Publicado em Deixe um comentário

5 Incidentes interessantes de 2020

Zoom

O zoom foi um software que cresceu imenso este ano. Esse crescimento também serviu para que atores maliciosos alavancassem as suas vulnerabilidades para explorar os seus utilizadores.

A lei do mais fácil e mais divulgado sempre foi forte na cibersegurança.

Com muitos sites falsos a serem criados e com algumas vulnerabilidades no seu software alavancadas para o mal deu que falar no inicio do ano de 2020.

Zoom Gets Stuffed: Here’s How Hackers Got Hold Of 500,000 Passwords (forbes.com)

Tesla

A tesla está sempre na vanguarda da tecnologia ou pelo menos tem tentado.

É sempre interessante que investigadores consigam subverter os seus sistemas usando hardware que custa uns trocos quando comparado com o preço dos seus carros.

Um investigador Belga obteve sucesso ao comprometer um veiculo utilizando um raspberry PI. Aparentemente tinha algumas vulnerabilidades no seu sistema de entrada sem chaves.

article-3156.pdf (kuleuven.be)

Oracle / Salesforce

Aparentemente o GDPR está a ser interessante de acompanhar. A Oracle e a Salesforce acabaram nas malhas desta legislação. A entidade governamental Inglesa está a tentar obter 500 libras por cada registo de utilizador do Reino Unido.

Isto faz com que este caso possa vir a ser um dos mais caros até ao momento.

Oracle and Salesforce hit with GDPR class action lawsuits over cookie tracking consent | TechCrunch

EDP

Apesar de não haver mais falatório sobre este caso a verdade é que os dados da EDP foram parar ao submundo e houve um pedido de resgate de 10 milhões de euros.

A EDP acabou por ser vitima do Ransomware Ragnar Lockeer para criar uma negação de serviço e roubar a informação que mais tarde apareceria na Internet. Alguma informação apareceu indicando a origem do ataque num fornecedor de serviços remoto mas pouco mais se sabe desde então.

Exame Informática | Hackers começaram a revelar mais informação interna da EDP (sapo.pt)

SOLARWINDS

Este tem sido o ultimo e aquele que teve mais impacto globalmente. A solarwinds tem software muito bom de monitorização de infraestruturas e como tal é normal que alguns dos grandes o utilizem para monitorizar os seus sistemas.

Ao ver a sua segurança quebrada por parte de atores maliciosos a solarwinds viu-se inadvertidamente a espalhar updates ao seu software com conteúdo malicioso. Conteúdo esse que permitiu mais tarde explorar os seus clientes.

Fireeye, Microsoft, SAP e outros sao alguns dos que aparecem nas listas e paginas de informação o que não sabemos é o impacto interno em cada uma destas empresas.

SolarWinds hack continues to spread: What you need to know – CNET

Publicado em Deixe um comentário

Muddywater

Nestes últimos dias alguém decidiu publicar código e informações adicionais sobre este grupo de ataques persistentes avançados.

Este grupo mudou as sua estratégia para evitar deteção. Com a ultima campanha com o nome de código blackwater os investigadores de segurança estão a publicar informação mais detalhada sobre as técnicas do grupo.

Se a campanha for concluída com sucesso os atacantes instalam uma porta de entrada baseada em powershell na máquina da vitima. Isto permite aos atacantes acesso remoto á maquina.

Na tentativa de alcançar persistência na maquina é também usado um código ofuscado em VBA para inclusão de chave no registo que permite essa persistência, depois o script inicializa um “stager” em powershell para tentar passar á fase 2 da infeção onde comunica com um servidor e tenta fazer download de um outro modulo que é uma open source framwork no github. Isto permite ao atacante recolher mais informação da máquina e ate detetar tentativas de análise á maquina infetada por terceiros.

Mais informação sobre este grupo, estratégias e codigo pode ser encontrada nas ligações em baixo.

Informação sobre o grupo

https://blog.talosintelligence.com/2019/05/recent-muddywater-associated-blackwater.html

Informação detalhada da CISCO Talos.
informação sobre o muddywater
Libertação de código fonte do muddywater

Código Fonte

https://github.com/0xffff0800/muddyc3

Código fonte libertado.
Publicado em Deixe um comentário

Ransomware e problemas futuros…

Nos últimos dias tem havido grande alarido por causa de uma versão do Petya ransomware.

Estes senhores levaram o problema a uma situação em que a maquina fica inutilizada provocando uma negação de serviço aos utilizadores / empresas.

Apesar de já existir desde Abril esta versão engloba um sistema idêntico ao do Wannacry alem de outras técnicas para se mover lateralmente e roubar todas as credenciais da maquina que acabou de infectar.

Esta estirpe é um pouco diferente e muito mais difícil de detectar pois não utiliza ficheiros…

Aqui fica a ligação para poderem compreender um pouco a dor de cabeça 🙂

https://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/