O Banco Central da Nova Zelândia informou neste domingo (10) que um de seus sistemas foi acessado ilegalmente por hackers. De acordo com a autoridade monetária, o ataque ainda está sendo investigado, e o sistema comprometido foi desconectado da rede até que a investigação seja concluída.

A brecha de segurança teria atingido um serviço externo de compartilhamento de arquivos utilizado pelo Reserve Bank. Através deste serviço, o banco compartilha e armazena "algumas informações sensíveis". De acordo com o comunicado, ainda não foram determinadas a natureza e a quantidade de arquivos acessados de forma ilegal.

"Estamos trabalhando de perto com especialistas em cibersegurança nacionais e internacionais e outras autoridades relevantes como parte de nossa investigação e resposta a este ataque malicioso", afirmou em comunicado Adrian Orr, chefe do Reserve Bank.

Segundo ele, os arquivos comprometidos "podem incluir" informações comercialmente e pessoalmente sensíveis. Ainda de acordo com o texto, as principais funções dos sistemas do banco central neozelandês continuam em funcionamento.

Um ataque de hacker capaz de derrubar o site de uma grande empresa, um tribunal de Justiça ou um órgão do governo é vendido sem restrições na internet. O mercado criminoso oferece serviços de sobrecarregar páginas virtuais em fóruns da Deep Web, uma camada da internet não acessível por navegadores e endereços convencionais. Os preços pelas ações variam conforme o impacto e o tempo da ação cibernética.

A lista de preços médios dos crimes virtuais comercializados na Deep Web é divulgada anualmente pelo Privacy Affairs, um coletivo de profissionais de cibersegurança. Na cotação mais recente, um ataque tipo DDoS com até 50 mil requisições a cada segundo e duração de uma hora sai por US$ 10 dólares. A investida contra o site do Tribunal Superior Eleitoral (TSE), no primeiro turno das eleições, por exemplo, teve 463 mil conexões por segundo e tempo total de ataque de 20 minutos.

Mais conhecido por ataque de negação de serviço, o Distributed Denial of Service, DDoS na sigla em inglês, é o produto do momento no mercado do crime da internet. A partir de vírus introduzidos em computadores em geral, transformados em máquinas "zumbis", esse ataque envia pedidos de conexões a um site ou servidor, de modo a sobrecarregar o sistema, deixá-lo lento ou derrubá-lo.

No submundo cibernético, o contratante do serviço precisa apenas fazer contato com o hacker, apresentar a demanda e efetuar o pagamento - geralmente, em criptomoedas. O mercado hacker funciona sob demanda contra alvos específicos, mas também com a oferta de ferramentas que exigem de quem paga por elas pouco conhecimento de programação de computadores.

Com cadastros que exigem somente um e-mail e pagamento em criptomoedas, é possível realizar o ataque de negação de serviço por conta própria. Esse modelo "self service" é um dos principais avanços do cibercrime nos últimos anos para vender o serviço. Ele dispensa a necessidade de um hacker coordenar a investida. "Há um marco em 2018, a partir de hackers israelenses que criaram esse mercado", diz o diretor de tecnologia e especialista em DDoS, Tiago Ayub. "Os cibercriminosos partiram para a linha do eufemismo. Eles oferecem um teste de ‘estresse de IP’", afirma. "No Brasil, graças à facilidade de fazer ataques, alguns começaram a usar como ação anticompetitiva, para deixar concorrentes fora do ar."

Em tese, a ferramenta "estresse de IP" funciona para verificar se determinado endereço suporta certo volume de conexões. Na prática, não exige nenhum contrato ou identificação e pode ser usado contra qualquer alvo. Como os pagamentos são em criptomoedas, torna-se difícil a identificação de quem recorre ao serviço para causar prejuízos.

A reportagem se passou por interessada no serviço de sites que oferecem o "estresse de IP". A uma pergunta se o sistema poderia ser usado contra sites do governo brasileiro, o responsável de um desses serviços não descartou a possibilidade. "Não lançamos testes de estresse por nossa conta. Por favor, tente por sua conta mesmo", sugeriu. A um segundo site, a reportagem perguntou se aquilo não era ilegal, e se não poderia haver problemas com as autoridades brasileiras. "Não sou advogado e as leis são diferentes em todos os países. Não saberia te dizer", foi a resposta.

