Uma nova campanha de spam está mirando usuários brasileiros, explorando ferramentas legítimas de monitoramento e gerenciamento remoto (RMM) para comprometer sistemas. Desde janeiro de 2025, segundo a Cisco Talos, criminosos utilizam o sistema de notas fiscais eletrônicas (NF-e) como isca para enganar vítimas. Portanto, entender essa ameaça é essencial para proteger sua empresa. Como Funciona o Ataque? Os cibercriminosos enviam e-mails falsos, muitas vezes se passando por instituições financeiras ou operadoras de telefonia. Esses e-mails alegam pendências em pagamentos ou recibos, induzindo o usuário a clicar em links maliciosos hospedados no Dropbox. Assim, ao clicar, a vítima baixa arquivos executáveis, como “AGENT_NFe_<random>.exe”, que instalam ferramentas RMM, como PDQ Connect e N-able Remote Access. Além disso, os atacantes exploram períodos de teste gratuitos de 15 dias dessas ferramentas. Eles criam contas de teste com e-mails descartáveis, garantindo acesso remoto completo aos sistemas infectados. Dessa forma, conseguem monitorar telas, executar comandos e até desativar softwares de segurança, muitas vezes dias após a infecção inicial. Quem Está por Trás? A Cisco Talos aponta, com alta confiança, que os responsáveis são corretores de acesso inicial (IABs). Esses grupos comprometem redes e vendem o acesso a outros criminosos, como operadores de ransomware. Curiosamente, a campanha foca em alvos no Brasil, incluindo instituições educacionais e governamentais, mas pode se expandir para outras regiões. Impactos e Riscos Uma vez instaladas, as ferramentas RMM fornecem aos atacantes controle total, funcionando como portas dos fundos. Por exemplo, eles podem roubar dados, instalar mais malware ou desativar defesas. Como o tráfego gerado se mistura a comunicações HTTPS legítimas, a detecção é desafiadora. Além disso, a ausência de comportamento pós-infecção imediato dificulta a identificação precoce. Como se Proteger? Para evitar ser vítima, adote estas medidas práticas: Verifique e-mails com atenção: Desconfie de mensagens sobre faturas ou pendências, especialmente com links ou anexos. Restrinja instalações: Limite a instalação de softwares a fontes confiáveis e monitore tentativas de download. Use soluções de segurança robustas: Ferramentas como Cisco Secure Endpoint e Secure Email podem bloquear atividades maliciosas. Eduque sua equipe: Treinamentos regulares ajudam a identificar tentativas de phishing. Por fim, manter sistemas atualizados e implementar autenticação multifator reduz significativamente os riscos. O Futuro da Ameaça Embora a campanha esteja focada no Brasil, suas táticas podem evoluir. Afinal, o uso de ferramentas legítimas para burlar defesas é uma tendência crescente. Portanto, a vigilância contínua e a adoção de boas práticas de cibersegurança são cruciais para empresas de todos os tamanhos. Mais informações no post do Talos. Até a próxima.
