Monitoramento

O grupo de ransomware conhecido como Crazy está explorando softwares legítimos de monitoramento de funcionários, como o Net Monitor for Employees Professional e a plataforma de suporte SimpleHelp, para realizar invasões em redes corporativas. Segundo um estudo da empresa de segurança Huntress, os cibercriminosos utilizam esses aplicativos para se infiltrar nas máquinas das vítimas, aproveitando-se de redes vulneráveis e disfarçando suas atividades como ações administrativas normais. Uma vez dentro do sistema, os hackers conseguem transferir arquivos, executar comandos e obter permissões de administrador, além de instalar ferramentas adicionais para garantir o acesso contínuo. Um dos métodos utilizados inclui a desativação do Windows Defender e a configuração de alertas em caso de acesso a carteiras de criptomoeda. Essa abordagem de usar ferramentas legítimas para realizar ataques de ransomware representa uma nova tática que dificulta a detecção por parte das equipes de segurança. A Huntress recomenda que as organizações monitorem de perto a instalação não autorizada de aplicativos de suporte para proteger dados sensíveis contra roubo.

Pesquisadores da Huntress identificaram que membros do grupo de ransomware Crazy estão utilizando softwares legítimos de monitoramento de funcionários e ferramentas de suporte remoto, como o SimpleHelp, para manter acesso persistente em redes corporativas e se preparar para a implantação de ransomware. Os atacantes instalaram o Net Monitor for Employees Professional em sistemas comprometidos, permitindo acesso remoto completo, incluindo visualização de desktop e execução de comandos. Além disso, tentaram ativar a conta de administrador local e instalaram o cliente SimpleHelp para garantir acesso contínuo, mesmo que o software de monitoramento fosse removido. Os atacantes monitoraram atividades relacionadas a carteiras de criptomoedas e ferramentas de gerenciamento remoto, buscando detectar qualquer atividade suspeita. A Huntress alerta que a utilização de ferramentas de gerenciamento remoto legítimas tem se tornado comum em intrusões de ransomware, permitindo que os atacantes se misturem ao tráfego de rede normal. A recomendação é que as organizações monitorem de perto a instalação não autorizada de tais ferramentas e implementem autenticação multifator (MFA) em serviços de acesso remoto para proteger suas redes.

A migração para a nuvem, embora prometida como uma solução simples e segura, tem gerado novos desafios de segurança, como a criação de pontos cegos e superfícies de ataque. A visibilidade em tempo real é essencial para a defesa cibernética, especialmente em arquiteturas de múltiplas nuvens e ambientes híbridos. A padronização dos logs nativos da nuvem é complexa devido à diversidade de provedores, mas a telemetria de rede se destaca como uma solução eficaz, permitindo que analistas identifiquem padrões suspeitos rapidamente. O artigo enfatiza a importância de monitorar o tráfego de rede, incluindo comunicações internas e externas, e sugere o uso de ferramentas como o Corelight NDR para melhorar a detecção de ameaças. Além disso, destaca a necessidade de um fluxo de trabalho eficaz para coletar e analisar dados de telemetria, estabelecendo bases de referência e monitorando atividades suspeitas. A segurança em ambientes de nuvem requer a aplicação de princípios de rede tradicionais para garantir uma defesa robusta contra ataques cibernéticos, especialmente em um cenário onde os atacantes utilizam inteligência artificial para contornar controles de segurança.

A Microsoft iniciou a implementação da funcionalidade Sysmon em sistemas Windows 11 que fazem parte do programa Windows Insider. O Sysmon, uma ferramenta gratuita da Microsoft Sysinternals, é um serviço de sistema e driver que monitora atividades maliciosas e suspeitas, registrando-as no Log de Eventos do Windows. Embora já fosse uma ferramenta popular para diagnóstico de problemas e caça a ameaças, sua instalação manual dificultava a gestão em ambientes de TI grandes. Com a nova integração, a funcionalidade Sysmon permite capturar eventos do sistema que auxiliam na detecção de ameaças, podendo ser configurada para monitorar comportamentos complexos, como criação de arquivos executáveis e alterações na área de transferência do Windows. Apesar de estar disponível nativamente, o Sysmon vem desativado por padrão e deve ser habilitado manualmente. As novas capacidades estão sendo disponibilizadas para usuários do Windows Insider nas versões Beta e Dev que instalaram as builds de pré-visualização mais recentes. Essa mudança promete facilitar a administração de segurança em ambientes corporativos, permitindo um monitoramento mais eficaz e centralizado das atividades do sistema.

Um estudo da empresa de segurança Jamf revelou que o spyware Predator, da Intellexa, possui um nível de monitoramento e controle sobre seus usuários muito maior do que o alegado pelos vendedores do software. Tradicionalmente, esses fornecedores afirmam que suas ferramentas são utilizadas apenas por governos e entidades legais para monitorar atividades criminosas e ameaças à segurança nacional. No entanto, a pesquisa indicou que o Predator utiliza técnicas de anti-análise para coletar dados sobre falhas de uso, permitindo que operadores ajustem suas estratégias de ataque. O software é capaz de relatar erros específicos a um servidor de comando e controle (C2), que, embora não esteja claro se é operado pela Intellexa ou por seus clientes, sugere um controle centralizado. A falta de transparência em relação ao funcionamento do Predator levanta preocupações sobre seu uso em ciberataques a ativistas de direitos humanos e jornalistas, como evidenciado pelo caso do assassinato do jornalista Jamal Khashoggi, cujas comunicações foram comprometidas por outro spyware, o Pegasus. A Intellexa, por sua vez, não possui presença online visível, o que agrava a falta de clareza sobre suas operações.