Consultores da área registram uma escalada robusta dos chamados ataques distribuídos de negação de serviço. O crescimento, afirma, ocorre no momento em que o mundo é obrigado a concentrar comunicações, negócios e serviços em canais digitais, em razão da pandemia. O mecanismo serve para sobrecarregar servidores, derrubar sites, impedir o acesso de usuários e minar a credibilidade de empresas e instituições.

Funciona assim: hackers geram um tráfego artificial a sites e servidores, em escala superior ao que os sistemas suportam. Esses acessos vêm de "botnets", redes de dispositivos infectados para operar como os atacantes desejam. Podem ser roteadores, celulares e até eletrodomésticos conectados. A sobrecarga derruba o alvo ou deixa a navegação lenta para usuários comuns. E, ainda, pode vir acompanhada de extorsão para cessar as investidas.

Mercado promissor

A expansão do mercado hacker no País se deve à popularização do acesso e ao desleixo dos internautas brasileiros com segurança digital. Levantamento solicitado pelo Estadão à empresa californiana Nexusguard, especializada em cibersegurança e no monitoramento de vulnerabilidades digitais, mostra um salto em ataques DDoS no Brasil, de 58 no terceiro trimestre de 2019 para 24.403 no mesmo período deste ano. Nos últimos três meses do ano passado, foram 4.264, quantidade também bem abaixo dos parâmetros atuais.

O Brasil também cresce como origem de ataques, ou seja, como fonte de dispositivos infectados para sobrecarregar sistemas. Os dados da consultoria apontam que o total de dispositivos usados por hackers para realização de ataques de negação de serviço cresceu de 185 para 6.598 do primeiro ao terceiro trimestre deste ano.

São computadores, roteadores, celulares ou demais dispositivos com conexão à internet que estão contaminados por vírus ou que têm senhas padronizadas facilmente descobertas remotamente. Estes milhares de dispositivos foram capazes de enviar 7,4 milhões de requisições durante ataques a sites.

No caso do TSE, os ataques partiram de máquinas no Brasil, nos Estados Unidos e na Nova Zelândia. "O uso pesado e a dependência de serviços online em meio à covid-19 levaram ao aumento acentuado dos ataques DDoS. Eles se tornaram um dos tipos mais comuns de ameaças que atualmente assolam o mercado global", disse à reportagem Tony Miu, gerente de pesquisas da Nexusguard.

"O crescimento no uso da tecnologia geralmente anda de mãos dadas com uma falta de conscientização em segurança cibernética, levando a uma deficiência na segurança de dispositivos que serão explorados por hackers", afirmou. As informações são do jornal O Estado de S. Paulo.

Um dia antes de ser preso em operação da Polícia Federal e da Polícia Judiciária, de Portugal, o hacker apontado como o responsável por ataques ao Tribunal Superior Eleitoral (TSE) indicou que poderia fazer um vazamento em massa de dados institucionais do Brasil.

Zambrius, codinome usado pelo jovem de 19 anos, lidera o CyberTeam, grupo que também reivindica a autoria de invasões ao Ministério da Saúde e ao Tribunal Regional Federal da 1ª Região (TRF-1).

Em e-mail enviado à reportagem às 13h12 de sexta-feira, 27, o hacker chegou a comentar um suposto plano de invasão ao principal tribunal de segunda instância do Brasil e lançou a ameaça. "Dentro de algumas horas vamos realizar um vazamento em massa de dados institucionais do governo do Brasil. Os nossos hackers 'controlam' a maioria dos sites do governo do Brasil", escreveu.

A mensagem partiu do mesmo endereço pelo qual o hacker conversa com a reportagem desde a semana passada, inclusive com envio de fotos produzidas com símbolos do grupo. O e-mail tem, ainda, imagens anexadas do que seriam evidências de acesso aos servidores de computação de Tribunais Regionais do Trabalho (TRTs).

O CyberTeam diz agir com um propósito ideológico, que faz ativismo contra governos, sem preocupação com ganhos financeiros. Mas entre seus alvos também estão sites de pequenos comércios e empresas.

