Tag Palo Alto Networks

Palo Alto Networks identifica malware para dispositivos de vídeo capaz de apagar dados

Os pesquisadores da Unit 42, unidade de pesquisa da Palo Alto Networks, identificaram um novo malware para IoT chamado Amnesia. O malware é uma variação do botnet Tsunami e mira vulnerabilidades de execução de códigos remotos presentes em dispositivos DRV (gravadores de vídeos digitais) fabricados por cerca de 70 empresas no mundo. Com base nas análises de dados, a vulnerabilidade afeta aproximadamente 227 mil dispositivos no mundo.

A razão pela qual tantos modelos de DVR foram afetados é que as companhias vendendo os aparelhos com marcas diferentes na verdade pegaram o hardware e o firmware da mesma fabricante na China – uma empresa chamada Shenzhen TVT Digital Technology. A figura abaixo mostra os países que estão mais expostos à um ataque devido ao número de dispositivos na região.

Os pesquisadores acreditam que o Amnesia é o primeiro malware de Linux a adotar técnicas de evasão de máquinas virtuais para passar despercebido pelas sandboxes de análises de malware. As técnicas de evasão de máquinas virtuais são geralmente associadas em programas de malware para Microsoft Windows e Google Android, mas o Amnesia tenta detectar se o ambiente Linux em que está rodando é uma máquina virtual baseada em VirtualBox, VMware ou QEMU. Caso o Amnesia detecte a presença de uma máquina virtual, irá tentar limpar diretórios críticos a partir do sistema de arquivos usando o comando Linux “rm –rf” para destruir qualquer evidência que possa ter sido coletada.

Um ataque bem-sucedido resulta no controle total do dispositivo. Os atacantes poderiam aproveitar potencialmente o botnet Amnesia para lançar ataques de negação de serviços (DDoS) amplos, semelhante aos ataques botnet do malware Mirai que ocorreram em 2016. Embora o Amnesia ainda não tenha sido usado para realizar ataques em grande escala, os ataques Mirai mostraram os danos potenciais que os botnets em larga escala baseadas em IoT podem causar.
unnamed (23)

Tags,

Palo Alto Networks divulga estudo sobre principais ataques na América Latina

A América Latina é uma das regiões de maior crescimento de usuários de internet, superando recentemente a América do Norte. Nos últimos anos, a região experimentou um aumento explosivo no número de usuários online – de 237 milhões em 2015 para 260 milhões registrados em 2016 pela Forbes – e, , com isso, ocorreu uma expansão semelhante nos desafios que acompanham esse crescimento – o que chamou a atenção dos cibercriminosos para os países locais. Entre julho e dezembro de 2016, a Unit 42, centro de pesquisas de ameaças da Palo Alto Networks, observou cerca de 530 mil sessões únicas de malware desconhecido em toda a região da América Latina com ênfase no México, Brasil, Colombia, Argentina, em mais de 37 mil amostras.

Durante esse período, 89% do malware analisado foi entregue por e-mail phishing, seguidos de simples navegação na web por usuários, com destaque para o formato variante de ransomware conhecido como Locky. O Locky foi descoberto em fevereiro de 2016 e apresenta risco por utilizar Infraestrutura de Chaves Públicas (ICP) para criptografia e está evoluindo constantemente para driblar os controles de segurança. No final de novembro e início de dezembro, durante período de compras natalinas, o estudo revela um aumento significativo na quantidade de atividade maliciosa na região da América Latina – o que demonstra de forma indireta um aumento no formato de compras online.Já às vésperas do Natal e logo depois desta data houve uma queda brusca nas atividades registradas (Veja gráfico)

unnamed

Outro destaque do estudo está relacionado a uma série de ataques ao sistema financeiro vinculado ao Grupo Lazarus. O ataque visa o sistema de pagamento SWIFT, mudando sites de instituições financeiras para redirecionar as vítimas a um ataque exploit customizado. Dois websites de instituições na América Latina, no México e Uruguai, especificamente, foram idenficados por redirecionar vítimas ao utilizar vulnerabilidades do Adobe Flash e Microsoft Silverlight. Os pesquisadores também detectaram uma lista de sub-redes direcionadas dentro do código exploit e estes incluíam endereços IP do México, Chile, Brasil, Peru e Colômbia.

O estudo apontou que o México foi o mais prejudicado no segundo semestre do ano passado, com 54% dos ataques concentrados no país. Em seguida vem o Brasil, atingindo a marca de 31%, com destaque para o formato variante de ransomware Locky, que gerou mais de 70% de toda atividade maliciosa no território. Além do Locky, a Unit 42 também observou a atividade de uma campanha chamada Distribuição CerberSage, que utiliza documentos maliciosos do Office para entregar não apenas Locky, mas também outro dois tipos de ransomware, Cerber e Sage.

