF deflagra a operação Não Seja um Laranja 3 com o apoio da Febraban (Febraban)

Dando continuidade às ações contra prática de fraudes em contas eletrônicas mantidas em diversas instituições bancárias do país, a Polícia Federal deflagrou a operação Não Seja um Laranja 3, com apoio da Federação Brasileira de Bancos (Febraban) e seus bancos associados. Foram cumpridos 19 mandados de busca e apreensão, em 10 Estados, fruto da investigações de pessoas que cederam contas pessoais para receber recursos oriundos de golpes e fraudes contra clientes bancários. Nos últimos anos, a Polícia Federal detectou um aumento considerável da participação consciente de pessoas físicas em esquemas criminosos, para os quais “emprestam” suas contas bancárias, mediante pagamento. Emprestar contas bancárias para receber créditos fraudulentos é crime, com penas podem chegar até oito anos de prisão, mais multas.

28/11/2023 - O maior provedor de energia da Eslovênia, HSE, foi atingido por um ataque de ransomware (Caveira Tech)

28/11/2023 - O gigante da saúde Henry Schein foi atingido duas vezes pelo ransomware BlackCat (Caveira Tech)

28/11/2023 - Operação bloqueou 238 sites piratas hospedados no Brasil (Convergência Digital)

28/11/2023 - Novo carregador de malware WailingCrab se espalhando por e-mails com tema de envio (Minuto da Segurança)

29/11/2023 - Japan's space agency suffers cyber attack, points finger at Active Directory (The Register)

29/11/2023 - 5 grupos de ransomware muito ativos na América Latina em 2023 (CryptoID)

De acordo com o Relatório de Segurança da ESET, 96% das organizações expressaram preocupação com o ransomware como uma ameaça latente, sendo que 21% admitiram ter sofrido um ataque com esse tipo de malware nos últimos dois anos. Deste último grupo, 77% conseguiram recuperar suas informações devido às políticas de backup que possuem, enquanto 4% afirmaram ter pago pelo resgate. Das organizações pesquisadas, 84% negaram estar dispostas a negociar o pagamento pelo resgate de seus dados. Segundo a empresa, os 5 grupos mais ativos na América Latina até o momento, são: SiegedSec, Nokoyawa, ALPHV/Blackcat, Stormous (e sua aliança com GhostSec), e o grupo Vice Society.

29/11/2023 - Estudo detecta 4 de 5 empresas de saúde com sistemas de acesso vulneráveis (Security Report)

Segundo levantamento da Redbelt Security, de cada cinco empresas do setor de saúde (hospitais, clínicas, operadoras de planos de saúde e farmacêuticas), quatro apresentam problemas com controle de acesso e cadastros. Apenas no primeiro semestre de 2023, em todo o mundo,10,9% dos ciberataques foram direcionados para o setor de saúde, porcentagem que no Brasil já chegou a 12% no mesmo período.

29/11/2023 - Vazamento na META (WhatsApp e Instagram) expôs logins, documentos secretos e infraestrutura (Caveira Tech)

Uma vulnerabilidade em um fornecedor direto da META expôs os dados de todos os funcionários do conglomerado de tecnologia, em todo o mundo. As informações expostas incluem nome completo, cargo, email e endereço de trabalho. Notificada por um pesquisador de segurança, a falha foi corrigida.

29/11/2023 - Falha de Design no Google Workspace poderia permitir que atacantes obtivessem acesso não autorizado (Caveira Tech)

29/11/2023 - Operação Vovozona: Polícia Civil de São Bernardo desarticula quadrilha de estelionatários com foco em golpes faciais e documentos falsos (TV São Bernardo Report)

29/11/2023 - Deepfakes crescem 830% em um ano no Brasil, aponta relatório (Security Report)

29/11/2023 - Check Point descobre golpe de um milhão de dólares com fábrica de tokens falsos (TI Inside)

29/11/2023 - Anatel publica medidas para evitar fraudes com 0800; multa pode chegar a R$ 50 milhões (G1)

A Agência Nacional de Telecomunicações (Anatel) publicou uma série de recomendações para que as operadoras de telefonia evitem fraudes com a numeração 0800, que vão da suspensão de novos números ao bloqueio imediato da linha em caso de irregularidades. A agência identificou um número exagerado de casos de uso de números telefônicos 0800 por determinados grupos ilícitos para aplicar golpes

30/11/2023 - Relatório mostra aumento de ciberataques e extorsão em 2023 (Security Report)

Análise da Allianz Commercial mostra que número de ataques cibernéticos que se tornam públicos também aumentando. Violações cibernéticas que não são detectadas e contidas precocemente podem ser até mil vezes mais caras do que aquelas que são descobertas tardiamente. A análise da Allianz Commercial sobre as grandes perdas cibernéticas mostra que o número de casos em que ocorre exfiltração de dados está aumentando a cada ano – dobrando de 40% em 2019 para quase 80% em 2022, com 2023 significativamente mais alto.

30/11/2023 - Black Basta ransomware operation nets over $100M from victims in less than two years (The Register)

30/11/2023 - Rogue ex-Motorola techie admits cyberattack on former employer, passport fraud (The Register)

30/11/2023 - Grupo Hacktivista Cyber Av3ngers ataca serviços de água na cidade de Aliquippa, Pensilvânia (CryptoID)

A Autoridade Municipal de Água de Aliquippa, nos Estados Unidos, afirmou que o grupo Cyber Av3ngers, apoiado pelo Irã, havia comprometido uma de suas estações de reforço da distribuição de água na cidade.