Como mostrou o Estadão, de 2017 para cá ao menos 140 sites brasileiros foram alvos do grupo. Só neste ano, 61 páginas foram atacadas. Os dados incluem apenas sites que sofreram alguma espécie de "pichação virtual", ou seja, tiveram alterado o conteúdo disponível aos usuários.

Além de Zambrius, três hackers brasileiros foram atingidos pela operação "ex ploit", neste sábado (28). Segundo a Polícia Federal, eles foram alvo de mandados de busca e apreensão, além de terem proibidos de manter contato com investigados, em São Paulo e Minas Gerais.

Ao todo, o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo, vinculado ao Gabinete de Segurança Institucional (GSI) da Presidência, registra 21 mil notificações de possíveis ataques hackers no País em 2020. Em todo o ano passado foram 23 mil.

O alerta está no crescimento das vulnerabilidades encontradas em sistemas tecnológicos, segundo dados do GSI. De um ano a outro, as brechas que permitem a exploração maliciosa nos sistemas e nas redes de computadores saltaram de 1.201 para 2.239 ocorrências.

A Polícia Federal deflagrou, na manhã deste sábado (28), a Operação Exploit para desarticular a associação criminosa que teria promovido os ataques hackers ao TSE no primeiro turno das Eleições 2020, com o acesso e divulgação ilegal de informações de servidores públicos do TSE.

Estão sendo cumpridos, no Brasil, três mandados de busca e apreensão e três medidas cautelares de proibição de contato entre investigados em São Paulo e Minas Gerais. As ordens foram expedidas pela 1ª Zona Eleitoral do Distrito Federal, após representação efetuada pela Polícia Federal e manifestação favorável da 1ª Promotoria de Justiça Eleitoral.

Em Portugal, são cumpridos um mandado de prisão e um mandado de busca e apreensão. O inquérito policial aponta que um grupo de hackers brasileiros e portugueses, liderados por um cidadão português, foi responsável pelos ataques criminosos aos sistemas do Tribunal Superior Eleitoral - TSE quando do primeiro turno das Eleições de 2020.

Não é necessário ser um grande conhecedor sobre telefones celulares para se proteger de criminosos cibernéticos. Dmitry Kuramin, especialista do laboratório de análise prática de segurança da empresa russa Jet Infosystems, salientou à agência Prime que basta vigiar o tráfego de Internet do aparelho. Um repentino consumo excessivo é um sinal de pirataria.

Criminosos cibernéticos buscam antes de tudo telefones inteligentes para acessar dados ou utilizar o aparelho para outros fins, indica o especialista. De qualquer forma, integram constantemente o dispositivo com um servidor através da Internet.

"O usuário pode detectar esta atividade de maneira autônoma através da vigilância de recursos do sistema operacional Android", explicou. "Para se proteger contra criminosos cibernéticos, é recomendado utilizar um programa antivírus para celulares e vigiar as estatísticas de consumo de tráfego de Internet de diversos aplicativos."

"Por exemplo, se o aplicativo "calculadora", que não se espera que use Internet, começar a acessá-la, isso "é um sinal de 100% de que algo não vai bem", comenta.

Portanto, além de reinicializar seu aparelho para a configurações de fábrica, convém reinstalar o sistema operacional.

Aplicativos maliciosos

Estes vírus chegam geralmente aos telefones quando usuários tentam instalar aplicativos "não oficiais", ou seja, que não se encontram na loja de aplicativos Google Play. Um exemplo típico é baixar uma versão "desbloqueada" de um jogo que normalmente é pago.

Contudo, nem todos os programas disponíveis na loja da Google são confiáveis. De fato, especialistas espanhóis em segurança cibernética da NortonLifeLock e do Instituto Madrileno de Estudos Avançados (IMDEA) estudaram aproximadamente oito milhões de aplicativos, determinando que entre 10% e 24% dentre estes estavam infectados.

Da Sputnik Brasil

O Ministério da Saúde reconheceu nesta sexta-feira, 13, indícios de um ataque cibernético em seu sistema. "Após o início das investigações sobre o vírus que afetou nossa rede de tecnologia, na semana passada, há indício de que a pasta também foi alvo de tentativa de ataques cibernéticos, embora não haja laudo conclusivo", disse o secretário-executivo da pasta, Elcio Franco, em pronunciamento à TV Brasil.

