julho 31, 2023

[Segurança] Os lucros milionários dos Ransomwares

Algumas notícias recentes jogam uma luz clara sobre os valores milionários (ou seria melhor dizer bilionários?) envolvidos nos esquemas de aluguel e resgate por Ransomware.

As gangues de ransomware operaram com lucro quase recorde nos primeiros seis meses do ano, extorquindo mais de US$ 449 milhões das vítimas, de acordo com a empresa de pesquisa blockchain Chainalysis. E olha que isso considera apenas as carteiras de criptomoedas monitoradas pela empresa. A estimativa da empresa é que até o final do ano essa cifra alcance 900 milhões de dólares!

Segundo a Chainanalysis, os principais grupos como Clop, AlphV/Black Cat e Black Basta receberam pagamentos em média acima de US$ 750.000. A Clop liderou o levantamento, com um valor médio de de US$ 1,73 milhão - afinal, o grupo tem tido muito sucesso ao explorar uma falha de dia zero no software MOVEit, o que permitiu que eles invadissem centenas de organizações.

Em um levantamento realizado pelo jornalista Paulo Brito, do portal InCyber, com base em relatórios públicos divulgados por agências governamentais e empresas de segurança digital, a lista de pagamentos para as quadrilhas que operam ransomwares é liderada pelo grupo Ryuk, e fica assim:

  1. Ryuk: US$ 150 milhões
  2. REvil: US$ 123 milhões
  3. LockBit: US$ 91 milhões
  4. Darkside: US$ 90 milhões
  5. Maze/Egregor: US$ 75 milhões
  6. Cuba: US$ 43,9 milhões
  7. Conti: US$ 25,5 milhões
  8. Netwalker: US$ 25 milhões
  9. Dharma: US$ 24 milhões

Um caso interessante foi trazido à tona pelos pesquisadores do Group-IB, que conseguiram se infiltrar no grupo de ransomware como serviço (RaaS) Qilin (também conhecido como “Agenda”) e acessar seu painel administrativo. Isso lhes deu uma visão interna de como a gangue funciona e como recompensa seus afiliados. Desde quando surgiram, em julho de 2022, eles vitimaram pelo menos 12 organizações em todo o mundo, incluindo vítimas no setor de saúde e de tecnologia. O painel de pagamentos (Payments) apresentava informações sobre o saldo das carteiras afiliadas, transações e taxas para o grupo ransomware. Além disso, eles conversaram com um dos usuários da plataforma para identificar o esquema de pagamento usado.

A reportagem do portal The Record sobre esse caso trouxe alguns dados interessantes sobre como é feita a divisão do pagamento do resgate em algumas gangs de ransomware:

  • Qilin: os afiliados recebem 80% dos pagamentos de resgate no valor de US$ 3 milhões ou menos. Acima de $ 3 milhões, os afiliados recebem 85% do pagamento.
  • GandCrab: os afiliados recebem cerca de 60% a 70% do resgate, depois de pagar entre US$ 500 e US$ 1.200 pelo acesso ao ransomware;
  • REvil: os afiliados recebem cerca de 60% a 70% (semelhante ao GandCrab), mas pode subir para 80%, dependendo do número de resgates trazidos pelo criminoso;
  • NetWalker: recebiam até 80% do resgate e tinham que pagar entre US$ 1.200 e US$ 1.800 pelo ransomware;
  • BlackCat: oferece de 80% a 90% do valor dos resgates para os afiliados.

A Sophos traz alguns dados sobre o impacto dos ransomwares no mercado brasileiro em 2022:

  • 68% das organizações pesquisadas foram atingidas por ransomware, um aumento de 24% em relação ao ano anterior; (hum... eu achei esse numero bem exagerado, não é?)
  • Em 73% dos ataques, houve sucesso no sequestro de dados pelos criminosos;
  • 32% dos golpes de ransomware também resultaram no roubo de dados;
  • 55% das organizações atingidas afirmaram terem pago o resgate, transformando o Brasil em líder global no pagamento a criminosos, pois a média global é de 47%.

