A 19 de Abril de 2023 foram testadas todas as referências multibanco fraudulentas identificadas desde, pelo menos desde 2017. O teste usou a plataforma de homebanking do Millennium com pagamentos de 0,01 euros (que seriam sempre rejeitados pelo seu baixo valor mas que permitem testar se a referência multibanco usada pelo burlão ainda está activa. Foram testadas 15 referências multibanco associadas a estes burlões que usam a 21800 (MediaMedics) identificando-se que 8 ainda estavam a funcionar e permitiam o uso e recepção dos valores da burlas. A MediaMedics foi informada da situação a 19 de Abril de 2023 (não tendo respondido) assim como a SIBS.
Referências usadas por burlões: 110 257 077 Erro “referência inválida”: O burlão já não a pode usar 131 813 882 A referência MB ainda funciona e permite que os burlões a usem 256 207 202 A referência MB ainda funciona e permite que os burlões a usem 380 779 516 A referência MB ainda funciona e permite que os burlões a usem 366 183 259 A referência MB ainda funciona e permite que os burlões a usem 387 477 632 Erro “referência inválida”: O burlão já não a pode usar 461 530 643 Erro “referência inválida”: O burlão já não a pode usar 480 936 052 A referência MB ainda funciona e permite que os burlões a usem 591 064 751 Erro “referência inválida”: O burlão já não a pode usar 612 053 744 Erro “referência inválida”: O burlão já não a pode usar 621 133 233 A referência MB ainda funciona e permite que os burlões a usem 669 068 635 Erro “referência inválida”: O burlão já não a pode usar 810 694 886 Erro “referência inválida”: O burlão já não a pode usar 932 714 773 A referência MB ainda funciona e permite que os burlões a usem 989 040 047 A referência MB ainda funciona e permite que os burlões a usem 323 537 331 A referência MB ainda funciona e permite que os burlões a usem 175 032 546 A referência MB ainda funciona e permite que os burlões a usem
Outras referências usadas em burlas e geradas pela 21800: 157 563 080 837 564 499 820 440 218
Aguardamos agora que a SIBS e a MediaMedics procedam rapidamente ao cancelamento de todas estas referências fraudulentas.
Infelizmente nada disto seria um problema se a SIBS já tivesse implementado nas ATM a revelação no nome da entidade (neste caso 21800 = MediaMedics) e da referência das transferências (nestes casos: o nome dos burlões).
Se a SIBS nada faz para acabar com estas burlas (bastaria nas ATM indicar quem é o beneficiário último do pagamento) a Assembleia da República não tem estado melhor ao não ter ainda determinado que a SIBS já deveria ter reagido e colmatado esta lacuna com mais de dez anos e que já terá lesado em mais de um milhão de euros milhares de famílias portuguesas.
A 19 de Abril de 2023 foram testadas todas as referências multibanco fraudulentas identificadas desde, pelo menos desde 2017. O teste usou a plataforma de homebanking do Millennium com pagamentos de 0,01 euros (que seriam sempre rejeitados pelo seu baixo valor mas que permitem testar se a referência multibanco usada pelo burlão ainda está activa. Foram testadas 15 referências multibanco associadas a estes burlões que usam a 21800 (MediaMedics) identificando-se que 8 ainda estavam a funcionar e permitiam o uso e recepção dos valores da burlas. A MediaMedics foi informada da situação a 19 de Abril de 2023 (não tendo respondido) assim como a SIBS:
Referências usadas por burlões: 110 257 077 Erro “referência inválida”: O burlão já não a pode usar 131 813 882 A referência MB ainda funciona e permite que os burlões a usem 256 207 202 A referência MB ainda funciona e permite que os burlões a usem 380 779 516 A referência MB ainda funciona e permite que os burlões a usem 366 183 259 A referência MB ainda funciona e permite que os burlões a usem 387 477 632 Erro “referência inválida”: O burlão já não a pode usar 461 530 643 Erro “referência inválida”: O burlão já não a pode usar 480 936 052 A referência MB ainda funciona e permite que os burlões a usem 591 064 751 Erro “referência inválida”: O burlão já não a pode usar 612 053 744 Erro “referência inválida”: O burlão já não a pode usar 621 133 233 A referência MB ainda funciona e permite que os burlões a usem 669 068 635 Erro “referência inválida”: O burlão já não a pode usar 810 694 886 Erro “referência inválida”: O burlão já não a pode usar 932 714 773 A referência MB ainda funciona e permite que os burlões a usem 989 040 047 A referência MB ainda funciona e permite que os burlões a usem
Aguardamos agora que a SIBS e a MediaMedics procedam rapidamente ao cancelamento de todas estas referências fraudulentas.