Vulnerabilidade CVE-2025-20188 no Cisco IOS XE Wireless LAN Controller: Como se Proteger
No dia 7 de maio de 2025, a Cisco divulgou uma vulnerabilidade crítica em seu software Cisco IOS XE para Wireless LAN Controllers (WLCs), identificada como CVE-2025-20188, com uma pontuação CVSS de 10.0, indicando o mais alto nível de severidade. Essa falha afeta a funcionalidade de Download de Imagem de Ponto de Acesso (AP) Out-of-Band e pode permitir que um atacante remoto, não autenticado, faça upload de arquivos arbitrários, realize ataques de path traversal e execute comandos com privilégios de root no sistema afetado. Detalhes da Vulnerabilidade A vulnerabilidade decorre da presença de um JSON Web Token (JWT) codificado diretamente no sistema, que não é adequadamente validado. Um atacante pode explorar essa falha enviando solicitações HTTPS maliciosas para a interface de download de imagens de AP. Para que a exploração seja bem-sucedida, a funcionalidade de Download de Imagem de AP Out-of-Band deve estar ativada no dispositivo, o que, por padrão, não está. Os impactos de uma exploração bem-sucedida são graves: Upload de arquivos arbitrários: Permite que o atacante insira arquivos maliciosos no sistema. Path traversal: Possibilita o acesso a diretórios restritos. Execução de comandos com privilégios de root: Dá ao atacante controle total sobre o dispositivo comprometido. Produtos Afetados A Cisco ainda não forneceu uma lista completa de versões específicas afetadas no momento da publicação do comunicado, mas confirmou que a vulnerabilidade está presente em dispositivos que utilizam o software Cisco IOS XE com a funcionalidade Out-of-Band AP Image Download habilitada. Medidas de Mitigação A Cisco já disponibilizou atualizações de software que corrigem essa vulnerabilidade. É altamente recomendável que os administradores de rede: Verifiquem se a funcionalidade Out-of-Band AP Image Download está ativada em seus dispositivos. Apliquem as atualizações de software fornecidas pela Cisco o mais rápido possível. Monitorem os sistemas para atividades suspeitas, como tentativas de upload de arquivos não autorizados. Não há soluções alternativas (workarounds) que eliminem completamente a vulnerabilidade, o que reforça a importância de aplicar as correções disponíveis. Recomendações para Administradores Para proteger suas redes, os administradores devem consultar o Cisco Security Advisory para obter informações detalhadas sobre as versões corrigidas, e avaliar a configuração atual dos dispositivos WLC e desativar a funcionalidade Out-of-Band AP Image Download, se não for necessária. Também é importante implementar práticas de segurança robustas, como monitoramento contínuo e segmentação de rede, para minimizar o risco de exploração. A vulnerabilidade CVE-2025-20188 representa um risco significativo para organizações que utilizam Cisco IOS XE Wireless LAN Controllers com a funcionalidade afetada ativada. A rápida aplicação das atualizações de software é essencial para mitigar possíveis ataques que podem comprometer completamente os dispositivos. Mantenha-se informado sobre novas atualizações da Cisco e priorize a segurança da sua infraestrutura de rede. Referências: Cisco Security Advisory CVE-2025-20188: cvefeed.io Até a próxima.
LockBit Hackeado: Novo Ataque ao Grupo de Ransomware
