Radar PROOF
Boa tarde, pessoal! O Radar PROOF é sua nova newsletter semanal, resumindo os principais casos relacionados à cibersegurança que aconteceram no Brasil e no mundo nos últimos dias! Em menos de 10 minutinhos você fica a par de tudo.
Então vamos lá, porque a semana foi agitada. ✍️
Inca sofre ataque e suspende vários serviços nesta semana
Saúde
Os últimos dias foram muito conturbados para o Instituto Nacional do Câncer (Inca). O Instituto, referência no tratamento da doença no Rio de Janeiro, foi alvo de um ataque cibernético neste sábado (27). O resultado? Uma paralisação que afetou centenas de pessoas. Os pacientes não conseguem receber as sessões de radioterapia e a marcação de novas consultas estão suspensas.
O que rolou: O coordenador de Assistência do Inca, Gélcio Luiz Quintella, aponta que a primeira ação das equipes foi desligar a internet e a intranet. A medida é uma recomendação muito comum de todos os especialistas em segurança, inclusive na PROOF, já que previne que a invasão se espalhe rapidamente.
Apesar do impacto nas sessões de radioterapia, que são fundamentais para quem passa pelo tratamento, outras sessões como consultas já marcadas, internações, quimioterapias, pronto-atendimento, exames de sangue e entrega de medicamentos não foram afetadas. Médicos e funcionários, porém, têm feito relatórios à mão. Dá para imaginar?
Mais problemas: Em entrevista à Band, a paciente Luciana Barbosa disse que o Instituto orienta as pessoas que passam pelo tratamento a entrar em contato a partir da próxima semana para verificar quando o tratamento será retomado.
Ah, quer saber sobre as informações dos pacientes? E as fichas? Tudo isso está sob controle. O Inca relatou que a integridade dessas informações “está completamente preservada”. Ou seja, o banco de dados não foi apagado, tudo está lá. O Instituto ainda trabalha para que tudo volte ao normal o mais rápido possível, incluindo, claro, as sessões de radioterapias. Veremos…
Hackers tentam invadir data center da Cloudflare no Brasil (antes mesmo de ele ser lançado)
Brasil
Por resultarem em operações com equipes reduzidas e, consequentemente, menor capacidade de reação frente a invasões, feriados e datas comemorativas costumam ser um prato cheio para cibercriminosos. No último Dia de Ação de Graças, os funcionários da gigante Cloudflare tiveram que lidar com uma invasão de um ator de ameaça supostamente patrocinado por Estado-nação. E ainda sobrou para o Brasil.
O que rolou: De acordo com um comunicado publicado nesta quinta-feira (01) e assinado por Matthew Prince, John Graham-Cumming e Grant Bourzikas — respectivamente, o CEO, o CTO e o CISO da Cloudflare —, a empresa teve seus sistemas violados por um ator de ameaça que tentou, sem sucesso, acessar um servidor conectado ao data center da Cloudflare em São Paulo — antes mesmo de ele ser colocado em produção.
Embora os atacantes não tenham conseguido acesso ao data center da Terra da Garoa, o mesmo não se pode dizer de servidores internos Atlassian da companhia.
Segundo o comunicado, entre os dias 14 e 17 de novembro do ano passado, um ator de ameaças fez reconhecimento e conseguiu acesso à wiki interna (Atlassian Confluence) e ao banco de dados de bugs (Atlassian Jira) da Cloudflare. O acesso foi retomado no dia 22, quando eles estabeleceram acesso persistente e conseguiram, então, entrar no sistema de gerenciamento de código-fonte (Atlassian Bitbucket) da empresa.
Como eles conseguiram? Um token de acesso e três credenciais de contas de serviço obtidas na invasão à Okta, no dia 23 de outubro, ainda eram válidos — e permitiram que os invasores conseguissem acesso ao ambiente. Ainda não se sabe quem está por trás do ataque, mas a empresa afirmou que, “com base em colaborações com colegas da indústria e do governo”, ele deve ter sido realizado por um invasor patrocinado por um Estado-nação. Não divulgado qual país estaria por trás do ataque, possivelmente por falta de evidências concretas.
