Radware alerta sobre vulnerabilidade que afeta dispositivos IoT

Redação, Infra News Telecom

  Os pesquisadores da Radware, empresa focada em soluções de segurança cibenética e entrega de aplicativos, têm monitorado a evolução de uma variante do botnet Mirai, chamada de “Dark.IoT”, uma vulnerabilidade da cadeia de suprimentos que afeta os dispositivos IoT – Internet das coisas fabricados por 65 fornecedores que usam os chipsets Realtek e SDK.

  Este mês, os pesquisadores da companhia descobriram binários atualizados para esse botnet sem nome, mostrando que os operadores estão se preparando para aproveitar outra vulnerabilidade da cadeia de suprimentos divulgada recentemente pelo IoT Inspectors Research Lab.

  “Nos últimos seis meses, os operadores por trás do Dark.IoT tentaram alavancar mais de uma dúzia de exploits, incluindo a vulnerabilidade Realtek SDK divulgada mais recentemente,” diz Daniel Smith, chefe de pesquisa da Radware. De acordo com ele, os operadores por trás desta campanha se dedicam a encontrar e aproveitar novos exploits e capturar dispositivos mais vulneráveis que podem ser usados para lançar ataques DDoS mais significativos. “É esperado que esses operadores continuem com esse padrão de aproveitar rapidamente as vulnerabilidades recentemente divulgadas até o final de 2021.”

  Além da Palo Alto Networks, Juniper e Sam, pesquisadores da Radware têm monitorado de perto a evolução das vulnerabilidades do SDK da Realtek, e como elas estão sendo utilizadas por meio de uma variante do botnet Mirai e da exploração de dispositivos IoT.

  A Radware nomeou esta variante da botnet Mirai como “Dark.IoT” baseada nos nomes de arquivos do malware, todos começando com “Dark”, e os nomes de host de IoT (‘lmaoiot.xyz’). Esta campanha de execução mais longa, que foi relatada pela primeira vez em fevereiro de 2021, fornece 13 diferentes vetores de ataque DDoS e utiliza mais de uma dúzia de explorações diferentes em sua propagação.

Relatório da A10 Networks identifica aumento de ataques DDoS

Redação, Infra News Telecom

  De acordo com relatório da A10 Networks, empresa especializada em segurança cibernética, os ataques de negação de serviço (DDoS) continuam a crescer em quantidade, frequência e sofisticação. As armas de DDoS botnet permanecem populares, porém o malware ganha novas maneiras de infectar sistemas de IoT – Internet das coisas e recrutá-los como drones. Ataques de amplificação refletida ajudam  hackers a intensificar o impacto dessas ações.

  O relatório Q2 2020: The State of DDoS Weapons, realizado por especialistas em segurança da empresa, mostra o cenário detalhado dos métodos e a distribuição dos ataques. Durante o 2º trimestre deste ano, os pesquisadores de ameaças da A10 monitoraram os agentes de ataque sob o controle do comando do DDoS botnet. Eles descobriram inovações de malwares por meio de implantação de honeypots e varreram a Internet em busca de fontes expostas de ataques de amplificação refletida.

  Também foram examinados sistemas com potencial para se transformarem em bots de ataque, refletores ou amplificadores, avaliando as chances dessas máquinas serem comprometidas com base na sua disponibilidade na Internet e potenciais fragilidades. Aproximadamente 10 milhões de endereços IP (unique source) estão sendo rastreados.

 

Portmap é o primeiro lugar para armas usadas em ataques DDoS

 

  Adicionado pela primeira vez  ao programa de pesquisa de ameaças da A10 Networks, o Portmap saltou para a primeira posição no relatório com 1.818.848  armas DDoS rastreadas no 2º trimestre de 2020. SNMP e SSDP seguem de perto com quase 1,7 milhão de armas DDoS rastreadas cada.