Para saber mais:

julho 28, 2023

[Segurança] Brazucas palestrando na Defcon, BSidesLV e Black Hat (aplausos)

Neste ano teremos um número recorde de brasileiros palestrando na Defcon e BSides Las Vegas!!! #orgulho

São 12 palestrantes, que merecem todo o nosso prestígio:
  • Arthur Paixão
  • Bruno Guerreiro Diniz
  • Cybelle Oliveira
  • Diego Mariano
  • Douglas Bernardini
  • Fabricio Gimenes
  • Felipe Pr0teus
  • Fernando Montenegro
  • Filipi Pires
  • Magno Logan (Na black hat!)
  • Rodrigo Montoro
  • Thiago Bordini
Uma dúzia de mentes brilhantes :)

Veja a lista de atividades, organizada por data:
OBS: o Fabricio Gimenes está em Standby para palestrar na BSidesLV.

Não sei se você percebeu, mas nessa lista acima o Rodrigo Montoro aparece 2 vezes! E ainda vai palestrar na Defcon, aonde ele vai dar nada menos do que um Workshop! o Magno Logan também merece nosso destaque, pois além de fazer 2 atividades na AppSec Village, ele teve uma pesquisa aceita na Black Hat. Esses aí são guerreiros que merecem toda a nossa admiração e que lutaram muito para chegar até aí!!! #respeito

Anote aí na sua agenda (incluindo o link para o schedule de algumas villages):
Nesse ano a Defcon vai ocupar o Caesars Forum (com as trilhas de palestras, lojas e algumas villages) e três hotéis, para acomodar as villages: Flamingo, Harrah e LINQ. Veja mais detalhes na página da Defcon e o mapa do evento.

Tome cuidado!!! Os EUA, e em especial Las Vagas, estão sofrendo com uma forte onda de calor. Mantenha-se hidratado e evite atividades externas de longa duração.


Memes? Temos....

  

Não deixe de conferir esses posts aqui no blog:
PS: Post atualizado em 28/08, logo após a publicação. Aproveitei para incluir um meme....

PS/2 (29/08) A Defcon acabou de lançar um trailer oficial para o evento (disponível também no YouTube), bem cyberpunk...


PS3: Post atualizado em 30 e 31/07, e em 01/08.

julho 27, 2023

[Segurança] A árvore genealógica dos Ransomwares

O CERT da empresa Orange Cyberdefense criou um "mapa dos ransomwares", que na verdade está um pouco mais para uma árvore genealógica, pois mostra o surgimento e evolução das famílias de ransomware no decorrer do tempo.

O material é bem interessante e mostra claramente a explosão de ransomwares nesses últimos anos. Segue abaixo uma parte dele - você pode baixar o mapa completo, em pdf, gratuitamente.







julho 26, 2023

[Segurança] Sites de notícias sobre segurança

Há centenas de sites, portais e feeds de notícias de segurança, que nos ajudam a nos manter um pouco mais atualizados.

Segue abaixo uma lista com os meus favoritos (em ordem alfabética):

Em inglês:
Em português:
(*) Muitas notícias corporativas, sobre empresas do nosso setor.
(**) Em geral traz poucas notícias, 1 ou 2 por dia.

Dentre os podcasts brasileiros, temos alguns que abordam as notícias e incidentes recentes:

julho 21, 2023

[Segurança] OTAN pretende responder a ataques cibernéticos!

A OTAN (Organização do Tratado do Atlântico Norte) fez mais um movimento para tornar ciber ataques um nível de agressão similar aos ataques físicos em um cenário de conflito.

Segundo o "Comunicado da Cúpula de Vilnius", publicado dia 11 de julho após a reunião de cúpula da OTAN na capital da Lituânia, a OTAN abriu a possibilidade de incluir ciber ataques no artigo 5 do Tratado de Washington, e assim ela vai passar a classificar um ciberataque a um dos países membros da aliança como uma agressão a todos os demais países, exigindo uma "resposta coletiva". Ela entende que um simples ciber ataque, ou um conjunto deles, pode atingir o mesmo nível de ameaça do que uma agressão armada convencional, no plano físico.