Os keyloggers são ferramentas que registram as teclas digitadas em dispositivos, podendo ser utilizados tanto de forma legítima quanto maliciosa. Como software, eles são frequentemente instalados em sistemas operacionais sem o conhecimento do usuário, enquanto como hardware, podem ser dispositivos físicos conectados entre o teclado e o computador. A principal função dos keyloggers é coletar informações sensíveis, como senhas e dados bancários, o que os torna uma ameaça significativa no cenário da cibersegurança. Embora possam ser usados legalmente para monitoramento corporativo, controle parental e suporte técnico, seu uso sem consentimento levanta questões éticas e de privacidade. Os cibercriminosos, por outro lado, utilizam keyloggers para roubar dados através de métodos como phishing e downloads de trojans. Para se proteger, é essencial estar ciente dos sinais de alerta e adotar medidas de segurança, como o uso de antivírus e a verificação de links suspeitos. O artigo também discute a necessidade de um debate ético sobre o uso de keyloggers, especialmente em ambientes corporativos e familiares, onde a privacidade deve ser respeitada.

Com a crescente sofisticação das operações cibernéticas, as organizações precisam de estratégias robustas de defesa que vão além do firewall corporativo. O uso do dark web por cibercriminosos para negociar credenciais roubadas e planejar ataques torna essencial a adoção de ferramentas de monitoramento avançadas. O artigo destaca as dez melhores ferramentas de monitoramento da dark web para 2025, enfatizando a importância da Inteligência de Ameaças Cibernéticas (CTI) e da Proteção de Riscos Digitais (DRP). A seleção das ferramentas foi baseada em critérios como cobertura de dados, capacidade de análise, integração com fluxos de trabalho de segurança e especialização. Entre as ferramentas destacadas estão Recorded Future, DarkOwl, Digital Shadows e Flashpoint, cada uma oferecendo características únicas, como alertas em tempo real, análise humana e serviços de remediação automatizados. A evolução do mercado é impulsionada pela integração de análises baseadas em IA e pela necessidade de alertas de ameaças contextualizados e de alta fidelidade, tornando a escolha da plataforma certa crucial para os profissionais de segurança em 2025.

O Beijing Institute of Electronics Technology and Application (BIETA) é uma empresa chinesa que, segundo investigações, estaria sob a liderança do Ministério da Segurança do Estado (MSS) da China. A análise aponta que pelo menos quatro funcionários da BIETA têm vínculos diretos ou indiretos com oficiais do MSS, além de conexões com a Universidade de Relações Internacionais, conhecida por suas ligações com o MSS. A BIETA e sua subsidiária, Beijing Sanxin Times Technology Co., Ltd. (CIII), desenvolvem tecnologias que supostamente apoiam missões de inteligência e segurança nacional da China, incluindo métodos de esteganografia para comunicações secretas e ferramentas de investigação forense. A empresa também tem se envolvido em projetos que permitem monitorar e bloquear dispositivos móveis em grandes eventos, além de desenvolver softwares para simulação de comunicação e testes de penetração em sistemas. A Mastercard, que analisou a situação, sugere que a BIETA e a CIII são organizações de fachada que facilitam operações de inteligência cibernética do governo chinês. Essa revelação surge em um contexto de crescente preocupação com a segurança cibernética e a espionagem, especialmente em relação a tecnologias amplamente utilizadas no Brasil.

Desde a introdução da Lei de Segurança Online (OSA) no Reino Unido, em 2022, houve um aumento significativo no uso de VPNs e na busca por métodos alternativos para acessar conteúdo restrito. A OSA, que visa proteger crianças e adultos online, resultou em um aumento de 56% nas buscas por informações sobre VPNs e um impressionante aumento de 1.800% nos downloads do ProtonVPN. No entanto, a lei também gerou preocupações sobre privacidade, especialmente com a exigência de verificação de idade para sites pornográficos e a possibilidade de escaneamento de mensagens em aplicativos de mensagens antes da criptografia. Essa abordagem levanta questões sobre a segurança dos dados pessoais dos usuários e a eficácia das tecnologias de verificação. Além disso, a OSA pode levar a um aumento na busca por identidades falsas e acesso à dark web, o que representa um risco adicional. Embora a OSA não imponha uma censura total, suas implicações para a privacidade e a segurança online são significativas e podem servir como um alerta para outros países, incluindo o Brasil, sobre os desafios da regulamentação da internet.

O Healthcare Services Group (HSGI), um prestador de serviços de apoio a instalações de saúde, sofreu um ataque cibernético no final de setembro de 2024, resultando no roubo de dados sensíveis de mais de 600 mil pessoas. A violação foi detectada em 7 de outubro de 2024, e a investigação revelou que arquivos foram acessados entre 27 de setembro e 3 de outubro. Os dados comprometidos incluem nomes completos, números de Seguro Social (SSN), números de carteira de motorista, informações financeiras e credenciais de acesso a contas. O roubo de informações tão sensíveis pode facilitar fraudes de identidade, como abertura de contas bancárias e empréstimos fraudulentos. Embora a HSGI não tenha encontrado evidências de abuso dos dados até o momento, a empresa está oferecendo serviços gratuitos de monitoramento de roubo de identidade por 12 a 24 meses, dependendo da combinação de dados roubados. Os afetados devem estar atentos a tentativas de phishing e comunicações fraudulentas que possam surgir, especialmente aquelas que alegam ser da HSGI.