  Embora os relatórios anteriores de inteligência de ameaças da A10 Networks tenham classificado nações como China, Coréia, Rússia e Índia como as principais fontes de ataques DDoS, a adição do Portmap colocou os EUA no topo da lista com quase 1,6 milhão de armas DDoS —  cerca de 200 mil a mais do que a China, em segundo lugar. Essas armas podem ser usadas em ataques DDoS baseados em Portmap, onde os servidores que executam o protocolo Portmaper baseado em UDP são explorados para uso em ataques de amplificação refletida que acionam um número muito maior de respostas do servidor do que as solicitações iniciais.

  As armas DDoS são frequentemente hospedadas por um ASN, uma coleção de intervalos de endereços IP sob o controle de uma única empresa ou operador governamental, um método que permite que um grande número de armas permaneçam conectadas à rede e ataquem outros sistemas. Dois dos cinco principais ASNs que hospedam armas DDoS, China Telecom e China Unicom CN, estão baseados na China, enquanto um terceiro, Chungwha Telecom, opera em Taiwan. A única ASN com sede nos EUA entre as cinco principais (Charter Communications) ocupa a segunda posição com 477.926 armas hospedadas.

Unisinos bloqueia 36 mil ciberataques com modernização do ambiente de segurança

Redação, Infra News Telecom

  A Unisinos, universidade privada com cerca de 31 mil alunos em cursos de graduação e pós-graduação em todo o país, modernizou o seu ambiente de segurança da informação para aumentar a disponibilidade e desempenho de seus sistemas.

  Para tanto, a instituição se baseou nos pilares de prevenção, resposta a incidentes e conscientização dos professores e funcionários, e utilizou tecnologias da Checkpoint, fornecedora global de soluções de cibersegurança.

  As ferramentas implementadas fornecem visibilidade em tempo real de todo o cenário de ameaças, além de gerenciamento centralizado. Também  apoiam na prevenção com todas as funcionalidades de previsão e bloqueio de anomalias e evitam impactos negativos à infraestrutura de segurança. “Alcançamos maior visibilidade de respostas de incidentes, de logs (registros) e solucionando de modo mais ágil. Tivemos um ganho de produtividade com a resposta a incidentes que, hoje, é consolidada em um único console e centralizada”, destaca Fernanda Bonotto, coordenadora de infraestrutura de TI da Unisinos.

  De acordo com ela, as novas tecnologias permitiram bloquear 36 mil ataques direcionados aos seus sistemas, além de 179 diferentes tentativas de exploração de vulnerabilidade da infraestrutura em 30 dias. “Mais de 37 eventos de botnets são protegidos a cada 30 dias; 31 mil ataques de severidade alta ou crítica são mapeados e protegidos pela Check Point; 57,4 terabytes de dados de tráfego de upload e download são analisados por mês e 176 assinaturas diferentes de IPS são detectadas e protegidas em sua maioria”, completa.

  Este volume de ataques visa desde comprometer o site da universidade, com invasão para roubo de informações de alunos e de pesquisas,  até para tornar algum ou vários serviços indisponíveis. “Um dado que nos chamou atenção foi a redução do número de eventos no momento atual, em comparação ao início da quarentena do novo Coronavírus no Rio Grande do Sul. Possivelmente, os atacantes estavam explorando a fragilidade dos sistemas, que rapidamente foram implementados pela TI para atender às aulas a distância da Unisinos, buscando falhas nas configurações para invadir nossos sistemas. No entanto, ‘eles’ é que falharam”, comenta Fernanda.

  Para Maikon Rodrigo Graeff, especialista em segurança da Unisinos, o investimento na atualização da proteção facilitou o gerenciamento do panorama da segurança, fornecendo uma visão única deste ambiente da universidade. “Temos maior visibilidade e melhor capacidade de gerenciar e combater os ciberataques, além de contar com mais de um analista conectado à infraestrutura de segurança da Unisinos para administrarem em tempo real nosso ambiente”.

  A Unisinos contou com o parceiro de TI local, Sentinela Security, para selecionar as soluções e tecnologias de próxima geração da Check Point. “A Check Point também foi parceira em mostrar o valor do cliente para aprimorar as tecnologias de segurança”, ressalta Fernanda.