Infelizmente nada disto seria um problema se a SIBS já tivesse implementado nas ATM a revelação no nome da entidade (neste caso 21800 = MediaMedics) e da referência das transferências (nestes casos: o nome dos burlões).
Quando um utilizador da aplicação Uber escolha a opção de carregamento da sua conta é redireccionado – sem aviso – para um site externo: payment.limonetik.com. A limonetik é uma empresa originalmente francesa com sistemas em endereços IP no Luxemburgo que foi comprada pela Thunes de Singapura em 2021.
O site tem uma única cookie em condição regular que envia dados para um site em França (o que está conforme ao RGPD). Lendo a informação sobre a Limonetik em https://thepaypers.com/company/limonetik/27 descobrimos que a empresa para prevenção de fraude usa machine learning e a impressão digital do dispositivo assim como a sua geolocalização, histórico de compras de vários comerciantes, verificações de validação global, verificações da Visa e MasterCard SecureCode, verificações de velocidade e de geografia, pontuação de risco, origem geográfica de IP, listas negras e outros mecanismos para recolher dados sobre o utilizador de cada pagamento. No caso português naqueles feitos via MBWAY.
Contudo essa informação não surge no momento do pagamento na página redireccionada da aplicação Uber para a Limonetik. Isto significa que há dados pessoais que cruzam o número de telemóvel do utilizador com o MAC address, tipo de computador ou telemóvel, resolução do écran, fabricante e modelo do equipamento, língua e browser tipo e versão criando uma pegada única (ou quase) para cada utilizador. Isto significa que a Limonetik/Thunes (de Singapura) que ficam assim – assumidamente – a conhecer os nossos padrões e hábitos de consumo partilhando-os com “parceiros”, subsidários, entidades “afiliadas”, outras empresas da Thunes, fornecedores de serviços de webhosting, data analysis, pagamentos, IT e mail…
O site que surge depois de escolher “MBWAY” também não apresenta um link com a política de privacidade – como é requerido – ou este, pelo menos, não pode ser facilmente encontrado. Também não se encontra aqui informação sobre a existência de uma cookie (a qual, contudo, está regular) devendo esta informação constar do site, assim como a opção (que a Thunes alega disponibilizar) para remover, a pedido, dados pessoais dos seus sistemas.
Alerta enviado à CNPD: Comissão Nacional de Proteção de Dados.
Segundo foi possível saber ontem na audição da Comissão Parlamentar de Inquérito à TAP a Frederico Pinheiro, ex-assessor, e Eugénia Correia, chefe de gabinete. O caso de Frederico Pinheiro revela algumas más práticas no que respeita a segurança informática que podem estar disseminadas no Governo da República.
Os CpC propõe assim que seja realizada uma revisão dos procedimentos, práticas e políticas a aplicar a equipamentos do Estado e, muito especialmente, em todos aqueles que – como sucedeu – possuem documentos ou informações de especial interesse, valor ou essenciais à segurança da República:
1. Os telemóveis do Estado (pelo menos os iPhones) não têm sistemas de MDM (gestão de dispositivos móveis): Usando, por exemplo, o Microsoft Intune – uma solução de gestão de dispositivos móveis (MDM) que permite controlar e gerir dispositivos – teria sido possível definir políticas de restrição de aplicações para impedir a instalação de determinados aplicativos, como o WhatsApp, nos dispositivos iOS geridos.
2. Os telemóveis do Estado não têm sistemas de backup a funcionar: Como no ponto anterior, o uso da mesma ferramenta Microsoft Intune permitiria também realizar “Remote Wipe” para apagar remotamente os dados de um dispositivo perdido ou roubado, bem como recursos de backup e recuperação para garantir a segurança dos dados aqui conservados.
