Bússola — Edição #3

CyberTrends: Ameaças na plataforma GitHub. O retorno do Maze Ransomware.
Vuln0-Days: Atualizações do Sophos XG Firewall, Foxit, Microsoft Office
e iOS.
Cyber Laws: Novidades na LGPD.

GitHub

Recentemente, a equipe de resposta à incidentes do GitHub, uma das plataformas de hospedagem de código-fonte mais popular, alertou sobre uma campanha de e-mails falsos, na qual os atacantes visam roubar credenciais de usuários da plataforma e baixar o conteúdo privado contido nas suas pastas. Com isto, os atacantes podem ter acesso a dados bastante sensíveis.

O GitHub é, geralmente, utilizado por desenvolvedores e a campanha enganosa se dá através de um e-mail falso, informando uma detecção não autorizada de uma atividade na conta do usuário e, assim, tenta convencer a vítima a clicar no link malicioso e redefinir suas credenciais.

Ao clicar no link fornecido no e-mail, o usuário é redirecionado para uma página similar à do GitHub, que solicita as credenciais de acesso e o segundo fator de autenticação.

Existem boas práticas na prevenção de acesso não autorizado, recomendadas pelo próprio GitHub. Outra recomendação, é reforçar o plano de conscientização dos usuários, principalmente desenvolvedores neste caso, a fim de evitar ataques desta natureza.

Maze Ransomware

Ransomware é um tipo de software nocivo que restringe o acesso ao sistema infectado e cobra um resgate em criptomoedas para que este possa ser restabelecido. O “Maze”, descoberto em 29 de maio de 2019 e envolvido em ataques de grandes proporções, voltou a ser tendência nas últimas semanas. Empresas como a Allied Universal, Medicines Research LTD (HMR), o provedor de serviços de TI Cognizant entre outras, foram algumas de suas vítimas.

O Maze incluiu uma nova tática em seu arsenal. Além de simplesmente criptografar os arquivos das vítimas, ele também realiza o que foi denominado de “extorsão dupla”, onde ameaçam publicar os dados comprometidos, caso o pedido de resgate não seja atendido. Isto é uma nova tendência entre os ataques de ransomware.

Seguindo na mesma linha, estão os ransomwares Sodinokibi (também conhecido como REvil), Clop, Nemty, DopplelPaymer, entre outros. Portanto, mesmo que uma organização tenha backups a partir dos quais possa restaurar seus dados, ela ainda poderá sofrer com os impactos causados pela exposição dessa informação.

As vítimas do Maze abrangem vários setores, incluindo governamental, manufatura, serviços jurídicos, saúde, seguros e provedores de serviços gerenciados. Além disso, o Brasil é um dos países com maior atuação do ransomware.

Recomendamos fazer backups periódicos dos arquivos e mantê-los isolados da rede, atualizar periodicamente um software de antivírus, assim como os sistemas operacionais e seus softwares.

Evite e-mails suspeitos, realizando um constante ajuste nos filtros, para que e-mails com indicadores maliciosos conhecidos, sejam bloqueados. Considere especificar na Política de Segurança da Informação, que todos os e-mails suspeitos devem ser relatados ao departamento de segurança ou de TI da empresa. Se possível, marque e-mails externos com uma etiqueta indicando que é de uma fonte externa, isso ajudará os usuários a detectar e-mails forjados.

Forneça aos funcionários constante treinamento contra ataques de engenharia social e phishing (conteúdos maliciosos disfarçados). Considere bloquear anexos de arquivos comumente associados a malwares.

Além disso, o acesso ao serviço RDP, um serviço de acesso remoto bastante utilizado, deve ser sempre realizado por meio de uma camada de segurança adicional, como uma VPN, do inglês Virtual Private Network.

Evite expor este tipo de serviço publicamente, pois, além do e-mail, este é um dos vetores de acesso inicial mais utilizado na propagação de ransomware.

Sophos XG Firewall

A empresa de segurança cibernética, Sophos, emitiu um comunicado informando que corrigiu uma vulnerabilidade de dia zero, ou seja, que até então não tinha correção, em seu produto firewall XG. Firewalls funcionam como “porteiros” que, através de um conjunto de regras, de segurança, determinam quais operações de transmissão ou recepção de dados podem ser executadas.

Segundo a empresa, a falha já estava sendo explorada e o ataque é direcionado aos serviços de administração do firewall ou ao portal do usuário, expostos à internet. Os invasores tentavam explorar a falha de segurança para injetar um malware, um tipo de software malicioso, que lhes permitia extrair dados do firewall.

Esses dados podem incluir nomes de usuários e senha em formato hash (senhas codificadas) de administradores locais do dispositivo, administradores do portal e contas de usuário configuradas para acesso remoto.