Brasil registra mais de 1,6 bilhão de tentativas de ataques cibernéticos no primeiro trimestre de 2020

Redação, Infra News Telecom

  No primeiro trimestre deste ano, a América Latina sofreu 9,7 bilhões de ataques cibernéticos, incluindo vírus/malware, exploits e botnets, segundo a Fortinet, empresa especializada em soluções de segurança cibernética. No Brasil, este número ultrapassou a marca de 1,6 bilhão.

  No mesmo período, foram identificadas cerca de 3 milhões de tentativas de ataques de vírus e malware por meio de phishing na região da América Latina e Caribe. Esta técnica de fraude on-line envia mensagens com links maliciosos e leva o usuário a dar dados pessoais e bancários em páginas falsas ou resulta no download de vírus que passam a controlar os dispositivos e a roubar informações.

  Em todo o mundo, apenas durante o mês de março, houve uma média de 600 novas campanhas de phishing por dia. A Fortinet identificou um aumento de 131% na incidência de vírus em março, em comparação ao mesmo período de 2019. A tendência foi notada já nos primeiros meses de 2020, com um aumento de 17% de vírus em janeiro e de 52% em fevereiro, se comparado aos mesmos meses do ano passado.

  Os dados foram obtidos por meio da plataforma da companhia Fortinet Threat Intelligence Insider Latin America, ferramenta que coleta e analisa incidentes de segurança cibernética em todo o mundo.

  “Normalmente, o maior número de ataques vem na forma de exploits, que tira vantagem de defeitos e vulnerabilidades dos sistemas, mas vimos uma mudança no comportamento dos cibercriminosos este trimestre. Eles passaram a tentar entrar nas redes por meio de phishing, abusando da confiança e da ingenuidade das pessoas que estão em busca de informações sobre a Covid-19”, explica Alexandre Bonatti, diretor de Engenharia da Fortinet Brasil. “A situação é agravada pela utilização de conexões domésticas 100% do tempo por conta do modelo de home office. É essencial que as organizações tomem medidas para proteger seus funcionários e os ajudem a defender seus dispositivos e redes.”

  Segundo a empresa, a principal recomendação para evitar que esses ataques sejam bem-sucedidos é a educação sobre cibersegurança dos funcionários remotos e de suas famílias. “O erro humano ou o descuido está envolvido em 95% das violações de segurança. Por isso, é fundamental conhecer os truques utilizados e desconfiar de tudo que recebemos”, finaliza Bonatti.

Avast avalia 83 milhões de dispositivos IoT

Redação, Infra News Telecom

  Uma pesquisa da Avast, fornecedora de produtos de segurança digital, em colaboração com a Universidade Stanford, dos EUA, revela que mais de 40% das residências em todo o mundo possuem pelo menos um dispositivo conectado à Internet. Na América do Sul esse percentual é de 34% (três em cada 10 residências) e na América do Norte chega a 66%.

  A Avast digitalizou 83 milhões de dispositivos IoT – Internet das coisas, em 16 milhões de residências em todo o mundo, para entender o perfil de distribuição e segurança IoT por tipo e fabricante. Os resultados foram validados e analisados por equipes de pesquisa da companhia e da Universidade Stanford.

  A pesquisa mostra que, mesmo com mais de 14 mil fabricantes de IoT em todo o mundo, 94% de todos os aparelhos de Internet das coisas são produzidos por apenas 100 fornecedores. Protocolos obsoletos, como FTP e Telnet, ainda são usados por milhões de dispositivos (mais de 7% ainda utilizam esses protocolos, tornando os produtos especialmente vulneráveis).

  Este também é o caso de 15% dos roteadores domésticos, que contam com credenciais fracas. A pesquisa ainda indica que muitos sistemas de vigilância têm o perfil Telnet mais fraco, juntamente com roteadores e impressoras. Isso alinha-se com evidências históricas, como o papel do Telnet nos ataques à botnet Mirai, sugerindo que esses produtos são numerosos e fáceis de serem invadidos.

  No Brasil, o estudo inclui dados sobre a “distribuição de dispositivos IoT” da seguinte forma: 9,7% de IoT; 23,9% de elementos de rede; 31,3% de PC; e 35,2% de dispositivo móvel.