3. Existem comunicações sensíveis e de Estado a circular e a serem tomadas em redes sociais externas e sob controlo de potencias estrangeiras (WhatsApp): A instalação destas aplicações pode e devia ser barrada centralmente e de forma centralizada por MDM. Quanto a estas comunicações já tínhamos sugerido em https://cidadaospelaciberseguranca.com/2023/04/24/comunicacoes-em-meios-electronicos-usados-por-politicos-ciberseguranca-justica-material-de-prova-e-historia-acessibilidade-a-arquivistas/ que “a. Que todos os políticos em funções electivas usem apenas telemóveis de Estado: com uma lista autorizada pré-determinada de aplicações e que excluem aplicações de encriptação ponto a ponto que dependem de estruturas ou organizações estrangeiras. b. Que seja criminalizado o uso de software de comunicações que não tenham encriptação de mensagens ponto-a-ponto, cujos servidores ou chaves estejam fora do controlo direto do governo, União Europeia ou da autarquia local onde são exercidas as funções electivas. c. Deve existir um sistema de comunicações nacional, seguro e de acesso reservado a políticos eleitos para instituições europeias, governo e parlamento da República e autarquias locais. Este sistema deve estar fora do alcance de empresas e potências estrangeiras e garantir o acesso aos historiadores do futuro assim como a investigações judiciais. Sugerimos que esta aplicação seja desenvolvida e mantida no contexto das instituições europeias. d. Que seja criminalmente responsabilizado quem efetuar comunicações de dados sensíveis ou instalar software em equipamentos do Estado Português susceptível de colocar em causa a segurança do equipamento. e. Que seja criado um arquivo de comunicação digital, com o objectivo de preservar as decisões realizadas entre governantes e políticos, de forma a um dia poderem ser consultadas pelo público e mantendo assim a capacidade de académicos e historiadores no futuro conhecerem a realidade de hoje.” Estas propostas foram enviadas a 24 de Abril a todos os grupos parlamentares na Assembleia da República, Câmaras Municipais (presidentes de executivo) e ao Ministério da Administração Interna: não recebemos nem sequer um aviso de recepção ou leitura.
4. Não existe (ou não foi aplicado) um procedimento formal de desligamento/apagamento de um utilizador que abandona a organização que incluísse a negação de acesso centralizada de acessos (conseguiu usar o cartão para entrar na garagem) nem permitisse o esquecimento da recolha imediata do telemóvel juntamente com o computador.
5. O laptop de Frederico Pinheiro estava em modo “standalone”: Isto é, não pertencia à estrutura de identidade, autenticação e gestão remota do Ministério (Active Directory), algo que deveria ser absolutamente proíbido e viola qualquer boa prática de segurança organizacional.
6. Frederico Pinheiro era administrador local do equipamento: Ora existem várias razões pelas quais um utilizador não deva ser um administrador local em um computador: Segurança: Ao conceder privilégios de administrador a um utilizador, este terá acesso total ao sistema operativo e poderá fazer alterações críticas, como instalar/remover software, modificar configurações de segurança e até mesmo apagar ficheiros essenciais. Isso aumenta o risco de comprometimento do sistema por malware, vírus ou outras ameaças cibernéticas especialmente em equipamentos – como o caso – com dados sensíveis para o interessa da República. Estabilidade do sistema: Um utilizador com privilégios de administrador pode inadvertidamente fazer alterações que afetem a estabilidade do sistema ou de outras aplicações. Isso pode levar a falhas, bloqueios e problemas de desempenho. Erros humanos: Mesmo que um utilizador seja experiente, erros podem acontecer. Um clique errado ou uma ação equívoca quando se é administrador pode ter consequências graves, como excluir arquivos importantes ou modificar configurações críticas sem intenção. Políticas de segurança: Em ambientes organizacionais, é comum aplicar políticas de segurança rígidas para proteger informações confidenciais. Ao limitar os privilégios dos utilizadores, o ministério poderia ter reduzido o risco de perda de dados e garantir a conformidade com as regulamentações de proteção de informações em vigor. Geralmente, restringir os privilégios de administrador para os utilizadores finais dos equipamentos é uma prática recomendada para manter a segurança, a estabilidade e a integridade do sistema operativo e dos dados armazenados. Os utilizadores devem ter apenas as permissões necessárias para realizar suas tarefas diárias, enquanto os privilégios de administrador devem ser reservados para administradores de sistemas informáticos.
7. Um laptop com dados sensíveis, confidenciais e estratégicos para a República não tinha o disco encriptado: Essa opção é gratuita e está disponível em todos os equipamentos MacOS, Windows e Linux. No Windows trata-se da “BitLocker Device Encryption in Windows” e quando é iniciada permita a gravação e conservação externa e em local seguro das chaves para eventual futura recuperação do acesso em caso de necessidade de acesso por parte das autoridades judiciais ou da hierarquia do ministério.
