ATIVIDADE 01 – SEGURANÇAS DA INFORMAÇÃO

Disponibilidade

Americanas e Submarino voltam a tirar sites do ar após sustenta de ataque

hacker
Americanas S.A., que controla as duas marcas, suspendeu parte de seus
servidores na madrugada deste domingo (20) depois de identificar um 'acesso
não autorizado'. Páginas já haviam apresentado instabilidade no sábado (19).
As Lojas Americanas e o Submarino tiraram os seus sites do ar neste domingo
(20) diante de uma suspeita de ataque hacker. As páginas já haviam
apresentado instabilidade na manhã de sábado (19). A Americanas S.A.,
controladora das marcas, afirmou que identificou "acesso não autorizado".
Por volta da 20h20 (horário de Brasília) de domingo, os sites das duas lojas
estavam fora do ar. Quem tentava acessar as páginas, encontrava um aviso de
que o serviço está indisponível devido a uma "falha de DNS" (saiba mais abaixo).
"O servidor está temporariamente impossibilitado de atender sua solicitação. Por
favor, tente novamente mais tarde", diz a mensagem.
Procurada pelo g1, a Americanas S.A. afirmou em nota que "voltou a suspender
proativamente parte dos servidores do ambiente de e-commerce na madrugada
deste domingo (20/02) e acionou prontamente seus protocolos de resposta
assim que identificou acesso não autorizado".
A empresa declarou ainda que "atua com recursos técnicos e especialistas para
avaliar a extensão do evento e normalizar com segurança o ambiente de e-
commerce o mais rápido possível".
"A companhia reitera que trabalha com rígidos protocolos para prevenir e mitigar
riscos. As lojas físicas não tiveram suas atividades interrompidas e permanecem
operando", concluiu.
Na manhã de sábado, usuários relataram nas redes sociais que tiveram
dificuldades para acessar os sites das lojas. Horas depois, a Americanas S.A.
afirmou que "suspendeu preventivamente parte dos servidores na madrugada de
sábado após identificar risco de acesso não autorizado".
No comunicado de sábado, a empresa declarou que não houve evidência de
comprometimento das suas bases de dados.

Órgãos públicos são alvo de ataques de ransomware

Nos últimos dias, diversos órgãos públicos têm enfrentado problemas com
ameaças do tipo ransomware, que resultaram na paralisação de parte de seus
sistemas. Diante da gravidade dos ataques, cada vez mais sofisticados, a
Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES)
decidiu adotar medidas para aumentar a segurança de seus sistemas.
Uma das principais ações adotadas pela CAPES foi a ativação do duplo fator de
autenticação no sistema SEI, uma prática recomendada pela equipe de
segurança da Diretoria de Tecnologia da Informação (DTI). Com essa medida,
toda vez que um usuário fizer login no sistema, o e-mail pessoal cadastrado
receberá uma notificação.
A última versão do SEI já conta com o mecanismo de segurança que permite a
ativação do duplo fator de autenticação para os usuários. Para facilitar o
processo, a CAPES disponibilizou um tutorial no canal da instituição no
YouTube, com orientações claras sobre os procedimentos necessários para
baixar e ativar essa função.
É importante ressaltar que a CAPES recomenda o uso do aplicativo Microsoft
Authenticator, que é voltado especificamente para a autenticação em duas
etapas.
A equipe de segurança da DTI reforça a importância de nunca utilizar as senhas
da CAPES em outros sistemas e pede atenção redobrada ao clicar em links
enviados por e-mail, pois podem conter algum tipo de ameaça à segurança de
dados. A Coordenação conta com a compreensão e colaboração de todos para
garantir a integridade de seus sistemas e proteger as informações dos usuários.
Integridade