O grupo de ransomware LockBit, um dos mais notórios do mundo, está de volta aos holofotes da cibersegurança, mas não pelos motivos que gostaria. Em 7 de maio de 2025, uma série de posts no X revelou que o grupo foi hackeado e teve seu site desfigurado, marcando mais um capítulo na saga de um dos maiores operadores de ransomware da atualidade. Com base nos tweets, vamos analisar o que aconteceu, quem pode estar por trás disso e o que isso significa para o cenário de cibersegurança. Quem é o LockBit? O LockBit é um grupo de cibercriminosos que opera no modelo de ransomware as a service (RaaS), fornecendo ferramentas a afiliados que atacam organizações em troca de uma parte dos lucros. Desde 2019, o grupo foi responsável por milhares de ataques em mais de 120 países, afetando empresas, escolas, hospitais e governos. Estima-se que o LockBit tenha extorquido mais de US$100 milhões de suas vítimas, usando táticas de dupla extorsão: criptografando dados e ameaçando vazar informações sensíveis caso o resgate não seja pago. Em fevereiro de 2024, o grupo sofreu um duro golpe com a Operação Cronos, uma ação coordenada liderada pela Agência Nacional de Crime do Reino Unido (NCA), com apoio do FBI e outras agências internacionais. A operação apreendeu servidores, sites na dark web e mais de 1.000 chaves de descriptografia, permitindo que vítimas recuperassem seus dados. Apesar disso, o LockBit tentou se reerguer, operando com capacidade reduzida, e seu líder, Dmitry Khoroshev (conhecido como LockBitSupp), foi identificado e sancionado em maio de 2024, com uma recompensa de US$10 milhões por sua captura. O Novo Incidente: LockBit Hackeado e Desfigurado No dia 7 de maio de 2025, o usuário @ReyXBF publicou no X uma série de posts que detalham um novo ataque contra o LockBit. O primeiro tweet, às 20:53 UTC, afirma: “So LockBit just got pwned … xD”, acompanhado de uma captura de tela do site do grupo na dark web. A página foi desfigurada com uma mensagem que, curiosamente, é idêntica à usada em um ataque anterior contra o grupo de ransomware Everest, cujo site na dark web foi desativado em 7 de abril de 2025 após uma desfiguração semelhante. Os posts seguintes de @ReyXBF trazem mais detalhes. Uma análise de um despejo de banco de dados (database dump) indica que o LockBit foi comprometido por volta de 29 de abril de 2025, mas a desfiguração pública só ocorreu em 7 de maio. Isso sugere que os invasores tiveram acesso por cerca de uma semana antes de tornarem o ataque visível. Além disso, o canal de Telegram de LockBitSupp, que estava inativo há um mês, atualizou seu status para “visto recentemente”, indicando que o líder do grupo tornou-se ativo. A mensagem traduzida de LockBitSupp, compartilhada por @ReyXBF, minimiza o impacto do ataque, alegando que o grupo permanece operacional e que a desfiguração foi apenas uma tentativa de “assustar” seus afiliados. Quem Está Por Trás do Ataque? Aparentemente um hacker de Praga foi o responsável, e o grupo Lockbit oferta recompensa para quem informar quem é o responsável. O Cenário Mais Amplo: Ransomware Sob Pressão Esse incidente ocorre em um momento em que o ecossistema de ransomware enfrenta pressão crescente. A desfiguração do site do Everest e a queda nos pagamentos de extorsão em 2024, conforme relatado pela Chainalysis, indicam que operações de aplicação da lei e outras ações disruptivas podem estar começando a surtir efeito. Governos, como o do Reino Unido, estão considerando medidas mais duras, como proibir o pagamento de resgates por órgãos do setor público e exigir que todas as vítimas reportem incidentes, na tentativa de sufocar financeiramente os grupos de ransomware. No entanto, a resiliência de grupos como o LockBit mostra que a luta está longe de terminar. Esses grupos frequentemente se reestruturam sob novos nomes ou marcas, como já fizeram REvil e Conti no passado. Além disso, a operação na Rússia, fora do alcance de autoridades ocidentais, dá ao LockBit e a outros uma vantagem significativa. O Que as Organizações Podem Fazer? Para empresas e organizações, o risco de ransomware continua alto, e o caso LockBit serve como um lembrete da importância de medidas preventivas. Aqui estão algumas recomendações: Atualize Sistemas Regularmente: O LockBit já explorou vulnerabilidades conhecidas, como a CVE-2023-3824 no PHP, para invadir sistemas. Manter softwares atualizados é essencial. Faça Backups Seguros: Backups offline podem ajudar a recuperar dados sem a necessidade de pagar resgates. Treine Sua Equipe: O phishing é uma das principais portas de entrada para ransomware. Treinamento contra engenharia social pode prevenir ataques. Invista em Segurança: Soluções de endpoint, podem detectar e bloquear ameaças. Até a próxima