8. O laptop permitia a ligação de Storage Devices USB externos: Os quais usou várias vezes para copiar ficheiros importantes e que estavam no equipamento. Este uso pode ser bloqueado por Group Policy se o computador estiver ligado a uma Active Directory (não estava) e é igualmente possível enviar um mail alertando o utilizador para essa tentativa de uso em contrário aos procedimentos em vigor.
9. O laptop estava em modo “standalone”: isto é: não pertencia ao Domain AD do Ministério (?) e, logo, não podia receber um conjunto centralizado de políticas e configurações: Teria sido possível impedir que o equipamento tivesse em disco cópias únicas (assim o disse a Chefe de Gabinete) de determinadas extensões (.pdf, .docx, .xlsx) obrigando à sua presença única em shares de rede sob controlo do Ministério.
10. O laptop permitia a existência de cache profiles e, logo, permitia o logon sem o prévio estabelecimento de VPN para com a rede do Estado: Isto pode ser forçado centralmente através de uma Group Policy de Active Directory ou, se o computador não estiver em AD é possível também desligar estes logins com uma alteração de registry mas esta pode ser desfeita se o utilizador for um administrador local como parecia ser o caso de Frederico Pinheiro.
11. O laptop não tinha um sistema de AV ou MDM que permitisse o shutdown remoto/remote wipe ou lock em caso de perda de controlo nem a geolocalização do equipamento em caso de perda ou furto: Isto mesmo – por exemplo – é fornecido pela solução Panda de Antivírus e por outras soluções de MDM tais como AirDroid Business é um software de limpeza remota MDM compatível com dispositivos Android, iOS, Windows e macOS. Executa apagamentos remotos, bloqueia écrans e arquivos do dispositivo, força redefinições de senha e redefine automaticamente um dispositivo de fábrica. O Apple Business Manager que é uma plataforma baseada na web que faz apagamentos remotos de dispositivos iOS, iPadOS e macOS. Os arquivos ainda podem ser recuperados até 30 dias após a limpeza. O Google Workspace que permite que os administradores de TI dessas organizações limpem remotamente os dispositivos ou o Knox Manage, uma ferramenta semelhante para dispositivos Samsung que também possui uma opção de restauração e pode rastrear dispositivos perdidos.
12. Foram feitas impressões de documentos confidenciais: É possível impedir a impressão deste tipo de documentos sensíveis com políticas de segurança adequadas e usando, por exemplo, as etiquetas de confidencialidade do Office 365 (Microsoft Purview). Isto permitiria – se estas etiquetas tivessem sido usadas – encriptar e-mails, convites para reuniões e documentos para impedir que pessoas não autorizadas acedam a estes dados, usar marcas de água em documentos confidenciais dinâmicas e geridas centralmente. Por Group Policy – se o computador fosse parte de uma AD e já sabemos que não o era – teria sido possível impedir a impressão de documentos confidenciais ou de outro tipo.
13. Terá sido possível enviar documentos de trabalho para mails pessoais: É possível bloquear através de policies de restrição de mail o envio de documentos/anexos de mail para endereços de mail pessoais (gmail, hotmail, mail.com, etc).
Sugestões enviadas a todas as câmaras municipais do país, a todos os grupos parlamentares e a todos os ministérios do Governo da República. Em breve a criar no formato de Petição à Assembleia da República por forma a que esta possa legislar neste sentido.
No seguimento do alerta realizado pela Iniciativa CpC sobre a campanha “viaverde-sessao” que usava mensagens de SMS com links maliciosos invocando um termo iminente do serviço Via Verde detectámos outros domínios com nomes idênticos alojados nos mesmos fornecedores de serviço. Contactados os alojadores da plataforma utilizada pelos burlões e estes começaram por remover os links “/Alert” para onde eram direccionadas as vítimas. Posteriormente a própria conta cPanel onde residia o site de template (um falso reparador de automóveis nos EUA) foi apagada impedindo o prosseguimento de outras campanhas que aqui também se estavam a preparar (usando, nomeadamente, o domain viaverde-sessao.org)
Desde 2 de maio que o site do Instituto Politécnico de Leiria está indisponível. Embora, segundo a instituição, não tenha sido “formalizado qualquer pedido de resgate” o certo é que o instituto não tem nem site, nem a rede interna operacional estando neste momento, a 14 de maio, a decorrerem operações de reposição de serviço com recuperação parcial de alguns serviços como o e-mail e o acesso à Internet desde o dia 11.
