Kaspersky Lab protegerá usuários contra a espionagem por áudio com nova tecnologia patenteada

kasperskylabNinguém quer correr o risco de ser espionado em seu próprio computador. Para ajudar as pessoas a se protegerem da ameaça de vigilância por áudio, a Kaspersky Lab patenteou um método para frustrar o acesso não autorizado a dados do microfone em dispositivos Windows. O método está incorporado às principais soluções domésticas da empresa, o Kaspersky Internet Security e o Kaspersky Total Security e, no momento, nenhuma outra solução de segurança do mercado tem tecnologias integradas para impedir o acesso malicioso a microfones.

Para controlar o acesso a dados de áudio do usuário, é necessário monitorar todas as solicitações para o microfone no sistema operacional e bloquear aquelas cujo acesso não foi autorizado ou são executadas por um programa não confiável. Se o usuário simplesmente desligar o microfone ou cobri-lo com uma fita, não resolve o problema, pois os invasores ainda podem gravar os sons ao redor do dispositivo via alto-falantes ou outros métodos. Atualmente, não há uma proteção padrão específica contra o acesso não autorizado a dados de áudio do usuário no sistema operacional Windows. Por isso os especialistas da Kaspersky Lab desenvolveram uma nova abordagem – e a patentearam.

A tecnologia da Kaspersky Lab filtra os comandos internos enviados ou recebidos pelo Serviço de Áudio do Windows e indica a criação de cada novo fluxo de áudio por qualquer aplicativo. Depois disso, a tecnologia usa o recurso Controle de Aplicativos da Kaspersky Lab, que categoriza todos os programas como “confiáveis”, “baixa/alta restrição” ou “não confiáveis” de acordo com sua reputação, conteúdo e fabricante. Quando detecta que um programa ‘não confiável’ ou com ‘baixa/alta restrição’ está tentando acessar o microfone, a solicitação é bloqueada imediatamente.

KASPERSKYAUDIO Leia mais deste post

Kaspersky Lab: ransomware móvel triplicou significamente no primeiro trimestre de 2017

Brasil e Venezuela estão entre os 10 países mais visados por Trojans cifradores a nível mundial

kasperskylabO pesadelo global – ransomware – não mostra nenhum sinal de desaceleração, uma vez que o volume dele para dispositivos móveis subiu mais de três vezes (3,5 vezes) durante os primeiros meses do ano, de acordo com o “Desenvolvimento de ameaças de computador no primeiro trimestre de 2017” da Kaspersky Lab. O ransomware que tem como alvo todos os dispositivos, sistemas e redes também continuou a crescer com o surgimento de 11 novas famílias de cifras trojans e 55.679 novas modificações no primeiro trimestre. Além disso, Brasil e Venezuela estão entre os 10 países atacados por trojans cifradores, com o ransomware XPAN sendo a ameaça mais difundida.

O número de arquivos detectados de ransomware móvel atingiu 218,625 durante o trimestre, em comparação com 61,832 no trimestre anterior; com a família Congur representando mais de 86%.

O ransomware Congur é basicamente um bloqueador que configura e restabelece o PIN do dispositivo (código de acesso) fornecendo direitos de administrador no dispositivo e algumas variantes do malware para que os cibercriminosos aproveitem esses direitos para instalar seu módulo na pasta do sistema – tornando quase impossível a remoção.

Apesar da popularidade do Congur, o Trojan-Ransom.AndroidOS.Fusob.h permaneceu o ransomware móvel mais amplamente usado, representando quase 45% de todos os usuários atacados por esta ameaça. Uma vez executado, o Trojan solicita privilégios de administrador, coleta informações sobre o dispositivo, incluindo coordenadas GPS e histórico de chamadas, e carrega os dados em um servidor mal-intencionado. Com base no que ele recebe, o servidor pode enviar de volta um comando para bloquear o dispositivo.

Os Estados Unidos tornaram-se o país mais afetado por ransomware móvel no primeiro trimestre, com a Svpeng a ameaça mais generalizada. Por sua vez, o Brasil e a Venezuela estão entre os 10 países mais afetados por ataques de Trojans cofrados. Importante, o Brasil ficou em segundo lugar (1,07%), embora ele nunca apareceu no top 10 países atacados por cifras. Isto é consistente com nossa observação do aumento no número de extorsões Trojans visando vítimas brasileiras. Um exemplo proeminente de tal tipo de malware foi Xpan, cuja análise foi publicada no ano passado.
KASPERSKY_GEOGRAFIA_RANSOMWARE

“O panorama de ameaças móveis para ransomware estava longe de ser calmo no primeiro trimestre. O ransomware que alveja dispositivos móveis subiu, com as famílias novas do ransomware e as modificações que continuam a proliferar. As pessoas precisam ter em mente que os atacantes podem – e cada vez mais – tentarem bloquear o acesso a seus dados não apenas em um PC, mas também em seu dispositivo móvel”, observa Roman Unuchek, analista sênior de malware da Kaspersky Lab. Leia mais deste post

