dez 30 2021
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Empresa atingida pela falha Log4j se recusa a pagar resgate de US$ 5 milhões aos cibercriminosos.
    Uma das maiores plataformas de criptografia do Vietnã, ONUS, sofreu recentemente um ataque cibernético em seu sistema de pagamento executando uma versão Log4j vulnerável. Os cibercriminosos abordaram a ONUS para extorquir uma quantia de $ 5 milhões e ameaçaram publicar os dados dos clientes caso a Fintech se recusasse a obedecer. Após a recusa da empresa em pagar o resgate, invasores colocaram dados de quase 2 milhões de clientes ONUS à venda em fóruns na deep web. Apesar da empresa ter corrigido a falha em sua instância, a janela de exposição permitiu tempo suficiente para que os agentes da ameaça extraíssem os bancos de dados confidenciais. Curiosamente, a vulnerabilidade existia em um servidor sandbox usado apenas para testes de software, mas permitia que os invasores acessassem mais locais de armazenamento de dados confidenciais com dados de produção, devido a uma configuração incorreta do sistema.
  • Autoridades indianas devem tornar mais rígidas as leis de violação de dados em 2022.
    As autoridades na Índia estão definidas para reprimir as violações de dados e fortalecer as regras para a retenção de dados confidenciais. As organizações serão forçadas a divulgar violações de dados dentro de 72 horas, alinhando a Índia com territórios como a UE, que exige divulgações de violações de acordo com seu Regulamento Geral de Proteção de Dados ( GDPR ). E as empresas indianas não serão mais capazes de armazenar informações de cartões de crédito, com apenas emissores de cartão e redes de cartão – como Visa ou Mastercard – autorizados a fazê-lo. O Reserve Bank of India (RBI) está adicionando novas restrições sobre quem pode reter dados de cartão de pagamento, a partir de 1º de janeiro de 2022. Sob as novas regras, apenas o emissor do cartão e a rede do cartão podem reter todos os detalhes do cartão.
  • Hackers chineses invadem importante instituição acadêmica.
    Grupo de ciberespionagem vinculado à China, foi recentemente observado explorando a vulnerabilidade Log4Shell para comprometer uma grande instituição acadêmica. Em sua tentativa de comprometer a instituição acadêmica não identificada, os invasores visaram uma instância do VMware Horizon que empregava a biblioteca Log4j vulnerável. O exploit usado neste ataque foi publicado inicialmente no GitHub em 13 de dezembro. Os invasores realizaram verificações de conectividade por meio de pesquisas de DNS para um subdomínio em execução na instância VMware Horizon, sob o serviço Apache Tomcat (outros agentes de ameaça também foram observados usando serviços de registro DNS públicos para identificar servidores vulneráveis). A organização-alvo foi alertada sobre a atividade suspeita imediatamente após a detecção e foi capaz de implementar rapidamente seu protocolo de resposta a incidentes, para corrigir o software vulnerável e prevenir novas atividades maliciosas.
Rubens Zolotujin 0 Comentários
dez 29 2021
BOLETIM DIÁRIO DE CIBERSEGURANÇA
  • Malware RedLine mostra por que senhas não devem ser salvas em navegadores.
    O malware para roubo de informações tem como alvo navegadores populares, como Chrome, Edge e Opera, demonstrando que armazenar suas senhas em navegadores é uma má ideia. Esse malware é um ladrão de informações de commodities que pode ser comprado por cerca de US$ 200 em fóruns de crimes cibernéticos e implantado sem exigir muito conhecimento ou esforço. Mesmo que o computador infectado tenha uma solução anti-malware instalada, ela pode falhar ao detectar e remover o RedLine. O malware tem como alvo o arquivo ‘Login Data’ encontrado em todos os navegadores web baseados em Chromium e é um banco de dados SQLite onde nomes de usuário e senhas são salvos. Depois de coletar as informações, os agentes da ameaça utilizam as credenciais roubadas em novos ataques ou tentam monetizá-las vendendo-as em mercados da deep web.
  • Novo malware Flagpro está sendo propagado por grupo de ciberespionagem chinês.