  Os usuários contribuíram com dados para o estudo usando o Wi-Fi Inspector da Avast, que verifica vulnerabilidades em redes domésticas e identifica possíveis problemas de segurança que abrem as portas para as ameaças. Esse recurso verifica as condições da rede, os dispositivos conectados à rede e as configurações do roteador.

F5 Networks apresenta plataforma multi-cloud

Redação, Infra News Telecom

  Com a computação de nuvem mais acessível, o conceito multi-cloud, contratação de múltiplos provedores de nuvem, começa a ganhar espaço no país, tanto nas operadoras, como no mercado corporativo. Nesse modelo, o cliente pode escolher o provedor de nuvem com a melhor oferta para atender às necessidades de suas aplicações. “As empresas fazem as suas composições de custos com mais eficiência, disponibilidade e segurança”, comenta Hilmar Becker, country manager da F5 Networks Brasil, fornecedora de soluções de segurança e entrega de aplicações.

  Recentemente, a companhia apresentou o BIG-IP Cloud Edition, uma plataforma de software desenhada para multi-cloud e oferecida como um ADC – Application Delivery Controller virtual configurado por aplicação, não importando em que tipo de nuvem a aplicação está rodando. Capaz de executar e automatizar serviços baseados em políticas a cada etapa do pipeline de desenvolvimento e produção, a solução conta com conectores nativos, que permitem conectar os aplicativos na nuvem de forma rápida e simples. “Uma outra vantagem é a sua compatibilidade com diferentes protocolos de gestão. Ela também pode residir em qualquer nuvem. O usuário tem uma visão global das aplicações e consegue enxergar como cada uma delas está se comportando”, acrescenta Michel Araújo, responsável pela área de operadoras e provedores de serviços da F5 Networks Brasil.

  A segurança também é um diferencial, segundo Araújo. Essa função é garantida pelo Advanced Web Application Firewall, capaz de filtrar, monitorar e bloquear os aplicativos web, impedindo ataques sofisticados a aplicações, de maneira consistente em redes públicas, privadas ou híbridas.

  O BIG-IP Cloud Edition faz parte da plataforma BIG IP, da companhia, que agrega uma ampla gama de funcionalidades, como balanceamento de carga, WAF – web application firewall, gerenciamento de tráfego local e serviços seguros de gateway para web.

  Disponível em appliance, chassis ou software, a linha tem throughput de 25 Mbit/s a 1 Tbit/s. A base do produto é o balanceamento de carga – a partir daí outras soluções são inseridas. Araújo destaca ainda que o BIG IP tem capacidade de enxergar e analisar o tráfego web criptografado, sem perder a performance da rede ou da aplicação. “Nosso equipamento é preparado para esse recurso. Tem processadores dedicados para essa tarefa”, completa.

Segurança como serviço

  A F5 Networks se posiciona como um provedor de serviços de segurança. A companhia mantém cinco SCOs – Security Operation Center ao redor do mundo. Denominada Silverline, sua oferta de serviços gerenciados de segurança tem capacidade de enfrentar ataques massivos, com escalabilidade e performance. “Imagine um ataque supersofisticado. Existem botnets que podem gerar Terabits de tráfego e derrubar Bancos. Nossa tecnologia é preparada para gerenciar e mitigar ataques volumétricos; com isso, podemos garantir a segurança de aplicações de missão crítica que estão em qualquer nuvem”, completa Dalla.

  A Tivit é um dos clientes. A companhia usa o Silverline para prover segurança das aplicações de seus clientes. Basicamente, a plataforma direciona para a nuvem da F5 Networks os ataques ocorridos na rede da Tivit, além de limpar o seu tráfego web. “Em segundos, o tráfego volta para a nuvem da Tivit, como se nenhum ataque tivesse acontecido”.

  Com escritório em São Paulo desde 2005, a F5 Networks está presente em 90% das 500 maiores empresas do país. Tem dois distribuidores e 25 canais no Brasil, além de um centro de manutenção local. Em 2017, a companhia, com sede em Seatle, EUA, faturou US$ 2,1 bilhões.