Hajime está conquistando o mundo da Internet das Coisas e já comprometeu 300 mil dispositivos

Segundo pesquisa da Kaspersky Lab, as infecções vinham principalmente do Brasil, Vietnã e Taiwan

A Kaspersky Lab publicou os resultados de sua investigação sobre as atividades do Hajime – um misterioso malware em expansão que afeta a Internet das Coisas (IoT), criando uma enorme botnet peer-to-peer. A botnet está se ampliando muito, infectando vários dispositivos no mundo inteiro. Até o momento, a rede inclui quase 300 mil dispositivos comprometidos, prontos para trabalhar em conjunto executando as instruções do criador do malware sem conhecimento das vítimas. Porém, ainda não se conhece o objetivo real do Hajime. 

O Hajime, que significa ‘início’ em japonês, apresentou seus primeiros sinais de atividade em outubro de 2016. Desde então, tem evoluído, desenvolvendo novas técnicas de propagação. O malware está estabelecendo uma enorme botnet peer-to-peer – um grupo descentralizado de computadores que realiza ataques DDoS ou de spam discretamente.

No entanto, ele não inclui um código ou uma funcionalidade de ataque, somente um módulo de propagação. O Hajime, uma família de malwares avançados e ocultos, usa diversas técnicas – principalmente ataques de força bruta sobre senhas de dispositivos – para infectar os dispositivos e executar vários procedimentos de modo a se esconder da vítima afetada. Assim, o dispositivo torna-se parte de uma botnet.

O Hajime não ataca um tipo de dispositivo exclusivo, mas qualquer dispositivo conectado à Internet. No entanto, os autores do malware focam suas atividades em alguns dispositivos. Ao que se constatou, a maioria dos alvos é formada por gravadores de vídeo digital, seguidos de webcams e roteadores.

Porém, de acordo com os pesquisadores da Kaspersky Lab, o Hajime evita determinadas redes, como as da General Electric, da Hewlett-Packard, do serviço postal dos EUA, do Departamento de Defesa dos EUA e várias redes privadas.

No momento da pesquisa, as infecções vinham principalmente do Vietnã (mais de 20%), de Taiwan (quase 13%) e do Brasil (cerca de 9%).

“A questão mais intrigante sobre o Hajime é sua finalidade. Embora a botnet esteja crescendo cada vez mais, ainda não sabemos qual é seu objetivo. Não conseguimos observar seus rastros em nenhum tipo de ataque ou outra atividade maliciosa. Contudo, recomendamos que os proprietários de dispositivos da IoT alterem suas senhas de maneira a dificultar ataques de força bruta e, se possível, atualizem seu firmware”, declarou Konstantin Zykov, Pesquisador Sênior em Segurança da Kaspersky Lab.

KASPERSKY_HAJIME_I

Distribuição de infecções do Hajime por país

KASPERSKY_HAJIME_II.jpg

Distribuição de dispositivos infectados por país

No total, durante o período da pesquisa, a Kaspersky Lab descobriu pelo menos 297.499 dispositivos exclusivos que compartilhavam a configuração do Hajime.

Para saber mais sobre a botnet Hajime, leia a postagem do blog disponível em: https://securelist.com/blog/research/78160/hajime-the-mysterious-evolving-botnet/

Veeam – The Essential Guide to Ransomware

veeamlogoA Veeam, parceira deste blog, disponibilizou o white paper “The Essential Guide to Ransomware” que fala a respeito da categoria de malware que mais atingiu as empresas e seus negócios em 2016. A verdade é que a maioria das corporações, seja de qual tamanho for, não estão preparadas para responder a um incidente causado por um Ransomware bem como retornar suas operações o quanto antes e com o mínimo de dano possível.

Leitura indispensável para nós que atuamos com suporte e infraestrutura.

Download do white paper aqui.

ESET alerta sobre golpe virtual que usa falso e-mail sobre contas inativas do FGTS para roubar dados de brasileiros

Cibercriminosos aproveitam falhas em servidor para aplicar golpe, no qual os internautas são direcionados para um site falso

 A ESET – fornecedora de soluções para segurança da informação e pioneira em proteção proativa –  identificou um novo tipo de golpe que usa como chamariz a consulta a contas inativas do FGTS (Fundo de Garantia por Tempo de Serviço). Na ação, os cibercriminosos enviam um falso e-mail sugerindo que vítima consulte o saldo de sua conta inativa do FGTS por de um link, o qual na realidade direciona o internauta para um site voltado a roubar dados pessoais.

ESETFGTSI

Tela do site falso voltado a roubar dados pessoais dos internautas:

Entre as informações solicitadas para preenchimento no falso site do FGTS estão CPF, data de nascimento, Número de Identificação Social (NIS), credenciais de acesso ao sistema do governo, telefone, além de informações bancárias. O objetivo dos cibercriminosos é vender os dados pessoais, realizar fraudes ou mesmo direcionar outros ataques para levantar ainda mais informações das vítimas.