Qual o impacto? A Cloudflare informou que o “impacto operacional do incidente foi extremamente limitado” e que nenhum dado de cliente foi afetado, apenas “alguma documentação e uma quantidade limitada do código-fonte”.
A empresa contou com a ajuda da equipe forense da CrowdStrike para uma análise independente do incidente e tomou uma série de medidas, dentre elas: rotacionar mais de 5 mil credenciais de produção, realizar triagem forense em 4.893 sistemas e reiniciar todos os sistemas na rede global da empresa.
E o data center de São Paulo? Mesmo que ele não tenha sido acessado, a Cloudflare devolveu todo o hardware aos fabricantes e os substituiu por um novo equipamento. Só pra garantir.
PF combate organização criminosa que praticava fraudes bancárias contra vítimas no exterior
Financeiro
Olha o golpe internacional passando! Nesta terça-feira, a Polícia Federal montou a Operação Grandoreiro com o objetivo de investigar a atuação de um grupo criminoso envolvido em fraudes bancárias eletrônicas, cometidas por meio do malware brasileiro Grandoreiro — daí o nome da operação. Com a maior parte das vítimas fora do Brasil, atingindo principalmente Espanha e países da América Latina, suspeita-se que a estrutura criminosa esteja em atividade desde 2019, tendo movimentado pelo menos 3,6 milhões de euros, com tentativas de fraudes que chegariam a 110 milhões de euros. Pouco dinheiro, né?
Tudo no sigilo: A investigação começou a partir de denúncias do Caixa Bank, na Espanha, que observou que os programadores e operadores do malware vinham do Brasil. Utilizando servidores na nuvem, eles invadiam remotamente os computadores das vítimas, realizando furtos virtuais sem serem detectados. Sabem qual era o vetor do ataque? O famigerado phishing com intimações judiciais e faturas vencidas. Após ter acesso aos computadores atingidos, o malware era capaz de:
- Bloquear e/ou compartilhar as telas das vítimas.
- Registrar pressionamentos de teclas.
- Simular atividade do mouse e do teclado.
- Exibir janelas pop-up falsas.
Essa operação de larga escala contou com um verdadeiro time de elite! A Interpol e a Polícia Nacional da Espanha se uniram à Polícia Federal brasileira para juntar dados e desmantelar a gangue virtual, contando com informações valiosas da equipe de inteligência da ESET, que pesquisa os bastidores do Grandoreiro e suas variações desde 2020.
Os envolvidos já foram identificados e a polícia lançou cinco mandados de prisão temporária e outros 13 mandados de busca e apreensão, nos estados de São Paulo, Santa Catarina, Pará, Goiás e Mato Grosso.
Houthis ameaçam cortar cabos submarinos de internet
Mundo
Já pensou se grande parte do mundo fica sem internet por causa da ação de um grupo rebelde? Parece um pouco cinematográfico demais, para dizer o mínimo, certo…? Bem, pode ser algo mais possível do que você imagina.
Em meio à escalada dos conflitos no Oriente Médio, os rebeldes iemenitas conhecidos como Houthis ameaçam cortar cabos submarinos de internet — os cabos responsáveis por fazer a internet chegar até você. Segundo um artigo publicado pelo Fórum Internacional do Golfo — um instituto localizado em Washington, nos Estados Unidos —, o grupo trocou mensagens em um canal do Telegram ameaçando cortar cabos de internet localizados no Mar Mediterrâneo, Mar Vermelho, Mar Arábico e Golfo Pérsico.
A ameaça coincide com um aumento de ações do grupo contra navios no Mar Vermelho desde outubro do ano passado, em resposta aos bombardeios de Israel contra a Palestina. Os ataques contra embarcações fizeram com que ao menos uma grande transportadora global, a Maersk, anunciasse a suspensão do transporte marítimo no Mar Vermelho e no Canal de Suez — rotas extremamente estratégicas para o comércio mundial. E os Houthis prometem não parar de agir até que Israel retire suas tropas e pare de bombardear Gaza.