Ataque cibernético destinado a violar a integridade e disponibilidade dos

recursos de informação do estado
Devido à violação da integridade e disponibilidade dos recursos da web de várias
organizações estatais, a Equipe de Resposta a Emergências Informáticas do
Governo da Ucrânia CERT-UA está tomando medidas para investigar as
circunstâncias do incidente em 23 de fevereiro de 2023.
A partir das 11:00 do dia 23/02/2023, foi detectado em um dos sites um web shell
criptografado previamente conhecido, e o fato de sua utilização foi confirmado
no período das 22:00 do dia 22/02/2023 às 05:00: 30 em 23/02/2023, como
resultado, entre outras coisas , o arquivo “index.php” foi criado no diretório raiz
da web, o que proporcionou a modificação do conteúdo da página principal do
recurso da web. A interação com o shell da web foi realizada a partir de
endereços IP, que, entre outras coisas, pertencem a dispositivos periféricos de
outras organizações afetadas. Isso se tornou possível como resultado do
comprometimento de contas e subsequente conexão com hubs VPN das
organizações relevantes.
Além disso, foi identificado o backdoor SSH CredPump (módulo PAM)
anteriormente conhecido, que fornece acesso SSH remoto oculto (com um valor
de senha estático) e registro de logins e senhas ao conectar via SSH.
Além disso, foram descobertos os backdoors HoaxPen e HoaxApe (na forma de
um módulo para o servidor web Apache), que fornecem a capacidade de
executar comandos e foram instalados em fevereiro de 2022.
Observe que, de acordo com os atributos de tempo, o webshell foi criado até
23/12/2021; ao mesmo tempo, a funcionalidade padrão do site foi usada para
baixar o backdoor do PHP (a verificação do tipo de arquivo baixado não foi
implementada).
Deve-se acrescentar que GOST (Go Simple Tunnel) e o programa Ngrok foram
usados nos estágios iniciais do ataque cibernético (em particular, para publicar
o soquete HoaxPen na Internet).
Com base no conjunto de sinais, podemos fazer uma conclusão preliminar de
que a violação do modo de operação normal dos recursos da web investigados
foi realizada pelo grupo UAC-0056 (DEV-0586, unc2589).
Obviamente, os pré-requisitos para acesso remoto não autorizado são criados
com antecedência.
Carteiras do cofundador da Sky Mavis são hackeadas em US$ 9,7 milhões
Jeffrey Zirlin, um dos criadores da Sky Mavis, responsável pelo popular jogo Axie
Infinity, relatou que duas de suas carteiras foram alvo de um ataque hacker na
manhã de sexta-feira (23). Contudo, Zirlin assegurou que a integridade da Ronin,
a sidechain utilizada pelo Axie Infinity, permaneceu intacta.
A empresa de segurança em blockchain PeckShield identificou uma
movimentação suspeita em uma “carteira de baleia”. De acordo com o alerta, os
hackers retiraram dessa carteira cerca de 3.248 ETH, totalizando
aproximadamente US$ 9,7 milhões.
Em seguida, os invasores moveram os fundos roubados da Ponte Ronin para o
Tornado Cash, um serviço automatizado que mistura fundos de vários usuários
para dificultar o rastreamento de onde a criptomoeda vai parar.
“O ataque se restringiu às minhas contas pessoais e não tem impacto nas
operações ou validação da cadeia Ronin”, esclareceu Zirlin em seu comunicado.
Conforme enfatizou Zirlin, as chaves comprometidas não têm relação com as
operações da Sky Mavis. Seu colega de fundação, Aleksander Leonard Larsen,
reforçou a segurança da Ronin, destacando que tal incidente é comum em
diversas blockchains.
“A ponte não tem problemas e Ronin não está comprometido”, escreveu Larsen.
“Uma carteira foi claramente comprometida, como acontece em todas as redes,
e os fundos estão sendo enviados para o Tornado [Cash].”
O ataque atual evoca lembranças do grande golpe sofrido pela Ronin em março
do ano passado. Na ocasião, hackers, supostamente vinculados ao grupo
Lazarus, originário da Coreia do Norte, conseguiram desviar a quantia de US$
625 milhões da ponte em um ataque hacker. Os cibercriminosos conseguiram
obter acesso por meio de um sofisticado ataque de phishing por e-mail.
A equipe da Axie Infinity disse que está trabalhando em conjunto com
especialistas em segurança para conter e investigar o ataque. Além disso,
garantiu que os usuários da plataforma não sofreram nenhum impacto pelo
ataque.
O preço do token RON, nativo da Ronin, recuou de US$ 3,18 para US$ 2,74 logo
após a revelação do ataque. Ou seja, uma queda de quase 14% em poucas
horas. Mas o token já conseguiu recuperar parte das perdas e no momento do
fechamento desse texto está cotado a US$ 2,98. Ainda assim, o criptoativo
acumula uma queda diária de cerca de 6%.
Confiabilidade