O Cerber trata-se de um ransomware atualizado regularmente e com uma taxa elevada do sucesso em criptografar hosts. Já o Sage é um ransomware mais novo com comportamento semelhante a outros como Locky ou Cerber, mas consegue geolocalizar a vítima e adicionar um mecanismo de persistência para que a infecção começe toda vez que o usuário faz logon no Windows.

Na Argentina, 66% das atividades maliciosas foram provenientes do Locky e 98% do Bayrob Trojan, que também afetou fortemente a Colômbia. Descoberto em 2007, o Byrob permite acesso completo ao host infectado para roubo de informação pessoal, como número do cartão de crédito. Curiosamente, a Colômbia foi um dos poucos países no mundo inteiro que não registraram maioria de ataques por Locky.

A América Latina está em rápida expansão de usuários de internet e a tendência é aumentar. E os cibercriminosos estão cientes desse fenômeno e passaram a tratar região como um mercado emergente que merece investimento. O roubo de informações e a atividade de Trojans bancários também merecem atenção, pois podem indicar que os criminosos estão observando o aumento do uso de serviços bancários online e outros serviços virtuais no dia a dia na região.

Com esse cenário, é fundamental que sejam implantadas estratégias fortes de cibersegurança em toda a região. O aproveitamento de políticas básicas, como privilégios de usuário, bloqueio de anexos executáveis em e-mails e atualização de aplicações podem impedir os agentes maliciosos de concluírem o ataque. Emparelhar essas políticas com a implementação de tecnologias de segurança pode aumentar a eficácia das estratégias e manter uma postura de segurança em toda a região.

Tags

Cyber Threat Alliance expande, nomeia presidente e se torna uma entidade sem fins lucrativos

A Cyber Threat Alliance (CTA) nomeou Michael Daniel como primeiro presidente da organização e anunciou sua integração formal como uma entidade sem fins lucrativos. Antes de assumir a nova posição, Michael Daniel foi assistente especial do Presidente e do Coordenador de Cibersegurança da Casa Branca.

Além disso, os membros fundadores formados pela Palo Alto Networks, Fortinet, Intel Security, e Symantec anunciaram a incorporação da tecnologia da Check Point e da Cisco à aliança. Juntos, os seis fundadores contribuíram para o desenvolvimento de uma nova plataforma compartilhada de inteligência de ameaça automatizada para trocar informações confiáveis sobre ameaças, fortalecendo a missão da CTA contra os ciberataques sofisticados.

O primeiro projeto da CTA como entidade autônoma é o desenvolvimento e o lançamento de uma nova plataforma automatizada de compartilhamento de inteligência de ameaças que permite que os membros integrem inteligência em seus produtos em tempo real para proteger melhor os clientes no mundo todo.

Além de aumentar os membros fundadores, a CTA adicionou novos membros afiliados que incluem IntSights, Rapid7 e RSA, que se juntam à Eleven Paths e ReversingLabs.

“Nós da Palo Alto Networks, na Cyber Threat Alliance desde 2014, estamos honrados em fazer parte desta melhora coletiva na defesa da indústria contra ataques avançados. A nossa missão é manter a confiança no atual mundo digital e a inteligência coletiva do ecossistema da CTA promove nossa capacidade de permitir aos nossos clientes impedir os ataques com sucesso”, afirma Mark McLaughlin, administrador e CEO na Palo Alto Networks.

Ao reunir concorrentes da indústria que trazem suas percepções únicas em relação às ameaças, a CTA constrói uma visão global das mais importantes ciberameaças. Com uma compreensão enriquecida e uma proteção otimizada contra os ataques globais, os membros podem proteger seus clientes em tempo real e priorizar recursos baseados no conhecimento coletivo.

Tags, , , , , , , , , , ,

Ciberataques no setor da saúde devem aumentar em 2017

A cibersegurança em 2016 foi marcada pelos ataques ransomware, impactando, principalmente, a área da saúde. Por tratar-se de um setor extremamente delicado e essencial para toda a população, a Unit 42, centro de pesquisas da Palo Alto Networks, fez um levantamento das tendências e necessidades de segurança cibernética nessa indústria para que as organizações de saúde estejam preparadas para combater as ameaças que devem enfrentar em 2017.

Muitos hospitais foram afetados por ransomware no último ano e atingidos, especialmente, por variantes que miram servidores e não computadores. Um hospital em Washington, por exemplo, foi afetado a ponto de ter que transportar os pacientes para outras instalações para manter a qualidade dos cuidados.