    O grupo de ameaça persistente avançada (APT) conhecido como BlackTech, tem como alvo milhares de empresas ao redor do mundo. O grupo usa o Flagpro no estágio inicial de um ataque para reconhecimento da rede, para avaliar o ambiente do alvo e para baixar o malware de segundo estágio e executá-lo. A cadeia de infecção começa com um e-mail de phishing criado para a organização-alvo, fingindo ser uma mensagem de um parceiro confiável. O e-mail contém um anexo RAR ou ZIP que contém um arquivo do Microsoft Excel (.XLSM) junto com uma macro maliciosa. A execução desse código cria um executável no diretório de inicialização. Em sua primeira execução, o Flagpro se conecta ao servidor de comando e controle (C2) via HTTP e envia os detalhes da ID do sistema obtidos pela execução de comandos do sistema operacional. Em resposta, o C2 pode enviar de volta comandos adicionais ou uma carga útil de segundo estágio que o malware pode executar.
  • Apache lança novo patch para corrigir a vulnerabilidade Log4j.
    A Apache Software Foundation (ASF) lançou na última terça-feira (28) novos patches para conter a falha de execução de código arbitrário no Log4j que poderia ser explorada por agentes de ameaça para executar código malicioso em sistemas afetados, tornando-se a quinta falha de segurança a ser descoberta na ferramenta em menos de um mês. Rastreada como CVE-2021-44832 , a vulnerabilidade é avaliada em 6,6 em gravidade em uma escala de 10 e afeta todas as versões da biblioteca de registro de 2.0-alpha7 a 2.17.0. Apache Log4j2 versões 2.0-beta7 a 2.17.0, são vulneráveis a um ataque de execução remota de código (RCE) em que um invasor com permissão para modificar o arquivo de configuração de registro pode construir um arquivo malicioso usando um JDBC Appender com uma fonte de dados referenciando um JNDI URI podendo executar código remoto.
Rubens Zolotujin 0 Comentários
dez 27 2021
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cavalo de Troia para Android se espalha por meio de uma página falsa da Google Play Store.
    Um cavalo de Troia do Android banking direcionado ao Itaú Unibanco, implantou um truque incomum para se espalhar para dispositivos. Os cibercriminosos configuraram uma página que se parece muito com a loja de aplicativos Google Play oficial do Android para induzir os visitantes a pensar que estão instalando o aplicativo a partir de um serviço confiável. O malware finge ser o aplicativo bancário oficial do Itaú Unibanco e possui o mesmo ícone do aplicativo legítimo. Se o usuário clicar no botão “Instalar”, será oferecido o download do APK, o que é o primeiro sinal do golpe. Pesquisadores analisaram o malware, descobrindo que, ao ser executado, ele tenta abrir o aplicativo Itaú real na própria Play Store. Se for bem-sucedido, ele usa o aplicativo real para realizar transações fraudulentas, alterando os campos de entrada do usuário.
  • EUA incluem falha Log4J em programa de Bug Bounty.
    O governo dos EUA anunciou a expansão do programa de recompensa por bug “Hack DHS”, onde incluirá vulnerabilidades relacionadas ao Log4J. O Departamento de Segurança Interna anunciou o programa de recompensa de bug como uma forma de identificar lacunas de segurança cibernética e vulnerabilidades em seus sistemas. Eles deram acesso aos profissionais de cibersegurança para selecionar sistemas DHS externos e pediram que encontrassem bugs. O secretário Alejandro Mayorkas chamou o DHS de “zagueiro da segurança cibernética do governo federal” e disse que o programa incentiva hackers altamente qualificados para identificar os pontos fracos da segurança cibernética nos sistemas antes que possam ser explorados por cibercriminosos.
  • Provedor global de serviços de TI é atingido por ataque de ransomware.
    A empresa francesa de serviços de TI Inetum Group foi atingida por um ataque de ransomware que teve um impacto limitado sobre os negócios e seus clientes. A Inetum atua em mais de 26 países, fornecendo serviços digitais para empresas em diversos setores. O ataque de ransomware afetou algumas das operações do provedor na França e não se espalhou para as infraestruturas de maior dimensão utilizadas pelos clientes. A unidade de cibersegurança agiu rapidamente para proteger conexões sensíveis que poderiam colocar os clientes em risco se comprometidas. Para tanto, as equipes operacionais isolaram todos os servidores da rede afetada e encerraram as conexões VPN do cliente.
Rubens Zolotujin 0 Comentários
dez 23 2021
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos estão vendendo dados do Ministério da Saúde e CGU na deep web.
