:::: MENU ::::
  • Suitable for all screen sizes

  • Easy to Customize

  • Customizable fonts.

Sempre há um atraso entre o lançamento de um filme e sua disponibilidade nos serviços de streaming. Os lançamentos digitais podem levar meses – e quanto melhor o filme se sair nos cinemas, maior o atraso, porque os estúdios ganham muito mais dinheiro lá do que nas salas de estar.

No entanto, muitas pessoas começam a procurar os sucessos de bilheteria online assim que são lançados, ou até mesmo antes. Serviços de vídeos legítimos raramente disponibilizam esses conteúdos – o que não é surpresa. Mas os cibercriminosos podem. Ou melhor, podem tentar convencê-lo que fornecerão. O exemplo mais recente é um golpe relacionado ao novíssimo e tremendamente popular Avengers: Endgame, ou no Brasil, Vingadores: Ultimato.

Download do filme Avengers: Endgame? Não caia nesse golpe

Tudo começa com uma busca despretensiosa. Os resultados incluem um site que promete ao usuário o download ou uma plataforma de streaming para assistir online o Avengers: Endgame completo sem sair de casa.
É verdade que o streaming começa sem incidentes. Mas poucos minutos depois, uma mensagem aparece na tela, solicitando que o usuário crie uma senha.
A criação da conta é gratuita – exceto pelo fato de que o usuário precisa fornecer um endereço de e-mail e inventar uma senha.

No entanto, depois de clicar em Continuar, o usuário descobre que essas informações não são suficientes. A conta tem que ser validada. Isso requer informações de pagamento do usuário e detalhes do cartão de crédito, incluindo o código CVC, impresso no verso do cartão.
O site promete que as informações serão usadas apenas para comprovar que o usuário está em um país onde o site é “licenciado para distribuir” o conteúdo. Não haverá nenhuma cobrança, eles dizem.

Os poucos segundos de conteúdo genuíno que os golpistas transmitiram foram apenas parte do trailer. E as informações fornecidas no cadastro acabaram nas mãos dos golpistas.

Por que criar uma conta nesses sites é perigoso?

A maioria dos visitantes simplesmente deixa o site depois da solicitação dos dados de pagamento e cartão de crédito. No entanto, os golpistas já venceram ganhando um endereço de e-mail e uma senha.

Você sabe, e nós não cansamos de repetir, que as pessoas tendem a usar a mesma senha para muitas contas. Quase todo mundo faz isso. Portanto, é uma aposta bastante segura que pelo menos algumas das combinações de e-mail e senha coletadas por golpistas neste site irão coincidir com as credenciais da conta em outros sites – lojas online, jogos ou serviços de streaming, contas de e-mail, mídias sociais, para citar algumas.

E essas contas são valiosas para os cibercriminosos. Elas podem ser usadas ​​para roubar dinheiro ou moedas digitais, para lavar valores e outros itens roubados, ou pelo menos para spam.

Como se proteger desse tipo de golpe

  • Os mecanismos de pesquisa estão fazendo um bom trabalho mantendo os resultados de busca mais verdadeiros possível, mas eles simplesmente não conseguem monitorar tudo.
  • Não insira informações, principalmente detalhes do cartão de crédito, em um site em que você não tenha motivos para confiar.
  • Pare de reutilizar senhas. Use um gerenciador de senhas.
  • Use um antivírus confiávelcom proteção comprovada e testada contra golpes online e phishing.


from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2WgZyiI

“Desculpe, senhor, você tem um momento para falar sobre atualizações de segurança?”

“Não, ocupado demais instalando patches.”

É sempre válido pensar a efetividade (ou não) é sua política de gerenciamento de patches.
Em um mundo perfeito, você instalaria os patches de todos os softwares em uso na sua empresa logo no lançamento. Mas na vida real, as coisas são um pouco mais complicadas, e nunca há tempo o suficiente para todos – então tem de priorizar. Mas qual a melhor forma de fazer isso?

Na conferência RSA de 2019, Jay Jacobs do Cyenta Institute e Michael Roytman da Kenna Security, apresentaram o estudo “A Etiologia da Exploração de Vulnerabilidades.” O relatório aborda quais vulnerabilidades valem maior atenção e como melhorar dramaticamente a instalação de patches e a estratégia de atualização de segurança.

A premissa básica é que nem todas as vulnerabilidades são de fato exploradas. Assim, diversas atualizações podem ser postergadas, priorizando-se aquelas cujas falhas podem de fato (e provavelmente serão) usadas para um ataque. Mas como diferenciar as “perigosas” das “inofensivas”?

Equipados com a base de dados de CVE (Vulnerabilidades e Exposições Comuns) e as bases de dados de exploits à disposição do público, além das informações de análises de vulnerabilidades e sistemas IPS/IDS (um total de 7,3 bilhões de ataques registrados e 2,8 milhões de vulnerabilidades em 12 milhões de sistemas), os pesquisadores construíram um modelo que desempenha perfeitamente esta tarefa. Para colocá-lo nesta perspectiva, é necessário uma rápida análise do panorama de vulnerabilidades de segurança.

Quantas CVEs existem por aí?

Qualquer especialista de segurança da informação afirmará que o número de vulnerabilidades conhecidas é imenso. Mas não muitos sabem o número exato. No momento, são 108 mil CVEs publicadas.

Tenha em mente também que nos últimos anos, a taxa de publicações mensais cresceu: se de 2005 a 2017 entre 300 e 500 CVEs eram publicadas mensalmente, no fim de 2017 a médiapassou dos 1.000 e ficou nisso desde então. Uma dezena de milhares de bugs por dia!
A existência de um exploit só vem à tona pouco antes ou depois de ser publicado. Há exceções, mas na maioria dos casos a janela é de duas semanas da publicação da CVE.  Então, CVEs demandam resposta rápida.
Não é preciso dizer que as taxas de instalação de atualizações ficam para trás. Em média, um mês depois da detecção, apenas um quarto das vulnerabilidades são corrigidas. Leva 100 dias para eliminar metade, e um quarto permanece sem remediação por um ano.
Mais de 2/3 das vulnerabilidades sem patches que existem se encontram em produtos de três fabricantes:
Nesse meio tempo, 77% dos CVEs não têm exploit publicado. Cabe ressaltar que nem todas as vulnerabilidades publicadas são encontradas em ambiente real – apenas 37 mil das 108 mil CVEs existentes. E apenas 5 mil CVEs existem e são exploráveis. São essas vulnerabilidades que devem ser priorizadas – elas só precisam ser identificadas corretamente.

Estratégias de correção existentes

Os pesquisadores mediram a relevância das estratégias de atualização a partir de duas métricas: a parcela de vulnerabilidades “perigosas” no número total daquelas corrigidas (com eficiência) e por outro lado, a parcela de vulnerabilidade corrigidas no total daquelas perigosas (cobertura).
Uma das estratégias de patching mais aceitas é baseada no chamado Common Vulnerability Scoring System (CVSS), no qual prioridades são associadas a notas do CVSS acima de determinado valor. Calcular eficiência e cobertura para o CVSS 10, obtivemos 23% e 7% respectivamente. É interessante ressaltar que o mesmo resultado (pelo menos por essas métricas) pode ser atingido pela instalação aleatória de patches.
A abordagem mais comum – priorize tudo com CVSS “alto” (7 ou maior) – produzindo resultados bem melhores. Essa abordagem não é ruim de forma geral, mas consome muito tempo e significa ter que priorizar a instalação de muitos patches.

Uma estratégia alternativa seria priorizar as atualizações por vendedor. No fim, desenvolvedores possuem taxas diferentes do número de exploits no número total de CVEs, de forma que seria lógico priorizar os produtos que contém vulnerabilidades com maior probabilidade de ser explorada.

Contudo, baseado na eficiência e cobertura, essa estratégia é pior que atualizar aleatoriamente – a metade é efetiva.
Então, a longo prazo, essa abordagem é menos relevante que as baseadas em CVSS.

Modelo computacional de probabilidade de exploração de vulnerabilidades

Isso nos leva de volta ao modelo construído pelos pesquisadores. Comparar dados das descrições do CVE, publicamente disponíveis em bases de dados de exploits, IPS/IDS, a equipe foi capaz de identificar uma diversidade de sinais influenciando a probabilidade de vulnerabilidades sendo exploradas na prática.

Por exemplo, por um lado, sinais como de um CVE referente a Microsoft, ou a presença de um exploit no metasploit, aumentou drasticamente a chance de exploração da vulnerabilidade em questão.

Alguns sinais, por outro lado, reduziram a chance de exploração – como uma vulnerabilidade no navegador Safari, um exploit publicado no ExploitDB (pouco conveniente para propósitos práticos), a presença dos termos “autenticado” ou “memória gratuita dupla” na descrição do CVE, e outros. Combinando esses fatores, os pesquisadores conseguiram computar a probabilidade de qualquer vulnerabilidade em particular ser explorada.

Para verificar a precisão do modelo, os pesquisadores compararam suas previsões com dados de ataques reais: Descobriram o seguinte:

  • Para vulnerabilidades com probabilidade de exploração mínima, o modelo funciona bem.
  • O modelo tende a superestimar a possibilidade de exploração de vulnerabilidades por meio de uma média de probabilidades.
  • Para vulnerabilidades com chance de exploração alta, o modelo tende a subestimar o risco.