Franco disse que o ministério não havia informado ainda sobre o possível ataque para "preservar provas e garantir a segurança de dados". "Desde o início da ocorrência todas as medidas necessárias para preservar a integridade de sistemas, servidores e dados do Ministério da Saúde foram tomadas. Não houve comprometimento, sequestro ou vazamento de informações."

A Saúde desativou parte de sua rede e restringiu o acesso de servidores a e-mails, entre outros serviços, na última quinta-feira, 5, quando identificou um "vírus" em sua rede. Desde então há limitações em serviços da Saúde. A pasta, no entanto, afirmava que não havia indícios de ataque cibernético. Pelo menos o Superior Tribunal de Justiça (STJ) e o governo do Distrito Federal foram alvos de hackers na última semana.

Segundo o secretário, há ainda instabilidade em parte da rede da pasta, mas os serviços devem ser normalizados a partir da próxima segunda-feira, 16. Ele afirmou que o ministério manteve a atualização de dados de casos e óbitos da covid-19, mesmo com dificuldades.

"Seguimos enviando à imprensa os dados diários da covid-19, com observações relativas às últimas atualizações possíveis de serem feitas. Por esse motivo, também não foi divulgado o boletim epidemiológico semanal", afirmou Franco.

Para alertar sobre golpes que tem sido registrados, o secretário afirmou que o Ministério da Saúde não está realizando pesquisas nem pede dados particulares de usuários do SUS.

Contato: mateus.vargas@estadao.com

Um grupo de hackers que comandava um lucrativo modelo de negócios envolvendo o comprometimento de servidores de voz sobre IP (VoIP) teve suas ações descobertas por uma empresa de cibersegurança. Ao todo, foram identificados 10 mil ataques documentados desde o início de 2020, liderados por cibercriminosos em Gaza, Cisjordânia e Egito. Eles usavam grupos privados do Facebook para anunciar seus serviços e compartilhar tutorias de exploração com direito a passo a passo, chegado a atingir mais de 1.200 organizações em mais de 60 países nos últimos 12 meses.

De acordo com a Check Point Research, responsável pela descoberta, os hackers usavam como principal método de ataque o VoIP, uma tecnologia que permite que uma pessoa faça chamadas de voz usando uma conexão de Internet de banda larga em vez de uma linha telefônica normal, como as realizadas por WhatsApp ou Facebook, por exemplo.  Assim eles conseguiam se conectar a rede com a finalidade de lucrarem ao obter acesso ao servidor VoIP de uma organização-alvo. 

Como era feito o golpe

Assim que conseguiam o acesso os hackers monetizavam os sistemas comprometidos com a venda de chamadas, ou forçavam o sistema a ligar para números premium que cobram taxas. Além disso, os cibercriminosos conseguiam vender números de telefone,  planos de chamada e acesso ao vivo a serviços dos VoIPs comprometidos. Em alguns casos, o relatório identificou que eles chegava a ouvir as chamadas de suas vítimas.

Os países que mais sofreram ataques desse tipo foram Reino Unido (631 organizações), Holanda (255), Bélgica (171), EUA (93) e Colômbia (57). Os setores mais atacados eram governos, militar, seguros, finanças, manufatura, entre outros.  De acordo com a Check Point, o Brasil teve 25 organizações atacadas por esses cibercriminosos. Os demais países com organizações impactadas foram Alemanha, França, Índia, Itália, Canadá, Turquia, Austrália, Rússia, Suíça, República Tcheca, Portugal, Dinamarca, Suécia e México.

Estudantes da Universidade Federal do Sul da Bahia (UFSB) denunciam a instituição por espionagem feita através dos notebooks concedidos por meio de edital de empréstimo de equipamentos realizado pela UFSB. O computadores foram emprestados para o acesso às aulas devido a pandemia do novo coronavírus. 

Segundo publicação feita pelo Diretório Central dos Estudantes (DCE) no Facebook, dois dos computadores cedidos aos estudantes possuem o programa KidLogger Monitoring Agent 6. O programa tem a função de monitorar e registrar todas as ações feitas nos equipamentos. 