Os cibercriminosos optam pelo ransomware pela discrição dos pagamentos anônimos em Bitcoin – uma maneira eficaz de receber pagamentos sem ser pego pela polícia. O setor da saúde é visado devido ao vetor de ataque ocorrer por uma aplicação (JBOSS) desatualizada nos servidores na DMZ (sigla em inglês para Zona Desmilitarizada, que significa uma sub-rede física ou lógica que contém e expõe serviços de fronteira externa de uma organização a uma rede maior e não confiável, normalmente a internet).

Graças ao compartilhamento de inteligência de ameaças, as organizações do setor providenciaram reparos e correções nas vulnerabilidades dessa aplicação. No entanto, a tendência de aumento desse tipo de ataque permanece. O ransomware continuará mirando a indústria da saúde neste ano por meio de ataques padrão como downloads na web, anexos ou links maliciosos via e-mail e servidores desatualizados na DMZ.

Outro ponto importante são as aplicações SaaS – muito utilizadas pelas equipes médicas para compartilhamento de arquivos na nuvem, como Box, Dropbox e Google Drive, devido à praticidade para compartilhar informações de forma rápida. O problema com as versões públicas desses serviços é que cabe ao usuário controlar quem tem acesso aos arquivos e é muito fácil se enganar com uma configuração e disponibilizar um arquivo que contém informações protegidas de saúde (PHI) para todo o público na internet. As versões corporativas de alguns desses serviços permitem restringir o acesso público, mas a maioria das organizações não bloqueiam as versões gratuitas, então fica difícil controlar.

Normalmente o processo de inteligência de ameaças na área da saúde é lento, manual e demorado. Em 2017, as organizações desse setor começarão a aproveitar os recursos mais avançados de compartilhamento de ameaças disponíveis no mercado de segurança. Esses tipos de recursos permitem uma ação altamente confiável e automatizada, eliminando até totalmente a necessidade de revisão humana.

Além dessas, que devem ser as principais tendências de cibersegurança para o setor da saúde nesse ano, é fundamental questionar se um ataque em um dispositivo médico poderá causar lesão a um paciente. Atualmente falta o básico de segurança para os dispositivos utilizados em instalações médicas que, muitas vezes, não possuem proteção de endpoint, e atualizações regulares, funcionando em sistemas operacionais desatualizados, como o Windows XP. Por estas razões, são alvos principais para malware e ciberataques. Além disso, os equipamentos médicos são caros e não há incentivo financeiro para realizar o tipo de pesquisa de segurança necessária para detectar e corrigir vulnerabilidades nesses dispositivos.

Além da busca por recompensas lucrativas, existe também a preocupação com os hackers que estão nesse negócio por diversão, ou seja, só fazem para provar que podem fazer. Até o momento, não há casos confirmados de danos físicos aos pacientes mas a equipe da Unit 42 trabalha com a hipótese de que seja apenas uma questão de tempo para um agente malicioso se aproveitar da parte mais vulnerável das redes hospitalares – os dispositivos médicos – e entrar em ação.

Tags, ,

Palo Alto Networks e Westcon participam do Congresso Security Leaders em São Paulo

A Palo Alto Networks, fornecedora de soluções de segurança corporativa, participará do Congresso Security Leaders, em São Paulo, entre os dias 25 e 27 de outubro, reforçando a visão da empresa com duas palestras focadas em prevenção. A empresa divide seu estande com a Westcon, distribuidora de suas soluções com quem mantém sólida parceria.

No primeiro dia do evento, ao meio-dia, Daniel Amaral, Systems Engineer, fará a primeira apresentação após a abertura da Arena Security. Com o tema “Seu antivírus é o suficiente para proteger seus endpoints?”, o executivo abordará a necessidade de buscar um produto que forneça valor de segurança superior, não apenas em termos de redução de custos, mas também em termos de eficácia de segurança.

No dia 26, a partir das 11h30, Mark Kolar, Systems Engineer Leader para canais, apresentará as funções necessárias para prevenção de violações em locais críticos.

O Congresso Security Leaders, maior evento de Segurança da Informação e Risco do Brasil e América Latina, reunirá os principais executivos do setor no Centro Fecomércio de eventos.

Parceria

Equipes técnicas da Westcon trabalham em conjunto com profissionais da Palo Alto Networks no desenho de projetos para o cliente final, e além da contribuição em engenharia, a distribuidora oferece amplo apoio comercial e na área de marketing. A Westcon, por meio da divisão Westcon-Comstor Service Solutions, ministra treinamentos oficiais Palo Alto Networks e provê suporte 24×7 aos produtos da fabricante, prestando ainda serviços profissionais relacionados aos produtos da empresa.

Congresso Security Leaders – São Paulo

Data: 25, 26 e 27 de outubro de 2016
Local: Centro Fecomércio de Eventos
Endereço: R. Dr. Plínio Barreto, 285 – Bela Vista, São Paulo – SP, 01313-020

Tags, , ,