Dito isso, o modelo não é perfeitamente preciso, mas funciona como um todo. Nessa base, os pesquisadores criaram três estratégias de patching: alta eficiência, equilibrada e máxima cobertura. A estratégia equilibrada, por exemplo, consegue o dobro de eficiência de CVSS com nota maior que 7 com melhor cobertura (63% vs; 52%) e metade do esforço (isto é, o número de patches instalados); Vale pensar sobre, não é?
Por último, algumas dicas dos pesquisadores sobre o que fazer:

  • Comprove se você usa apenas CVSS como estratégia de patch.
  • Explore como os registros de vulnerabilidades são fechados/abertos na sua infraestrutura;
  • Comece a coletar os dados de seus sensores sobre exploits usados em ataques contra seus recursos;
  • Quando tiver coletado uma quantidade significante de dados, use-o para calcular eficiência, cobertura e esforço para sua infraestrutura.
  • Compare valores com outras estratégias de priorização.

Concordamos com os pesquisadores que aplicar patches manualmente sem uma estratégia clara é uma perda de recursos. Contudo, nossa abordagem é um pouco diferente: o Kaspersky Systems Management (parte da solução do ) emprega monitoramento de vulnerabilidade e instalação de subsistemas e patches.

Torna-se possível rapidamente identificar, priorizar e fechar as brechas. Além dos dados da CVSS, nossa priorização usa informação da Kaspersky Security Network. Por exemplo, se nossos sistemas veem que uma vulnerabilidade está sendo explorada, sua prioridade aumenta. Mais detalhes sobre a tecnologia aqui.



from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2UNMtvR
sistema de deteccao de incendio

Dados do Instituto Sprinkler Brasil (ISB) indicam que em 2018 foram contabilizadas em média 530 ocorrências de incêndio estruturais (em construções comerciais e indústrias), sendo o maior número de registros... continue lendo »

O post Sistema de detecção de incêndio: um aliado na redução de riscos apareceu primeiro em Blog Intelbras.



from Blog Intelbras http://bit.ly/2UKyYgA

Será que um dia as máquinas serão inteligentes como os humanos? Robôs terão consciência? Questionamentos assim são o centro da exposição Consciência Cibernética [?] Horizonte Quântico, feita pelo Itaú Cultural e que conta com a participação da parceria entre a Kaspersky Lab e o LABORATORIA Art & Science Foundation. Ela está aberta à visitação gratuita até 19 de maio, no Espaço Itaú Cultural da Avenida Paulista.
A Kaspersky Lab e o LABORATORIA Art & Science Foundation estão com a obra Borgy&Bes, que discute a consciência robótica e os limites da aprendizagem – com olhar artístico. A obra é uma iniciativa da fundação e contou com a colaboração entre o artista austríaco Thomas Feuerstein, cientistas russos, pesquisadores e técnicos em robóticas para criar entidades independentes que vivem e se comunicam entre si por vontade própria. Ela é composta por duas lâmpadas hospitalares capazes de ler e debater entre si as notícias atuais – o nome é composto pelos nomes das lâmpadas: Borgy (uma referência a ciborgue)  e Bes (espírito da mitologia eslava retratado na obra “Demons” de Fyodor Dostoiévski).

O comportamento e comunicação verbal de Borgy & Bes são governados por redes neurais artificiais e um algoritmo que está em evolução. O artista trabalhou com neurocientistas e técnicos robóticos para desenvolver as “personalidades” de Borgy e Bes. Tal como seres humanos, eles têm a necessidade de comunicação, descanso, segurança, amor. Os movimentos dos robôs expressam suas emoções, que surgem conforme a dupla discute as notícias que capturam nas redes. “Eles estão aprendendo sobre nós — é como se fossem visitantes alienígenas”, diz o artista. De acordo com ele, em sua primeira exibição (no Museu de Arte Moderna de Moscou, em outubro de 2018), os robôs tinham uma consciência de uma criança de três anos, mas agora já estão chegando na fase final da infância (cerca de 8 anos). “Ainda não sabemos até onde podem evoluir”, explica o artista.

“A obra de Feuerstein é instigante por aliar Inteligência Artificial e arte numa época em que se discute até que ponto as máquinas podem pensar e como será a relação delas com a Humanidade. O apoio da Kaspersky Lab a essa exposição mostra nosso compromisso em promover o debate sobre o aprendizado de máquina – uma tecnologia essencial no desenvolvimento de nossos softwares”, afirma Roberto Rebouças, diretor-executivo da Kaspersky Lab no Brasil.
Consciência Cibernética [?] Horizonte Quântico
Quinta, 28 de março à domingo 19 de maio de 2019
Terça a sexta 9h às 20h
Sábado, domingo e feriado 11h às 20h
Entrada gratuita
[classificação indicativa: livre]

Endereço
Avenida Paulista 149 São Paulo SP
Próximo à estação Brigadeiro do metrô



from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2LeiAFt

Apesar da oportunidade que temos em dissociar nossa bagunça do mundo físico, na maioria das vezes permitimos que ela se espalhe por nossos computadores, recursos de rede e, até mesmo, serviços em nuvem. Recentemente, a empresa especializada em pesquisas de mercado online OnePoll fez um estudo comparativo que analisou a atitude das pessoas em manter a organização da geladeira e os recursos digitais no trabalho. Ou melhor, a pesquisa da OnePoll comparou os níveis de desordem.

Os motivos para escolherem uma geladeira não estão claros para mim, mas meu palpite é que o interior de uma geladeira é escondido, e mais fácil de manter longe dos olhares dos curiosos, assim como, a bagunça digital. Eu li o relatório com bastante interesse e aprendi, por exemplo, que mais de um terço dos entrevistados já tropeçou com dados confidenciais de seus colegas no trabalho. E outro terço ainda podia acessar dados de empregadores anteriores. Devido essas descobertas, eu me lembrei de três casos reais que vivi. São ilustrativos para entender os perigos da desordem digital, por isso, decidi compartilhá-los nesta publicação.

1. A estação de trabalho remota

Há alguns anos, trabalhei para uma pequena empresa de integração de sistemas na qual uma das minhas atribuições era escrever textos de lançamento e divulgação sobre os produtos de software. Para poupar minha estação de trabalho da carga desnecessária de ciclos repetidos de instalação e remoção de programas, solicitei uma máquina virtual (MV). Ela pode ser resetada facilmente para manter um sistema limpo e eficiente. Usá-la também parece ser uma medida de segurança razoável – se estiver bem configurada, é claro.

Meu pedido foi atendido – em parte. A empresa forneceu uma MV, mas apenas uma para ser compartilhada entre toda a equipe. E o pior, ainda estava conectada à rede corporativa. Ocasionalmente, tivemos que compartilhar printscreens. Para ser honesto, esse não era o problema real.

O problema é que sai da empresa há mais de cinco anos, mas a máquina virtual ainda está funcionando. Continua disponível no mesmo endereço e admite as mesmas credenciais de acesso. Com minha cabeça focada em cibersegurança – mais do que o departamento de TI da empresa, aparentemente – fiz meu login. Pude ver os arquivos em que as pessoas estavam trabalhando e, claro, imediatamente enviei uma recomendação, usando uma impressora compartilhada da empresa: Altere a senha da MV! E, se você também está nessa, isole a máquina virtual da rede corporativa!

2. O arquivo órfão

Por alguns anos, como autor freelancer, trabalhei com uma empresa que estava seriamente preocupada com sua segurança física. Para minha entrada ser permitida, tive de notificar um dos seus funcionários, que deixaria uma autorização com os meus dados de passaporte (passaportes são a principal forma de identificação na Rússia) na recepção.

Em algum momento, meu passaporte venceu e tive que substituí-lo. Enviei uma mensagem ao editor para atualizar os meus dados e ele respondeu: “Não tenho tempo, faça você mesmo”, e me encaminhou link para um documento do Google com uma lista completa de autores, datas de nascimento e números de passaportes. Tentei explicar para ele minhas preocupações sobre cibersegurança, mas ainda estava ocupado demais para ouvi-las.

O problema é que o arquivo ainda está lá. Ainda está disponível para qualquer pessoa que tenha o link. Ninguém pode excluir nenhuma informação, mas qualquer pessoa pode visualizar o histórico de edição e ver todas as alterações feitas. O dono da conta também não pode fazer nada a respeito, pois esqueceu suas credenciais de acesso e alterou seu endereço de e-mail há muito tempo.

3. O disco rígido antigo

Tenho um hobby de colecionar hardware de computadores antigos. Costumo comprá-los por pouco em feiras de rua. Recentemente, comprei uns restos de sistemas. O vendedor me disse que eram lixo, e seu vizinho havia lhe pedido para jogá-los fora, caso ninguém o quisesse.

Por meio de um teste funcional, iniciei o disco rígido apenas para ver o que ele tinha. Além das coisas pessoais do dono, havia uma pasta chamada “trabalho” contendo informações de “cotações de preço” e “contratos”, todos marcados como “confidenciais”. Os últimos com datas referentes a agosto de 2018.

Não sei se o proprietário anterior usou o antigo PC para trabalhar em casa ou apenas para armazenar os arquivos dele, mas certamente não se importava com as consequências de distribuir essas informações. Formatei tudo, claro.