Protegendo a Tecnologia Operacional: Mitigações Primárias Contra Ameaças Cibernéticas
A crescente conectividade entre sistemas de Tecnologia Operacional (OT) e redes corporativas expõe infraestruturas críticas a riscos cibernéticos significativos. Reconhecendo essa ameaça, a Cybersecurity and Infrastructure Security Agency (CISA), em colaboração com o FBI, EPA e DOE, publicou um guia com medidas essenciais para mitigar esses riscos . Medidas Essenciais para Fortalecer a Segurança de Sistemas OT Desconectar Sistemas OT da Internet Pública: Dispositivos OT conectados à internet são alvos fáceis devido à falta de autenticação robusta. É crucial identificar e eliminar exposições não intencionais, utilizando ferramentas de varredura para detectar portas abertas e serviços vulneráveis. Implementar Autenticação Multi-Fator (MFA): Adoção de MFA para acessos remotos e locais é fundamental para prevenir acessos não autorizados, especialmente em sistemas críticos. Atualizar e Corrigir Sistemas Regularmente: Manter sistemas OT atualizados com os patches de segurança mais recentes reduz significativamente as vulnerabilidades exploráveis por atacantes. Segmentar Redes OT e IT: Estabelecer separação clara entre redes OT e IT impede a movimentação lateral de ameaças, limitando o impacto de possíveis invasões. Monitorar Atividades e Anomalias: Implementar sistemas de detecção de intrusões e monitoramento contínuo ajuda na identificação precoce de comportamentos suspeitos e resposta rápida a incidentes. Fortalecendo a Resiliência Cibernética A adoção dessas medidas não apenas protege sistemas OT contra ameaças imediatas, mas também contribui para a construção de uma postura de segurança cibernética resiliente. Organizações devem integrar essas práticas em suas políticas de segurança, promovendo uma cultura de vigilância contínua e aprimoramento constante. Para uma compreensão mais aprofundada e acesso ao guia completo, visite o site da CISA. Até a próxima.
Parâmetro VPN IPSec – Fase 1 e Fase 2
Para uma VPN site-to-site IPsec funcionar corretamente, os parâmetros das Fases 1 e 2 precisam estar perfeitamente alinhados nos dois lados da conexão. Se houver qualquer divergência, o túnel pode não subir — ou até subir, mas sem passar tráfego. Neste post, vamos revisar o que precisa dar match nas duas fases. Fase 1 – IKE (Internet Key Exchange) Nesta etapa, os dois dispositivos (firewalls, roteadores ou appliances VPN) estabelecem um canal seguro para negociar os parâmetros da Fase 2. É aqui que ocorre a autenticação inicial e o acordo sobre os métodos de segurança. Parâmetros obrigatórios que precisam dar match: IKE Version: Ambos os lados devem a mesma versão (v1 ou v2). Modo de negociação: Main Mode (mais seguro, com 6 mensagens) ou Aggressive Mode (mais rápido, com 3 mensagens, mas menos seguro). O modo deve ser o mesmo nos dois lados. Método de Autenticação: Pode ser uma chave pré-compartilhada (Pre-Shared Key) ou certificados digitais. Se usar uma chave pré-compartilhada, ela deve ser idêntica em ambos os lados. No caso de certificados, eles devem ser configurados corretamente. Algoritmo de Criptografia: Define como os dados do canal IKE serão criptografados. Exemplos comuns incluem AES-128, AES-256 ou o mais antigo 3DES. Ambos os lados devem usar o mesmo algoritmo. Algoritmo de Autenticação (HASH): Garante a integridade dos dados. Opções típicas são