O texto original do comunicado é o seguinte:
66. Cyberspace is contested at all times as threat actors increasingly seek to destabilise the Alliance by employing malicious cyber activities and campaigns. Russia’s war of aggression against Ukraine has highlighted the extent to which cyber is a feature of modern conflict. We are countering the substantial, continuous, and increasing cyber threats, including to our democratic systems and our critical infrastructure, as well as where they are part of hybrid campaigns. We are determined to employ the full range of capabilities in order to deter, defend against and counter the full spectrum of cyber threats, including by considering collective responses. A single or cumulative set of malicious cyber activities could reach the level of armed attack and could lead the North Atlantic Council to invoke Article 5 of the Washington Treaty, on a case-by-case basis. We remain committed to act in accordance with international law, including the UN Charter, international humanitarian law, and international human rights law as applicable. We continue to promote a free, open, peaceful, and secure cyberspace, and further pursue efforts to enhance stability and reduce the risk of conflict, by ensuring that international law is respected and by supporting voluntary norms of responsible state behaviour in cyberspace. Today, we endorse a new concept to enhance the contribution of cyber defence to our overall deterrence and defence posture. It will further integrate NATO’s three cyber defence levels - political, military, and technical - ensuring civil-military cooperation at all times through peacetime, crisis, and conflict, as well as engagement with the private sector, as appropriate. Doing so will enhance our shared situational awareness. Strengthening our cyber resilience is key to making our Alliance more secure and better able to mitigate the potential for significant harm from cyber threats. Today we restate and enhance our Cyber Defence Pledge and have committed to ambitious new national goals to further strengthen our national cyber defences as a matter of priority, including critical infrastructures. We have launched NATO’s new Virtual Cyber Incident Support Capability (VCISC) to support national mitigation efforts in response to significant malicious cyber activities. This provides Allies with an additional tool for assistance. We will further seek to develop mutually beneficial and effective partnerships as appropriate, including with partner countries, international organisations, industry, and academia, furthering our efforts to enhance international stability in cyberspace. Complementing our existing exchanges, we will hold the first comprehensive NATO Cyber Defence Conference in Berlin this November, bringing together decision-makers across the political, military, and technical levels.
Essa postura é semelhante com a que ela tem, historicamente, no cenário de ataques físicos (invasões, bombardeios, etc) - a disposição para essa reação está descrita no tal artigo 5. Eventualmente isso poderá resultar em uma separação cada vez menor e confusa entre conflitos cinéticos e cibernéticos, permitindo uma reação militar clássica (isto é, física) contra um ciber ataque.

PS: Lendo todo o texto desse comunicado sobre a reunião da OTAN do dia 11/07, podemos ver claramente que a maior parte da pauta e das discussões envolveram o conflito da Rússia contra a Ucrânia.


julho 20, 2023

[Segurança] RIP Kevin Mitnick :(

Com grande tristeza compartilho com vocês a notícia do falecimento do Kevin Mitnick no dia 16 de Julho.

Kevin Mitnick fez história e provavelmente é o "hacker" mais conhecido no mundo todo. Ele foi um ícone para diversas gerações de profissionais de segurança e pessoas apaixonadas pela cultura hacker. Após algumas invasões que o tornaram famoso no início doa anos 90, ele ficou preso entre 1995 e 2000, período em que aconteceu a campanha "Free Kevin", contra sua prisão preventiva, sem julgamento - que durou cerca de 5 anos (sua condenação ocorreu em 1999, após ele ficar preso por 4 anos e meio).


Solto, ele se tornou consultor de segurança e, posteriormente, empresário. Palestrante renomado, um pop star da segurança, mestre da engenharia social e autor de vários livros, alguém que já esteve na lista dos "hackers mais procurados" do FBI..


Foi difícil acreditar quando vi pela primeira vez a notícia do falecimento do Kevin Mitnick, nesta quarta-feira. Durante alguns minutos, procurei outras fontes para confirmar que não era fake news e vários colegas se perguntavam, nos grupos do Whatsapp, se era verdade. Somente neste dia 19/07 começaram a surgir notícias do seu falecimento na imprensa.

Eu tive a sorte de encontrar o Kevin Mitnick em duas oportunidades na Defcon, além de assistir uma palestra dele na Campus Party. Tenho um livro assinado e entreguei para ele um passaporte hacker brasileiro.


Para saber mais:

julho 14, 2023

[Opinião] A luta contra a censura sobre conteúdo de segurança

Por diversas vezes meus posts aqui no Blog sobre os malwares identificados nos conflitos entre a Rússia e Ucrânia foram retirados pela plataforma Blogger, suspensos e colocados sob revisão do Blogger sob suspeita de violação da política de comunidade do site (referente a "Malware and Viruses policy").


Estes posts representam apenas uma descrição das campanhas de ciber ataques identificados durante o conflito entre Russia e Ucrânia, incluindo seus indicadores de comprometimento (IOCs), obtidos de fontes públicas e confiáveis. Ou seja, os posts não contém vírus ou artefato malicioso algum. Não há conteúdo malicioso sendo publicado nesses posts! Mesmo assim, eles já foram suspensos várias vezes.