    Credenciais pertencentes a diferentes pastas da administração federal foram encontradas à venda em fóruns da deep web. Entre os dados vazados, aparecem logins e senhas da Controladoria Geral da União (CGU) e do Ministério da Saúde, ambos atingidos por uma onda de golpes cibernéticos iniciados no dia 10 de dezembro. Os ataques teriam acontecido a partir de “perfis legítimos de administrador”, mas podem excluir a ideia de se tratar de um golpe interno; a falha na segurança pode ter levado a uma intrusão. A revelação se une a outros relatos de políticas de segurança ineficazes, senhas com padrões claros e brechas em sistemas críticos de segurança que, também, ajudam a explicar a demora no retorno dos sistemas usados pelos servidores públicos e comprovantes disponíveis à população, incluindo aqueles relacionados à imunização contra a covid-19.
  • FBI lança alerta sobre a exploração de uma vulnerabilidade no ManageEngine Desktop Central da Zoho.
    Rastreado como CVE-2021-44515 , o erro de segurança é um desvio de autenticação que pode ser explorado para obter a execução remota de código. O bug afeta as edições Professional e Enterprise do ServiceDesk Plus e potencialmente afeta dezenas de milhares de organizações em todo o mundo. Com classificação crítica (pontuação CVSS de 9,8), a vulnerabilidade foi tornada pública no início de dezembro, quando Zoho alertou que os agentes da ameaça já haviam explorado o bug em ataques. O FBI afirma que a exploração por agentes de ameaças persistentes avançadas (APT) está em andamento desde pelo menos outubro de 2021.
  • Vulnerabilidade no Facebook expõe a identidade do administrador da página.
    O Facebook pagou a um pesquisador do Nepal uma recompensa de US$ 4.750 por uma vulnerabilidade que poderia ter sido explorada para descobrir a identidade do administrador de uma página. Sudip Shah, de 19 anos, descobriu uma vulnerabilidade de Insecure Direct Object Reference (IDOR) no Facebook para Android que poderia ser explorada para revelar a identidade do administrador da página. O problema afetou apenas as páginas com um recurso de vídeo ao vivo habilitado, mas Shah estima que a maioria das páginas foi afetada, já que a maioria delas realmente tem o recurso.
Rubens Zolotujin 0 Comentários
dez 16 2021
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos anunciam vazamento de dados do ministério da saúde.
    Integrantes do grupo Lapsu afirmaram ter invadido o Ministério da Saúde e iniciaram o compartilhamento dos dados extraídos na internet. Os logins e senhas para sistemas do governo atualmente estão sendo distribuídos em fóruns obscuros da Deep Web, onde criminosos ainda ridicularizam a atuação do Governo Federal diante a sequência de invasões aos seus sistemas recentemente. O grupo publicou um arquivo compactado de 293 MB, contendo 16.847 itens (entre arquivos e entradas de diretório), totalizando 580,5 MB. O grupo anunciou também ontem que vai despejar mais 10MB, sem no entanto informar quando isso acontecerá.
  • Ataques a aplicações Web em empresas do Reino Unido aumentaram mais de 250% em dois anos.
    Os ataques no Reino Unido aumentaram mais de 250% desde outubro de 2019, levando a um aumento gigantesco nas violações de dados. Nos últimos dois anos cerca de 4,7 milhões de incidentes de segurança foram descobertos, em média 22% a cada trimestre. É provável que isso esteja alimentando um grande aumento nas violações de dados. Os ataques de execução remota de código (RCE) e de inclusão remota de arquivo (RFI), frequentemente usados para roubar informações e sequestrar sites, aumentaram significativamente nos últimos dois anos. A pandemia colocou uma urgência imensa nas empresas para que todos os tipos de projetos de transformação digital funcionassem o mais rápido possível e isso é quase certamente um fator impulsionador dentro dessa onda de ataques.
  • Governo dos EUA vai oferecer até $5.000 em recompensa para hackers identificarem falhas de segurança.
    O Departamento de Segurança Interna dos EUA, está lançando um programa de recompensa por bug, potencialmente oferecendo recompensas aos hackers que ajudam o departamento a identificar vulnerabilidades de segurança cibernética em seus sistemas. O DHS vai pagar entre US$ 500 e US$ 5.000, dependendo da gravidade da vulnerabilidade e do impacto da remediação, anunciou o secretário de Segurança Interna, Alejandro Mayorkas. O anúncio foi feito um dia depois das autoridades cibernéticas do governo Biden alertarem que os hackers estão explorando uma vulnerabilidade de software recém-revelada.
Rubens Zolotujin 0 Comentários
dez 15 2021
CISA diz às agências federais para corrigirem Log4Shell antes do Natal