É claro que eu não consegui vasculhar as geladeiras desses indivíduos e empresas, mas, a julgar pelo relatório mencionado, certamente encontraria horrores como comida mofada e impossível de identificar. Só de pensar nos dados confidenciais que povoam documentos e HDs abandonados, e ainda, nos antigos funcionários com privilégios de acesso aos recursos corporativos, sinto um arrepio. E, infelizmente, este relatório corrobora essas preocupações.



from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2UCUKTf

Recentemente, pesquisadores da Universidade Estadual da Carolina do Norte descobriram mais de 100.000 projetos no GitHub com tokens, senhas criptográficas e outros dados confidenciais armazenados de forma aberta. No total, mais de meio milhão desses objetos foram encontrados em domínio público dos quais mais de 200 mil são únicos. Além disso, estamos falando de grandes empresas como a Google, Amazon MWS, Twitter, Facebook, MailChimp, MailGun, Stripe, Twilio, Square, Braintee e Picatic.
O GitHub é um recurso popular para desenvolvimento cooperativo de softwares. É usado para armazenar códigos em repositórios com acesso aberto e restrito, conectando colegas, envolvendo-os em testes de programas e utilizando códigos abertos e prontos para suas tecnologias. Como ele simplifica muito e acelera a criação de aplicativos e serviços, muitos programadores estão satisfeitos em utilizar a plataforma, assim como empresas que criam seus próprios softwares baseados em módulos de fonte aberta. Inclusive, empresas que buscam transparência também usam com frequência.

Contudo, deve-se ter alguns cuidados especiais ao divulgar códigos no GitHub – conselhos que nem sempre os desenvolvedores levam em conta.

Quais dados foram a domínio público?

Descobriu-se que o GitHub hospedava códigos abertos contendo tokens e senhas suficientes para conceder autorização e executar ações em nome dos usuários ou aplicativos. Entre essas informações divulgadas erroneamente estão:

  • Credenciais de login de contas de administradores em sites importantes.
  • Senhas ou tokens que habilitam funções internas do API das aplicações – um conjunto de ferramentas para interação entre vários componentes do sistema, por exemplo, um programa e um site.
  • Chaves criptografadas, muitas das quais são usadas para autenticação no lugar de senhas, e basta conhecer apenas uma para obter acesso de muitos recursos, incluindo redes privadas.

Porque os vazamentos de senhas criptografadas e tokens são arriscados?

O acesso desautorizado a suas contas, mesmo limitado, representa uma ameaça séria ao seu negócio. Alguns exemplos a seguir.

Uma forma de usar os tokens publicados no GitHub para fins escusos é distribuir e-mails e artigos supostamente como a empresa que fez a postagem original. Por exemplo, um intruso poderia ganhar acesso ao site corporativo ou conta do Facebook ou Twitter, e publicar um artigo com um link malicioso ou de phishing. Já que sites oficiais e contas geralmente são consideradas fontes de informação confiável, o risco que muitos leitores assumem que o link divulgado seja oficial é alto.

Além disso, cibercriminosos podem enganar pessoas a entrarem em sua lista de inscritos (por exemplo, no MailChimp). Como no cenário anterior, a expectativa é que o usuário confiará cegamente no e-mail como se fosse de uma empresa honesta. Esses ataques podem ferir seriamente a reputação de um negócio e causar diversos danos em termos de clientes perdidos e tempo gasto na restauração das operações.

Por último, os criminosos podem simplesmente usar as funções pagas do serviço – por exemplo, Amazon AWS – às suas custas. Por exemplo, o blogueiro Luke Chadwik uma vez recebeu uma mensagem da Amazon que dizia que sua senha foi publicada no GitHub. Uma pesquisa levou até um projeto antigo que por algum motivo ele esqueceu de fechar. Quando ele acessou sua conta na Amazon, descobriu mais de U$ 3 mil de taxas pendentes. No fim, um usuário não autorizado conseguiu suas credenciais e roubou criptomoedas. A Amazon reembolsou Chadwick. Mas lembre-se que o fim dessa história nem sempre é feliz.

Como dados privados acabaram no GitHub?

Os resultados da análise da investigação mostram que não são apenas os programadores iniciantes que deixam informações confidenciais em domínio público. Por exemplo, dados que fornecem acesso a sites de instituições governamentais importantes foram postados no GitHub por um desenvolvedor com mais de 10 anos de experiência.

Os motivos para publicar tokens e senhas no GitHub são variados. Por exemplo, as ferramentas de autorização podem ser necessárias para integrar um app com um serviço em particular. Quando o código foi publicado para teste, alguns programadores usaram senhas válidas no lugar de depuradas, e esqueceram de removê-las do acesso público.

Outro caso, os analistas do Securosis e o CEO Rich Mogull postaram no GitHub um aplicativo desenvolvido para uma conferência. O programa fez chamadas para o Amazon AWS, e ele armazenou todos os dados localmente. Contudo, a depuração individual dos blocos de código permitiu que ele criasse um arquivo de teste contendo diversas senhas de acesso. Depois da depuração, Mogull simplesmente esqueceu de removê-los do arquivo. Foram subsequentemente encontrados por intrusos que gastaram U$ 500 em serviços da Amazon antes de serem notados.

Além disso, desenvolvedores podem simplesmente não saber do risco de abandonar tokens válidos nos repositórios do GitHub e a necessidade de apontar e deletar (ou substituir) antes de deixar o código ali.

Como proteger seus recursos

  • Torne seus desenvolvedores conscientes que o upload de tokens válidos e senhas para abrir repositores é perigoso. Programadores devem entender isso antes de inserir seus códigos, eles devem confirmar a presença de dados secretos.
  • Faça com que o gerente do produto audite o projeto da sua empresa no GitHub para ver se esse contém informações confidenciais, e se sim, seja responsável pela exclusão correta; note que isso deve ser removido no projeto inteiro, nada deve ficar no histórico de mudanças.
  • Se qualquer dado armazenado no GitHub por sua empresa possuir uma senha, altere-a. não há como saber se alguém já a viu e salvou.
  • Trabalhe na conscientização de seus colaboradores frequentemente, de forma que usem responsavelmente o GitHub e outras ferramentas para tornar essa forma de pensar como algo natural em todos processos. Nossa plataforma o ajudará a fazer isso de forma eficiente e praticamente sem qualquer interrupção nas operações.


from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2ZulusK

Um sistema de controle de acesso basicamente está ligado à segurança de uma porta, autorizando ou não a entrada de uma pessoa em um ambiente restrito. Essa definição você... continue lendo »

O post Sistema de controle de acesso para pequenas empresas: como aplicar e quais são os benefícios? apareceu primeiro em Blog Intelbras.



from Blog Intelbras http://bit.ly/2W6Vbqr

Em nossa publicação anterior sobre a operação ShadowHammer, prometemos trazer mais informações. E, embora a pesquisa ainda esteja em andamento, nossos pesquisadores estão dispostos a compartilhar novos detalhes sobre esse sofisticado ataque à cadeia de suprimentos.

Magnitude da operação

Como já mencionamos, a ASUS não é a única empresa que os cibercriminosos usaram. Depois de estudar o ataque, nossos especialistas descobriram outras amostras com algoritmos semelhantes. Assim como no primeiro caso, as amostras usaram binários com assinatura digital de três outros provedores asiáticos:

  • Electronics Extreme, criadora do jogo de zumbis chamado Infestation: Survivor Stories,
  • Innovative Extremist, uma empresa que oferece serviços de infraestrutura de computadores e web, mas que também desenvolve jogos.
  • Zepetto, a empresa sul-coreana que desenvolveu o videogame Point Blank.

Segundo nossos pesquisadores, os invasores conseguiram acessar o código-fonte dos projetos das vítimas ou infectar com malwares no momento da compilação do projeto, ou seja, eles estavam dentro das redes dessas empresas. Tudo isso nos lembra de um ataque que relatamos há um ano: o incidente do CCleaner.

Além disso, nossos especialistas identificaram mais três vítimas: outra empresa de videogames, um conglomerado de organizações e uma companhia farmacêutica, todas da Coréia do Sul. Por enquanto não podemos compartilhar mais informações sobre elas, pois estamos as informando sobre o ataque.

Objetivos

Nos casos de Electronics Extreme, Innovative Extremist e Zepetto, o software comprometido forneceu uma carga bastante simples para os sistemas das vítimas, mas capaz de coletar informações sensíveis, incluindo nomes de usuários, especificações de computadores e versões. do sistema operacional. Também poderia ser utilizado para baixar a carga maliciosa dos servidores de comando e controle, assim, ao contrário do caso da ASUS, a lista de possíveis vítimas não se limitava a uma lista de endereços MAC.

Além disso, essa lista de mais de 600 endereços MAC não limitou a atuação e alcance dos objetivos a apenas esses 600 (ou mais), uma vez que pelo menos um deles pertence a um adaptador Ethernet virtual e todos os usuários desse dispositivo compartilham o mesmo endereço MAC.

Para mais informações técnicas, acesse a o Securelist.

Como evitar se tornar um link em um ataque de cadeia de suprimentos

Em todos os casos mencionados acima, os cibercriminosos obtiveram certificados válidos e comprometeram os ambientes de desenvolvimento de suas vítimas. Portanto, nossos especialistas recomendam que os fornecedores de software introduzam outro procedimento em seu processo de produção de softwares que também verifique possíveis infecções por malware, mesmo após o código ter recebido a assinatura digital.