Já pensou? Ainda de acordo com o artigo, o Iêmen encontra-se num local extremamente estratégico para esses cabos, uma vez que o estreito de Bab el-Mandeb é um dos três únicos pontos críticos de cabos em todo o mundo. Ameaças a essa infraestrutura são especialmente preocupantes para grandes potências como China e Estados Unidos, que já estão competindo pelo controle da rede de cabos.
O artigo finaliza dizendo que “com tempo e oportunidade suficientes”, os Houthis poderão ser capazes de adaptar algumas de suas táticas marítimas para atingi-los, e que os cabos submarinos podem ser um “alvo fácil perfeito” em suas próximas investidas.
As vulnerabilidades da semana
O mês de fevereiro chegou com uma notícia preocupante para os especialistas de segurança. O ator de ameaça por trás da botnet FritzFrog começou a explorar a famosa vulnerabilidade Log4Shell. A CVE-2021-44228 tem a nota máxima de criticidade e atinge a biblioteca de log do Apache Log4J Java. Inúmeros serviços a utilizam, incluindo aplicações de grandes companhias, como Microsoft, Apple e Palo Alto.
Ao ser divulgada, a falha acendeu muitos alertas na comunidade, que voltam à tona agora. A botnet FritzFrog visa, principalmente, setores de saúde, educação e governamentais. O relatório da Akamai ressalta que o invasor foca nas máquinas internas das empresas, não nas aplicações expostas à internet, porque essas últimas foram as priorizadas nas correções lá em 2021. Naquela época, a PROOF escreveu um Boletim de Inteligência detalhando a falha, e disse que “mesmo meses após a sua descoberta, a vulnerabilidade ainda assombra as organizações”. Pelo jeito, a situação nos seguiu para 2024.
Além desse problema, saiba mais sobre as outras vulnerabilidades destacadas nesta semana:
- CVE-2024-0402: Esta aqui é uma falha crítica, no nível 9.9! O erro de path traversal já foi corrigido e afeta várias versões do GitLab Comunity Edition e Enterprise Edition.
- CVE-2024-21893: Zero-day de server-side request forgery nos Ivanti Connect e Policy Secure. A CISA já adicionou esta falha de alta criticidade no seu Catálogo de Vulnerabilidades Comumente Exploradas.
- CVE-2023-46805 e CVE-2024-21887: A CISA ordenou que agências federais americanas devem desconectar todas as aplicações Ivanti Connect e Policy Secure vulneráveis às falhas exploradas desde dezembro do ano passado. Os órgãos têm até este sábado para seguir as ordens.
- CVE-2022-48618: CISA também adicionou este erro de alta criticidade no Catálogo no final de janeiro. A falha de improper authentication afeta vários produtos da Apple, como iOS, iPadOS, macOS, watchOS e tvOS.
Fique de olho 🔎
Você sabia que 06/02 é o Dia da Internet Segura? A data varia todo ano (sempre em fevereiro), e marca uma iniciativa surgida em 2004 na União Europeia, tendo se tornado um importante marco para a conscientização da navegação segura em mais de 200 países. Venha conferir a programação de alguns eventos que vão rolar com essa temática:
- Dia da Internet Segura 2024, Anatel – 06/02 às 10h: Live de conscientização em cibersegurança no YouTube organizada pelo governo federal.
- Dia da Internet Segura 2024, SaferNet – 06 e 07/02, de 9h a 18h: Evento presencial e gratuito em SP com programação de dois dias e transmissão online.
Até a próxima sexta-feira!
O seu Radar de notícias de cibersegurança favorito. Falamos sobre tudo que você precisa saber para terminar a semana bem-informado. Reportagens sobre ameaças a todos os setores da indústria, iniciativas de proteção digital do governo brasileiro e de todo o mundo, vulnerabilidades e os eventos mais legais de segurança cibernética dos próximos dias. Na ordem que mais importa sobre o que mais te interessa.
Se precisar de ajuda para endereçar alguma ação prática a ser tomada a partir de uma dessas notícias, não hesite em entrar em contato.
Gostou desta edição? Estaremos de volta na semana que vem. Mesmo horário! Até lá 👋