A Sophos lançou uma correção para a vulnerabilidade em questão. Para maiores detalhes, acesse o artigo.

Foxit

A Foxit, uma fornecedora líder de software de soluções PDF, disponibilizou patches de correção para mais de 20 vulnerabilidades em seus produtos. Os produtos afetados são o Foxit Reader, Foxit PhantomPDF e U3DBrowser Plugin, versões 9.7.1.29511 e inferiores para Windows. Algumas destas vulnerabilidades são de alta severidade e podem levar a uma execução remota de código por atacantes.

Caso utilize um destes softwares, recomendamos que aplique as correções o mais brevemente possível, através das atualizações desses softwares.

Microsoft Office

A Microsoft lançou um patch emergencial para vulnerabilidades que afetam versões do Microsoft Office, Office 365 ProPlus e Paint 3D. As 6 vulnerabilidades foram categorizadas com criticidade importante.

Recomendamos atualização do Office e dos softwares da AutoDesk. A lista de softwares vulneráveis da AutoDesk inclui versões do AutoCAD, bastante populares.

iOS

Segundo a empresa de segurança ZecOps, foram encontradas duas vulnerabilidades críticas que estariam sendo exploradas, permitindo que um atacante realizasse a execução de códigos remoto em um dispositivo Apple, apenas enviando um e-mail à vítima.

A ZecOps informou que estas duas falhas existiam há pelo menos 8 anos, desde o lançamento do iOS 6, afetando várias versões desde então, até o iOS 13.4.1.

A Apple anunciou que lançará uma correção para as falhas em uma próxima versão do iOS, porém, depois de analisar profundamente o relatório da ZecOps, concluiu que as falhas identificadas não são suficientes para realizar um bypass, ou seja, burlar as proteções de segurança, do iPhone e iPad, e que não identificou nenhuma evidência de cibercriminosos as estejam utilizando.

Adiamento da LGPD — MP959 X PL1179

Precisamos entender o que está valendo e o que poderá acontecer sobre o adiamento da entrada da Lei Geral de Proteção dos Dados Pessoais (LGPD). Com a edição da Medida Provisória 959 no dia 29/04/2020 e a tramitação do Projeto de Lei 1.179, que já foi aprovado pelo Senado e está na Câmara dos Deputados para votação, estamos diante de duas situações.

A primeira é que, na MP 959, a entrada da LGPD começa a valer no dia 3 de maio de 2021. Essa Medida Provisória tem força de Lei, não é Lei, mas já está valendo hoje, precisando ainda ser aprovada em até 60 dias, para continuar valendo, contados a partir da sua publicação.

A outra situação, é que o Projeto de Lei 1179, pretende modificar a entrada da LGPD em duas etapas: 1ª é a entrada da LGPD para o dia 1 de janeiro de 2021 e a 2ª é a entrada das sanções por descumprimento, em agosto de 2021.

Além das diferenças de entrada em vigor da LGPD, a tramitação do Projeto de Lei 1.179 poderá ocorrer antes da análise da MP959 pelo Congresso Nacional e muitas alterações, tanto na MP959, quanto no PL1179, poderão ocorrer ainda.

MP 959

Entrada da LGPD em 3 de maio de 2021, toda a Lei deverá ser cumprida, inclusive as sanções por descumprimento.

PL 1179

Entrada da LGPD em janeiro de 2021, exceto as sanções por descumprimento.

Entrada em Agosto de 2021 das sanções da LGPD.

Além da demonstração clara do descompasso e não sinergia entre a presidência da república e congresso nacional, os cidadãos e as empresas ficam cada vez mais numa situação de insegurança jurídica, que vem somar diante desse momento tão delicado da pandemia.

Independentemente da decisão, as empresas e instituições deverão continuar a cadência nos trabalhos para adequação da LGPD, a sensibilização da importância do tema, o planejamento e reforçar ou criar um comitê para gestão dos dados pessoais, entendendo como a empresa está em relação à segurança da informação, que é um dos pilares fundamentais para o diagnóstico do que será necessário fazer para se adequar à LGPD.

Fontes:

https://www.congressonacional.leg.br/materias/medidas-provisorias/entenda-a-tramitacao-da-medida-provisoria

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm#art62

http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/Mpv/mpv959.htm

blog.morphus

Blog de Conteúdo

Medium is an open platform where 170 million readers come to find insightful and dynamic thinking. Here, expert and undiscovered voices alike dive into the heart of any topic and bring new ideas to the surface. Learn more

Follow the writers, publications, and topics that matter to you, and you’ll see them on your homepage and in your inbox. Explore

If you have a story to tell, knowledge to share, or a perspective to offer — welcome home. It’s easy and free to post your thinking on any topic. Write on Medium

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store