A Agência de Segurança Cibernética e Infraestrutura dos EUA disse às agências civis federais para corrigir os sistemas afetados pela vulnerabilidade Log4Shell até a véspera de Natal. A agência adicionou ontem o bug Log4Shell (CVE-2021-44228) ao seu catálogo de vulnerabilidades exploradas ativamente, junto com 12 outras falhas de segurança. De acordo com este catálogo, as agências federais têm dez dias à sua disposição para testar quais de seus aplicativos e servidores internos utilizam a biblioteca Log4j Java, verificar se os sistemas são vulneráveis à exploração Log4Shell e corrigir os servidores afetados.

Além disso, a CISA também lançou ontem uma página da web dedicada que fornece orientação para o setor público e privado dos EUA com relação à vulnerabilidade Log4Shell.

Rubens Zolotujin 0 Comentários
dez 15 2021
Vazam 16 mil arquivos supostamente do Ministério da Saúde

Os membros do grupo Lapsus$, que afirmaram ter invadido recursos de nuvem do Ministério da Saúde, iniciaram ontem o dump (despejo) na web de material supostamente obtido nessa invasão. O grupo publicou em seu canal do Telegram um arquivo compactado de 293 MB, contendo 16.847 itens (entre arquivos e entradas de diretório), totalizando 580,5 MB. O grupo anunciou também ontem que vai despejar mais 10MB, sem no entanto informar quando isso acontecerá. Numa comunicação com o CISO Advisor, o grupo afirmou que teve acesso aos recursos do Ministério aproximadamente uma semana antes da invasão ter sido anunciada. O acesso ao vCenter Server, afirma a mensagem, deu ao grupo livre acesso à administração dos recursos de nuvem e de máquinas virtuais do órgão.

O nome do arquivo oferecido para download, compactado em formato RAR, é “gitlab-app-saudegovbr”. O nome é bem sugestivo: indica que contém material de desenvolvimento de aplicativos (não necessariamente de dispositivos móveis) do Ministério. GitLab é a empresa que mantém a plataforma GitLab, de operações de desenvolvimento de software (para também proteger e operar o software pelo menos em testes). 
O conteúdo é formado por uma enorme quantidade de scripts escritos em Java, poucas tabelas de dados e aparentemente nenhuma relacionada a cidadãos. A maior de todas aparentemente lista postos de vacinação espalhados pelo Brasil.

cibersegurança #cibersegurança #lgpd #infraestruturadeti #iec62443 #industrialcybersecurity #ti #defesacibernética #cyberrisk #computersecurity #ciso #cto #informationsecurity #cio #security #cybersecurity #vulnerabilidade #ANPD #vazamentodedados #vazamento #incidente #cloudsecurity #cyber #datasecurity #privacy #cybercrime #infosec #cyberattack #dataprotection #ANPPD #phishing