Para evitar esse tipo de ataque, você deve ter um time de especialistas com experiência em detecção de ameaças. Podemos ajudar seu negócio com o Targeted Attack Discovery, nossos especialistas ajudarão a identificar as atividades de cibercriminosos e espionagem em sua rede e a entender as razões e as possíveis fontes desses incidentes. Além disso, podemos oferecer o Kaspersky Managed Protection com monitoramento ininterrupto e análise contínua de dados de ciberameaças. Para obter mais informações sobre o trabalho de nossos analistas de segurança na detecção de ameaças avançadas, visite a página do Kaspersky Threat Hunting.



from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2UAfriF

O Domain fronting – método utilizado especialmente por hackers para se protegerem em domínios de terceiros – ficou em evidência depois que o Telegram o usou para evitar ser bloqueado pelo Roskomnadzor, regulador de Internet russo. A aplicação da técnica foi parte de uma das discussões promovidas pelos pesquisadores do Instituto SANS na Conferência RSA 2019. Para os cibercriminosos, o esquema não é um vetor de ataque, mas uma maneira de controlar um computador infectado e extrair dados. Ed Skoudis, cujo estudo sobre manipulação de DNS já falamos em publicações anteriores, descreveu um plano de ação típico dos cibercriminosos que querem “desaparecer nas nuvens”.
A detecção da maioria dos ataques de APT ocorre durante a troca de informações com o servidor de comando. Transmissões súbitas entre um computador de uma rede corporativa e uma máquina externa desconhecida é sinal de alarme, o que certamente irá desencadear uma resposta da equipe de segurança da informação, e, é por isso que os cibercriminosos decidem esconder essas comunicações. Portanto, para esse tipo de golpe é cada vez mais comum usar redes de distribuição de conteúdo (CDNs na sigla em inglês).

O algoritmo descrito por Skoudis é o seguinte:

  1. Existe um computador infectado por malware na rede corporativa.
  2. Este dispositivo envia uma solicitação de DNS para um site verdadeiro e transparente de uma CDN confiável.
  3. Os cibercriminosos, também clientes desta CDN, hospedam um site malicioso lá.
  4. O computador infectado estabelece uma conexão TLS criptografada com o site confiável.
  5. Nesse contexto, o malware faz uma solicitação HTTP 1.1 que vai para o servidor da web do invasor na mesma CDN.
  6. O site renova a solicitação para seus servidores de malware.
  7. O canal de comunicação é estabelecido.

Para os especialistas de segurança responsáveis ​​pela rede corporativa, este ciberataque parece ser uma comunicação com um site seguro de uma CDN conhecida e por meio de um canal criptografado, afinal, consideram a CDN, da qual a empresa é também cliente, como parte de uma rede confiável. Mas tudo isso é um erro.

Segundo Skoudis, estes são os sintomas de uma armadilha muito perigosa. O domain fronting não é agradável, mas pode ser gerenciado. A parte mais arriscada desta questão é que os cibercriminosos estão se aprofundando nas tecnologias de nuvem. Em teoria, eles podem criar canais nas CDNs e ocultar suas atividades a partir de serviços em nuvem, viabilizando assim uma “maquiagem na conexão”. A probabilidade de uma CDN bloquear outra por razões de segurança é praticamente nula e prejudicaria seriamente seu negócio.

Para lidar com esses tipos de problemas de segurança online, Skoudis recomenda o uso de técnicas de interceptação TLS. Mas o principal é estar ciente desse cenário e não esquecer desse vetor de ataque na nuvem quando estiver modelando as ameaças.

Os especialistas da Kaspersky Lab também têm experiência com este tipo de estratégia perigosa. Nossa solução de segurança Threat Management and Defense pode detectar esses canais de comunicação e destacar possíveis atividades maliciosas.



from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2ISKKmB

A Kaspersky Lab acaba de firmar parceria com a operadora de telecomunicações Linktel. O acordo prevê o fornecimento de navegação segura nas redes WiFi comercializadas pela empresa brasileira, bem como toda a segurança possível em camada de internet, proteção contra mensagens de phishing, sites falsos e maliciosos. A parceria oferece mais um benefício: a possibilidade da contratação de soluções de segurança complementares para o ambiente doméstico, pessoal ou empresarial, na modalidade de serviços com pagamentos mensais e descontos exclusivos.

“Com a assinatura deste acordo, seguimos o nosso objetivo de oferecer aos nossos clientes um ambiente online seguro e confiável”, comenta André Grizotto, diretor comercial da Linktel.

A rede da Linktel foi construída com aportes que somam R$ 20 milhões para acesso com tecnologia NGH2.0 passpoint – que permite acesso automático e criptografado – e 3G/4G Offload, disponível para operadoras móveis desviarem o tráfego de dados. Atualmente, a empresa é a única do Brasil apta a capacitar sua rede para o 3G/4G Offoad e Wi-Fi NGH 2.0 passpoint, a próxima geração de hotspots com segurança baseada em criptografia.

“O pioneirismo da Linktel nos conduziu à uma solução inovadora para o mercado nacional, com a qual todos ganham, principalmente os clientes e os usuários da Linktel, seja no aeroporto, shopping, em casa ou na empresa”, explica Renato Moura, diretor de serviços de valor agregado da Kaspersky Lab.

A operadora registrou em 2018 um crescimento de 30% no número de acessos e 40% em usuários, se comparado ao ano anterior. Foram mais de 100 milhões de acessos e 25 milhões de usuários únicos.

A companhia quer alçar voos mais altos e continua investindo fortemente na ampliação de sua rede e na oferta de serviços de assinaturas, bem como os de segurança online premium opcionais – por conta da parceria com a Kaspersky Lab – para quem viaja muito ou necessita de uma rede corporativa segura com conexão de qualidade e padrão internacional.

As ameaças móveis já fazem parte dos maiores riscos que os usuários latino-americanos correm. No período de 12 meses (entre outubro de 2017 e outubro de 2018), a Kaspersky registrou crescimento de 31,3% dos ataques focados neste tipo de dispositivo. É importante observar que a grande maioria das ameaças detectadas foi projetada para infectar aparelhos que utilizam a plataforma Android.



from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2PoXO4k

As ameaças à segurança na internet estão aumentando em número e em eficiência no mundo inteiro. Como estamos cada dia mais conectados, do smartphone sempre à mão à smart TV... continue lendo »

O post Segurança na internet: mantenha seus dispositivos protegidos apareceu primeiro em Blog Intelbras.



from Blog Intelbras http://bit.ly/2XG8HSv

O primeiro episódio da última temporada de Game of Thrones, que foi ao ar no domingo 14, foi assistido ilegalmente 55 milhões de vezes nas primeiras 24 horas; sendo 12,2% via downloads e 11,3% via torrents. De acordo com uma análise recente publicada pela Kaspersky Lab, os filmes ilegais e downloads seriais são frequentemente usados como disseminadores de malware. Neste caso, os fãs de Game of Thrones correm um risco maior: em 2018, a série foi responsável por 17% de todo o conteúdo pirata infectado em todo o mundo, com 21 mil usuários atacados.
Nossa análise mostra claramente que os distribuidores de malware exploram programas de TV com alta demanda em sites pirateados: em geral, são dramas ou séries de ação promovidos ativamente. Os primeiros e últimos episódios, que atraem o maior número de espectadores, provavelmente estarão em maior risco de falsificação maliciosa. Os fraudadores online tendem a explorar a lealdade e a impaciência das pessoas, portanto podem prometer material novo para download que, na verdade, é uma ameaça cibernética”, alerta Thiago Marques, analista de segurança da Kaspersky Lab. “Como a última temporada de Game of Thrones já começou, gostaríamos de alertar os usuários de que é altamente provável que haja um aumento na quantidade de malware disfarçado de novos episódios desse programa”, finaliza.

Como se proteger: 

  • Só use serviços legítimos de reputação comprovada para produzir e distribuir conteúdo televisivo;
  • Preste atenção à extensão do arquivo baixado. Mesmo os episódios de séries de TV de uma fonte que você considera confiável e legítima, devem ter a extensão .avi, .mkv ou mp4, mas com certeza não pode ser um .exe (arquivo executável);
  • Preste mais atenção à autenticidade dos sites. Só acesse sites que permitam assistir séries de TV quando tiver certeza de que são legítimos e seu endereço começa com ‘https’. Antes de iniciar o download, verifique se o site é genuíno, conferindo o formato do URL e a ortografia do nome da empresa;
  • Não clique em links suspeitos, como aqueles que prometem a visualização antecipada de um novo episódio. Verifique e acompanhe a programação da série.
  • Use soluções de segurança confiáveis, como o Kaspersky Security Cloud, para ter uma proteção abrangente contra diversas ameaças.


from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2ZjW7dc

Na Conferência RSA 2019, o Instituto SANS relatou novas variedades de ataques que eles consideram altamente perigosas. Nesta publicação, vamos falar sobre uma delas.

Um ataque descoberto por um instrutor do Instituto SANS pode ser usado para assumir o controle total da infraestrutura de TI de uma empresa, sem a necessidade de ferramentas muito complexas, com apenas uma simples manipulação de DNS.

Manipulação da infraestrutura de DNS empresarial

É assim que o ataque funciona:

  • Cibercriminosos coletam (por todos os meios) senhas e nomes de usuários de contas comprometidas, das quais existem atualmente milhões, se não bilhões, em bancos de dados conhecidos como o Collection #1.
  • Utilizam essas credenciais para iniciar a sessão em serviços de provedores de DNS e registradores de domínio.
  • Depois, os intrusos modificam os registros do DNS, substituindo as infraestruturas dos domínios corporativos pelas de seus próprios.
  • Especificamente, manipulam o MX Record e interceptam mensagens redirecionando todos os e-mails corporativos para seu próprio servidor de e-mail.
  • Cibercriminosos registram certificados TLS para domínios roubados. Então, eles já podem interceptar mensagens corporativas e fornecer provas de propriedade do domínio, que na maioria dos casos, é apenas isso que é solicitado para emitir um certificado.