Fiocruz é alvo de ciberataque

A Fundação Oswaldo Cruz (Fiocruz), instituição de pesquisa e desenvolvimento
tecnológico voltada à saúde, foi alvo de um ciberataque que atingiu o Instituto de
Tecnologia em Fármacos, responsável pela produção de medicamentos de uso
humano.
Na Darkweb, o ataque foi reivindicado pelo grupo de ransomware NoEscape,
que afirma ter conseguido acesso 500 gigabytes de dados sensíveis da
companhia e de usuários por meio do comprometimento e criptografia dos
servidores centrais da Fiocruz.
Entre os dados, 200 gigabytes seriam referentes a bases de dados, enquanto
mais de 10 gigabytes diziam respeito a projetos internos.
Durante o ataque, também teriam sido obtidas certificações, documentos legais,
registros financeiros e conteúdos sensíveis.
Segundo o site Security Report, o incidente resultou na indisponibilidade de
alguns serviços computacionais desde então.
Em nota oficial, a Fiocruz diz que “vem atuando para apoiar a área de Tecnologia
da Informação de Farmanguinhos com o objetivo de restaurar os serviços de TI
o mais rápido possível, garantindo sua segurança e confiabilidade”.
De acordo com a organização, o incidente já foi noticiado aos órgãos
competentes.

Air Europa sofre ataque hacker: criminosos acessam dados de cartões de

crédito de clientes
Empresa diz que deteve vazamento em pouco tempo, mas orienta passageiros
que usaram o cartão para comprar bilhete aéreo a procurar bancos para pedir
cancelamento.
A Air Europa foi alvo de um ataque cibernético na madrugada de hoje. Segundo
a companhia aérea, criminosos conseguiram acessar os dados de cartões de
crédito de clientes em sua base, conforme relatado por vários usuários na
plataforma X (ex-Twitter) que receberam mensagens da empresa.
A aérea, subsidiária do grupo espanhol Globalia, confirmou oficialmente o
ataque, que teve origem em uma falha de segurança em seus sistemas de
pagamento. A Air Europa já solicitou a diversos clientes que entrem em contato
com seus bancos para cancelar os cartões de crédito que estavam registrados.
Procurada pelo GLOBO, a empresa não respondeu se algum brasileiro foi
afetado pelos problemas de privacidade. A Air Europa opera ligações entre o
Brasil e países como Espanha, Portugal e Itália.