Uma vez que nos seus ataques o Akira deixa nos servidores afectados um ficheiro “akira_readme.txt” com informação sobre o que aconteceu e links para o seu site de dados exfiltrados e com elementos para a negociação financeira recomendados que o IPL realize uma busca extensiva por este ficheiro. O texto deste ficheiro é, geralmente, uma variação de “As for your data, if we fail to agree, we will try to sell personal information/trade secrets/databases/source codes – generally speaking, everything that has a value on the darkmarket – to multiple threat actors at ones. Then all of this will be published in our blog”.
O ataque insere-se numa grande vaga que está a assolar os países da OTAN que enviaram tanques Leopard 2 para a Ucrânia e que colocou a botnet Passion, afiliada da Killnet (financiada directamente pelo regime de Putin) a atacar instituições médicas de EUA, Portugal, Espanha, Alemanha, Polónia, Finlândia, Noruega, Holanda e Reino Unido desde 27 de janeiro. Esta primeira vaga em que hacktivistas russos financiavam (a troco de 50 dólares por 3 dias ou 1440 por uma semana) o ataque de negação de serviço oferecido pela rede Passion no modelo “DDoS-as-a-Service” está agora a ser sucedido por uma nova vaga em que o novo APT Akira parece ser o ponta de lança dessa nova ofensiva cibernética.
Os métodos da Passion são semelhantes aos da Akira já que passam pelo desfiguração dos sites das vítimas a par de ataques de negação de serviço DDoS. Os ataques DDoS representam a primeira fase e, por vezes, quando não é obtido acesso aos sistemas das vítimas são a única componente. Segundo a Radware a Passion tem sido usada por grupos hacktivistas russos como o Anonymous Russia, MIRAI, Venom, e o próprio Killnet desde março do ano passado mas Portugal só apareceu como um alvo prioritário desde março deste ano.
Por seu lado, o ransomware Akira tem como alvo principal organizações de média dimensão e sobretudo no sector da Educação e do sector público contando entre as suas vítimas o norte-americano “BridgeValley Community and Technical College” atacado um dia antes do Politécnico de Leiria, a 1 de maio. Outras vítimas, no Reino Unido e na Europa foram alvos de pedidos de resgata de 100 mil e 50 mil euros pelo que este deverá ser tipo de valor que será pedido a Leiria, mais cedo ou mais tarde já que a motivação do Akira não é apenas política mas também financeira.
Como funciona o Akira? 1. O trojan é distribuído por mail e reside em sites wordpress que desconhecem que foram comprometidos. 2. Sistemas Windows são as vítimas desta organização. 3. Após o alvo ter carregado o programa malicioso este distribui vários payloads nos directórios %Local%, %Temp%, %Windows%, %SystemDrive% %LocalLow%, %AppData%, %System% e %system32%. 3. São criadas várias entradas no registry nas entradas Run e RunOnce 4. A encriptação transforma os ficheiros em arquivos encriptados com a extensão .akira. Isso ocorre apenas depois dos ficheiros afectados terem sido exflitrados para a rede do atacante. 5. Os ficheiros atacados são das extensões .accdb, .accde, .accdc, .accdt, .accdr, .adb, .accft, .adf, .ade, .arc, .adp, .alf, .ora, .btr, .ask, .cat, .bdf, .ckp, .cdb, .cpd, .cma, .dad, .dacpac, .daschema, .dadiagrams, .db-shm, .db-wal, .dbf, .dbc, .dbt, .dbs, .dbx, .dbv, .dct, .dcb, .ddl, .dcx, .dlis, .dsk, .dqy, .dtsx, .dsn, .eco, .dxl, .edb, .ecx, .exb, .epim, .fdb, .fcd, .fmp, .fic, .fmpsl, .fmp12, .fol, .fpt, .gdb, .frm, .gwi, .grdb, .his, .hdb, .idb, .itdb, .ihx, .jet, .itw, .kdb, .jtx, .kexic, .kexi, .lgc, .kexis, .maf, .lwx, .mar, .maq, .mav, .mas, .mdf, .mdb, .mrg, .mpd, .mwb, .mud, .ndf, .myd, .nrmlib, .nnt, .nsf, .nyf, .nwdb, .oqy, .odb, .owc, .orx, .pdb, .pan, .pnz, .pdm, .qvd, .qry, .rctd, .rbf, .rodx, .rod, .rsd, .rpd, .sbf, .sas7bdat, .sdb, .scx, .sdf, .sdc, .spq, .sis, .sqlite, .sql, .sqlitedb, .sqlite3, .temx, .tps, .tmd, .trm, .trc, .udl, .udb, .usr, .vpd, .vis, .wdb, .vvv, .wrk, .wmdb, .xld, .xdb, .abcddb, .xmlff, .abx, .abs, .adn, .accdw, .icg, .hjt, .kdb, .icr, .maw, .lut, .mdt, .mdn, .vhd, .vdi, .pvm, .vmdk, .vmsn, .vmem, .nvram, .vmsd, .raw, .vmx, .subvol, .qcow2, .vsv, .bin, .vmrs, .avhd, .avdx, .vhdx, .iso, .vmcx. Curiosamente os ficheiros de videos parecem ser um dos principais alvos da Akira. 6. As protecções de Shadow Volume do Windows são removidas pelo malware por forma a impedir uma rápida reposição dos ficheiros perdidos. 7. Uma vez na rede interna a Akira procura credenciais de administração para mover lateralmente o seu malware, apagar Shadow Copies e encriptar ficheiros em file shares.
