Arquivos de tag para “cibercriminosos”

Pagar ou não pagar? Eis a questão.

Em algumas ocasiões, ao ler um artigo sobre o que fazer em caso de um ataque de ransomware, encontro o seguinte conselho: “Pense na opção de pagar”. Nesse momento, respiro fundo e fecho a guia do navegador. Porque você nunca deve pagar esses golpistas (e não apenas porque isso significaria apoiar atividades criminosas). Claramente, chegou a hora de explicar os motivos sobre esta indicação.

Primeiro, você está patrocinando o crime

Leia em:Pagar ou não pagar? Eis a questão.

Ransomware: sem piadas

Primeiro, um breve contexto…

Em 10 de setembro, o ransomware/malware DoppelPaymer criptografou 30 servidores de um hospital, na cidade alemã de Dusseldorf, e devido a isso, a taxa de transferência de pacientes doentes caiu drasticamente. Há uma semana, devido a esta invasão, o hospital não conseguiu admitir uma paciente que precisava de uma operação urgente, e teve que encaminhá-la para um hospital em uma cidade vizinha. Ela morreu no caminho. Foi o primeiro caso conhecido de perda de vidas humanas como resultado de um ataque de ransomware.

Um caso muito triste, de fato – especialmente quando você olha mais de perto: houve o próprio “acidente” fatal (presumindo que os criminosos não previram uma fatalidade causada por suas ações horríveis); houve também uma clara negligência quanto ao cumprimento das regras básicas de higiene de cibersegurança; e também é evidente a incapacidade por parte das autoridades responsáveis ​​em aplicar a lei para combater com êxito os criminosos envolvidos neste crime.

Os hackers atacaram a rede do hospital por meio de uma vulnerabilidade (também conhecida como Shitrix) nos servidores Citrix Netscaler, que foi corrigida em janeiro. Parece que os administradores do sistema esperaram muito tempo antes de finalmente instalar a patch e, nesse meio tempo, os criminosos conseguiram entrar na rede e instalar uma backdoor.

Até aqui, apresentamos apenas fatos. A partir de agora, continuaremos com uma conjectura que não pode ser confirmada, mas que parece um tanto provável…

Não é possível descartar que, depois de algum tempo, que o acesso à backdoor não tenha sido vendido a outros hackers em fóruns clandestinos como “acesso à backdoor em uma universidade”. O ataque, de fato, foi inicialmente direcionado à vizinha Heinrich Heine University. Foi essa universidade que foi especificada no e-mail dos cibercriminosos exigindo um resgate pela devolução dos dados que eles criptografaram. Quando os hackers descobriram que era um hospital – não uma universidade – eles rapidamente entregaram todas as chaves de criptografia (e então desapareceram). Parece que os hospitais com Trojan não são tão atraentes para os cibercriminosos – eles são considerados ativos muito “tóxicos” (como ficou claro, da pior forma – com uma morte).

É provável que o grupo de hackers que tem como língua materna o russo, Evil Corp, esteja por trás do DoppelPaymer, um grupo com dezenas de outros cibercriminosos de alto perfil (incluindo na rede da Garmin). Em 2019, o governo dos Estados Unidos emitiu uma acusação para indivíduos envolvidos na Evil Corp e ofereceu uma recompensa de cinco milhões de dólares pela ajuda para capturá-los. O curioso é que as identidades dos criminosos são conhecidas e, até recentemente, eles se gabavam e exibiam seu estilo de vida estilo gangster – inclusive nas redes sociais.

Fonte

Leia em:Ransomware: sem piadas

Flickr photostream

  • KLHQ
  • KLHQ
  • KLHQ
  • KLHQ

Instagram Photostream

SAS-2019: notícias de cibersegurança diretamente do lado sombrio

Olá, pessoal.

Hoje, trouxe para vocês uma nova atualização de notícias de cibersegurança do lado sombrio, desta vez, dedicada às apresentações do nosso anual Security Analyst Summit que ocorreu mês passado em Cingapura.

Uma das principais características de toda a  SAS são as apresentações dos especialistas. Ao contrário de outras conferências geopoliticamente corretas, os analistas compartilham suas descobertas sobre quaisquer ameaças cibernéticas, não importando de onde elas vêm, assim, ano após ano, seguem esse princípio. Afinal, os malwares continuam sendo malwares e os usuários precisam ser protegidos contra ameaças, independentemente das intenções de seus criadores. Você se lembra do efeito bumerangue?

E se qualquer meio de comunicação mente abertamente sobre nossos princípios e motivações, assim seja. Mas melhor que deixá-los saber que ao agir desse modo, eles não só vão contra aos nossos princípios, nós gostamos de dar o exemplo e isso demonstra a nossa liderança na resolução de operações de ciberespionagem. Além disso, eles devem saber que não planejamos mudar nossa posição em detrimento dos usuários.

Com isso em mente, deixo aqui as conversas mais interessantes, incríveis e aterrorizantes que ocorreram na SAS.

1. TajMahal

No ano passado, descobrimos um ataque a uma organização diplomática na Ásia Central. Obviamente, cibercriminosos com um alvo desse porte,  não deve surpreender ninguém. Os sistemas de informação de embaixadas, consulados e missões diplomáticas sempre atraíram o interesse de outros estados e de suas agências de espionagem ou, de qualquer pessoa com os conhecimentos e recursos financeiros necessários. Sim, todos nós lemos romances de espionagem, mas com certeza você não leu isso em nenhum livro. Os golpitas construíram um autêntico “TajMahal”, uma plataforma APT com um grande número de plugins usados (nunca vimos o uso de tantos  em uma única plataforma APT até hoje) para todos os cenários de ataque usando várias ferramentas.

O mecanismo consiste em duas partes: Tóquio, a principal backdoor, que também é necessária para completar a função de envio do último programa malicioso, e Yokohama, que possui funcionalidades diferentes, como roubar cookies, interceptar documentos da fila de impressão, registrar chamadas VoIP ( incluindo WhatsApp e FaceTime), tire screenshots e muito mais. A operação TajMahal está ativa há pelo menos 5 anos e sua complexidade pode sugerir que ela foi desenvolvida com mais de um objetivo em mente; para descobrir toda essa estratégia, tivemos que cavar um pouco mais.

Você pode encontrar todas as informações sobre esta APT aqui.

Leia em:SAS-2019: notícias de cibersegurança diretamente do lado sombrio