Autenticidade

Golpe dos nudes: polícia prende mais de 30 pessoas em operação no RS e

em SC
Após se passarem por mulheres menores de idade, criminosos extorquiam
homens que enviavam imagens nus ou seminus; entenda o crime
A Polícia Civil realiza, nesta segunda-feira (29), uma operação contra integrantes
de uma organização criminosa, que atua nos estados do Rio Grande do Sul e de
Santa Catarina. Ao menos 33 pessoas foram presas até o momento, segundo a
polícia.
O grupo atuava aplicando o chamado “golpe dos nudes”, para lucrar e manter o
tráfico interestadual de drogas e de armas.
Segundo a polícia, o grupo contatava homens passando-se por mulheres muito
jovens e que se diziam menores de idade. Para isso, eram utilizados perfis falsos
em redes sociais, para conseguir fotografias das vítimas nuas ou seminuas.
Conforme a polícia, o esquema contava com uma grande quantidade de material,
como fotos, áudios e vídeos de adolescentes aliciadas, que eram enviados às
vítimas.
Em seguida, os criminosos iniciavam uma série de extorsões. Para reforçar a
farsa, eles se passavam por delegados de polícia do Rio Grande do Sul.
A segunda etapa do esquema incluía o recebimento de dinheiro, que era feito
por pessoas também aliciadas pela organização. Os “laranjas” emprestavam
contas e CPFs para depósitos bancários e eram remunerados pelas lideranças
da organização. O dinheiro era distribuído entre os demais membros do grupo
criminoso, remunerados de acordo com sua contribuição, até que a maior parte
dos lucros obtidos retornasse para os responsáveis pelas extorsões.
Segundo a polícia, os líderes da organização sustentavam luxos, adquirindo
veículos estrangeiros, efetuando pagamentos à vista, além de realizarem gastos
com viagens e com compras de terrenos e imóveis. Parte dos criminosos
participavam das operações de dentro do sistema penitenciário, utilizando as
quantias para obter regalias nas cantinas dos presídios.
De acordo com o delegado Rafael Delvalhas Liedtke, as investigações iniciaram
há mais de 11 meses, quando policiais civis da 2° Delegacia de Repressão ao
Narcotráfico efetuaram a prisão em flagrante de criminoso no município de
Cachoeirinha. No período investigado, o grupo fez pelo menos 80 vítimas, em 12
estados, e movimentaram cerca de R$ 450 mil.
Mulher faz pergunta pessoal para bandido e escapa de golpe do PIX no
WhatsApp
Segundo a vítima, ela recebeu uma mensagem no WhatsApp de uma pessoa
que tentava se passar pelo seu filho, usando uma foto dele.
Uma administradora financeira escapou de um golpe em um aplicativo de
mensagens, nesta quarta-feira (13/09), após fazer uma pergunta pessoal para
os criminosos que pediam um Pix de mais de R$ 2 mil.
Segundo a vítima, ela recebeu uma mensagem no WhatsApp de uma pessoa
que tentava se passar pelo seu filho, usando uma foto dele. No texto, dizia que
o rapaz havia mudado de número. Um tempo depois, ela recebeu outra
mensagem pedindo uma transferência de cerca de R$ 2,5 mil.
A tentativa de golpe, conforme a mulher, foi percebida logo de início, porque o
contato enviado para o PIX estava em nome de uma pessoa desconhecida.
Entretanto, decidiu perguntar ao golpista: "Qual o nome da tua avó paterna? Diz
aí". Sem saber a resposta, a pessoa respondeu à mensagem com outra
pergunta: "Está desconfiando de mim?". Então ela percebeu que se tratava, de
fato, de um golpe.
"Eu fiquei desconfiada. Não era a forma que ele [filho da vítima] falava. Mas eu
salvei o número. Depois, ele me pediu uma quantia alta, o que também me fez
estranhar. Foi mais de R$ 2 mil. Em casa, a gente tem um combinado. Quando
alguém precisa fazer transferência, a gente liga um para o outro para identificar
se está tudo certo. E ele não atendeu. Depois ele mandou o PIX no nome de Ana
Paula. Aí eu não aguentei. Vi que era golpe, tentei identificar quem era e depois
eu respondi grossa e bloqueei" revelou a vítima, ao G1.
De acordo com o delegado da Polícia Civil do Piauí, Humberto Mácola, os pontos
observados pela mulher são as principais orientações feitas pela polícia para
evitar esse tipo de golpe:
• conferir o contato vinculado ao PIX;
• certificar-se de que está falando com uma pessoa de sua confiança.
"A gente precisa desconfiar de tudo, hoje nas redes sociais precisamos
desconfiar da autenticidade, se não for alguém do seu contato, não acredite.
Nunca clique em link que você recebe despretensiosamente, muitos golpes
poderiam ser evitados assim", reforçou o delegado.
FONTES
https://www.otempo.com.br/brasil/mulher-faz-pergunta-pessoal-para-bandido-e-
escapa-de-golpe-do-pix-no-whatsapp-1.3234071
https://g1.globo.com/tecnologia/noticia/2022/02/20/americanas-e-submarino-
tiram-sites-do-ar-apos-identificarem-acesso-nao-autorizado.ghtml
https://intranet.capes.gov.br/noticias/10085-orgaos-publicos-sao-alvo-de-
ataques-de-ransomware
https://www.cnnbrasil.com.br/nacional/golpe-dos-nudes-policia-prende-
pessoas-em-operacao-em-sc-e-no-rs/
https://oglobo.globo.com/economia/defesa-do-
consumidor/noticia/2023/10/10/air-europa-sofre-ataque-hacker-criminosos-
acessam-dados-de-cartoes-de-credito-de-clientes.ghtml
https://www.baguete.com.br/noticias/06/09/2023/fiocruz-e-alvo-de-ciberataque
https://www.criptofacil.com/carteiras-do-cofundador-da-sky-mavis-sao-
hackeadas-em-us-97-
milhoes/#:~:text=A%20empresa%20de%20seguran%C3%A7a%20em,US%24
%209%2C7%20milh%C3%B5es.
https://dciber.org/ataque-cibernetico-destinado-a-violar-a-integridade-e-
disponibilidade-dos-recursos-de-informacao-do-estado/