30/11/2023 - Brasil sofreu 1595 ataques de ransomware no primeiro semestre (Convergência Digital)

30/11/2023 - Polícia de SP rastreia golpistas em operação contra crimes cibernéticos (Governo de São Paulo)

30/11/2023 - ChatGPT vazou números de telefone e endereços de e-mail (Olhar Digital)

30/11/2023 - Ataques de ransomware dobram nos últimos dois anos, aponta pesquisa (TI Inside)

30/11/2023 - Programa Red Zone #105

Tópicos: ANATEL anuncia mais controles sobre TVBox e multas, Operação 404 da PF, INL em USA, Japão admite breach em Pesquisa Espacial, Android com novas dores de cabeça, iOS também apresenta patches, problemas com SIM Swap, ataque contra estação de tratamento de águas e lei escrita por ChatGPT em Porto Alegre causa inúmeras polêmicas.

Gostaram da lista? Se esqueci de citar alguma notícia relevante, comente aqui no Blog.

Veja também o vídeo dos incidentes do mês de Novembro de 2023 produzido pela CECyber, com o professor Almir Alves. Neste mês, ele destacou o alerta emitido pela Aqua Security sobre a exposição pública de segredos de configuração de Kubernetes, o ataque ao Laboratório Nacional de Idaho (INL), um dos principais centros de pesquisa nuclear dos Estados Unidos, que teve seus dados comprometidos pelo grupo de hackers SiegedSec; a violação da empresa CyberLink, de Taiwan, pelo grupo de ameaças norte-coreano Diamond Sleet; a correção do sexto problema grave de Zero Day em 2023 pelo Google e os detalhes da história do CEO da OpenAI, Sam Altman, além dos últimos acontecimentos que envolvem a criadora do ChatGPT e a Microsoft. Confira o vídeo abaixo:

Veja também:

• Estudo Faces of Fraud: Experiências do Consumidor com Fraude e o Que Isso Significa
• Relatório da Kaspersky: Modern Asian APT groups’ tactics, techniques and procedures (TTPs)
• Relatório da Trend Micro: ParaSiteSnatcher: How Malicious Chrome Extensions Target Brazil
• "Our research shows that the malicious extension is specifically designed to target users in Latin America, particularly Brazil; it exfiltrates data from Banco do Brasil- and Caixa Econômica Federal (Caixa)-related URLs. It can also initiate and manipulate transactions in PIX, a Brazilian instant payment ecosystem, and payments made through Boleto Bancario, another payment method regulated by the Bank of Brazil. We also observed that it can exfiltrate Brazilian Tax ID numbers for both individuals and businesses, as well as cookies, including those used for Microsoft accounts."
• CISA Releases The Mitigation Guide: Healthcare and Public Health (HPH) Sector
• Fique de olho nos Alertas e Recomendações do CTOR Gov
• Veja as vulnerabilidades que surgiram neste mês pelo Known Exploited Vulnerabilities Catalog da CISA
• Estatísticas e reports atualizados periodicamente/mensalmente:
• The Latest 2023 Phishing Statistics
• MOVEit hack victim list
• Painéis
• Principais incidentes, segundo a Security Report: Painel de Incidentes Cibernéticos
• Acompanhe o painel de incidentes da IBRASPD
• Acompanhe esses "rastreadores de ransomware":
• Ransomware tracker: The latest figures (The Record)
• Ransomware Tracker (in_cyber) (acesso restrito a assinantes)
• Ransomware Attacks (Information is Beautiful)
• Veja essas listas excelentes do portal IT Governance:
• Data Breaches and Cyber Attacks in October 2023 – 867,072,315 Records Breached
• Cyber Attacks and Data Breaches in Review: October 2023
• Catches of the Month: Phishing Scams for October 2023

Veja o histórico de notícias:

• Principais notícias de segurança em Maio de 2021
• Principais notícias de segurança em Junho de 2021
• Principais notícias de segurança em Julho de 2021
• Principais notícias de segurança em Agosto de 2021
• Principais notícias de segurança em Setembro de 2021
• Principais notícias de segurança em Outubro de 2021
• Principais notícias de segurança em Novembro de 2021
• Principais notícias de segurança em Dezembro de 2021
• Principais notícias de segurança em Janeiro de 2022
• Principais notícias de segurança em Fevereiro de 2022
• Principais notícias de segurança em Março de 2022
• Principais notícias de segurança em Abril de 2022
• Principais notícias de segurança em Maio de 2022
• Principais notícias de segurança em Junho de 2022
• Principais notícias de segurança em Julho de 2022
• Principais notícias de segurança em Agosto de 2022
• Principais notícias de segurança em Setembro de 2022
• Principais notícias de segurança em Outubro de 2022
• Principais notícias de segurança em Novembro de 2022
• Principais notícias de segurança em Dezembro de 2022
• Principais notícias de segurança em Fevereiro de 2023
• Principais notícias de segurança em Março de 2023
• Principais notícias de segurança em Abril de 2023
• Principais notícias de segurança em Maio de 2023
• Principais notícias de segurança em Junho de 2023
• Principais notícias de segurança em Julho de 2023
• Principais notícias de segurança em Agosto de 2023
• Principais notícias de segurança em Setembro de 2023
• Principais notícias de segurança em Outubro de 2023

PS: Post atualizado em 26, 27, 28 e 29/12. Atualizado em 04/01/2024.