Olha o que diz a política de conteúdo do Blogger sobre "Malware and Similar Malicious Content":
Do not transmit malware or any content that harms or interferes with the operation of the networks, servers, end user devices, or other infrastructure. This includes the direct hosting, embedding, or transmission of malware, viruses, destructive code, or other harmful or unwanted software or similar content. This also includes content that transmits viruses, causes pop-ups, attempts to install software without the user’s consent, or otherwise impacts users with malicious code. See our Safe Browsing Policies for more information.
Ou seja, essa política não tem nada a ver com escrever um post explicativo sobre ameaças existentes e seus IOCs. Ler o artigo não te infecta automaticamente, nem por milagre, nem de qualquer forma, pois não há conteúdo malicioso.

A cada suspensão, eu simplesmente faço alguma atualização qualquer nos posts para que eles sejam salvos e encaminhados para análise manual. Não é a toa que esses artigos tem uma mensagem e português e inglês avisando que o post não tem conteúdo malicioso.

O irritante disso é a miopia dos processo de checagem do Blogger a ponto de considerar esses posts relacionados a propagação de vírus. E insistir nessa suspensão várias vezes.

Blogger, repita comigo:
IOC não é vírus.
Blogger, repeat after me:
IOC is not a virus.
O que me chateia com isso é pensar que outros produtores de conteúdo de segurança podem receber essas suspensões automáticas e, simplesmente desistir de publicar seus artigos. Quem perde é a comunidade de segurança e, em última instância, todo mundo.

julho 13, 2023

[Segurança] Hacker Hackeia

Você provavelmente já ouviu a frase "Hacker Hackeia".

De repente ela se popularizou nas últimas semanas pois foi usada em um suposto evento e/ou curso que ensina as pessoas a serem hackers. Para tentar dar credibilidade a si mesmo, o evento "que não pode ser nomeado" tomou para si essa frase e a máscara do Guy Fawkes, associada ao grupo hacktivista Anonymous desde os anos 2010.

Mas, se você está envolvido na comunidade de ciber segurança, deve saber que essa frase foi dita pelo Filipe Balestra, profissional e pesquisador que está há algumas décadas no mercado e é um dos organizadores da Hackers to Hackers Conference, o principal e mais antigo evento brasileiro da comunidade hacker.

Curiosidade: essa frase foi dita pelo Balestra em Fevereiro de 2018 durante uma discussão num extinto grupo do Roadsec no Telegram, quando uma galeria discutia o que é um hacker. A frase "Hacker Hackeia" caiu no gosto da galera e até mesmo virou uma linda camiseta da H2HC.

Na minha opinião essa frase é simples e genérica o suficiente para traduzir o espírito da cultura hacker, de abraçaras pessoas interessadas em "hackear" tudo e qualquer coisa a nossa volta. Hacker pode ser qualquer pessoa, que faça qualquer coisa, desde que de acordo com a cultura hacker. Pode ser um pentester, um participante de CTF, mas também alguém interessado em hardware hacking, biohacking, robótica, arte digital, etc.

O que é importante para se tornar um hacker? Ter a mente livre, fuçar, buscar informação, inovar e compartilhar conhecimento.

Veja também, aqui no blog:

julho 11, 2023

[Segurança] Turminha da Mônica sobre ataques cibernéticos

A Turma da Mônica, em parceria com a Google Brasil, publicou algumas dicas bem simples e objetivas sobre ataques cibernéticos em seu perfil no Instagram!

   

O conteúdo é bem lúdico, ideal para ser usado em campanhas de conscientização. E eles oferecem 5 dicas básicas de segurança, que valem a pena ser seguidas.

Veja também (aqui no blog):

julho 04, 2023

[Segurança] Olha o golpe: "A sua conta foi pirateada. Os seus dados sao roubados. Saiba como recuperar o acesso."

De tempos em tempos eu recebo uma mensagem com o conteúdo mais ou menos assim:
Assunto: A sua conta foi pirateada. Os seus dados sao roubados. Saiba como recuperar o acesso.