Para aplicar o golpe, os cibercriminosos usaram uma falha de segurança e incluíram scripts PHP no servidor. Dessa forma, quando a vítima acessa determinadas URLs especificas, consegue visualizar uma página de internet com conteúdo legítimo.

ESETFGTSII

“Esse caso é um exemplo de como um servidor, hospedando um conteúdo legítimo, teve suas vulnerabilidades exploradas e foi utilizado pelo cibercrime para a propagação de phishing. Isso vale de alerta para aqueles que administram servidores, principalmente, com conteúdos acessados pela Internet, para que atualizem seus sistemas e aplicações, apliquem sempre patch e os protejam antes da ocorrência de um incidente”, afirma Camillo Di Jorge, Presidente da ESET Brasil. “No caso dos usuários, vemos novamente como assuntos de temas amplamente noticiados são utilizados para realizar ciberataques. Cibercriminosos estão sempre explorando assuntos com maior probabilidade de conseguir cliques por parte das pessoas”, reforça o executivo.

Para evitar cair em golpes com esse, a ESET alerta sobre a importância de saber identificar uma ameaça digital, evitando clicar em e-mails desconhecidos, que solicitem informações pessoais ou a realização de downloads. Além disso, os internautas devem contar com soluções de segurança proativas instaladas e atualizadas em todos os equipamentos que acessam a internet.

Para mais informações, acesse: http://blogs.eset.com.br/laboratorio/2017/03/29/phishing-consulta-saldo-fgts/

Kaspersky Lab descobre como desbloquear arquivos criptografados pelas novas versões do ransomware CryptXXX

Olá pessoal,

compartilho com vocês o release que recebi a respeito de um anúncio importante da Kaspersky, principalmente para nós que atuamos como consultores em empresas e clientes finais. Vejam abaixo:

Após o lançamento de ferramentas de descriptografia para duas variações do ransomware CryptXXX, no primeiro semestre de 2016, a Kaspersky Lab libera um novo descriptografador de arquivos bloqueados pela mais recente versão do malware. Desde abril de 2016, esse programa malicioso foi capaz de infectar milhares de computadores em todo o mundo, e era impossível descriptografar integralmente os arquivos afetados por ele. Mas agora não é mais assim.

A ferramenta gratuita RannohDecryptor consegue descriptografar a maioria dos arquivos com extensão .crypt, .cryp1 e .crypz.

O CryptXXX representa uma das famílias de ransomware mais perigosas e distribuídas ativamente: os criminosos usaram os kits de exploits Angler e Neutrino por um longo período para infectar as vítimas com esse malware. Esses dois kits foram considerados dos mais eficientes em termos de infecção bem-sucedida dos alvos.

Desde abril de 2016, os produtos da Kaspersky Lab registraram ataques do CryptXXX contra pelo menos 80.000 usuários no mundo inteiro. Mais da metade deles estão localizados em apenas seis países: EUA, Rússia, Alemanha, Japão, Índia e Canadá.

kasperskyransomware
Porém, esses dados representam apenas os usuários protegidos pelas tecnologias de detecção da Kaspersky Lab. Infelizmente, o número total de usuários afetados é muito maior. Não se sabe o número exato, mas os especialistas da Kaspersky Lab estimam que pode haver centenas de milhares de usuários infectados.

Nossa recomendação regular para as vítimas de diferentes famílias de ransomware é: mesmo que não haja ainda uma ferramenta de descriptografia disponível para a versão do malware que criptografou seus arquivos, não pague o resgate para os criminosos. Salve os arquivos corrompidos e tenha paciência; há uma grande probabilidade de surgir uma ferramenta de descriptografia em breve. O caso do CryptXXX v.3 é uma demonstração disso. Vários especialistas em segurança do mundo todo trabalham incessantemente para conseguir ajudar as vítimas do ransomware. Mais cedo ou mais tarde, será encontrada uma solução para a grande maioria dos ransomware”, declara Anton Ivanov, especialista em segurança da Kaspersky Lab.

Saiba mais sobre ransomware em Securelist.com.

noransom

A ferramenta de descriptografia pode ser baixada no site da Kaspersky Lab e em Nomoreransom.org – o site da organização sem fins lucrativos lançado este ano pela National High Tech Crime Unit da polícia dos Países Baixos, o European Cybercrime Centre da Europol e duas empresas de segurança de computadores, a Kaspersky Lab e a Intel Security, com o objetivo de ajudar vítimas de ransomware a recuperar seus dados criptografados sem precisar remunerar os criminosos. A batalha internacional contra o ransomware continua avançando, com a entrada de mais de 30 novos parceiros dos setores público e privado no projeto No More Ransom.