Rubens Zolotujin 0 Comentários
dez 8 2021
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Grupo de ameaças do Google derruba Botnet Glupteba.
    O Google interrompeu o botnet habilitado para blockchain conhecido como Glupteba, que é composto por cerca de 1 milhão de dispositivos comprometidos do Windows e de dispositivos IoT. O Botnet se espalha por meio de softwares piratas falsos, documentos maliciosos, sistemas de distribuição de tráfego e muito mais, disseram os pesquisadores. Depois de instalado, ele começa a roubar as credenciais e os dados dos usuários, minerar criptomoedas em hosts infectados e configurar proxies para canalizar outro tráfego da Internet por meio de máquinas e roteadores infectados.
  • Ativadores do Windows estão instalando Malware e roubando dados de usuários.
    Muitos usuários que procuram ativar o Windows sem usar uma licença digital ou uma chave de produto estão sendo alvo de instaladores contaminados com malware projetado para extrair credenciais do sistema operacional e navegadores. O CryptyBot é capaz de obter credenciais para navegadores, carteiras de criptomoedas, cookies de navegador, cartões de crédito e capturas de tela dos sistemas infectados. O Malware está embutido no KMSPico que é uma ferramenta não oficial usada para ativar ilicitamente os recursos completos de cópias piratas de software, como o Microsoft Windows e o pacote Office, sem realmente possuir uma chave de licença.
  • Microsoft obtém aprovação judicial para assumir sites de grupos de cibercriminosos chineses.
    A Microsoft revelou que sua Unidade de Crimes Digitais (DCU) obteve a aprovação do tribunal distrital dos EUA para assumir o controle de sites maliciosos que estavam sendo utilizados para atacar alvos em todo o mundo – muitas vezes explorando vulnerabilidades em produtos da Microsoft. Os domínios são operados por diversos grupos de cibercriminosos.
Rubens Zolotujin 0 Comentários
dez 7 2021
BOLETIM DIÁRIO DE CIBERSEGURANÇA

* Cibercriminosos estão atacando contas verificadas no Twitter.
O golpe está sendo aplicado durante uma recente onda de remoção das “medalhas” de verificado de usuários da rede social. O e-mail fraudulento pede detalhes do perfil para que o indivíduo não perca a marcação. Aparentemente, o ataque está usando como referência e-mails informados nas biografias dos clientes, e não o endereço associado aos cadastros. Através de um atalho que diz “Atualize aqui”, a mensagem redireciona a vítima a um site não oficial que usa a interface da rede social para pedir credenciais.

* Após ser alvo de ciberataque, BitMart garante reembolso a investidores.
A corretora de criptomoedas BitMart anunciou nesta segunda-feira (6) que irá reembolsar os usuários que foram vítimas de um ataque de hackers. Segundo Sheldon Xia, CEO da empresa, o pagamento será feito com os recursos da corretora e soluções “mais viáveis” estão sendo estudadas para efetuar o reembolso. O ataque foi identificado pela empresa no último sábado (4). Os invasores conseguiram retirar ativos no valor de aproximadamente US$ 150 milhões.

* Forças Armadas dos EUA reconhecem que tomaram medidas ofensivas contra cibercriminosos.
O “Cyber Command”, a unidade de hackers das Forças Armadas dos EUA, tomou medidas ofensivas para interromper grupos de cibercriminosos que lançaram ataques cibernéticos contra empresas dos EUA. O porta-voz da unidade se recusou a especificar quais ações o foram executadas, mas é um dos primeiros reconhecimentos inequívocos do Cyber Command, desde o ataque de ransomware contra o oleoduto da Colonial Pipeline em maio, de que os militares americanos têm como alvo gangues de criminosos que mantêm os sistemas de computador de empresas americanas como reféns.

Rubens Zolotujin 0 Comentários