Sejam a Akira, seja a Passion, Portugal está em guerra. É uma guerra silenciosa e gradual mas empresas, autarquias e instituições do Estado português são sondadas e atacadas todos os dias com especial intensidade desde o envio dos Leopard 2 para a Ucrânia. Porque a cibersegurança não é apenas um assunto dos especialistas mas de todos todos nós importa perguntar: O que podem fazer as organizações portuguesas: públicas e privadas para se proteger?
1. O Akira entra nas redes das suas vítimas combinando técnicas de phishing por email com vulnerabilidades em sites, nomedamente através de plugins WordPress. É assim altamente recomendado que realize regularmente simulações de campanhas de phishing e mantenha um programa de treinamento regular dos utilizadores da sua rede assim como uma actualização permanente do seu site público e uma higiene cuidadosa quanto à quantidade a actualização dos plugs-ins se usa a plataforma wordpress.
2. Proteja cuidadosamente todas as suas contas com permissões de administração: reduza a sua quantidade ao mínimo absoluto. Garanta (criando automatismos de alerta) que não existem contas de administração de domain em disconnect em servidores nem que estas contas são usadas pelos seus técnicos para as suas funções normais de trabalho nem para, sobretudo, acederem ao seu mail pessoal ou corporativo. Divida as contas de administração em dois grupos (pelo menos) separando as contas com permissões de administração nos computadores dos utilizadores diferentes das contas de administração de servidores. Pondere a criação de um terceiro grupo de contas de administração que tenha, apenas, capacidades de domain admin.
3. Um método muito usado pela Akira é o acesso às redes afectadas através de RDC: se o usa na sua rede para aceder a servidores na DMZ ou, mesmo, na rede interna: pare imediatamente de o fazer. Estes ataques são muito comuns e amplamente conhecidos desde há alguns anos e em 2022 foram a principal forma de invasão.
4. Ataques DDoS: contrate junto dos seus fornecedores de serviço de acesso à Internet produtos que os protejam contra volumetria anormais de acesso à Internet e contra zonas geográficas que sejam distintas dos padrões normais de acesso à Internet das suas redes e sites públicos.
5. Não permita que os seus utilizadores sejam administradores locais ou, pelo menos, que não estejam permanentemente logados com contas com esse tipo de permissões locais. Assim impedirá a propagação do malware Akira para alguns dos directórios onde ele se tenta replicar.
6. Via logon script coloque a correr na rede monitores que alertam por email e logam para ficheiro todas as entradas no registry recentemente adicionadas na Run e RunOnce.
7. Active o File Screening nos seus servidores de file sharing por forma a impedir a criação de ficheiros com extensões desconhecidas (como a .akira)
8. Crie um share de rede desprotegido (sem password) com muitos milhares de ficheiros “dummy” nas extensões visadas em particular por este ataque e por muitos outros e crie uma task de alerta por mail sempre que ocorrerem alterações nestes ficheiros e directórios.
