Categoria: Segurança

APIs é a principal preocupação de segurança para CISOs

Uma pesquisa recente revela que as interfaces de programação de aplicativos (APIs) são uma das principais preocupações de segurança dos diretores de segurança da informação (CISO), no mundo e no Brasil. Encomendada pela empresa de segurança de APIs Salt Security e conduzida pela Global Surveyz, a pesquisa ouviu 300 CISOs em todo o mundo sobre questões resultantes da transformação digital e da digitalização empresarial.

Para 40% dos CISOs brasileiros, a adoção de APIs é a principal lacuna no controle de segurança, acima dos 37% registrados globalmente. Como as APIs estão incorporadas em todos os serviços digitalizados, elas contribuem para várias lacunas no controle de segurança. As APIs são implementadas não apenas quando são adotadas, mas também estão na cadeia de suprimentos, na integração de fornecedores terceirizados e nos aplicativos em nuvem.

Os CISOs brasileiros classificaram as lacunas de controle de segurança na seguinte ordem:

Adoção de API (40% contra 37% em todo o mundo)
Cadeia de suprimentos/fornecedores terceirizados (38% – igual à média mundial)
Gerenciamento incompleto de vulnerabilidade (35% contra 34% em todo o mundo)
Software e hardware desatualizados (35% contra 33% em todo o mundo)
Adoção da nuvem (33% contra 35% em todo o mundo)
Shadow IT (33% contra 32% em todo o mundo)

Hackers infectam servidores Linux SSH com botnet Tsunami

Um operador de ameaça desconhecido está forçando servidores Linux SSH a instalar uma ampla variedade de malware, incluindo a botnet para ataque distribuído de negação de serviço (DDoS) Tsunami, o ShellBot, limpadores de log, ferramentas de escalonamento de privilégios e um minerador de moedas XMRig (Monero), de acordo com o AhnLab Security Emergency Response Center (ASEC), que monitora ameaças de e-mail de phishing.

SSH (Secure Socket Shell) é um protocolo de comunicação de rede criptografado para fazer login em máquinas remotas, suporte a tunelamento, encaminhamento de porta TCP, transferências de arquivos, etc. Os administradores de rede geralmente usam o SSH para gerenciar dispositivos Linux remotamente, executando tarefas como executar comandos, alterar a configuração, atualizar o software e solucionar problemas. No entanto, se esses servidores forem mal protegidos, eles podem ficar vulneráveis a ataques de força bruta, permitindo que os agentes de ameaças experimentem várias combinações potenciais de nome de usuário e senha até que uma correspondência seja encontrada.

Fonte: Ciso Advisor

Ransomware LockBit

O ransomware LockBit é um software malicioso projetado para bloquear o acesso do usuário aos sistemas de computador em troca do pagamento de um resgate. O LockBit espalha a infecção automaticamente e criptografa todos os sistemas de computadores acessíveis em uma rede.

O mais significativo é sua capacidade de se auto propagar, o que significa que ele se espalha por conta própria. Em sua programação, o LockBit é direcionado por processos automatizados pré-projetados. Isso o torna diferente de muitos outros ataques de Ransomware que são acionados manualmente na rede.

Depois que o invasor infectou manualmente um único host, ele pode encontrar outros hosts acessíveis, conectá-los aos infectados e compartilhar a infecção usando um script. Isso é concluído e repetido inteiramente sem intervenção humana. Além disso, ele usa ferramentas em padrões que são nativos para quase todos os sistemas de computador Windows. Os sistemas de segurança de endpoints têm dificuldade em sinalizar atividades maliciosas. Ele também oculta o arquivo de criptografia executável, disfarçando-o como o formato de arquivo de imagem .PNG comum, enganando ainda mais as defesas do sistema.

Como se proteger contra o ransomware LockBit:

  1. Senhas fortes devem ser implementadas. Muitas violações de conta ocorrem devido a senhas fáceis de adivinhar ou que são simples o suficiente para uma ferramenta de algoritmo descobrir em poucos dias de sondagem. Certifique-se de escolher uma senha segura, como escolher senhas mais longas, com variações de caracteres e usar regras criadas por você para criar frases secretas.
  2. Ative a autenticação de vários fatores. Detenha ataques de força bruta adicionando camadas sobre seus logins iniciais baseados em senha. Inclua medidas como biometria ou autenticadores de chave USB físicos em todos os seus sistemas, quando possível.
  3. Reavalie e simplifique as permissões de conta de usuário. Limite as permissões a níveis mais estritos para impedir que potenciais ameaças passem sem ser impedidas. Preste atenção especial para aquelas acessadas por usuários de endpoint e contas de TI com permissões de nível de administrador. Domínios da Web, plataformas colaborativas, serviços de reunião na Web e bancos de dados corporativos devem ser protegidos.
  4. Limpe contas de usuário desatualizadas e não utilizadas. Alguns sistemas mais antigos podem ter contas de funcionários antigos que nunca foram desativadas e fechadas. A conclusão de uma verificação dos sistemas deve incluir a remoção desses pontos fracos em potencial.
  5. Certifique-se de que as configurações do sistema estejam seguindo todos os procedimentos de segurança. Isso pode levar algum tempo, mas rever as configurações existentes pode revelar novos problemas e políticas desatualizadas que colocam sua organização em risco de ataque. Os procedimentos de operação padrão devem ser reavaliados periodicamente para se manter atualizado contra novas ameaças cibernéticas.
  6. Sempre tenha backups de todo o sistema e imagens limpas da máquina local preparadas. Incidentes acontecerão, e a única proteção verdadeira contra a perda permanente de dados é uma cópia off-line. Periodicamente, sua organização deve criar backups para se manter atualizada com quaisquer mudanças importantes nos sistemas. No caso de um backup ficar contaminado por uma infecção por malware, considere ter vários pontos de backup rotativos para ter a opção de selecionar um período limpo.

Brasil é origem de grande tráfego do maior ataque de DDoS da história

A empresa de cibersegurança Cloudflare divulgou na última quinta-feira (19) que conseguiu barrar com sucesso o maior ataque direcionado de negação de serviço (DDoS, na sigla em inglês) da história. Marcado por nada menos que 17,2 milhões de requisições de acesso por segundo, ele foi quase três vezes maior que o recorde anterior — e boa parte desse tráfego se originou no Brasil. O ataque correspondeu a 68% das conexões que a empresa esperava ter que lidar durante o segundo trimestre.

Origem dos Ataques

A maior parte do tráfego usado foi iniciada na Indonésia (15%), sendo que o Brasil e a Índia, somados, corresponderam a 17% da rede. Outros países detectados incluem Vietnâ, Ucrânia, Camboja, Tailândia, Bangladesh e Rússia — a maior incidência de bots em um local é indicativa da quantidade de máquinas infectadas por malware presentes nela.

Fonte: Cloudflare

Maior vazamento de senhas da internet expõe mais de 68 mil credenciais do governo brasileiro

Das 3,28 bilhões de senhas expostas, 1,5 milhão são de e-mails governamentais, sendo que os Estados Unidos é o país mais afetado, com mais de 625 mil senhas de e-mails ligados ao governo dos EUA. Além dos EUA, muitos outros países também foram afetados, como o Reino Unido, Austrália, Brasil, Canadá, África do Sul, México, França e outros.

Analisando os e-mails do governo brasileiro, a Syhunt identificou que o banco estatal, CAIXA, é a instituição mais afetada no vazamento, com mais de 2 mil senhas expostas. Veja abaixo a relação das principais vítimas brasileiras:

Fonte: Syhunt