Através de um vídeo, uma estudante, que é membro do DCE, trouxe o caso à tona com o intuito de orientar como identificar o programa. “Pedimos a todos os estudantes que estão de posse de notebook da universidade verifiquem se tem esse aplicativo instalado e entrem contato conosco para que possamos dar as devidas orientações e encaminhamentos a respeito deste assunto”, diz nota que legenda o relato do ocorrido. 

No mesmo vídeo, a estudante pede que os outros dicentes façam uma denúncia na Policial Civil, assim como uma queixa na ouvidoria da UFSB, para que o caso possa ser apurado.

Na mensagem a estudante mostra uma pasta no computador que armazena informações dos alunos, que podem ser feitas por gravações pela webcam, além de senhas e prints que podem ter sido salvos de qualquer tela acessada pelo usuário. O assunto repercutiu nas redes sociais e, dentre os comentários, estudantes postaram prints de mensagens recebidas nos celulares informando que era necessário proteger as senhas.

Após repercussão, a Universidade Federal do Sul da Bahia (UFSB) divulgou um comunicado afirmando “que respeita a privacidade de seus acadêmicos e que não adota nenhum mecanismo que fira esse direito”. 

Além disso, diz que “os encaminhamentos imediatos são o recolhimento e análise de algumas das máquinas afetadas para investigar como esse aplicativo foi instalado, e para definir procedimento que garanta a salvaguarda de informações para os estudantes cujas máquinas apresentem esse problema e a desinstalação completa e segura do aplicativo de monitoramento”. O esclarecimento é assinada pela Pró-Reitoria de Tecnologia da Informação e Comunicação e a Pró-Reitoria de Ações Afirmativas da UFSB.

O LeiaJá tentou localizar o edital de empréstimo com a finalidade de identificar se há menções sobre pedido de autorização de instalação deste software ou se há informações prévias sobre o programa concedidos para uso nas residências dos estudantes, no entanto o documento não foi encontrado. Ao invés disso, há apenas o resultado com os alunos contemplados pelo edital.

O juiz Ricardo Leite, substituto da 10ª Vara Federal de Brasília, revogou nesta segunda-feira, 28, as prisões de Walter Delgatti Neto, o 'Vermelho', e Thiago Eliezer Martins dos Santos, o 'Chiclete', denunciados na Operação Spoofing pela invasão de celulares de autoridades do País, incluindo o ex-ministro Sérgio Moro (Justiça e Segurança Pública) e o procurador da República Deltan Dallagnol.

Os dois foram presos preventivamente em julho do ano passado e denunciados como mentores dos crimes cibernéticos em janeiro deste ano ao lado de outras quatro pessoas. Além dos hackeamentos, o grupo é acusado por fraudes bancárias, lavagem de dinheiro e organização criminosa.

Na decisão, o juiz levou em conta um habeas corpus concedido pelo Tribunal Regional Federal da 1ª Região que, a pedido da Defensoria Pública da União, anulou as audiências realizadas desde o início da instrução da Spoofing. No entendimento do magistrado, manter as prisões preventivas durante toda a instrução criminal 'acarretará inevitável excesso de prazo'.

"Manter a prisão preventiva de Thiago Eliezer Martins dos Santos e de Walter Delgatti Neto durante toda a instrução criminal acarretará inevitável excesso de prazo. Mesmo tendo a defesa pugnado pela nulidade da instrução processual, tendo dado causa à demora na instrução processual, entendo que objetivamente há excesso de prazo na increpação dos custodiados sem que tenha havido o desenvolvimento da relação processual. Além disto, sequer houve oferta de denúncia em relação ao outro inquérito pelo qual constam como investigados", escreveu o magistrado.

Em substituição às preventivas, o juiz fixou medidas cautelares que incluem o uso de tornozeleiras eletrônicas e proibição de contato com outros réus, testemunhas ou pessoas relacionadas aos fatos investigados. Ricardo Leite ainda determinou a 'proibição absoluta de acessar endereços eletrônicos pela internet - inclusive com a utilização de smartphones -, redes sociais, aplicativos de mensagens tipo whatsapp ou outro, exceto para videoconferências e compromissos com a justiça'.