Depois, os invasores podem redirecionar o tráfego que vai para os serviços da empresa para suas próprias máquinas. Como resultado, os visitantes do site da empresa acessam sites falsos que parecem autênticos para todos os filtros e sistemas de proteção. Essa situação foi enfrentada pela primeira vez em 2016, quando os nossos pesquisadores brasileiros da GReAT descobriram um ataque a um grande banco em que os invasores sequestram sua infraestrutura.

O que é realmente perigoso sobre este ataque é que a organização perde o contato com o mundo exterior. Eles sequestram o e-mail e, geralmente, também a telefonia (a grande maioria das empresas usa telefonia IP). Tudo isso complica tanto a resposta ao incidente quanto a comunicação com empresas externas: provedores de DNS, autoridades de certificação, agentes da lei e assim por diante. Você consegue imaginar que tudo isso acontece em uma semana? Bem, esse foi o caso desse banco brasileiro!

Como evitar o sequestro de sua infraestrutura de TI?

O que em 2016 foi uma inovação no mundo do cibercrime, tornou-se, em alguns anos, uma prática comum. De fato, em 2018, muitas empresas líderes reportaram esse tipo de atividade. Ou seja, estamos enfrentando uma ameaça real que pode ser usada para aproveitar sua infraestrutura de TI.

Para protegê-lo contra a manipulação dos nomes de domínio de sua infraestrutura, Ed Skoudis acredita que você pode seguir estas dicas de cibersegurança:

Utilize autenticação de vários fatores nas ferramentas de gerenciamento de sua infraestrutura de TI.

Use o DNSSEC, certificando-se de solicitar não somente a assinatura DNS, mas também a validação.

Monitorar todas as alterações no DNS que possam afetar os nomes de domínios de sua empresa, por exemplo, você pode usar SecurityTrails, que suporta até 50 solicitações por mês gratuitamente.

Mantenha-se atento à supervisão dos certificados antigos que duplicam seus domínios e solicite seu cancelamento imediatamente. Para obter mais informações sobre esse tipo de ataque, acesse: Ataques MitM e DoS a domínios com o uso de certificados antigos.

E, finalmente, lembre-se de usar senhas fortes. Elas devem ser únicas e complexas o suficiente para resistir a um ataque de dicionário. Para gera-las e armazená-las com segurança, você pode usar o Kaspersky Password Manager, parte da nossa solução de segurança Kaspersky Small Office Security.



from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2KOTtsA

O SIM swap, conhecido popularmente como “clonagem dos chips do celular”, é uma fraude que está sendo amplamente utilizada por cibercriminosos no País. Essa técnica é um recurso legítimo e utilizado quando um smartphone é perdido ou roubado, e permite ao dono da linha ativar o número em outro chip. Os golpistas, porém, estão constantemente enganando as operadoras de celular para fazer a portabilidade do número do dispositivo roubado para um novo chip. Uma investigação conjunta, entre a Kaspersky Lab e o CERT de Moçambique, descobriu que esse tipo de ataque é muito comum também no mundo todo, sendo usado pelos cibercriminosos não apenas para roubar credenciais e capturar senhas de uso único (OTPs) enviadas por SMS, mas também para roubar dinheiro das vítimas.
Os pagamentos móveis tornaram-se muito populares, especialmente em mercados emergentes, como África e América Latina, onde os consumidores podem facilmente depositar, sacar e pagar bens e serviços usando seus dispositivos móveis. Porém, eles também estão sendo alvos de uma onda de ataques, e as pessoas estão perdendo dinheiro em fraudes de clonagem de chips em grande escala.

Como funciona o golpe

O golpe começa com a coleta de dados das vítimas por meio de e-mails de phishing, engenharia social, vazamentos de dados ou até pela compra de informações de grupos criminosos organizados. Depois de obter os dados necessários, o cibercriminoso entra em contato com a operadora móvel, passando-se pela vítima, para que faça a portabilidade e ative o número do telefone no chip do fraudador. Quando isso acontece, o telefone da vítima perde a conexão (voz e dados) e o fraudador recebe todos os SMSs e chamadas de voz destinados à vítima. Assim, todos os serviços que dependem da autenticação de dois fatores ficam vulneráveis.

Para se ter uma ideia, somente no Brasil um grupo organizado de cibercriminosos conseguiu clonar o chip de 5 mil vítimas, envolvendo não apenas pessoas comuns, mas também políticos, ministros, governadores, celebridades e empresários famosos. Em Moçambique um golpe causou prejuízo de US$ 50 mil a um empresário, roubados de suas contas bancárias, já no Brasil foram identificadas diversas fraudes de R$ 10 mil cada. Porém, é difícil estimar o impacto total desse tipo de ataque na América Latina, África e no mundo, pois a maioria dos bancos não divulga as estatísticas publicamente.

Na África, o maior banco de Moçambique registrou uma média mensal de 17,2 casos de fraude por clonagem de chips. Tal situação levou bancos e operadoras no país a adotar uma solução simples, porém eficaz no combate à fraude. Eles desenvolveram um sistema integrado de consulta em tempo real que possibilitou zerar os casos de fraude no país.

A investigação também mostrou que, em alguns casos, o alvo pretendido é a própria operadora de celular. Isso acontece quando funcionários da operadora não conseguem identificar um documento fraudulento e permitem que o fraudador ative um novo chip. Outro grande problema são os funcionários corruptos, recrutados pelos cibercriminosos, que pagam de 40 a 150 reais por chip ativado. No entanto, o pior tipo de ataque ocorre quando um cibercriminoso envia um e-mail de phishing com o objetivo de roubar as credenciais do funcionário para ter acesso direto ao sistema da operadora. Quando isso acontece, o cibercriminoso consegue realizar um ataque em duas ou três horas sem muito esforço.

“O interesse dos cibercriminosos nas fraudes de SIM swap é tão grande que alguns até vendem este serviço para outros criminosos. Os fraudadores atiram em todas as direções; os ataques podem ser direcionados ou não, mas qualquer pessoa pode ser vítima. Tudo o que o criminoso precisa é do número do celular, que pode ser obtido facilmente pesquisando vazamentos de bancos de dados, comprando bancos de dados de empresas de marketing ou usando aplicativos que oferecem serviços de bloqueio de spam e identificação do chamador. Na maioria dos casos, é possível descobrir o número do seu celular com uma simples busca no Google”, explica Fabio Assolini, analista sênior de segurança da Kaspersky Lab e corresponsável pela pesquisa.

Fabio Assolini: qualquer pessoa pode ser atacada

 

WhatsApp e fintechs

A técnica de clonagem de chips também gerou um novo tipo de ataque conhecido como ‘clonagem do WhatsApp’. Neste caso, depois da ativação do chip no celular do criminoso, ele carrega o WhatsApp para restaurar os chats e contatos da vítima no aplicativo. Então, manda mensagens para os contatos como se fosse a vítima, falando de uma emergência e pedindo dinheiro.  Alguns dos ataques atingiram empresas depois que cibercriminosos conseguiram sequestrar o celular de um executivo e usaram a clonagem do WhatsApp para solicitar recursos do departamento financeiro da empresa. O golpe é semelhante ao comprometimento de e-mails corporativos (BEC), mas usando contas do WhatsApp.

De maneira semelhante, os cibercriminosos passaram a usar esta técnica para burlar os avanços no setor financeiro, incluindo de fintechs populares e assim esvaziar as contas bancárias das vítimas. Como a maioria dos aplicativos financeiros ainda depende da autenticação de dois fatores, os cibercriminosos conseguem usar a função de recuperação de senha do aplicativo para receber um código SMS e, assim, ter total controle sobre a conta do usuário e efetuar pagamentos ilegais usando o cartão de crédito registrado no aplicativo.

“Embora não haja uma solução milagrosa, a extinção da autenticação de dois fatores via SMS é o melhor caminho a seguir. Isso é particularmente verdadeiro quando falamos de Internet Banking. Quando os serviços financeiros pararem de usar esse tipo de autenticação, os golpistas irão focar em outras coisas, como redes sociais, serviços de e-mail e mensageiros instantâneos para continuar roubando”, conclui Assolini.

Como não ser vítima: 

  • Quando possível, os usuários devem evitar usar a autenticação de dois fatores via SMS, optando por outros métodos, como a geração de uma autenticação única (OTP) via aplicativo móvel (como o Google Authenticator) ou o uso de um token físico. Infelizmente, alguns serviços online não apresentam alternativas. Nesse caso, o usuário precisa estar ciente dos riscos.
  • Quando é solicitada a troca do chip, as operadoras devem implementar uma mensagem automatizada que é enviada para o número do celular, alertando o proprietário de que houve uma solicitação de troca do chip e, caso ela não seja autorizada, o assinante deve entrar em contato com uma linha direta para fraudes. Isso não impedirá os sequestros, mas avisará o assinante para que ele possa responder o mais rápido possível em caso de atividades maliciosas. Caso a operadora não ofereça esse tipo de serviço, o usuário deve entrar em contato solicitando um posicionamento a respeito.
  • Para evitar o sequestro do WhatsApp, os usuários devem ativar a dupla autenticação (2FA) usando um PIN de seis dígitos no dispositivo, pois isso adiciona uma camada extra de segurança que não é tão fácil de burlar.
  • Solicite que seu número seja retirado das listas de IDs de aplicativos que identificam chamadas; eles podem ser usados por golpistas para encontrar seu número a partir do seu nome.