SHA-1, SHA-256. Certifique-se de que ambos os dispositivos estão configurados com o mesmo. Diffie-Hellman Group: Usado para a troca segura de chaves. Exemplos incluem Grupo 2 (1024 bits), Grupo 5 (1536 bits) ou Grupo 14 (2048 bits). Esse parâmetro deve ser igual. Se qualquer um desses parâmetros estiver diferente, a Fase 1 não será concluída com sucesso. Embora não seja obrigatório que coincida, é recomendado configurar o tempo de vida do Security Association (SA) IKE com o mesmo valor, para evitar renegociações desnecessárias. A configuração geralmente é em segundos. Fase 2 – IPsec Depois da Fase 1, os dispositivos negociam os parâmetros para proteger o tráfego de dados real. Parâmetros obrigatórios que precisam dar match: Protocolo de Segurança: Escolha entre ESP (Encapsulating Security Payload), que oferece criptografia e autenticação, ou AH (Authentication Header), que fornece apenas autenticação. Ambos os lados devem usar o mesmo protocolo. Algoritmo de Criptografia (para ESP): Se usar ESP, o algoritmo de criptografia (ex.: AES-128, AES-256, 3DES) deve ser o mesmo nos dois lados. Algoritmo de Autenticação (para ESP ou AH): Assim como na Fase 1, opções como SHA-1, SHA-256 ou MD5 devem coincidir. Perfect Forward Secrecy (PFS) (opcional): Se ativado, o grupo Diffie-Hellman (ex.: Grupo 2, 5, 14) deve ser o mesmo em ambos os lados para garantir a segurança das chaves. Modo de Encapsulamento: Geralmente, para VPNs site-to-site, usa-se o Tunnel Mode, que encapsula todo o pacote IP. O Transport Mode é mais comum em cenários host-to-host. Ambos os lados devem usar o mesmo modo. Proxy-IDs (Traffic Selectors): Define quais sub-redes ou IPs serão protegidos pelo túnel (ex.: 192.168.1.0/24 para um lado e 10.0.0.0/24 para o outro). Esses seletores de tráfego devem ser espelhados corretamente, ou seja, a sub-rede local de um lado deve corresponder à sub-rede remota do outro. Assim como na Fase 1, o Lifetime do SA (em segundos ou kilobytes) não precisa ser o mesmo dos dois lados, mas deve preferencialmente ser igual para evitar renegociações frequentes. Outros Fatores Importantes Além dos parâmetros das fases 1 e 2, há outros pontos que podem impactar o funcionamento da VPN: Endereços IP dos Peers: Os IPs públicos dos dispositivos devem estar corretamente configurados e acessíveis. NAT Traversal (NAT-T): Se houver NAT entre os dispositivos, o NAT-T (UDP 4500) deve estar habilitado. Firewall: Libere as portas UDP 500 (IKE), UDP 4500 (NAT-T) e o protocolo ESP (ou AH) nas regras de firewall se houver um firewall entre os peers. IKEv2 Para uma VPN site-to-site IPsec IKEv2 funcionar, os parâmetros que precisam coincidir (dar “match”) em ambas as extremidades nas fases 1 e 2 são semelhantes aos do IKEv1, mas com algumas diferenças devido à natureza simplificada e mais flexível do IKEv2. O IKEv2 combina as fases em menos trocas de mensagens, mas ainda podemos pensar em termos de “Fase 1” (IKE_SA_INIT e IKE_AUTH) e “Fase 2” (CREATE_CHILD_SA). Vamos detalhar os parâmetros necessários. Fase 1: IKE_SA_INIT e IKE_AUTH (Estabelecimento do SA IKE) Na Fase 1, o IKEv2 estabelece o canal seguro de gerenciamento (IKE SA) e autentica os peers. Os seguintes parâmetros devem ser idênticos nos dois lados: Algoritmo de Criptografia Algoritmo de Autenticação (Integridade/Hash) Grupo Diffie-Hellman (DH) Método de Autenticação Propostas de Transform Sets O tempo de vida do IKE SA (em segundos) não precisa ser idêntico, mas é recomendado configurar valores semelhantes para evitar renegociações frequentes. Notas sobre IKEv2 na Fase 1: IKEv2 não diferencia entre Main Mode e Aggressive Mode (como no IKEv1). Ele usa uma troca inicial mais eficiente (IKE_SA_INIT e IKE_AUTH). NAT Traversal (NAT-T) é nativo no IKEv2 e ativado automaticamente se necessário (UDP 4500). Fase 2: CREATE_CHILD_SA (Estabelecimento do SA