9. No seu file share principal coloque um programa que alerte para a aparição do processo “vssadmin delete” que indicia que alguém ou algo está a apagar as suas shadow copies. Envie esse alerta por mail. No caso particular do Akira as Shadow Copies são apagadas por WMI com o comando: “powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject””: avalie se precisa, mesmo, de ter o WMI activo nos servidores de file sharing: provavelmente não precisa.
10. Segregue os seus sites públicos das suas redes privadas: mantendo-os em fornecedores e plataformas completamente distintas.
11. Mantenham uma visibilidade total de toda a sua rede e serviços disponibilizados na Internet e sistemas de monitorização que os alcancem a todos e permitam um rápido alerta ao primeiro sinal de anomalia. Muitas vezes o ataque DDoS é apenas o primeiro de um ataque seguinte que explorando alguma vulnerabilidade no site ou uma campanha de phishing por e-mail bem sucedida consegue estabelecer uma testa de ponta na rede interna que, nos dias e semanas seguintes, se transforma num ataque de ransomware com encriptação e perda de ficheiros.
12. Garanta que todos os seus sistemas estão cobertos por backups e que a sua reposição é regularmente testada. Como sucedeu com o Politécnico de Leiria esta garantia é absolutamente essencial para recuperar o serviço perdido.
Embora esta burla já esteja activa há alguns meses parece ter sido refrescada há algumas semanas com novos números de telemóvel provavelmente os provenientes da mesma exfiltração da Meta/Facebook que continha 4,7 milhões de números portugueses (entre 533 milhões de contactos) que foi conhecida de abril de 2021.
A burla usa um SMS ameaçando a desactivação do identificador da Via Verde e apela a que “rapidamente” a vítima tome ações “urgentes” (o que é, desde logo, um sinal de alerta).
Este SMS é enviado do número 963 407 944 e assenta no site https://viaverde-sessao.com embora seja provável que estejam a ser usados mais números de telemóvel. O número já foi reportado como fraudulento à https://www.telguarder.com e deverá agora começar a aparecer na lista de spam de que usa no seu telemóvel este tipo de aplicações.
O facto de surgir o ícone no Google Chrome com o cadeado por induzir muitos utilizadores sobre a “segurança” (algo que a Google admite e que levou à sua supressão). Analisando este certificado observamos que o emissor é a “AO Kaspersky Lab” e que se trata do “Kaspersky Anti-Virus Personal Root Certificate” sendo que a intenção parece ser a dar alguma credibilidade ao site (como tendo sido “verificado” por um conhecido produto de antivírus). Na realidade: isso não acontece, nem tem que acontecer estando este certificado ao alcance de quem o quiser usar (como sucede com os da Lets Encrypt: aliás).
O site assenta no IP 66.232.107.194 que está geolocalizado em Tampa (Florida: EUA) sendo este cedido pela HIVELOCITY com ramos nos EUA, África do Sul e Brasil (onde, provavelmente, tem sede esta campanha viaverde-sessao). O IP foi reportado como “uso abusivo” a este ISP (ainda sem efeitos práticos via abuse@hivelocity.net) e aqui também residem outros domínios e sites de uso malicioso entre outros que parecem legítimos conforme se observa em https://urlscan.io/ip/63.250.43.136 onde se encontram outras variantes desta campanha tais como o viaverde-sessao.org e o www.viaverde-sessao.org que poderão estar de reserva para novas edições da campanha. Por usa vez, o domínio DNS foi registado na Moniker (que também já recebeu um reporte de uso abusivo via getsupport@moniker.com).
O site principal aparenta ser um de uma empresa de reparação automóvel nos EUA mas tem partes em latim o que indica que o burlão não se deu a muito trabalho para concluir o site principal focando-se na página
Estas campanhas dependem da falta de transparência e na facilidade de acesso a estes números de telemóvel pré-pagos. É preciso criar uma forma rápida e eficiente de reportar para bloqueio ou suspensão de uso números de telemóveis que estejam a ser usados por burlões. Actualmente essa ferramenta não existe permitindo que os burlões usem os mesmos números durante anos a fio. Estas fraudes dependem de números pré-pagos que são hoje em dia convenientes para usos obscuros e que dificilmente têm actualmente utilizações legítimas e uma forma rápida de reduzir o alcance destas fraudes seria criar um número nacional para onde se pudessem fazer forwards das mensagens fraudelentas que seria recepcionado pela autoridades que, depois, poderiam tomar medidas que poderiam levar ao rápido cancelamento destes números.
Iniciativa CpC: Cidadãos pela Cibersegurança 