Para obter mais informações sobre essa ameaça, veja a postagem no blog em Securelist.



from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2KVk4oa

No início de março, nossas tecnologias proativas de segurança descobriram uma tentativa de explorar uma vulnerabilidade no Microsoft Windows. A análise revelou uma falha 0-day em nosso velho amigo win32k.sys, no qual falhas similares foram encontradas outras quatro vezes. Reportamos o problema para o desenvolvedor e a vulnerabilidade foi corrigida com um patch, lançado 10 de abril.

Com o que estamos lidando?

A CVE-2019-0859 é uma vulnerabilidade Use-After-Free na função do sistema que cuida das janelas de diálogo ou, mais especificamente, de seus estilos adicionais. O padrão do exploit encontrado in the wild tinha como alvo as versões 64-bit do SO, desde o Windows 7 até as últimas fases do Windows 10. A exploração dessa vulnerabilidade permite que o malware baixe e execute um script escrito pelos criminosos que, no pior dos cenários, resulta no controle completo sobre o computador infectado.

Ou, pelo menos, foi assim que um ainda não identificado grupo de APTs tentou utilizá-la. Com a vulnerabilidade, garantiram privilégios suficientes para instalar uma backdoor criada com o Windows PowerShell. Teoricamente, isso permite que os cibercriminosos se mantenham escondidos. Por meio dessa backdoor a carga de munição foi carregada, o que então permitiu aos criminosos ganharem acesso completo à máquina infectada. Acesse o Securelist para mais detalhes.

Como se proteger

Todos os métodos de proteção a seguir já foram indicados diversas vezes, e não temos nada particularmente novo para adicionar.

  • Primeiro, instale a atualização lançada pela Microsoft para fechar a vulnerabilidade.
  • Atualize regularmente todos os softwares usados na sua empresa, principalmente sistemas operacionais, para as versões mais recentes.
  • Utilize soluções de segurança com tecnologias de análise comportamental que podem até mesmo detectar ameaças ainda desconhecidas.

O exploit para a vulnerabilidade CVE-2019-0859 foi inicialmente identificado por meio das tecnologias de Prevenção Automática contra Exploits e o Mecanismo de Detecção Comportamental, que fazem parte da nossa solução Kaspersky Endpoint Security for Business.

Se seus administradores ou equipe de segurança da informação precisam de um conhecimento mais profundo sobre os métodos aplicados para detectar ameaças 0-day da Microsoft, recomendamos a gravação do webinar Windows zero-days in three months: How we found them in the wild.



from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2GnORW9

Em nossa Kaspersky Security Analyst Summit (SAS), conferência na qual já é tradição falar sobre ataques APT, onde já fornecemos em primeira mão informações sobre Slingshot, Carbanak e Careto.Os ataques direcionados estão em ascensão e este ano não foi diferente: na SAS 2019 em Cingapura, um dos protagonistas é um grupo focado em APTs chamado Gaza Cybergang.

Um arsenal variado

O grupo Gaza é especialista em ciberespionagem e sua ação é limitada ao Oriente Médio e aos países da Ásia Central. Suas vítimas em potencial são políticos, diplomatas, jornalistas, ativistas e outros cidadãos politicamente ativos da região.

Quanto ao número de ataques que registramos de janeiro de 2018 a janeiro de 2019, os alvos do topo da lista estão dentro do território palestino. Houve também tentativas de infecção na Jordânia, em Israel e no Líbano. Em seus ataques, o grupo usou métodos e ferramentas de vários graus de complexidade.

Nossos especialistas identificaram três subgrupos na gangue e já rastrearam dois deles. Um foi responsável pela campanha do Desert Falcons e o outro estava por trás dos ataques direcionados conhecidos como Operation Parliament.

Bem, agora vamos falar sobre o terceiro, que vamos chamar de MoleRATs. O grupo tem ferramentas relativamente simples, embora sua campanha SneakyPastes (conhecida assim devido ao uso de pastebin.com) não seja nada inofensiva.

SneakyPastes

A campanha apresenta vários estágios. Começa com phishing, enviando e-mails de endereços e domínios de uso único. Às vezes, os e-mails contêm links para malware ou anexos infectados. Se a vítima executar o anexo (ou se acessar o link), o dispositivo será infectado pelo malware Stage One, programado para ativar a cadeia de infecção.

Os e-mails, que buscam ganhar a confiança do leitor, costumam estar relacionados à política: negociações ou discursos de instituições de prestígio.

Depois de instalado, o One Stage tenta ficar invisível no dispositivo, escondendo-se de qualquer solução antivírus e, mantendo-se oculto no servidor de comando.

Cibercriminosos usam serviços públicos (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com e pomf.cat) para as fases posteriores do ataque (incluindo o envio do software malicioso) e, acima de tudo, para se comunicar com o servidor de comando. Normalmente, eles usam vários métodos ao mesmo tempo para enviar as informações extraídas.

Por fim, o dispositivo acaba infectado com um malware RAT, que oferece aos cibercriminosos diversas funcionalidades para explorá-lo, tais como fazer o download e upload livremente de arquivos, executar aplicativos, buscar documentos e criptografar as informações.

O malware varre o computador da vítima com intuito de localizar todos os arquivos PDF, DOC, DOCX e XLSX, armazenados em pastas temporárias, os classifica e os criptografa, e finalmente, envia para um servidor de comando por meio de uma cadeia de domínios.

Nós identificamos várias ferramentas neste tipo de ataque. Se você quiser saber mais sobre elas e obter mais informações técnicas, não perca o post no Securelist.

Proteção integrada contra ameaças integradas

Nossos produtos são projetados para combater com sucesso os componentes usados ​​na campanha SneakyPastes. Se você quiser evitar ser uma das vítimas, siga estas dicas:

  • Ensine seus funcionários a reconhecer e-mails perigosos, sejam eles mensagens massivas ou direcionadas. Os ataques da Gaza Cybergang começam com phishing. Nossa plataforma interativa Kaspersky ASAP não apenas fornece essas informações, mas também as competências necessárias para manter seu negócio seguro.
  • Utilize soluções integradas projetadas para lidar com ataques complexos e em múltiplos estágios, o que pode impactar a eficácia de soluções de antivírus básicas. Para assegurar proteção contra ataques a nível de rede, recomendamos um pacote que inclua o Kaspersky Anti Targeted Attack e o Kaspersky Endpoint Detection and Response.
  • Se sua empresa usa um serviço de segurança de informação dedicado, recomendamos que você assine os relatórios detalhados da Kaspersky Lab nos quais oferecemos detalhes sobre ameaças virtuais atuais. Você pode solicitar sua inscrição pelo e-mail intelreports@kaspersky.com


from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2Gg8Rd7

No final de 2018, detectamos um ataque a uma organização diplomática de um país da Ásia Central. Até aqui pode parecer mais uma notícia corriqueira de ciberataque, afinal, os diplomatas e seus sistemas de informação sempre atraíram o interesse de várias forças políticas, exceto pela artimanha utilizada: uma nova plataforma APT conhecida como TajMahal.
O TajMahal, mais que um sistema de invasão, é uma infraestrutura spyware de alta tecnologia e qualidade com uma variedade de plugins (nossos especialistas descobriram 80 módulos maliciosos até agora), permitindo milhares de situações de ataque, usando várias ferramentas. De acordo com os nossos pesquisadores, o APT tem estado ativo nos últimos cinco anos, e o fato de apenas uma vítima ter sido confirmada até o momento só corrobora que muitas outras ainda serão identificadas.

O que o TajMahal é capaz de fazer?

Esta plataforma APT é constituída essencialmente por duas partes: Tóquio e Yokohama, ambas detectadas em todos os computadores infectados. Tóquio atua como a principal porta de acesso e envia o segundo estágio do malware. É interessante destacar que permanece no sistema mesmo após o início da Yokohama, para operar como um canal adicional de comunicação. Assim, nessa segunda fase é realizado o carregamento das armas, gerando um sistema de arquivos virtual completo com plugins, bibliotecas de terceiros e arquivos de configuração. O arsenal é muito variado, já que é capaz de:

  • Roubar cookies.
  • Interceptar documentos da fila da impressora.
  • Coletar dados sobre a vítima (incluindo cópias de backup de dispositivos iOS).
  • Registrar ou fazer printscreens de chamadas VoIP.
  • Roubar as imagens do disco óptico geradas pela vítima.
  • Sequestrar arquivos de índice, até dos de leitores externos, incluindo, arquivos específicos quando o leitor é detectado novamente.

Conclusão

A complexidade técnica do TajMahal o torna uma descoberta muito preocupante. Além disso, o número de vítimas tende a crescer exponencialmente. É importante destacar que os produtos da Kaspersky Lab são capazes de detectar esta APT. Você encontrará um relatório muito mais detalhado sobre esse caso no Securelist.

A ameaça foi descoberta pela primeira vez por nossas tecnologias heurísticas e automáticas. Portanto, para proteger seus dispositivos contra o TajMahal e seus possíveis parceiros, a melhor dica é usar soluções de segurança testadas e aprovadas, como o Kaspersky Security for Business.



from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2ItiW83

Certamente você já pensou sobre isso, mas acidentes de avião chamam muito mais atenção da mídia do que os de trânsito, apesar do número de vítimas por ano desse último ser muito maior. O mesmo se aplica a outras áreas como cibersegurança e cibercrime.