IPsec) Na Fase 2, o IKEv2 cria os SAs IPsec (Child SAs) para proteger o tráfego de dados. Os parâmetros que devem coincidir incluem: Protocolo de Segurança Algoritmo de Criptografia (para ESP) Algoritmo de Autenticação (para ESP ou AH) Perfect Forward Secrecy (PFS) (opcional, se usado precisa ser o mesmo dos dois lados) Modo de Encapsulamento (Tunnel Mode – padrão para site-to-site, ou Transport Mode) Lfietime e Traffic Selectors Traffic Selectors (TS): As sub-redes ou IPs de origem e destino (ex.: 192.168.1.0/24 para um lado e 10.0.0.0/24 para o outro) devem corresponder. No IKEv2, os Traffic Selectors são mais flexíveis e podem ser negociados, mas precisam ser compatíveis. Lifetime do SA (opcional): O tempo de vida do Child SA (em segundos ou kilobytes) deve preferencialmente ser igual para evitar renegociações. Resumo: VPNs não perdoam divergências. Mesmo uma pequena diferença — como um SHA256 de um lado e um SHA1 do outro — já é suficiente para impedir que o túnel funcione. Por isso, revisar os dois lados da configuração é essencial para o sucesso da VPN. Até a
Microsoft adota passkey como padrão para novas contas
A Microsoft anunciou dia primeiro de maio uma mudança significativa em sua abordagem de autenticação, adotando as passkeys como padrão para novas contas. Essa iniciativa visa proporcionar uma experiência de login mais simples e segura, alinhando-se às melhores práticas de segurança digital. O que são Passkeys? Passkeys são credenciais digitais que substituem as senhas tradicionais, utilizando criptografia de chave pública para autenticar usuários. Elas permitem que os usuários façam login em suas contas usando métodos biométricos, como reconhecimento facial ou impressão digital, ou um PIN, eliminando a necessidade de memorizar senhas complexas. Novidades da Microsoft A partir de agora, novas contas da Microsoft serão configuradas como “sem senha” por padrão. Isso significa que, durante o processo de criação da conta, os usuários não serão solicitados a criar uma senha, mas sim a configurar métodos de autenticação mais seguros, como passkeys. Além disso, a Microsoft redesenhou sua interface de login para otimizar a experiência de autenticação sem senha, tornando o processo mais intuitivo e eficiente. Benefícios das Passkeys As passkeys reduzem significativamente o risco de ataques de phishing e reutilização de senhas, proporcionando uma camada adicional de proteção para as contas dos usuários, sem prejudicar a experiência. Com métodos de autenticação mais rápidos e convenientes, como biometria, os usuários podem acessar suas contas de forma mais ágil e sem complicações. As passkeys são suportadas em diversos dispositivos e sistemas operacionais, incluindo Windows, iOS e Android, facilitando o acesso às contas da Microsoft em diferentes plataformas. Adoção e Futuro A Microsoft está promovendo ativamente a adoção de passkeys, registrando cerca de um milhão de novas passkeys por dia. A empresa também renomeou o “Dia Mundial da Senha” (1/5) para “Dia Mundial da Passkey”, refletindo seu compromisso com um futuro sem senhas. Como Configurar uma Passkey Para configurar uma passkey em sua conta da Microsoft: Acesse Minha conta Microsoft e então Segurança. Selecione “Gerenciar como Entrar”, e Conta sem Senha. Escolha entre as opções disponíveis, como reconhecimento facial, impressão digital, PIN ou chave de segurança. Conclusão A transição da Microsoft para um modelo de autenticação sem senha representa um avanço significativo na segurança digital. Ao adotar passkeys como padrão, a empresa não apenas melhora a proteção das contas dos usuários, mas também simplifica o processo de login, proporcionando uma experiência mais fluida e segura. É um passo importante rumo a um futuro onde senhas complexas e vulneráveis sejam coisa do passado. Até a próxima