Texto: Olá, Sou um hacker e consegui aceder com sucesso ao seu sistema operativo. Também tenho acesso total à sua conta. Há já alguns meses que o observo. O facto é que o seu computador foi infetado com malware através de um site para adultos que visitou. Se não está familiarizado com isto, passo a explicar. O vírus Trojan dá-me acesso e controlo totais sobre um computador ou outro dispositivo. Isto significa que posso ver tudo o que aparece no seu ecrã, ligar a câmara e o microfone, sem que o utilizador tenha conhecimento disso. Também tenho acesso a todos os seus contactos e a toda a sua correspondência. Porque é que o seu antivírus não detetou malware? Resposta: O malware que utilizei é baseado em drivers e atualizo as suas assinaturas de 4 em 4 horas. Por isso, o seu antivírus não consegue detetar a presença dele. Fiz um vídeo que mostra como se satisfaz a si próprio na metade esquerda do ecrã e a metade direita mostra o vídeo que estava a ver na altura. Com um clique do rato, posso enviar este vídeo para todos os seus e-mails e contactos nas suas redes sociais. Posso também tornar pública toda a sua correspondência de correio eletrónico e o histórico de conversação nos serviços de mensagens que utiliza. Se não quer que isto aconteça, transfira R$ 5000 em equivalente em Bitcoin para o meu endereço Bitcoin (se não souber como o fazer, basta pesquisar "comprar bitcoin" no Google). O meu endereço Bitcoin (Carteira BTC) é: ENDEREÇO_OMITIDO. Depois de confirmar o seu pagamento, apagarei o vídeo imediatamente. Não voltará a ouvir falar de mim. Dou-lhe 50 horas (mais de 2 dias) para pagar. Receberei um aviso, quando abrir este e-mail, e o temporizador começará a contar. Apresentar uma queixa algures não faz sentido porque este e-mail não pode ser rastreado como o meu endereço Bitcoin. Eu nunca cometo erros. Se eu descobrir que partilhou esta mensagem com outra pessoa, o vídeo será imediatamente distribuído. Com os meus melhores cumprimentos!
Esse é um golpe muito manjado e simples. O criminoso diz que invadiu seu computador e ameaça divulgar as suas informações. Ele não mostra evidência alguma, a ameaça limita-se a assustar a pessoa. Apenas como curiosidade inútil, note que o texto foi escrito em Português de Portugal :)

O que fazer com essa mensagem? Simplesmente ignore.

Infelizmente tem gente que cai no golpe e pode acabar enviando dinheiro para o bandido. Nesse caso específico, até o momento a carteira bitcoin está vazia e não houve movimentação. Ainda bem :)


PS: Eu já falei sobre esse golpe aqui, no blog, em 2020: O golpe do falso sequestro de dados.

PS/2 (Adicionado em 30/07/2024): Veja dois exemplos de e-mails similares que eu recebi recentemente (na verdade, recebo esse tipo de mensagem com frequência, e simplesmente ignoro):




julho 03, 2023

[Carreira] Gerente ou capataz?

Um vídeo antigo ainda resiste no Youtube, e vale muito a pena ser visto. Nesse pequeno trecho de uma entrevista da Leda Nagle com o consultor de empresas Waldez Ludwig em 1998, no programa Sem Censura, ele lança alguns pontos interessantes sobre o papel do ser humano nas empresas.


O vídeo é curtinho (tem menos de 5 minutos) e essa entrevista viralizou desde então. Vejam alguns pontos que eu destaquei dessa conversa (spoiler alert):
  • A nova economia é baseada no conhecimento, logo o que importa é a inovação, e a capacidade de inovar vem das pessoas. O ser humano é a chave da estratégia das empresas;
  • As empresas tem que colocar os funcionários em primeiro lugar, pois só a tecnologia não vai destacar a empresa atualmente;
  • O gerente atualmente tem o mesmo papel dos capatazes na antiga economia: ele não faz nada de produtivo, seu papel é de apenas controlar os outros;
  • O trabalhador médio detesta trabalhar, tem a "síndrome do domingo de noite" e acha que ganha pouco. O principal erro é trabalhar mal por achar que ganha pouco;
  • A regra do salário é simples: as pessoas ganham pela sua raridade, e não pela sua importância (ou o que acha ser sua importância);
  • Se você faz um trabalho espetacular, com talento, é achado e tem oportunidade de ir para empregos melhores;
  • O funcionário tem que saber o quanto vale no mercado para poder exigir melhores salários.
O vídeo continua bem atual, pois tantos anos depois, muitas empresas continuam com uma mentalidade e uma gestão medieval.

Veja que legal essa entrevista recente dos dois, em 2018, em que eles comentam sobre essa entrevista e como nada mudou em algumas organizações, além de discutir o cenário atual:


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.