Em 2014, quando descobrimos o Carbanak, o grupo de cibercriminosos que roubou mais de um bilhão de dólares, causou grande comoção. No entanto, não devemos esquecer as fraudes de cartão de crédito que são mais comuns, acontecem todos os dias e envolvem perdas financeiras muito mais significativas. Por exemplo, o The Nilson Report estima que em 2018, esse tipo de golpe foi responsável pelo desvio de cerca de U$ 24 bilhões e deverá aumentar consideravelmente este ano. O Carding – nome usado por cibercriminosos e especialistas em segurança para denominar fraude de cartão – não chegou ao fim. Na verdade, cresce vertiginosamente.
Pode parecer surpreendente, cada vez mais, os bancos implementam sistemas rígidos de segurança e soluções antifraude inteligentes baseadas em aprendizado de máquina, além de todos os tipos de proteção contra roubo de valores por meio dos cartões. Em teoria, isso deveria pelo menos impedir que os cibercriminosos iniciantes aplicassem esse golpe, mas as estatísticas mostram o oposto. De fato, se você perguntar em um fórum da Darknet “Quais são os primeiros passos para uma carreira no cibercrime?”. Certamente, a resposta será “carding“.

Felizmente, o carding tornou-se complicado graças às medidas de segurança implementadas pelos bancos e pelas plataformas de pagamento. Mas, infelizmente, os sistemas antifraude não funcionam perfeitamente e os serviços, ferramentas e lojas especiais necessários para roubar dinheiro de cartões de crédito estão disponíveis para qualquer pessoa.

Impressão digital: peça outra identidade para fraudar seu cartão

O pesquisador da Kaspersky Lab Sergey Lozhkin descobriu uma loja na Darknet chamada Genesis usada para vender máscaras digitais. Nosso colega já apresentou essas informações na Security Analist Summit 2019. Basicamente, uma máscara é a impressão digital de um usuário – o histórico web, o sistema operacional e as informações do navegador, como plugins instalados e assim por diante – e os dados sobre o comportamento: o que faz online e como o faz.

Mas por que os cibercriminosos vendem máscaras e como elas se relacionam com o carding? As máscaras digitais são usadas em sistemas antifraude para verificar usuários. Se ela corresponder à exibida anteriormente pelo usuário, a proteção contra este tipo de golpe considerará a atividade legítima. Portanto, no caso de muitos bancos, eles nem precisarão de um código 3D Secure por SMS, nem notificarão o usuário para confirmar.

Portanto, se um cibercriminoso conseguir roubar sua máscara digital e suas credenciais bancárias online, o sistema antifraude pensará que é você e não acionará nenhum alarme. Dessa forma, todo o dinheiro da sua conta pode ser roubado em um piscar de olhos.

Esta é a razão pela qual alguns cibercriminosos extraem os dados dos dispositivos dos usuários e os colocam à venda na loja Genesis. Outros os compram para se tornarem proprietários da máscara digital, por valores entre U$ 5 e U$ 200, dependendo da quantidade de informações e credenciais incluídas.

Para isso, usam um plugin de navegador gratuito desenvolvido pelas pessoas por trás da Genesis, conhecido como Genesis Security. O plugin permite aos cibercriminosos usarem a máscara digital para recriar a identidade virtual do usuário legítimo e, portanto, enganar os sistemas antifraude. Em resumo, modifica os parâmetros analisados ​​pela proteção contra fraude para corresponder aos comportamentos do dispositivo da vítima e reproduzi-los.

Coleção de impressões digitais

Então, onde os cibercriminosos da Genesis obtêm todos os dados que vendem? A resposta é simples, mas um pouco vaga: a partir de vários tipos de malware.

Nem todos os malware tentam criptografar dados para pedir resgate ou roubar dinheiro assim que o dispositivo é acessado. Outros permanecem escondidos, reunindo todas as informações silenciosamente e fazendo as máscaras digitais mais tarde vendidas na Genesis.

Outras formas de evitar sistemas antifraude

O primeiro método para se esquivar dos sistemas antifraude é parecer familiar, assim como, o oposto, fingir ser completamente diferente. E, como os cibercriminosos pensam em tudo, existe um serviço online para isso também.

Completamente novo significa que quase não há parâmetros correspondentes entre a máscara digital usada e qualquer outra que o serviço possui em seu banco de dados. Ou seja, o cibercriminoso não pode fazer login em uma plataforma com proteção contra fraude, já que a instalação de um novo navegador no computador segue alguns dos parâmetros (tais como hardware, resolução de tela e outras informações), sendo os mesmos aqueles da máscara digital usada anteriormente.

No entanto, um serviço chamado Sphere permite que os cibercriminosos criem uma nova identidade digital e personalizem todos os parâmetros para que o sistema de prevenção de fraudes os veja como algo completamente novo. Assim, não tendo motivo nenhum para não confiar nesse novo usuário.

Diga não aos doppelgangsters

O problema é que não importa o sistema de prevenção de fraudes, essas técnicas ainda funcionam, porque esses algoritmos que determinam se o usuário tem permissão para acessar às contas, dependem dos mesmos dados que os cibercriminosos compilam.

Então, como você pode se proteger contra fraudes de cartões?

Quanto aos bancos, introduzir autenticação de dois fatores obrigatória, mesmo usando dados biométricos, como leitor de impressões digitais (real, não digital), análise de íris ou  reconhecimento facial. Além disso, as instituições financeiras devem conhecer os diferentes tipos de fraude que surgem, caso contrário, não implementarão medidas para combater novos golpes.

Do ponto de vista do usuário, para protegê-lo contra esse tipo de fraude de cartão, você precisa garantir que ninguém receba sua máscara digital. E, para isso, pode instalar uma solução de segurança confiável que removerá os malwares que tentarem falsificar seus dados.



from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2D7zLlv

A qualidade do serviço prestado e do atendimento às pequenas e médias empresas (PMEs) são indispensáveis para quem deseja manter um ritmo constante de crescimento. Na instalação de um sistema... continue lendo »

O post 5 diferenciais dos instaladores para oferecer sistemas de segurança a PMEs apareceu primeiro em Blog Intelbras.



from Blog Intelbras http://bit.ly/2IceBXy

Há pouco tempo, o Google Play introduziu um novo requisito para aplicativos. Não é mais permitido a programas solicitarem acesso às chamadas e mensagens de SMS se conseguem funcionar sem isso. A restrição deve ficar ainda mais severa, e apenas apps para chamadas e mensagens poderão pedir essas permissões. Por enquanto, a regra tem exceções.

Os desenvolvedores tiveram até 9 de março para adequar seus produtos à política da Google. Examinamos porque os novos requisitos são uma faca de dois gumes.
Os aplicativos que solicitarem acesso ao registro de chamadas e mensagens sem motive aparente serão removidos do Google Play. Explicamos as possíveis consequências

Aplicativos que consomem dados demais

Os aplicativos Android muitas vezes demandam mais direitos do que precisam para sua operação normal, o que se identifica facilmente: ao verificar a primeira lista de permissões requisitada durante a instalação. Por que, por exemplo, o AliExpress online precisa armazenar gravações de áudio? Ou olhar seu registro de chamadas?

Exemplo de apps que demandam mais permissões do que necessário

Exemplo de apps que demandam mais permissões do que necessário

Até grandes marcas abusam das permissões às vezes, e não devia ser surpresa que os aplicativos menos conhecidos são ainda piores. Alguns podem até ser maliciosos e usar o acesso às chamadas e aos SMS para roubar dados e dinheiro. Por exemplo, um malware que possa enviar e receber SMS por si não terá problema em entrar na sua conta de um serviço pago ou interceptar mensagens do seu banco por meio de códigos de único uso.

Google Play aposta em segurança

O Google afirma que o objetivo dessas restrições é proteger a privacidade do usuário. A lógica é simples: honestamente, desenvolvedores preferem desistir de permissões desnecessárias a serem barrados em um mercado de softwares usados por milhões de pessoas. Nesse meio tempo, interceptores maliciosos de SMS e spyware não conseguem entrar. Boas notícias, não é mesmo? Infelizmente. a vida não é tão simples.

O que pode dar errado? Conheça a exceção

Para não prejudicar desenvolvedores legítimos e privar usuários de ferramentas úteis, a atual política do Google Play fornece exceções que possibilitam que essas permissões sejam requisitadas de usuários nesses casos. Por outro lado, os cibercriminosos também podem evitar a remoção, ao integrar seus aplicativos em ‘listas de exceções’. Então, é pouco provável que o Google Play terá sucesso em banir aplicativos mal-intencionados: aplicativos de lanterna serão substituídos por spam maliciosos chamados blockers.

O que pode dar errado? Malwares não são os únicos problemas

Outro problema em potencial: o Google Play não só banirá aplicativos suspeitos, mas também os confiáveis. A maioria dos dispositivos foram revisados e a lista de permissões requeridas não mudou muito. Mas há alguns que por uma razão ou outra, não poderiam se adequar, de forma que prefeririam sair. Já aconteceu. Os autores do popular Fortnite, por exemplo, decidiram se abster quanto às condições do Google Play.

A partida dos desenvolvedores legítimos não é bom sinal para o usuário. Primeiro, esse aplicativo será disponibilizado em outro lugar, aumentando as chances de dar de cara com uma versão falsa. Segundo, a maioria dos criadores de apps que não passam no filtro do Google Play irão para sites com requisitos mais flexíveis. Os fãs, sem dúvida, irão onde estiver, o que significa que a audiência dessas lojas alternativas aumentará. Boas notícias para os cibercriminosos de um jeito de outro.

Como sobreviver à mudança?

As novas regras do Google Play irão alterar as dinâmicas de poder nos mercados de aplicativos, e significa que usuários Android terão de ser ainda mais vigilantes em um futuro próximo.

