Criptografia fraca pode mostrar urgência para espalhar o malware. E mais: grupo Lapsus$ invade Samsung e Nvidia; e novas funções no WhatsApp.
Depois do anúncio feito por pesquisadores da ESET de que o malware HermeticWiper estava circulando na Ucrânia e pela análise feita pela equipe da Crowdstrike*, o nosso Laboratório de Ameaças* desenvolveu uma ferramenta gratuita* para liberar os arquivos e dispositivos bloqueados pelo ransomware HermeticRansom que atingiu a Ucrânia nas últimas duas semanas.
O ransomware procura e criptografa todos os arquivos – exceto os localizados nas pastas Arquivos de Programas e Windows – com as seguintes extensões:
.docx .doc .dot .odt .pdf .xls .xlsx .rtf .ppt .pptx .one.xps .pub .vsd .txt .jpg .jpeg .bmp .ico .png .gif .sql.xml .pgsql .zip .rar .exe .msi .vdi .ova .avi .dip .epub.iso .sfx .inc .contact .url .mp3 .wmv .wma .wtv .avi .acl.cfg .chm .crt .css .dat .dll .cab .htm .html .encryptedjb
Ferramenta gratuita da Avast restaura arquivos sequestrados. Fonte: decoded.avast.io
Segundo o relatório da Crowdstrike, “o ransomware contém erros de implementação que tornaram sua criptografia quebrável e lenta. Essa falha sugere que o autor do ransomware é inexperiente em escrever na [linguagem] Go ou investiu pouco no teste do malware, possivelmente porque o tempo de desenvolvimento disponível era limitado”.
Mercado Livre, Samsung e Nvidia invadidos
Cibercriminosos acessaram o código-fonte do site do Mercado Livre e obtiveram dados de 300 mil usuários ontem, segunda-feira, 7 de março. Até o momento, não há informações sobre os dados vazados, mas a empresa afirma não conter senhas, saldos, investimentos, nem números de cartões.
Chat do grupo Lapsus$ no Telegram. Fonte: BleepingComputer
A Samsung e a Nvidia foram vítimas de ciberataques pelo grupo Lapsus$, o mesmo que atacou o Ministério da Saúde e deixou o ConecteSUS fora do ar por duas semanas no Brasil, em dezembro do ano passado.
O grupo vazou mais 190 GB de dados confidenciais*, incluindo códigos-fonte dos sistemas de criptografia do gerenciador de inicialização (bootloader) e da ferramenta de segurança Knox, além dos algoritmos de desbloqueio facial dos modelos Galaxy.
Ainda que não haja indícios de vazamento de dados pessoais de clientes, sugerimos que você se informe antes de atualizar o sistema do seu celular, altere a senha e habilite a autenticação de 2 fatores na sua conta Samsung e, se possível, desative o desbloqueio facial até que a empresa se pronuncie sobre a sua segurança.
A Nvidia, uma das maiores fabricantes mundiais de placas gráficas (GPUs), também foi alvo do Lapsus$ e cerca de 20 GB de dados já se tornaram públicos na internet, incluindo 70 mil credenciais de login* nas quais se encontram dados de cerca de 19 mil funcionários*.
O grupo exigiu a liberação do código-fonte dos drivers das placas de vídeo GeForce para evitar o vazamento de 1 TB de dados. Há relatos não-confirmados que a empresa teria contra-atacado o Lapsus$ com ransomwares*, ainda que isso parece improvável.
Cibercriminosos já usam certificados digitais roubados da Nvidia* para assinar malwares, drivers e ferramentas de acesso remoto ao Windows. Recomendamos enfaticamente baixar apps e drivers somente de fontes oficiais e manter o seu antivírus sempre ligado e atualizado. O Avast bloqueia essa ameaça em todos os seus antivírus (FileRepMalware*).
WhatsApp copia função do Slack e do Telegram
Várias funções dos mensageiros concorrentes são copiadas. O WhatsApp está testando* a função “Enquetes” para reunir os votos dos participantes de um grupo. Toda a comunicação – perguntas e respostas – segue a criptografia de ponta a ponta que os grupos já possuem por padrão.
Ainda não há informações se haverá um tempo limite para votar ou quantas enquetes poderão rodar simultaneamente. Por outro lado, os usuários continuam esperando pelos 6 emojis da função “Reações” (Like, Love, Laugh, Suprised, Sad e Thanks).
A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.
* Original em inglês.
Photo by Towfiqu barbhuiya on Unsplash