  • Primeiro, nunca baixe aplicativos de fontes suspeitas. Se não está no Google Play, não faça o download do primeiro resultado dos resultados de busca. Procure o oficial.
  • Instale softwares desenvolvidos apenas por empresas conhecidas. E antes de o fazer, garanta que o aplicativo para Android existe.
  • Verifique quais permissões o aplicativo solicita, e não forneça privilégios demais, mesmo que você saiba que não é malware. Já discutimos que configurações de permissões de aplicativos no Android 6 e 7, bem como no Android 8 e superior.
  • Proteja seu sistema com uma boa solução de antivírus Kaspersky Security Cloud. ele fareja malware há quilômetros.


from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2G00tgO

Oferecer mobilidade e conveniência para acessar a internet de qualquer lugar da casa ou da empresa. Essa é a função de uma boa rede wireless. Afinal, a qualidade do sinal... continue lendo »

O post O sinal do Wi-Fi está fraco? Saiba como melhorar o alcance apareceu primeiro em Blog Intelbras.



from Blog Intelbras http://bit.ly/2G1K4bw

A conta de luz tem um grande peso no orçamento das famílias brasileiras, especialmente em épocas de alta nas bandeiras tarifárias da Agência Nacional de Energia Elétrica (ANEEL). Mas não... continue lendo »

O post Economia de energia: cuidados ao comprar e utilizar eletroeletrônicos apareceu primeiro em Blog Intelbras.



from Blog Intelbras http://bit.ly/2GbssLC

O atendimento telefônico ainda é uma prática bastante utilizada por empresas de diferentes segmentos. Apesar do uso de aplicativos de mensagem, redes sociais ou formulários em sites, ter uma equipe... continue lendo »

O post Como atender a NR 17 e conservar o headset telemarketing apareceu primeiro em Blog Intelbras.



from Blog Intelbras http://bit.ly/2I8dN6i

A maioria das pessoas sabe que clicar em um arquivo com a extensão EXE pode ser perigoso. Outras até conhecem o risco potencial de abrir documentos do MS Office e estarem modificados com malwares. Mas o que pode dar errado se você simplesmente descompactar uma pasta pelo WinRAR? Na verdade, muita coisa.
Se você for uma das 500 milhões pessoas no mundo usando o WinRAR, poderá ser o alvo perfeito para os golpistas. Descobriu-se recentemente que cada versão do programa, lançada nos últimos 19 anos, tem um bug crítico que permite aos cibercriminosos invadirem seu computador. Até agora, foram identificadas mais de 100 formas de explorar a vulnerabilidade – e esse número só aumenta.

Como o bug funciona?

A falha de segurança permite aos golpistas criar arquivos RAR maliciosos. Logo que são descompactados, um componente executável é extraído silenciosamente na pasta Setup. No próximo inicialização do sistema, será automaticamente executado, infectando seu computador com a ameaça.

Para passar indetectável, até mesmo pelo mais cuidadoso de nós, os malfeitores normalmente dão ao arquivo EXE nomes aparentemente inocentes, como GoogleUpdate.exe.

Vale dizer que o arquivo malicioso e o e-mail que o contém são feitos para que a vítima seja impelida a apertar o botão de extrair. As iscas variam bastante. Alguns hackers optam por imagens pornográficas, ofertas de trabalho atraentes, alertas de risco de um ataque terrorista. Em alguns casos, golpistas fingem enviar documentos técnicos, ou informar sobre mudanças recentes na legislação local. Alguns até convidam a baixar uma cópia pirata de um álbum do momento, como o da Ariana Grande.

De uma forma de outra, a ideia central é que ninguém veja problema em descompactar o arquivo, tantas pessoas clicam sem pensar duas vezes.

O que acontece quando a vulnerabilidade é explorada?

O malware pode fazer qualquer coisa: ferramentas de acesso remoto diversas, viabilizando tomada de controle de dispositivos para fotografar a tela e fazer upload ou download de arquivos para o dispositivo, ou ainda instalar banking Trojans, ransomwares, ou qualquer outra espécie de malwares disponíveis por aí.

O exemplo mais recente de malware usando a vulnerabilidade do WinRAR é o JNEC.a, novo ransomware que bloqueia todos os arquivos do dispositivo infectado. No momento, os cibercriminosos pedem por um resgate relativamente modesto para desencriptar os dados: 0,05 bitcoins (por volta de 200 dólares).

Como se proteger contra o ataque pelo WinRAR

  • Atualize seu WinRAR agora mesmo. Infelizmente, não há atualização automática, então tem de ser feito manualmente. Vá ao site oficial do WinRAR com a versão 5.70 e instale.
  • Para se manter em segurança, não abra qualquer arquivo recebido de desconhecidos.
  • Use uma solução de segurança confiável como o Kaspersky Internet Security para se proteger contra sistemas potencialmente vulneráveis.


from Notícias – Blog oficial da Kaspersky Lab http://bit.ly/2D6sH8M

Durante os últimos anos , discutimos diversos incidentes nos quais ransomware foram direcionados para organizações como hospitais, trânsito, ou até computadores governamentais de um Estado. Depois chegou então a era dos wipers, com as epidemias do WannaCry, ExPetr, e Bad Rabbit espalhando-se pelo mundo e arruinando operações de diversos negócios.
Felizmente, não passamos por acontecimentos desse tamanho nos últimos 12 meses, não porque os criminosos desistiram. A gigante do alumínio Hydro anunciou ter sido atacada por ransomware que afetaram a empresa inteira.

O ataque à Hydro: o que aconteceu?

O time de segurança da Hydro notou inicialmente atividade pouco usual nos servidores da empresa às 0h. Testemunharam a infecção espalhando-se e tentaram contê-la. Tiveram sucesso parcial; no momento que isolaram as plantas industriais, a rede global já estava infectada. A Hydro não informou o número de computadores impactados, mas como a empresa possui aproximadamente 35 mil funcionários, esse número é provavelmente enorme.

A equipe da Hydro está trabalhando constantemente para mitigar o incidente, e obtiveram pelo menos sucesso parcial. As usinas de energia não foram afetadas por terem sido isoladas da rede – prática interessante no contexto de infraestrutura crítica. Entretanto, as fundições não foram isoladas; durante os último anos tornaram-se significativamente mais automatizadas. Algumas dessas plantas localizadas na Noruega foram atingidas, mas a equipe conseguiu deixá-las completamente operacionais, embora lentamente, de forma semimanual. Ainda assim, como afirma a Hydro “a impossibilidade de conectar-se aos sistemas de produção causam desafios de produção e parada temporária em diversas instalações.”

Apesar da escala imensa, o ataque não destruiu as operações da Hydro completamente. Embora, máquinas Windows tenham sido criptografadas e inutilizadas, os celulares e tablets não baseados no Windows continuaram a funcionar, o que deu aos colaboradores a possibilidade de comunicar e responder às necessidades do negócio. A infraestrutura crítica de alto custo, como banhos de alumínio, custando 10 milhões de euros cada, aparentemente, não foram afetadas. O incidente de segurança não causou outros problemas como pessoas feridas. A Hydro na verdade espera que tudo que tenha sido afetado possa ser restaurado a partir dos backups.

Análise: acertos e erros

A Hydro provavelmente ainda tem um longo caminho pela frente antes de restaurar as operações completamente, e mesmo investigar o incidente deve demandar tempo e esforço da Hydro e das autoridades norueguesas. E por agora, não há consenso quanto a qual ransomware foi usado para iniciar o ataque.

As autoridades dizem que possuem múltiplas hipóteses. Uma delas é que a Hydro foi atacada pelo ransomware LockerGoga, o qual foi descrito pelo Bleeping Computer como “lento” (nossos analistas concordam com essa descrição) e “desleixado”, adicionando que “não faz qualquer esforço para não ser detectado”. O pedido de resgate não mencionou o montante demandado pelos criminosos para desbloquear os computadores, porém continha um endereço para que as vítimas entrassem em contato.

Embora as análises do incidente não estejam completas, podemos analisar e discutir o que a Hydro fez certo e errado antes e durante o incidente.

Acertos

  1. As usinas foram isoladas da rede principal, o que evitou que fossem afetadas.
  2. O time de segurança conseguiu isolar as instalações de fundição rapidamente, o que permitiu que a produção continuasse (em maioria de forma semimanual).
  3. Colaboradores continuaram a se comunicar normalmente mesmo depois do incidente, o que significa que os servidores de comunicação estavam protegidos o suficiente para não serem afetados pela infecção.
  4. A Hydro tem backups que permitiram restaurar os dados codificados e continuar as operações.
  5. A Hydro tem um seguro em cibersegurança que deve cobrir alguns dos custos resultantes do incidente.

Erros

  1. A rede provavelmente não estava segmentada adequadamente, ou então teria sido bem mais fácil impedir o ransomware de se espalhar e conter o ataque.
  2. A solução de segurança empregada pela Hydro não foi robusta o suficiente para parar o ransomware (Apesar de relativamente novo, o LockerGaga é conhecido pelo Kaspersky Security como Trojan-Ransom.Win32.Crypgen.afbf).
  3. A solução de segurança poderia ser otimizada com softwares antiransomware como nosso Kaspersky Anti-Ransomware Tool, que além de ser gratuito, é passível de instalação juntamente com outras soluções de segurança e é capaz de proteger sistemas de todos os tipos de ransomware, miners, e outras ameaças.


from Notícias – Blog oficial da Kaspersky Lab https://ift.tt/2I9Fg6E
A call-to-action text Contact us